Beste praktijken voor het beveiligen van je opslagverbinding

Als videobewerker of andere postproductieprofessional zou je waarschijnlijk niet kunnen functioneren zonder je aangesloten opslagapparaat. En dat is precies waarom het zo belangrijk is om je opslagverbinding te beveiligen.

Aangesloten opslagapparaten zoals NAS (Network Attached Storage) worden door cybercriminelen immers beschouwd als bijzonder sappige doelwitten. Dat komt omdat:

• Ze bevatten vaak zeer waardevolle (d.w.z. professionele en zakelijke) gegevens, wat slachtoffers veel meer motiveert om losgeld te betalen.
• Ze hebben vaak geen back-up.
• Ze zijn over het algemeen gemakkelijker te compromitteren dan een server beheerd door IT.

Er zijn veel verschillende soorten gekoppelde digitale opslag, van cloud-opslag (zoals Amazon S3, Azure Blob Storage en Google Cloud Storage), tot opslagnetwerken (SAN's) en on-prem network attached storage (NAS) apparaten.

Dit artikel richt zich op een NAS-opslagverbinding achter een router van het kantoor/thuisnetwerk die toegankelijk is van buiten het kantoor/thuisnetwerk. Maar de meeste van deze punten over het beveiligen van je opslagverbinding kunnen van toepassing zijn op elke lokaal aangesloten opslag.

• Het bedreigingslandschap van de opslagverbinding
  • De gevaren van het openlaten van poorten
• Hoe je opslagverbinding beveiligen
  • Houd uw netwerk veilig
  • De beheerdersaccount van je opslagapparaat uitschakelen
  • IP- en gebruikersnaam blokkeren inschakelen
  • Gebruik 2FA of adaptieve MFA
  • Uw NAS-firewall en DoS-bescherming inschakelen
  • Beveilig uw poorten
  • Gebruik een VPN
  • Het standaard poortnummer wijzigen
• Verzamel gegevens zonder poorten te openen met MASV Centralized Ingest

Het bedreigingslandschap van de opslagverbinding

Beveiligingsonderzoeker Jacob Holcomb Gecontroleerde NAS-apparaten van 10 verschillende fabrikanten in 2014. Het resultaat? Ze bevatten allemaal potentieel verwoestende kwetsbaarheden.

Hoewel de beveiliging van aangesloten opslagapparatuur sindsdien ongetwijfeld is verbeterd, worden aangesloten opslagapparaten nog steeds op grote schaal aangevallen:

• Synology NAS-apparaten kregen in 2021 te maken met aanvallen en binnen het afgelopen jaar.
• QNAP-apparaten waren het doelwit van de Qlocker ransomware-aanval van 2021.
• Western Digital NAS apparaten werden aangevallen via een kwetsbaarheid voor code-uitvoering op afstand in 2021.
• Meer recentelijk, in april, werd gemeld dat bijna 100.000 D-Link NAS apparaten bevatten een kwetsbaarheid in de vorm van een achterdeur.

De gevaren van het openlaten van poorten

Hackers hoeven niet per se gebruik te maken van een kwetsbaarheid om toegang te krijgen tot je systeem of opslagaccount als je niet de juiste voorzorgsmaatregelen neemt.

Poorten openen of doorsturen op je router om externe toegang tot aangesloten opslag toe te staan, kan bijvoorbeeld een groot risico zijn.

Botnetaanvallen op NAS-opslagapparaten komen vaak voor. En als deze botnets een open poort vinden die wordt gebruikt door uw NAS of andere aangesloten opslag, zullen ze bijna zeker proberen om met brute kracht binnen te komen om uw beheerdersgegevens te stelen (en vervolgens uw gegevens te stelen of te coderen voor losgeld).

En als u een poort open laat staan terwijl u de standaard "admin" account van uw opslagapparaat gebruikt, is het veel gemakkelijker voor aanvallers om een succesvolle brute force aanval uit te voeren omdat ze de gebruikersnaam van uw account niet hoeven te raden (hierover later meer).

Experts op het gebied van verbonden opslag zeggen dat er de afgelopen jaren een duidelijke toename is geweest van dit soort aanvallen op NAS-apparaten. Daarom is het noodzakelijk om de beveiliging van uw NAS minstens één keer per jaar te controleren en bij te werken.

Hoe je opslagverbinding beveiligen

Wat kun je, naast de standaard cyberbeveiliging zoals het gebruik van complexe wachtwoorden (wachtzinnen zijn beter) en het gepatcht en up-to-date houden van systemen, nog meer doen om je opslagverbinding te beveiligen en houd uw bestandsuploads veilig?

Het beveiligen en onderhouden van je eigen verbonden apparaat brengt immers veel meer verantwoordelijkheid met zich mee dan bijvoorbeeld een Google Cloud Storage-verbinding.

Voordat je iets anders doet, moet je:

• Configureer je opslagapparaat om een HTTPS-verbinding te gebruiken, die het netwerkverkeer tussen het apparaat en andere apparaten versleutelt.
• Zorg ervoor dat u een geldig SSL/TSL-certificaat hebt geïnstalleerd (u kunt meestal een certificaat verkrijgen en installeren via de beheerinterface van het apparaat).
• Implementeer back-upopslag, voor het geval er iets ergs gebeurt met je gegevens.

Hier is een lijst met andere maatregelen die je kunt nemen om je opslagverbinding te vergrendelen als onderdeel van je best practices voor gegevensbeheer.

Houd uw netwerk veilig

Laten we beginnen met de basis: Uw netwerk thuis of op kantoor beveiligen is absoluut noodzakelijk, aangezien je aangesloten opslag zich daar waarschijnlijk bevindt. Houd je router, firewall en andere netwerkapparaten altijd relatief nieuw, up-to-date en geconfigureerd met nieuwe wachtwoorden.

Om je router te beveiligen, moet je eerst zoek het IP-adres van je router. Typ het in de adresbalk van je browser. Van daaruit kun je inloggen op je router en allerlei handige beveiligingsconfiguraties toevoegen, zoals:

• uitschakelen WPS.
• HTTPS-aanmeldingen inschakelen.
• Toegang op afstand uitschakelen.
• WPA2-encryptie inschakelen.
• De firmware bijwerken.
• Logboekregistratie inschakelen voor het geval er iets gebeurt.

Je kunt ook je wachtwoord bijwerken (en de huidige gebruikersnaam op je router wijzigen van de standaard "admin") terwijl je bent ingelogd.

Over het veranderen van gebruikersnamen gesproken...

De beheerdersaccount van je opslagapparaat uitschakelen

De meeste aangesloten opslagapparaten hebben standaard de gebruikersnaam "admin". U moet dit onmiddellijk veranderen. Hackers weten namelijk dat admin een veelgebruikte standaard gebruikersnaam is en proberen daar misbruik van te maken met brute force aanvallen.

Bekijk deze video voor een voorbeeld van wat er kan gebeuren wanneer een Synology NAS-gebruiker poorten 5000 of 5001 open laat: Duizenden inlogpogingen van onbekende entiteiten binnen een kort tijdsbestek, allemaal met de gebruikersnaam "admin".

Om de beheerdersaccount uit te schakelen, maakt u gewoon een nieuwe account aan met beheerdersrechten die niet admin heet. Deactiveer vervolgens de oorspronkelijke beheerdersaccount. Dit zal helpen om een groot aantal brute force aanvallen af te slaan.

IP- en gebruikersnaam blokkeren inschakelen

Veel aangesloten opslagapparaten, zoals die van Synology of QNAP, worden geleverd met een automatische blokkeringsfunctie die een specifiek IP-adres blokkeert als de NAS te veel mislukte aanmeldingspogingen tegelijk detecteert.

Bij de meeste apparaten kun je ook regels voor automatisch blokkeren aanpassen. Je kunt bijvoorbeeld instellen dat een IP-adres wordt geblokkeerd na 10 mislukte pogingen binnen vijf minuten.

💡 Opmerking: Om ervoor te zorgen dat je jezelf niet per ongeluk uitsluit van je eigen NAS, kun je automatisch blokkeren configureren om een IP-adres na een bepaalde tijd te deblokkeren.

Synology en QNAP NAS-apparaten bieden ook functionaliteit voor accountbeveiliging om herhaalde aanmeldpogingen met dezelfde gebruikersnaam te controleren (en uiteindelijk te blokkeren). Of bedrijven kunnen het volgende gebruiken Fail2Ban, een daemon voor inbraakpreventie die bescherming biedt tegen brute force aanvallen door IP's te verbannen die meerdere mislukte pogingen genereren.

Het blokkeren van een gebruikersnaam kan effectiever zijn bij het beperken van botnetaanvallen dan het blokkeren van IP-adressen. Dat komt omdat botnets duizenden IP-adressen van geïnfecteerde machines kunnen doorlopen.

Gebruik 2FA of adaptieve MFA

Het spreekt voor zich dat als je de optie hebt om two-factor (2FA) of multi-factor authenticatie (MFA) op je apparaat, zou je dat moeten doen (dit geldt voor vrijwel alles). De meeste NAS-apparaten met 2FA of MFA vereisen een beveiligde USB-sleutel of authenticator-app om een unieke code te genereren bij het inloggen.

Dat betekent dat zelfs als een hacker op de een of andere manier toegang krijgt tot je gebruikersnaam en wachtwoord, hij ook moet inbreken in je e-mail of telefoon om toegang te krijgen tot je verbonden opslag. De meeste hackers zullen niet de moeite nemen om dit te doen (tenzij ze het specifiek op jou gemunt hebben).

Het inschakelen van 2FA kan inderdaad bijzonder effectief zijn omdat veel hackers zich richten op zachte doelen die niet veel werk vereisen om binnen te dringen.

Naast het inschakelen van 2FA, bieden sommige apparaten ook de mogelijkheid voor adaptieve multi-factor authenticatie, wat betekent dat iedereen die probeert in te loggen vanaf een ongebruikelijk IP-adres automatisch wordt gevraagd om extra gegevens op te geven. Als je deze optie hebt, moet je die ook inschakelen.

NAS-firewall en DoS-bescherming inschakelen

NAS en andere aangesloten opslagapparaten worden vaak geleverd met ingebouwde firewalls, waar je absoluut gebruik van moet maken. Maar sommige NAS-apparaten schakelen hun firewall niet proactief in. Gebruikers moeten dit handmatig doen.

Dat gezegd hebbende, is het altijd een goed idee om je NAS-firewall in te stellen en aan te zetten.

Als je een videobewerker of postproductie professional bent die alleen zaken doet met medewerkers in bepaalde landen, kun je ook firewall inschakelen geo-blokkering om iedereen te blokkeren uit een regio waar je niet mee samenwerkt. Geo-blokkeren gebeurt meestal per land.

Omdat veel cyberaanvallen in de VS offshore plaatsvinden, kan het implementeren van geo-blocking het aantal aanvallen op uw opslagverbinding met ordes van grootte verminderen.

Net als bij het instellen van de firewall van je apparaat, moet je ook handmatig bescherming tegen denial-of-service (DoS) aanvallen inschakelen op je apparaat.

Beveilig uw poorten

Het scannen van poorten om open poorten te detecteren is het cyberbeveiligingsequivalent van het schudden aan de hendel van een autodeur om te zien of de deur open is: Het is makkelijk om te doen, het gebeurt de hele tijd en het kan tot een ramp leiden. Een Reddit-commentator die poortscans op hun firewall controleert, rapporteerde wel 10 per seconde.

Daarom is het belangrijk om:

• Laat uw poorten gesloten tenzij het absoluut noodzakelijk is. Een basisbeveiligingspraktijk voor veilige verbindingen is het sluiten van alle poorten die je niet nodig hebt voor externe communicatie.
• Let goed op welk poortnummer je open laat staan. We noemden al de poorten 5000 en 5001; poort 22 is ook populair onder aanvallers omdat het geassocieerd wordt met het Secure Shell protocol (SSH) en een standaard poort is voor externe apparaatverbindingen. Dat betekent dat er, net als bij veel van de poortnummers die we al hebben genoemd, meer ongeautoriseerde aanmeldpogingen worden gedaan dan bij minder populaire poortnummers.

Hoe dan ook, het openhouden van poorten of het toestaan van port forwarding (waardoor externe servers toegang kunnen krijgen tot apparaten op je private LAN (Local Area Network), wat er vervolgens toe kan leiden dat aanvallers de controle over je apparaten overnemen) is inherent gevaarlijk.

Maar er zijn manieren om uw opslag op het web aan te sluiten zonder dit te doen. Als het gaat om Synology NAS-apparaten, raden sommige beveiligingsexperts aan om het volgende te gebruiken QuickConnect in plaats van de DDNS-verbindingsmethode van het apparaat, omdat QuickConnect geen poort doorsturen vereist.

Het nadeel van QuickConnect is echter dat het erg traag is als je een groot bestand of map exporteert naar medewerkers of klanten via het internet.

Gebruik een VPN

Een van de meest effectieve manieren om je opslagverbindingen te beveiligen is het gebruik van een virtueel privénetwerk (VPN) om een versleutelingslaag toe te voegen aan al je netwerkverkeer, waardoor het voor aanvallers veel moeilijker wordt om je systeem binnen te dringen.

Met de meeste NAS-apparaten kunnen gebruikers zelfs hun eigen VPN-server opzetten.

Het grootste nadeel van het gebruik van een VPN is echter dat het omslachtig kan zijn om te gebruiken als je met klanten of partners werkt. Je wilt een klant waarschijnlijk geen toegang geven tot je VPN zodat hij bijvoorbeeld een groot bestand of map van je NAS kan downloaden.

VPN's zijn ook geen wondermiddel als het op beveiliging aankomt. Ze kunnen geen authenticatiebeleid of gebruikersrechten afdwingen en staan externe gebruikers toe om verbinding te maken vanaf beschadigde apparaten (waardoor je netwerk blootgesteld wordt).

Het standaard poortnummer wijzigen

"Beveiliging door vergetelheid" heeft een slechte reputatie in cyberbeveiligingskringen omdat het niet zo effectief is en kan leiden tot een vals gevoel van veiligheid. Het is zeker geen sterke op zichzelf staande beveiligingstechniek, maar het kan enige waarde hebben als het wordt gebruikt naast andere meer substantiële en effectieve beveiligingswaarborgen.

Daarom adviseren sommigen het standaard poortnummer wijzigen gebruikt door uw aangesloten opslag:

• Een Synology NAS is bijvoorbeeld standaard ingesteld op poorten 5000 (voor HTTP-verbindingen) en 5001 (HTTPS-verbindingen). Daarom snuffelen hackers die een NAS willen kraken vaak rond deze poorten op zoek naar gemakkelijke doelen.
• Als je wilt, kun je ook de standaard poortnummers op je router wijzigen voor HTTP (80), HTTPS (443) en SSH (22) verbindingen. Je kunt je poorten veranderen in elk nummer tussen één en 65.535.

Het belangrijkste nadeel van het wijzigen van poortnummers is dat gebruikers op de hoogte moeten zijn van updates, anders hebben ze geen toegang tot de NAS.

En hoewel aanvallers elk poortnummer dat in gebruik is vrij eenvoudig kunnen scannen en vinden, zullen ze dat waarschijnlijk alleen doen als ze jou specifiek als doelwit hebben gekozen. en niet alleen de populairste havennummers uitproberen op een visexpeditie.