Synology SMB instelling

Synology SMB instellingen

 

SSH connection:

for example admin@server

sudo -i

vi /etc/samba/smb.conf

Under global section:

server signing=mandatory
client signing=mandatory

min protocol=SMB2
max protocol=SMB3

De SMB connectie met macOS wordt gecontroleerd met het volgende commando in een terminal sessie.

Biedt de SMB-server een shares aan;

smbutil lookup <servername>

Is een SMB verbinding aanwezig (smbfs);

mount

Welke versie SMB wordt gebruikt (SMB_version);

smbutil statshares -a

De SMB connectie met Windows 10 wordt gecontroleerd met het volgende commando in een terminal sessie.

net use

check welke versie SMB gebruikt wordt (SMB_version);

PowerShell:

Get-SmbConnection

Get-SmbConnection | Select-Object -Property *

 

Synology Encryptie Gedeelde Map

Synology Encryptie Gedeelde Map

Diktio Solutions aanvaardt geen aansprakelijkheid voor schade en gevolgschade, van welke aard ook, die verband houdt met het instellen van Synology Encryptie Gedeelde Map. 

Eveneens is uitgesloten de aansprakelijkheid verband houdende met verminking, vernietiging of verlies van gegevens of documenten.
De inhoud van dit bericht is voor uw eigen verantwoordelijkheid. De te volgen stappen voor het instellen van Synology Encryptie Gedeelde map moet u zelf controleren op juistheid, bijvoorbeeld op de Synology Website. Zorg ervoor dat u uw wachtwoorden en sleutels buiten de NAS bewaard en dat u een back-up heeft van de wachtwoorden en sleutels. Zonder wachtwoorden en sleutels kunt u de encryptie niet ongedaan maken en heeft u geen toegang meer tot uw data. De wachtwoorden en sleutels dienen dusdanig opgeslagen te worden dat geen toegang verschaft kan worden door onbevoegden. Met de wachtwoorden en sleutels kan de data ontsleuteld worden.
Diktio Solutions als Synology Specialist & Dienstverlener kan helpen met het instellen van Synology Encryptie Gedeelde Map. De verantwoordelijkheid ligt niet bij Diktio Solutions en aanvaardt geen aansprakelijkheid voor schade en gevolgschade, van welke aard ook, die verband houdt met de Synology Encryptie gedeelde mappen. 
Synology Encryptie Gedeelde Map
Welke voorbereidingen treft u voor Synology Encryptie Gedeelde Map?
  • Check de algemene conditie van de NAS. Volume en harde schijven in orde?
  • Maak voor het instellen van de encryptie een back-up van de data.
  • Check of er genoeg ruimte is. Minimaal de ruimte van de gedeelde map die versleuteld gaat worden. Het proces om te versleutelen controleert zelf ook of er genoeg ruimte is.
  • Zorg voor een USB-disk t.b.v de Key Manager. Controleer of er een back-up taak verwijst naar de USB-disk. Zo ja pas deze dan aan.
  • Maak een plan waar de keys en wachtwoorden te bewaren met in het achterhoofd dat als deze in handen komen van onbevoegden de data ontsleuteld kan worden. Zonder sleutels en wachtwoorden geen toegang meer tot de data.
  • Check of de naam van te coderen bestanden of mappen niet dan dan 143 Engels of 47 Aziatische (CJK) tekens bevat.
Check with terminal command:

Start een SSH verbinding naar de NAS en voer het volgende commando uit in de juiste directory.

1.find /volume1/<gedeelde map>/ -maxdepth 15 | grep -P '\/[^\/]{130,}[^\/]'

\/ looks for a forward slash. A new file/directory name begins here.
[^\/] means: Every character except /
{143,} means: 130 or more occurrences of the preceding token
[^\/] same as above. This excludes all results that don't belong to a file.

2. find . -type f  -iname "*" |awk -F'/' 'length($NF)>=130{print $0}'

Inclusief het pad en naam maar deze is niet van toepassing hier:

find . -type f  -iname "*" |awk  'length($0)>=130{print $0}'

3. find . -regextype posix-egrep -regex ".*[^/]{130}"

Welke stappen moet ik volgen om versleuteling van Synology Gedeelde Map in te stellen?
  • Koppel de externe disk, USB-disk
  • Start Configuratiescherm en ga naar Gedeelde map.
  • Klik Actie, Sleutelbeheerder en configureer naar de USB-disk
  • Onder Sleutelbeheerder klik Configureren en selecteer apparaat uitwerpen na opstarten.
  • Selecteer een gedeelde map en klik bewerken
  • Selecteer deze gedeelde map coderen en kies een sterk wachtwoord. Bewaar het wachtwoord zeer goed want zonder het wachtwoord kan de data niet meer ontsteuteld worden.
  • Selecteer coderingssleutel aan sleutelhanger toevoegen. Codering machinesleutel. Voer wachtwoord in van de Sleutelbeheerder en klik OK op eigen verantwoordelijkheid en beslis zelf om door te gaan. Lees de berichten en waarschuwingen en beslis zelf om door te gaan.
  • De gedeelde map wordt gecodeerd/versleuteld. De duur is afhankelijk van de grootte van de gedeelde folder. Na encryptie wordt automatisch een bestand met extensie key en naam map gedownload. Deze key moet zeer goed bewaard worden en buiten de NAS bewaard waar geen toegang mogelijk is voor onbevoegden. Als er een melding verschijnt over de naam van gecodeerde bestanden of mappen mag niet meer dan 143 Engelse of 47 Aziatische (CJK) tekens bevatten los dat op met bovenstaande commando's.
  • Open de sleutelbeheerder en check of de sleutel toegevoegd is en selecteer koppelen bij opstarten. OK
  • Test nu op drie manieren of je de versleutelde gedeelde map kan ontsleutelen. Met het wachtwoord, de key en de Sleutelbeheeder. Selecteer gedeelde map check icoon niet op slot, codering, ontkoppelen. Icoon is veranderd naar op slot en niet toegankelijk. Selecteer gedeelde map check icoon op slot, codering koppelen, test alle drie de opties door te ontkoppelen en koppelen.
  • Verwijder de USB-disk gekoppeld aan de NAS en bewaar deze op een veilig plek waar geen onbevoegden bij kunnen. Bij elke herstart moet de USB-disk weer gekoppeld worden om automatisch de gedeelde map te ontsleutelen.

OpenVPN configuratie Synology VPN server

Client configuration settings: 

remote <dns or ip address>  1194

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

When the local network of the OpenVPN client is the same as the local network of the OpenVPN server than you can add the following line to the ovpn configuration file.

route <ip address> 

for example both networks have the same local network: 192.168.1.0/24 and traffic is not sent inside the VPN tunnel you can add to reach 192.168.1.10 on the local network of the VPN server 

route 192.168.1.10 

When you have problems with DNS for example with the DNS servers of Ziggo who only allow queries from their own network. You can change your DNS settings to the nameservers of Google. Name servers are 8.8.8.8 and 8.8.4.4 

Warning message in the log file: 

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

You see this message when you connect with a standard OpenVPN server from Synology and is showed because of the way Synology implemented their OpenVPN server. 

Synology weerbaar maken

Synology DSM 6.1 hardening settings:

  • Control Panel, security, advanced, TLS/ SSL Cipher Suites, Select Modern compatibility 
  • Control Panel, user, advanced, Password Settings, Apply password strength rules, select; 
    • Exclude name and description of user from password. 
    • Include mixed case
    • Include numeric characters
    • Include special characters
    • Exclude common password
    • Minimal password length: 8
    • Password history (times): 3
  • Control Panel, user, advanced,Password Expiration, select;
    • Enable password expiration 
    • Maximum password valid duration (days): 183 (except administrator users) 
    • Minimum password valid duration (days): 1
    • Prompt users to change password upon login before expiration (days): 14
    • Send expiration notification emails; sent at 12:00, Days before the expiration; 14,10,5,3,2,1 
  • 2-Step Verification,select
    • Enforce 2-step verification for the following users, all users
  • Control Panel, Terminal & SNMP, Terminal, (in case) SSH service, advanced settings, High
  • Control Panel, Security, Selecteer:
    • Improve protection against cross-site request forgery attacks
    • Improve security with HTTP Content Security Policy (CSP) header.
    • Do not allow DSM to be embedded with iFrame.
    • Clear all saved user login sessions upon system restart. 
  • Control Panel, Network, DSM settings, Selecteer Automatically redirect HTTP connections to HTTPS ( Web Station and Photo Station excluded )

 

Synology DSM 6 LDAP beveiliging

Use an LDAP editor like LDAPadmin.

Connect to LDAP server running on Synology NAS.

Host: Synology Nas server

Port: 389

base: cn=config

Simple authentication

TLS selected or deselected

Username: cn=config

password= same as root user LDAP server

After logging in

select cn=config and edit entry

add attribute or change value attribute olcTLSCipherSuite with your values. 

IT Beveiligingsmaatregelen

Welke maatregelen kan ik nemen om mijn IT beveiliging te verbeteren?

Authenticatie:
  • Waar mogelijk maak gebruik van meerfactorauthenticatie.
  • Zorg voor een wachtwoord die voldoet aan de complexiteitsvereisten. Het wachtwoord mag geen aanzienlijke gedeelten van de accountnaam of de volledige naam van de gebruiker bevatten. De lengte moet minimaal 12 tekens zijn. Het wachtwoord moet tekens drie van de volgende categorieën bevatten:
    Hoofdletters (A tot en met Z)
    Kleine letters (a tot en met z)
    Cijfers uit het tientallig getalstelsel (0 tot en met 9)
    Niet-alfanumerieke tekens (zoals, !, $, #, %)
  • En maak gebruik van unieke wachtwoorden. Dus niet hetzelfde wachtwoord overal gebruiken. Want als je wachtwoord gekraakt wordt is in theorie overal toegang mogelijk. 
  • Verander je wachtwoord minstens 1 keer per jaar. 
  • Het is voorgekomen dat digitale wachtwoord lijsten worden gekraakt. Indien je gebruik maakt van een papieren wachtwoordenlijst berg deze dan goed op.
  • Zet een wachtwoord voor toegang tot de BIOS,EFI en firmware.
Rechten:
  • Voor dagelijks op je computer maak dan gebruik van een gebruiker zonder beheerdersrechten. 
Encryptie: 
  • Indien mogelijk maak gebruik van Encryptie van je data. Voor Mac OS X bestaat de standaard mogelijkheid FileVault en voor Windows de standaard mogelijkheid van BitLocker. Op de Synology NAS bestaat de mogelijkheid voor encrypted gedeelde mappen. 
Back-up:
  • Zorg voor goede back-up. En test deze regelmatig. Door regelmatig testen kom je niet voor verrassingen te staan. Maak een back-up naar een extern apparaat zoals een NAS, USB Disk, Externe schijf. Eventueel een back-up naar een andere lokatie. Houdt hier rekening met het vertrouwen dat je moet leggen in de partij waarnaar toe je een back-up maakt. Een goede back-up zorgt dat als je getroffen wordt door ransomware of cryptoware weer snel in een werkende situatie bent. 
Updates:
  • Zorg dat je Operating systeem altijd up-to-date is met de laatste patches en updates. Stel deze niet uit en installeer zo snel mogelijk. Gaat het een keer mis dan moet je een goede back-up hebben.
  • Zorg dat je software (applicaties) up to date zijn. 
  • Zorg dat je Browser  en Browser plugins up-to-date zijn. 
Anti-malware:
  • Zorg voor een anti-malware programma die een hoge detectie van malware heeft en niet de performance van de computer stoort.  
  • Check regelmatig of het anti-malware programma up-to-date is. Of laat dat doen door een dienstverlener. 
  • Laat je on access scanner aan staan. Zet deze nooit tijdelijk uit.
  • Draai regelmatig on demand scans en controleer deze. Quick scan dagelijks. Full scan maandelijks. Sla deze niet over. Start altijd een full scan na een incident. 
Webbrowser:
  • Installeer de volgende browser plugin op al je browsers met de volgende functionaliteit. Advanced Phishing filter (scant de web pagina's op phishing pogingen), Malware filter (houdt malware weg van je systeem), Search Result Analyzer (zorgt voor geavanceerde waarschuwingen van risicovolle websites binnen jouw zoekresultaten), Antifraud Filter (Verdediging tegen frauduleuze websites of gerichte oplichterij), Facebook and Twitter protectie ( Waarschuwingen over kwaadaardige links op je Facebook Wall of Twitter Feed.) Bitdefender traffic light is zo'n browser plugin. Beschikbaar voor verschillende browsers. Volg de aanwijzingen van de browser plugin op en ga niet naar malafide sites. Let op de plugins sturen wel informatie over je bezoek aan sites. Dus dat is niet anoniem. 
  • Zet in je browser SSLv2 en SSLv3 uit.
  • Zet in je browser Javascript uit indien niet nodig. 
  • Maak geen gebruik van Adobe Flash. 
E-mail:
  • Vraag na bij je e-mail dienstverlener of er controle plaatsvindt op malware. Draait op de e-mail server waar jouw e-mail bewaard wordt goede anti-malware software. Voor bescherming tegen bijvoorbeeld virussen en spam. Ga er overigens niet vanuit dat als er bescherming draait op de e-mail server dat je niets hoeft te doen op je eindpunt(het apparaat waar je de e-mail ophaalt). Wat voorkomt is dat de bescherming tegen malware op de e-mail server niet adequaat genoeg is, ook bij Google mail of Office 365 kan dit het geval zijn. Je kan dan een filtering systeem voor de e-mail aflevering zetten die controleert op malware, spam en kan ook ingezet worden voor content filtering. 
  • Check bij verdachte e-mails de afzender van de e-mail (de headers). Open bij verdachte e-mails nooit de bijlage en gooi de e-mail direct weg. 
  • Encrypt en onderteken je e-mails digitaal. Er zijn gratis certificaten voor particulieren te bemachtigen. Of een certificaat kopen, dat kost niet veel. 
  • E-mail; maak gebruik van SPF, DKIM en DMARC
  • Stel je e-mail client zo in dat je remote content niet automatisch laadt. 
  • Leer jezelf aan niet op links te klikken in een e-mail. Check eerst de link zelf en beslis of je via de webbrowser de link opent en niet vanuit de e-mail. 
Opslagdienst & Fileservices:
  • Maak je gebruik van opslagdiensten, zorg dat je op de hoogte bent of er malware scanning plaats vindt en neem passende maatregelen. 
  • Zet SMBv1 uit.
Firewall:
  • Zet een professionele gateway firewall in met o.a. netwerk, web en content,e-mail,applicatie en data verlies bescherming. 
  • Installeer een firewall op je computer.
Wifi:
  • Zet op je Wifi router WPS uit. Maak gebruik van de hoogste beveiliging, WPA2 en maak gebruik van een sterk wachtwoord. 
UPS:
  • Bescherm uw apparatuur tegen stroomuitval d.m.v. een UPS.  

Google Mail anti-virusscanning

Volgens de Google website vindt anti-virusscanning van bijlagen plaats.

Google: 

Anti-virusscanning van bijlagen

Gmail scant automatisch elke bijlage op virussen. Dit gebeurt als je een bijlage toegestuurd krijgt en elke keer dat je het bericht opent. Gmail controleert ook de bijlages die jij verstuurt op virussen. Dit helpt iedereen te beschermen die Gmail gebruikt en voorkomt de verspreiding van virussen.

Als ons systeem bepaalde bestanden niet kan scannen, zie je een foutmelding waarin staat 'Oeps... er is een probleem met de virusscanner'. Je kunt het later opnieuw proberen of de bijlage op eigen risico downloaden. Let op: als Gmail de inhoud van het bestand niet kan scannen, kunnen we niet garanderen dat deze veilig kan worden weergegeven.

Wat gebeurt er als een virus wordt gevonden?
Als Gmail een virus vindt in een bijlage wordt het bericht geweigerd en wordt er een melding gestuurd naar de afzender. Als een bericht dat al in je account staat een bijlage met een virus bevat, kun je die bijlage niet downloaden.

Als een bijlage die je wilt verzenden geïnfecteerd is met een virus, geeft Gmail een foutbericht weer waarin dit wordt vermeld, maar wordt het bestand niet opgeschoond. Als je het bericht zonder de bijlage wilt verzenden, klik je op de link in het foutbericht waarin staat Bijlage verwijderen en verzenden.

Als Gmail detecteert dat je een geïnfecteerde bijlage wilt verzenden, moet je je antivirussoftware uitvoeren, voor het geval je harde schijf is geïnfecteerd. Als je geen antivirussoftware hebt, kun je overwegen een van de populaire applicaties aan te schaffen of te installeren zodat je je computer en gegevens kunt beschermen tegen virussen.

---

Toch gebeurd het dat je een spam e-mail download met een attachment die geïnfecteerd is met een virus. In mijn geval het W97M.Downloader.AVM virus.

Hieruit kan je concluderen dat alleen vertrouwen op anti-virussanning van Google Mail niet voldoet, overigens geldt dit voor elke mail server. Je zult degelijke anti-malware programmatuur ( met een zeer hoge detectie) op het eindpunt moeten gebruiken die eventueel doorgelaten virussen detecteert en verwijderd. In mijn geval is het virus via secure IMAP op mijn computer terecht gekomen. Secure IMAP en Secure SMTP zijn beveiligingsproblemen die geadresseerd moeten worden.

Ik ben bezig met de oplossing Avira Managed Email Security. Dit systeem staat voor je e-mail server en scant op malware en spam. Daarnaast kan er ook content filtering geconfigureerd worden. Hiermee kan je bijvoorbeeld "exe" bestanden filteren. Ik gebruik het momenteel in combinatie met Google Apps gratis. Of Google Apple en Avira ook werkt met SPF ( Sender Policy Framework ) dat valt nog te bezien.