Wat doe je als je een netwerk met zó veel gevoelige informatie hebt dat je iedereen koste wat kost bij je data vandaan wilt houden? Dan is het ‘air-gappen’ van je systeem één van de beste opties. Het infiltreren van zo’n netwerk is vaak zo ingewikkeld dat het amper de moeite waard is – maar dankzij air gap malware niet onmogelijk.

In 2011 raakten de turbines van de Iraanse kerncentrale Natanz ernstig verstoord. Deze turbines werkten plotseling veel te snel, waardoor ze zichzelf volkomen kapot draaiden. Stukje bij beetje werd duidelijk dat het controversiële atoomprogramma van het land was gesaboteerd door een agressief virus, maar hoe? Natanz was compleet afgesloten van het internet … De Amerikanen en Israëliërs deden er veel moeite voor om het ‘air-gapped’ netwerk te infiltreren.

Een air-gapped netwerk is een netwerk dat compleet is afgesloten van het internet en daarmee van de buitenwereld. Geen netwerkkabels naar buiten, geen wifi op apparaten, maar een geïsoleerd systeem. Het is de heilige graal van beveiliging, de ultieme stap om een computersysteem veilig te houden van de buitenwereld. Beveiligingsexperts en hackers proberen constant nieuwe manieren te vinden om air-gapped systemen af te luisteren en binnen te dringen. Maar hoe doe je dat? Hoe infecteer je het oninfecteerbare? Dat laatste blijkt nog wel het lastigste te zijn.

Kernwapens

Iedere paar maanden duikt er weer een bericht op, meestal van sensatiesites als Buzzfeed, dat laat zien hoe de Amerikaanse kernwapenfaciliteiten zogenaamd verouderd zijn. Er duiken dan fotoseries op waarop antieke, kamervullende computers te zien zijn, waarop enkel dos-achtige programma’s draaien in zwart-witte lijnen code. De software wordt geladen van floppy’s van acht inch.

Het ‘Defense Department’s Strategic Automated Command and Control System’ (DDSACCS) is verouderd, geeft de Amerikaanse overheid zelf ook toe. Onderdelen die aan vervanging toe zijn, zijn nergens meer te krijgen. Floppy’s zijn door hun magnetische opslag maar beperkt houdbaar en er zijn amper programmeurs te vinden die het oude IBM-platform uit de jaren 70 snappen.

Dat laatste is echter niet alleen een probleem, maar ook een uitkomst. Qua veiligheid gaat er namelijk niets boven een systeem dat niet te kraken is – en als niemand weet hóé je het moet kraken, lijkt dat een slimme stap.

Infrastructuur

De DDSACCS maakt gebruik van een eigen air-gapped netwerk, en het is niet de enige instantie die dat doet. Volgens beveiligingsexpert Jornt van der Wiel van Kaspersky worden air-gapped netwerken voornamelijk gebruikt bij systemen die sowieso niet van internet afhankelijk zijn om te functioneren. In de meeste gevallen gaat het dan om industriële systemen, zoals bij de faciliteit in Natanz ook het geval was. Kritieke infrastructuur wordt daarbij zoveel mogelijk offline gehouden om geen hackers van buitenaf binnen te laten. Het is daarnaast niet ondenkbaar dat ook instanties zoals de politie en de AIVD in ieder geval een deel van hun netwerk air-gapped hebben afgesloten, maar daarover doen beide diensten uit veiligheidsoverwegingen geen uitspraken.

Overigens worden in sommige air-gapped systemen alsnog verbindingen gebruikt waardoor dataverkeer op één of andere manier toch naar buiten kan, bijvoorbeeld met een data-diode waarbij gegevens via een proxy naar buiten kunnen worden gestuurd. Dat vermindert de veiligheid van zo’n netwerk echter wel, en het komt dan ook niet vaak voor.

Het infiltreren in een air-gapped systeem is dus voornamelijk bedoeld voor belangrijke en extreem gevoelige informatie, en zulke netwerken zijn dan ook gewilde doelwitten. Om die af te luisteren heeft een aanvaller dan ook fysieke toegang tot het systeem nodig. Dat is de voornaamste reden dat air-gapped netwerken zo veilig zijn, want het krijgen van fysieke toegang is vaak het lastigste proces – al is het vrijwel altijd noodzakelijk.

Op staatsniveau

Air-gapped malware-aanvallen en air-gapped datadiefstal zijn vaak zo ingewikkeld uit te voeren dat je al snel aan staatsniveau moet denken: de NSA, de FSB of Noord-Korea. Meestal betekent dat ook dat de aanvalsvector niet de simpelste is, want hoe krijg je toegang tot een vijandelijke instelling? In het geval van Stuxnet is nog steeds niet duidelijk hoe dat is gebeurd, maar er zijn wel vermoedens. Het virus werd via een usb-stick bij Natanz naar binnen gesmokkeld doordat de CIA vijf verschillende onderaannemers van de faciliteit wist te hacken – bedrijven die dus géén air-gapped netwerk hadden. Dat staat te lezen in het boek ‘Countdown To Zero Day’ van Wired-journalist Kim Zetter, die de cyberaanval onder de loep nam.

Door zich niet te richten op Natanz zelf, maar op bedrijven die componenten maakten voor Natanz, wisten de aanvallers uiteindelijk alsnog binnen te dringen in het verder afgesloten netwerk.

Hoe air gap malware werkt

Onderzoekers spelen al jaren een kat-en-muis-spel met air-gapped systemen, maar is er geen enkele groep zo belangrijk in het veld als het cybersecurity-lab van Mordechai Guri van de Ben Gurion Universiteit in Israël. Guri en zijn team komen keer op keer in het nieuws met nieuwe manieren om data van air-gapped systemen te onderscheppen.

Bijna alle onderzoeken van Guri’s team volgen hetzelfde patroon: een air-gapped systeem wordt binnengedrongen en er wordt malware op een computer of ander component geladen. Die malware manipuleert geluiden, lichten of de hitte van een computer, zodat die op een bepaalde manier corresponderen met de data die worden verwerkt. Het gaat bijna altijd om binaire data: knippert het ene lampje, dan is dat een 0, en als het andere lampje knippert een 1.

Ook bij andere methodes wordt zulke binaire informatie gebruikt: een ventilator die op 1.000 rpm draait telt als een 0, en 1.600 rpm telt als een 1. Een cpu met een temperatuur van 37 graden is een 0, 38 graden een 1 … Nadat de malware op het systeem is gezet, worden de nieuwe signalen afgeluisterd. Dat kan door een camera gebeuren die naar de lampjes van een pc of router kijkt, of met een smartphone in de buurt die de geluidssignalen van een computer opvangt.

Die aanpak werkt in bijna alle gevallen, en de onderzoekers proberen vooral nieuwe methodes te vinden waarop malware de data en de output van computers en randapparatuur kan manipuleren. Een relatief recente manier om dat te doen is via lichtsignalen, wat Guri en zijn team op twee manieren deden. In het eerste geval wisten de onderzoekers een virus genaamd xLed op een DD-WRT-router te laden dat door toegang tot de gpio-pinnen de routerledjes kon manipuleren op basis van de verwerkte data.

Door de lichtjes vervolgens af te lezen met een videocamera die op de router gericht stond konden de onderzoekers 8000 bits aan data per seconde achterhalen. Dat is net genoeg om binaire informatie zoals wachtwoorden en encryptiesleutels, en de inhoud van kleine bestanden te achterhalen.

Hoewel de onderzoekers proberen hun bevindingen tot een zo realistisch mogelijk scenario te maken (zoals het gebruik van een goedkope, doorsnee DD-WRT-router en een simpele camera zoals een GoPro) is het maar de vraag of een dergelijke penetratie in het echt makkelijk uit te voeren is. Daarvoor is namelijk fysieke toegang tot het systeem nodig en moet er alsnog een verbonden beveiligingscamera worden opgesteld, zodat het amper mogelijk lijkt een dergelijke aanval op te zetten.

Hulp van drone

Desondanks heeft het kleine team van Ben Gurion-onderzoekers voorbeelden van laten zien van vrij realistische aanvallen. Neem bijvoorbeeld een ander onderzoek dat naar lichtsignalen keek. Dit keer niet van een (gehackte) router, maar een simpele externe harde schijf. Die zenden lichtsignalen uit wanneer een gebruikers iets op de computer uitvoert – vaak zelfs als de computer in slaapstand staat. De onderzoekers laadden opnieuw malware op de pc, maar omdat het dit keer om een gewone computer ging en niet om een ontoegankelijkere router was het makkelijker die malware op het systeem te zetten.

Bovendien zijn daarvoor minder rechten nodig – volgens de wetenschappers zijn gewone gebruikersrechten op de pc genoeg om de schijf-lichtjesdata te manipuleren. Opvallend is overigens ook dat de malware die werd gebruikt de lichtjes zelfs zo snel kon laten knipperen dat dat met het blote oog niet te zien was, maar wel door camera’s. Met een drone van buiten het gebouw wisten de onderzoekers vervolgens 4000 bits aan data per seconde af te lezen van de schijf, wederom genoeg voor het verzamelen van wachtwoorden of andere geheime informatie.

Geluid

Geluid is een vaak uitgebuit aspect bij het stelen van data. Guri en zijn team vonden twee opvallende manieren dat te doen: het geluid van een harde schijf en zelfs het geluid van een ventilator in een computer. De eerste methode werd ‘DiskFiltration’ genoemd. Daarbij werd naar de akoestische signalen van een gemanipuleerde harde schijf geluisterd, door middel van een mobiele telefoon die in de buurt lag.

Op die manier kon over een afstand van twee meter zo’n 180 bits per minuut worden afgeluisterd. Een andere manier was om te luisteren naar het draaien van verschillende ventilatoren in de computer, bijvoorbeeld van de cpu en die in het chassis. Maar die methode is een stuk trager – op die manier konden de onderzoekers slechts 15 tot 20 bits per minuut afluisteren.

Fysieke toegang

Eén van de grootste uitdagingen in het bouwen van air-gapped malware is het vergroten van de hoeveelheid te stelen data. Bij sommige methoden – zoals dat met de ventilatoren, zijn slechts een paar bits per minuut te achterhalen – maar als de onderzoekers kijken naar lichtjes wordt dat al een stuk meer.

Een belangrijk deel van die zoektocht draait om het vinden van nieuwe methodes om air-gapped netwerken af te luisteren, bijvoorbeeld door niet alleen naar lichtjes maar ook naar ventilatoren of geluiden te kijken (en te luisteren). Ook is het belangrijk om de malware te verbeteren die nodig is om de data te manipuleren. Zo kan in het geval van de ventilatoren méér informatie worden gestolen als ze allebei draaien, van zowel de cpu als die in het chassis. Maar malware maken die beide ventilatoren tegelijk kan manipuleren is gelijk ook een stuk ingewikkelder.

Zoals we eerder al zagen is die malware in vrijwel alle gevallen nodig om data af te lezen. Dat betekent dat er aanvankelijk altijd toegang nodig is tot het systeem op de één of andere manier. Dat kan fysieke toegang zijn, met een usb-stick die door iemand in een computer wordt gestopt. Ook systemen die air-gapped zijn moeten af en toe updates krijgen, en dat is waar mogelijkheden zitten.

In het geval van Stuxnet werd bijvoorbeeld gebruikgemaakt van bedrijven die delen van de infrastructuur van Natanz hadden gebouwd. Die bedrijven moesten regelmatig de soft- en hardware van de industriële systemen van Natanz bijwerken en hadden daarom regelmatig toegang tot de faciliteit. In zo’n geval is een air-gapped netwerk net zo sterk als de zwakste schakel in dat proces – zeker als die schakel een derde partij is.

Locatie en temperatuur

De beveiliging van een air-gapped netwerk hangt dus voornamelijk af van de toegang die anderen daartoe hebben. Neem bijvoorbeeld de eerste twee voorbeelden die we in dit artikel noemden, van het onderscheppen van data door lichtsignalen. Bij het eerste onderzoek hadden de onderzoekers toegang nodig tot de router, wat veel lastiger is dan toegang tot een pc. Een pc is niet alleen voor een onderzoeker makkelijker te besmetten, maar wordt ook door eindgebruikers gebruikt die op één of andere manier een besmette usb-stick in het netwerk kunnen krijgen. Ook helpt de fysieke locatie van het netwerk mee. In het eerste onderzoek maakten de onderzoekers nog gebruik van een camera die op het netwerk stond gericht, maar in het andere konden de data door een drone van buitenaf worden afgelezen.

Guri’s team probeert in onderzoeken vaak rekening te houden met (semi-)realistische scenario’s die in principe uitgevoerd zouden kunnen worden in een echte omgeving. Op die manier probeerden de onderzoekers ook hitte te gebruiken om data af te lezen, met behulp van twee desktopcomputers die zo’n veertig centimeter van elkaar af stonden. Dat is in een doorsnee kantoor best mogelijk, redeneren de wetenschappers in hun onderzoek. Voor het aflezen van hitte moest wel de ene computer worden besmet met malware. De onderzoekers wisten de temperatuur van het geïnfecteerde systeem te manipuleren door de cpu of gpu harder te laten werken of door veel componenten tegelijk te activeren zodat het moederbord warmer wordt.

Cottonmouth-1

Over het algemeen worden dergelijke technieken zoals Guri die ontwikkelde ingezet om data af te luisteren uit van een systeem, maar er zijn gevallen bekend waarbij de NSA het voor elkaar kreeg om malware te injecteren op een air-gapped systeem. Daarvoor had de inlichtingendienst echter ook weer fysieke toegang nodig tot de computer, om die te voorzien van een usb-stick die uitgerust was met een fm-zender. Zo’n stick, met de naam ‘Cottonmouth-1’, werd gebruikt om draadloos te communiceren met een andere zender die tot wel tien kilometer verderop kon staan. Op die manier wist de NSA in sommige gevallen andere vormen van malware te injecteren in een systeem én daardoor weer nieuwe informatie te achterhalen van de computers.

Ondanks al het onderzoek naar het overbruggen van de air-gap lijkt een afgesloten netwerk toch de beste manier om gevoelige informatie te beschermen. De moeite die moet worden gedaan om zo’n systeem binnen te dringen weegt vaak niet op tegen de beloning, en omdat een aanvaller toch fysieke toegang nodig heeft tot een netwerk zijn veel andere manieren van datadiefstal vaak effectiever. Bovendien zijn er genoeg maatregelen te nemen om zelfs het air-gappen nog veiliger te maken, door het systeem bijvoorbeeld bij ramen weg te houden. Zoals beveiligingsexperts het ook zeggen: geen enkel systeem is honderd procent veilig.

Meta gaat tests uitvoeren met betaalde abonnementen voor WhatsApp, Facebook en Instagram, zo heeft het bedrijf laten weten.

Dat liet Meta weten aan TechCrunch. In ruil voor betaalde abonnementen op bovengenoemde apps krijgen mensen toegang tot extra functies, al zijn die nog niet uit de doeken gedaan. De reguliere versies van de platforms moeten wel gratis beschikbaar blijven.

De precieze opties die mensen die betalen voor WhatsApp, Facebook of Instagram krijgen is niet bekend, maar Meta heeft het over "speciale features en meer controle over hoe men deelt en connecties maakt".

Manus en Vibes

Eén van de dingen die mogelijk onder de abonnementen gaan vallen, is Manus, een AI-agent die pas is aangeschaft door Meta voor ongeveer 2 miljard dollar. Manus moet geïntegreerd worden in Meta-producten, maar ook los beschikbaar komen. Op Instagram wordt er naar verluidt al gewerkt aan een shortcut naar de AI-tool.

Meta wil de abonnementen ook voor andere AI-features testen, zoals het genereren van videocontent in Vibes. Deze AI-videotool is nu nog gratis beschikbaar, maar het is de bedoeling dat extra opties via een abonnement beschikbaar komen.

Op Instagram zou een abonnement gebruikelijks wellicht de mogelijkheid kunnen geven om mensen die men volgt te bekijken die niet terug volgen. Ook zou het mogelijk een optie worden om een Story te bekijken zonder dat de persoon die het heeft geplaatst ziet dat deze door de persoon in kwestie is bekeken.

Meta wil de komende maanden de abonnementen testen, en niets is nog zeker - ook niet eventuele prijzen voor abonnementen. Duidelijk is in ieder geval dat het bedrijf hiermee gaat experimenteren.

Heb je nog een oudere pc of laptop, dan is het zonde om deze ongebruikt te laten. Je kunt hem namelijk eenvoudig omvormen tot een veelzijdige thuisserver. Wat dacht je van een mediaserver of een synchronisatietool, beide gratis, opensource en beschikbaar voor vrijwel elk platform?

Voorbereiding

Voor je begint, is het verstandig om je (oude) computer goed voor te bereiden met een schoon besturingssysteem. Installeer bij voorkeur Windows 10 of 11 opnieuw. Dit doe je via Instellingen / Systeem / Systeemherstel, waar je PC opnieuw instellen kiest en eventueel Alles verwijderen selecteert.

Update daarna het systeem via Instellingen / Windows Update / Naar updates zoeken en controleer ook of alle drivers up-to-date zijn. Dit kan handmatig door met rechts op de Windows-startknop te klikken, Apparaatbeheer te openen, met rechts op een apparaat te klikken en Stuurprogramma bijwerken te kiezen. Je kunt eventueel tijdelijk de gratis tool Driver Booster (let wel op voor extra software) installeren om snel verouderde drivers te detecteren, al raden we wel aan om ze handmatig te downloaden (van de websites van de fabrikant).

Plaats je pc liefst dicht bij de router of zeker op een plek met een stabiele verbinding, bij voorkeur via een ethernetkabel. Geef je computer ook een vast intern ip-adres, zodat het niet telkens wijzigt. Dit kun je instellen via Instellingen / Netwerk en internet: kies Ethernet (of Wi-Fi, en klik daarna op het juiste netwerk) en klik bij IP-toewijzing op Bewerken, waarna je Handmatig kiest en geschikte waarden invult.

Controleer bovendien of er genoeg opslagruimte beschikbaar is, zeker als je grote mediabestanden wilt bewaren. Schakel ten slotte energiebesparende slaapstanden uit wanneer de server continu actief moet blijven. Open Instellingen / Systeem / Aan/uit en zet alle opties bij Time-outs voor scherm, slaapstand en sluimerstand op Nooit.

Jellyfin installeren

We starten met een wat complexere installatie, deze van mediaserver Jellyfin. Hiermee bouw je een Netflix-achtige omgeving voor films, series en muziek. De server biedt vrijwel alle functies van een modern mediacenter, van metadata en transcodering tot streaming met ondersteuning voor meerdere gebruikers, zonder beperkingen of betaalde upgrades. Op https://demo.jellyfin.org kun je een online demo bekijken.

Spreekt dit je aan, dan kun je meteen aan de installatie beginnen. Download de serversoftware via https://jellyfin.org/downloads/windows, klik op AMD64 en haal het bijbehorende exe-bestand op. Installeer het met een dubbelklik. Tijdens de setup kies je bij voorkeur Basic Install (Recommended) om toegangsproblemen bij mappen te vermijden. Bevestig met Next (twee keer) en kies een lege installatie- en datamap. Klik opnieuw op Next (twee keer) en sluit af met Install en daarna Close.

Je kunt de server nu starten via het Windows-startmenu (Jellyfin Tray App) of via het bureaubladpictogram. In het Windows-systeemvak verschijnt dan het bijbehorende pictogram. Klik er met rechts op om de server te starten, te stoppen, te openen of om de logs te bekijken. Plaats hier een vinkje bij Autostart. Je kunt de server ook 'handmatig' openen door in je browser het adres http://localhost:8096 in te voeren.

Jellyfin: basisconfiguratie

Bij de eerste keer opstarten verschijnt een instelgids. Vul een korte servernaam in en kies de weergavetaal, bijvoorbeeld Nederlands. Klik op Volgende en maak een beheeraccount aan met een gebruikersnaam en wachtwoord (twee keer). Klik nogmaals op Volgende om je mediabibliotheken te beheren.

Klik op Mediabibliotheek toevoegen, kies het gewenste inhoudstype, zoals Films, Muziek, Series of Homevideo's en foto's, en geef een weergavenaam op. Klik daarna op het plusje bij Mappen en selecteer een of meer mediamappen voor deze bibliotheek. Je kunt ook verwijzen naar gedeelde netwerkmappen via het UNC-pad, zoals \\nas\media.

Bevestig met OK om de bibliotheek aan te maken. Op dezelfde manier kun je vervolgens extra mediabibliotheken toevoegen.

Jellyfin: bibliotheekinstellingen

Klik nu eerst op het knopje met de drie puntjes bij een toegevoegde bibliotheek. Naast voor de hand liggende opties als Hernoemen en Verwijderen vind je hier onder meer ook Bibliotheek beheren, met instellingen die deels afhangen van het gekozen inhoudstype. Sommige, zoals Voorkeurstaal voor downloads, spreken voor zich, maar een optie als Ingesloten titels boven bestandsnamen verkiezen vraagt wellicht enige toelichting. Deze is namelijk vooral handig als de bestandsnamen van je media de inhoud niet duidelijk weergeven.

Een andere optie is nog Nfo bij Metadata-opslag: activeer deze als je wilt dat Jellyfin de metadata en afbeeldingen opslaat in de mediamappen zelf in plaats van in de programmamap. Bij films kun je bovendien bepalen van welke diensten afbeeldingen mogen worden gedownload en of deze in de mediamappen bewaard moeten blijven. Er zijn verder opties voor het tonen van hoofdstukafbeeldingen en het zogeheten trickplay, wat bijvoorbeeld handig is tijdens het spoelen, maar wel meer rekenkracht vergt.

Jellyfin: gebruikersbeheer

Terug in het venster met je bibliotheken klik je op Volgende en stel je de voorkeurstaal (Dutch; Flemish) en regio in (Netherlands of Belgium). In het volgende scherm laat je het vinkje staan bij Externe verbindingen met deze server toestaan als je ook buiten je netwerk toegang wilt tot je mediaserver. Rond af met Voltooien en meld je aan.

Via de knop linksboven kun je diverse instellingen aanpassen. Open Controlepaneel voor allerlei technische informatie over je serverinstallatie. Bij Gebruikers kun je anderen, bijvoorbeeld gezinsleden, toegang geven tot Jellyfin. Klik op de plusknop, vul een naam en wachtwoord in en bepaal tot welke mediabibliotheken de gebruiker toegang heeft. Klik op het knopje met de drie puntjes naast een gebruiker en kies Gebruiker bewerken om de machtigingen nauwkeurig aan te passen. Het tabblad Ouderlijk toezicht is daarbij handig voor kinderen.

Jellyfin: extra opties

In het menu vind je nog een paar nuttige opties. Bij Afspelen / Transcoderen kun je hardwareversnelling inschakelen als je systeem dit ondersteunt. Onder Afspelen / Streamen kun je een bitsnelheidslimiet instellen om te voorkomen dat apparaten buiten je netwerk je uploadverbinding te zwaar belasten. Bij Geavanceerd / Netwerken staan diverse instellingen voor een optimale netwerkconfiguratie. Je kunt hier het poortnummer aanpassen waarop Jellyfin draait (standaard 8096 voor http en 8920 voor https), https activeren als er een certificaat beschikbaar is en bepalen welke apparaten of netwerken extern toegang krijgen tot je server. Bevestig alle aanpassingen onderaan met Opslaan.

Verder is er het onderdeel Plug-ins, waarmee je Jellyfin eenvoudig uitbreidt. Standaard zijn enkele plug-ins al aanwezig, maar via Alle vind je er nog zo'n dertig, zoals Open Subtitles en LrcLib Lyrics. Doorgaans volstaat het een plug-in te openen en op Installeren te klikken. Na een herstart verschijnt deze bij de geïnstalleerde plug-ins en kun je deze via Instellingen verder configureren.

Jellyfin: client-verbinding

Om je mediabibliotheken via een ander apparaat te benaderen, kun je een browser gebruiken met het adres http://<interne-ip-adres-server>:<serverpoort>, zoals http://192.168.0.138:8096. Open daarna een bibliotheek en kies wat je wilt afspelen. Je kunt dit ook anders doen: op www.jellyfin.org vind je namelijk verschillende client-apps voor smart-tv's, mediaspelers als Google Cast en Apple TV, en desktop- en mobiele apps voor onder meer Android, iOS en iPadOS.

We nemen de Jellyfin-app uit de Android Play Store als voorbeeld. Installeer de app en start deze op. Bevindt jouw Android-toestel zich in hetzelfde netwerk als de Jellyfin-server, tik dan op Server kiezen en selecteer de juiste server. Je kunt natuurlijk ook handmatig het (interne) ip-adres of de hostnaam van de server met de netwerkpoort invoeren.

Na een succesvolle aanmelding heb je toegang tot je gedeelde media. Via het pictogram Afspelen op kun je de inhoud ook streamen naar onder meer een Google Chromecast.

Syncthing: wat en hoe?

Wil je, bijvoorbeeld om privacyredenen, je data liever niet via cloudproviders synchroniseren, dan kun je dat doen binnen je eigen 'private cloud' met Syncthing. Je koppelt bijvoorbeeld je pc, laptop en NAS rechtstreeks via een beveiligde verbinding.

De tool werkt via peer-to-peer-synchronisatie: elk apparaat draait dezelfde software en communiceert via versleutelde verbindingen. Na het koppelen van apparaten met een unieke ID en het delen van een map zorgt Syncthing dat alle wijzigingen in realtime worden overgezet, zonder tussenkomst van externe servers of cloudaccounts. Alleen als een directe verbinding uitzonderlijk niet lukt, ondanks geavanceerde NAT-traversaltechnieken, schakelt Syncthing over op publieke relayservers. Je data blijven ook dan nog steeds end-to-end versleuteld en worden niet opgeslagen op die servers.

Syncthing installeren

Ga naar www.syncthing.net en klik op Syncthing Windows Setup of bezoek rechtstreeks www.github.com/Bill-Stewart/SyncthingWindowsSetup. Klik daar op Latest en download syncthing-windows-setup.exe. Start het met een dubbelklik. Klik op Next (twee keer) en kies een geschikte, lege installatiemap. Klik opnieuw op Next (twee keer) en laat de standaardinstellingen staan, tenzij je bijvoorbeeld de standaardpoort 8384 van de service wilt wijzigen. Klik nogmaals op Next en laat de vinkjes staan zodat Syncthing automatisch met Windows opstart. Bevestig met Installeren en vervolgens met Ja om de firewallregels toe te voegen. Sluit af met Finish en open je browser op het adres http://localhost:8384.

Syncthing: basisconfiguratie

Je komt nu in het Syncthing-dashboard met enkele gebruiksstatistieken. Open eerst Acties / Instellingen en ga naar het tabblad GUI om veiligheidshalve een gebruikersnaam en wachtwoord in te stellen voor toegang tot het dashboard. Bevestig met Opslaan en meld je aan.

Ga daarna opnieuw naar Instellingen en open het tabblad Verbindingen. Hier kun je onder meer de download- en uploadsnelheid beperken. Je laat hier bij voorkeur de opties NAT traversal inschakelen, Relaying inschakelen, Globale detectie en Lokale detectie aangevinkt staan. Bevestig opnieuw met Opslaan.

In het hoofdvenster klik je vervolgens op +Map toevoegen. Geef een naam op bij Maplabel, kies een (hoofdlettergevoelig) Map-ID en vul bij Maplocatie het volledige pad in, bijvoorbeeld C:\Gegevens. Klik op Opslaan. Bij de toegevoegde map kun je vervolgens detailinformatie bekijken, de map (opnieuw) scannen, bewerken of verwijderen.

Syncthing: client-verbinding

Nu moet je Syncthing nog vertellen met welke apparaten je de map wilt delen voor synchronisatie. Daarvoor heb je minstens één extra apparaat nodig. Clients bestaan voor verschillende platformen; voor iOS kun je Möbius Sync gebruiken.

We nemen Android als voorbeeld, met de app Syncthing-Fork uit de Play Store. Tik tijdens de eerste setup op Machtiging verlenen en activeer de gevraagde rechten voor datadeling, batterij-optimalisatie, locatie en meldingen.

In het hoofdvenster van Syncthing-Fork open je het tabblad Apparaten en tik je op de plusknop. Als server en client zich in hetzelfde netwerk bevinden, wordt het apparaat-ID van je server meestal automatisch gedetecteerd. Zo niet, open dan op je serverdashboard Acties / ID weergeven en vul het getoonde ID handmatig in of scan de QR-code. Geef op de client een apparaatnaam op en bevestig met het vinkicoontje.

Herhaal dit op je server door in het hoofdvenster op de groene knop +Apparaat toevoegen te klikken en het juiste apparaat-ID van het clienttoestel in te voeren. Bevestig met Opslaan.

Open daarna op je server de gedeelde map, kies Bewerken, ga naar het tabblad Delen, vink het clienttoestel aan en bevestig met Opslaan. Accepteer de meldingen om de synchronisatie te starten en kies op je client welke map voor downloads wordt gebruikt.

Externe connectie

Omdat Syncthing gebruikmaakt van NAT-traversaltechnieken en relayservers, kun je de server ook via internet bereiken. In je client-app geef je dan eventueel nog aan dat Syncthing via een mobiele dataverbinding mag werken, via Instellingen / Uitvoervoorwaarden.

Bij Jellyfin en veel andere thuisservers komt er helaas wat meer kijken om externe verbindingen mogelijk te maken. Je moet dit niet alleen in de server toestaan, maar ook op netwerk- en routerniveau instellen. In je router kun je bijvoorbeeld een poortdoorverwijzing (Port Forward of ook wel Virtual Server) maken naar het interne ip-adres van je server, eventueel met een andere poort. Zo kun je ook poort 80 koppelen aan <internet-ip-adres-jellyfin-server>:8096, zodat externe gebruikers poort 8096 niet hoeven te onthouden.

Maak bij voorkeur ook een gratis dynamische DNS-naam aan, zodat je netwerk bereikbaar blijft, zelfs bij een wisselend ip-adres, bijvoorbeeld via een ddns-provider als Dynu. Met de bijbehorende updater-tool houd je deze koppeling actief.

Nog betrouwbaardere, maar technisch complexere alternatieven zijn een VPN (eventueel Tailscale op basis van WireGuard) of een Cloudflare Tunnel.