Synology NAS besmet met ransomware synolocker

redfoxert schreef op vrijdag 08 augustus 2014 @ 16:49:
[...]


Crashplan bewaard meerdere versies van een bestand.

Het probleem van Crashplan, iDrive en anderen die een agent op de Synology vereisen is natuurlijk dat je weer een extra stuk software hebt met weer een stukje kans op fouten en dit soort zaken. Ik had ook Crashplan geinstalleerd op de Synology maar heb dat weer uitgezet vanwege de noodzaak van Java voor die software. Nu heb ik geen software meer op mijn NAS, Java er af en Crashplan eraf.

Op de NAS heb ik iSCSI devices aangemaakt en deze gekoppeld aan mijn Intel NUC server. Op de server heb ik Crashplan draaien welke van de data op de iSCSI LUN's een backup maakt. Mijn Synology staat niet meer aan het internet gekoppeld via de router en mijn server ook niet.

Ben gelukkig niet geraakt met deze ransomware en hoop dat het zo blijft. Ben ook benieuwd of iSCSI LUN's op de NAS ook kwetsbaar zijn voor de ransomware...

ZFLaSH schreef op vrijdag 08 augustus 2014 @ 21:26:
[...]


Sorry, maar wat hebben virussen met een medium te maken? Mijn opmerking ging over de stabiliteit van HD's en de keuze om die als backup te gebruiken. Ik heb hele goede ervaringen met tapes als backup medium en zelfs backups van een kleine 20 jaar geleden op DAT kan ik nog feilloos terug zetten. De NAS gebruik ik als online systeem, die vervolgens zowel naar een offsite NAS backupped en die naar Crashplan met 12 revisies. Mijn tapeserver backupped vervolgens wekelijks, maandelijks en jaarlijks. Mocht Synolocker bij mij binnen zijn gekomen (wat niet gebeurt is), dan was er niets aan de hand geweest.

Nogmaals, jammer van je non opmerking.

Jij bent degene die beweert dat synolocker geen invloed heeft op je tapes, terwijl het niets met tapes als medium te maken heeft, maar alles met backup-strategie.
Trouwens: over virussen en tapes: ik zou niet te vroeg juichen...

Corporate backup strategien hebben daarom altijd cycli met full- en incrementals en periodieke bewaarback ups. standaard schema kan zijn:
dagelijks incremental
wekelijks full
maandelijks full apart
na drie maanden 1 kwartaal setje
na een jaar 1 jaarset
na 3 jaar jaarsetjes weg

Al zie je ook steeds vaker de retenties omlaag, het kost ontzettend veel en eigenlijk kun je steeds meer weg laten als je maar verifieert dat je laatste back-up valide informatie bevat. Ik zou er ook voor pleiten dat er monitoring op manipulatie van data komt - je kunt blijkbaar ALLE data wijzigen en dan overschrijft je back-up gewoon de laatste tape/disk/versie.

We zouden - na al deze ellende - eens kunnen discussiëren met elkaar wat nu de beste/handigste manier van backuppen is anno 2014. Niet iedereen kan 6 NASsen kopen, of 3 Cloudabonnementen onderhouden. Welke gang van zaken is praktisch uitvoerbaar, redelijk betaalbaar en veilig genoeg om je in 9 vd 10 gevallen van databehoud te voorzien. Etc, etc.

roeleboel schreef op vrijdag 08 augustus 2014 @ 21:42:
[...]


Jij bent degene die beweert dat synolocker geen invloed heeft op je tapes, terwijl het niets met tapes als medium te maken heeft, maar alles met backup-strategie.
Trouwens: over virussen en tapes: ik zou niet te vroeg juichen...

Nogmaals, mijn opmerking was bedoelt op HD als backupmedium en niet op SynoLocker. Daarnaast ben ik er van overtuigd dat ik heel weinig risico loop door mijn backup inrichting, mede doordat ik niets rechtstreeks aan het internet heb hangen (Backup server zelfs helemaal gescheiden).

-beetje offtopic-
Dat artikel van je ken ik toevallig, alleen heb ik die schimmel niet in mijn kluis . Ik heb hier nog ~20 jaar oude tapes liggen die het nog prima doen. Sterker nog, ik heb nog real tapes van 1970 die ik nog gewoon gebruik en nog van prima kwaliteit zijn. Nadeel van tape is wel, dat je wel moet opletten met grote temperatuurwisselingen. 40+ graden vermindert de levensduur behoorlijk, dus die dingen niet in een hete auto laten liggen of in zonlicht.
-done-

Jorgen schreef op vrijdag 08 augustus 2014 @ 22:07:
We zouden - na al deze ellende - eens kunnen discussiëren met elkaar wat nu de beste/handigste manier van backuppen is anno 2014. Niet iedereen kan 6 NASsen kopen, of 3 Cloudabonnementen onderhouden. Welke gang van zaken is praktisch uitvoerbaar, redelijk betaalbaar en veilig genoeg om je in 9 vd 10 gevallen van databehoud te voorzien. Etc, etc.

Dan schrijf je alles maar op cd, dvd of bluray Als de data echt belangrijk is, moet je er ook geld voor over hebben, denk ik dan?

stefijn schreef op vrijdag 08 augustus 2014 @ 13:29:
Heeft iemand al aangifte gedaan eigenlijk? Het is natuurlijk totaal absurd dat je gewoon met de criminele helpdesk moet gaan chatten om je files terug te krijgen (laat staan tegen betaling)

Maar goed, als je in die situatie zit...

Ja wij hebben aangifte gedaan. Tegenwoordig bestaat er zoiets als 3D aangifte. Kan je op een onbemand buro-tje in de wijk via een machtig mooi Video conference systeem aangifte doen. Mooi spul. Jammer dat de dienstdoende muts aan de andere kant van de scherm er geen idee van had waar we het over hadden. Moeten nu alsnog naar het buro. Maar toch zou ik willen adviseren aan iedereen om aangifte te doen. Blijven criminelen hoe hulpvaardig ook.

Verwijderd schreef op vrijdag 08 augustus 2014 @ 16:35:
[...]

amazon s3 kan dan goedkoper zijn, ik betaal ongeveer 1,30 dollar in de maand, maar heb ook maar iets van 25GB daar staan. Het ophalen van de backup kost wel geld (meen een paar honderd euro).

Maar ik heb het puur voor als er brand komt, dan heb ik wel een paar honderd euro over voor mijn foto's. En of je het nu aan een hacker of aan amazon betaald

Ik ga er trouwens vanuit dat mijn verzekering die kosten voor haar rekening neemt (verder nooit uitgezocht).

Paar honderd. Nee toch?
http://aws.amazon.com/s3/pricing/
Ik betaal inderdaad ook maar $1 of zoiets per maand...

kraades schreef op vrijdag 08 augustus 2014 @ 22:35:
[...]


Paar honderd. Nee toch?
http://aws.amazon.com/s3/pricing/
Ik betaal inderdaad ook maar $1 of zoiets per maand...

Kan je als backup niet beter Amazon Glacier gebruiken? Of hoe zit dat precies?

Klopt, Glacier is daar eigenlijk beter voor geschikt. S3 is meer bedoeld voor als je de files direct beschikbaar wilt maken. Het ophalen van files van Glacier kan wel eens uren duren. Ook de toegang tot Glacier is dacht ik niet zo makkelijk. Is het ophalen ook duurder dan S3? Weet ik niet zeker.

Je kunt wel bv. via lifecycle rules (heet dat zo?) files automatisch verplaatsen van S3 naar Glacier. Dus bv. als je versioning op de S3 bucket aan hebt staan dan kun je dit flushen naar Glacier.

Amazon S3 zit standaard imgebouwd in de backup opties. Ik weet niet of dit ook zo is voor Glacier. Mogelijk moet je hier een aparte package voor installeren?

Voor mij is het maar $1 per maand dus ik vind het wel best zo. Maar als je idd veel data hebt dan kan Glacier in kosten schelen.

Edit:
Nog even nagekeken over Versioning en Lifecyle rules:

Versioning allows you to preserve, retrieve, and restore every version of every object stored in this bucket. This provides an additional level of protection by providing a means of recovery for accidental overwrites or expirations. Versioning-enabled buckets store all versions of your objects by default.

You can use Lifecycle rules to manage all versions of your objects as well as their associated costs. Lifecycle rules enable you to automatically archive your objects to the Glacier Storage Class and/or remove them after a specified time period.

[ Voor 28% gewijzigd door technorabilia op 08-08-2014 22:58 ]

kraades schreef op vrijdag 08 augustus 2014 @ 22:35:
[...]
Paar honderd. Nee toch?

Nee toch. Op http://aws.amazon.com/s3/pricing/ lezen we:

Glacier is designed with the expectation that restores are infrequent and unusual, and data will be stored for extended periods of time. You can restore up to 5% of your average monthly Glacier storage (pro-rated daily) for free each month. If you choose to restore more than this amount of data in a month, you are charged a restore fee starting at $0.01 per gigabyte.

Net als DikkiedikdikkertjeDap heb ik ook iets van 30GB aan (familie)foto's opgeslagen bij S3, waar ik simpelweg nooit meer aankom tenzij ik thuis alles kwijt ben. Dat kost mij iets meer dan 60 dollarcent per maand of zo.
Ga ik alles restoren dan ben ik het normale tarief verschuldigd, 12 dollarcent per GB, dus $3.60 plus nog een extra fee omdat ik alles tegelijk wil hebben. Extra fee is dan 1 cent/GB, samen dus $3.90.
Omrekenen in Euro is niet eens de moeite eigenlijk.

Bedankt voor de info!

Ik ben namelijk op dit moment aan het bekijken of ik het beste naar S3 of Glacier kan backuppen.
Voor Glacier ga ik inderdaad een package moeten installeren.

Encrypteren jullie je bestanden dan nog alvorens je ze upload naar S3?

Geen encryptie hier. Ik zit er nu wel aan te denken om versioning aan te zetten.

Omdat de kosten zo laag zijn blijf ik bij S3.

Je het kost echt twee keer niets als ik het zo bekijk... Ik zou ongeveer een 30GB per maand willen backuppen naar Amazon S3, maar graag wil ik alles geëncrypteerd.

Is er een soort van optie bij de S3 backup service van Synology die alles geëncrypteerd verstuurd?

Je wilt de files encrypted opslaan op Amazon? Dan moet je eerst zelf de files encrypten. Misschien dat je iets kunt doen met de standaard mogelijkheid om een shared folder te encrypten?

kraades schreef op vrijdag 08 augustus 2014 @ 23:19:
Je wilt de files encrypted opslaan op Amazon? Dan moet je eerst zelf de files encrypten. Misschien dat je iets kunt doen met de standaard mogelijkheid om een shared folder te encrypten?

Ik heb een (lelijke) workaround maar die werkt wel.
Ik sla mijn foto's op bij een collega, maar omdat ik niet wil dat ie daarin rond kan neuzen (niet dat er zoveel speciaals tussenzit, maar toch..) wil ik ze daar encrypted hebben staan.
Je kan op de syno instellen dat een share encrypted is, maar dat gaat niet voor de foto share en die wil ik toch ook gebruiken ivm photostation.

Mijn 'oplossing' is een extra share erbij die encrypted is en hidden en dan 2 backuptaken. Eerst een sync met men gewone foto share naar de encrypted folder en die wordt daarna gesynced met de remote bij een collega.
Filenames en content zijn obfuscatedencrypted en omdat ie alleen de gewijzigde files doet is de local sync een kweste van seconden.
Nadeel is wel dat je de ruimte van je foto's 2 keer kwijt bent, maar dat is mijn geval helemaal niet erg omdat dat toch niet zoveel is.

Heb inmiddels over de jaren al zo'n 1Tb aan bestanden verzameld (RAW's are a bitch) en dan wordt zo'n back-up optie bij Amazon al weer ietsje duurder. Valt in principe nog mee, maar toch de moeite de grote berg van > 50.000 foto's 's op te ruimen.

Woei, DS109 weer aan sinds vandaag en lijkt allemaal hackvrij te zijn
Zit in het buitenland dus heb de nodige poorten open staan naar adminpanel voor onderhoud op afstand. Gelukkig altijd braaf geupdate. Toch had ik de weekly power up uitgezet totdat er meer bekend was over de hack. Nu met de weekend powerup kan ik er weer bij en is er niets aan de hand
Overigens al mijn foto's gebackupped voor vertrek naar een offline schijf, en aangezien dat een incrementele backup is wist ik al dat 99% van mijn fotobestand niet aangetast was

(de 1% gewijzigde bestanden zijn thumbnails en nieuwe bestanden...)

[ Voor 6% gewijzigd door JanPedaal op 09-08-2014 09:18 . Reden: de 1% uitleg toegevoegd ]

Wat mij nog het meeste verbaasd, is dat veel Tweakers hier hun backup nog nét niet helemaal op orde hebben. Mag ik zo vrij zijn nog een tip te geven? Test je backup af en toe. Restoren naar een virtual machine is zo gek nog niet.

Hm ik heb nav dit topic ook maar eens een S3 account bij AWS aangemaakt. Heb ergens rond de 7GB aan foto's die echt, echt, echt niet kwijt mogen en die ga ik eerst maar eens backuppen daar. Even kijken hoe dat kostentechnisch uitkomt aangezien ik net boven de 'gratis' 5GB grens uitkom zo. Toch wel een "veilig" idee, naast lokale backups.

RobV schreef op zaterdag 09 augustus 2014 @ 10:11:
Wat mij nog het meeste verbaasd, is dat veel Tweakers hier hun backup nog nét niet helemaal op orde hebben. Mag ik zo vrij zijn nog een tip te geven? Test je backup af en toe. Restoren naar een virtual machine is zo gek nog niet.

Dit is een hele goede tip.

Servor schreef op zaterdag 09 augustus 2014 @ 10:36:
Hm ik heb nav dit topic ook maar eens een S3 account bij AWS aangemaakt. Heb ergens rond de 7GB aan foto's die echt, echt, echt niet kwijt mogen en die ga ik eerst maar eens backuppen daar. Even kijken hoe dat kostentechnisch uitkomt aangezien ik net boven de 'gratis' 5GB grens uitkom zo. Toch wel een "veilig" idee, naast lokale backups.

Waarom dan S3 en niet Glacier? S3 is 3x zo duur en zo lang je geen versioning nodig hebt en het niet erg vind om wat geduld te hebben als je de foto's ooit zou moeten ophalen uit de backup biedt S3 niet echt voordelen volgens mij?

Die Free Usage Tier van S3 is ook maar voor één jaar toch? Terwijl je dit soort backups juist voor de lange termijn maakt, dus moet je ook even naar de lange termijn kijken qua kosten.

[ Voor 61% gewijzigd door Orion84 op 09-08-2014 10:41 ]

Je zou daarvoor ook een gmailaccount kunnen gebruiken. Gratis 15Gb en de Cloundsyncservice kun je in principe inplannen in de taken op je synology zodat ie niet meer realtime synced.
Als het een statische set bestanden is is éénmalig overzetten natuurlijk al voldoende.

Geen echte backupservice natuurlijk, maar wel gratis.

[ Voor 9% gewijzigd door Stefke op 09-08-2014 10:40 ]

Ik gebruik ook nog Symform (tot 10Gb gratis) voor een offsite backup van mijn cloudsync (5Gb). Dat is wel realtime, dus niet beveiligd tegen realtime-wijzigingen (zoals synolocker, ik ga er vanuit dat wanneer je files encrypted worden deze ook direct naar zo'n realtime backup gestuurd worden) maar deze heeft nog wel een "deleted" files optie. Dus als je een file per ongeluk weggooit is is nog een tijd beschikbaar.

Maar dat is in principe alleen een beveiliging tegen volledige failure van je DS (of bijv. diefstal/brand). Wil je echt een beveiliging hebben tegen Synolockerachtige zaken moet je backups hebben die pas na enige tijd overschreven worden (retaining backups).

Maar i.c.m. een offsite realtime backup kun je in principe een lokale retaining backup maken (bijv. op een synology). De offsite backup is voor wanneer de boel gestolen wordt of je huis in de fik vliegt (altijd de laatste versie beschikbaar), de lokale retaining backups zijn dan voor wanneer je files aangetast zijn door iets als synolocker, virussen, of wanneer je per ongeluk zaken weggooit.

Verwijderd schreef op vrijdag 08 augustus 2014 @ 10:03:
[...]


Stuur even een mailtje naar synology. Zij sturen je dan instructies en helpen je vervolgens om het proces te killen

Gedaan, maar nog geen enkele reactie gehad.. Hier nog iemand een idee wat het beste is?

Andere HDD er in, NAS updaten en daarna oude HDD's er in terug? Of oude HDD's er in terug, process killen en daarna updaten?

Ik ga, om zo zeker mogelijk te zijn, een lege schijf erin doen (oude schijf backuppen en dan legen) en dan weer DSM opnieuw installeren. Ik ga niet eens kijken of die troep erop staat (Syno staat uit nu) en het risico nemen dat er toch files in die tijd woden geencrypt. Ook al was m'n NAS niet exposed aan internet. Alles en iedereen richt zich nu op synolocker maar je weet niet wat er eventueel nog meer bij zit dat nog niet actief is.

[ Voor 23% gewijzigd door JT op 09-08-2014 14:09 ]

Ik koop elke 3 jaar een nieuwe NAS met 2 schijven in RAID1, de oude gaat dan op een andere lokatie en ik draai wekelijks een back-up. Lokaal heb ik er nog een USB hdd aanhangen waarop ik ad hoc wat kan backuppen. verder staan belangrijke data ook op 3 laptops via Cloudstation.

Cloudstation zou in dit geval niet helpen; je originele bestanden worden versleuteld, daarna verwijderd. Wat doet cloudsync? Originele bestanden verwijderen en versleutelde op je laptop zetten.

RobV schreef op zaterdag 09 augustus 2014 @ 10:11:
Wat mij nog het meeste verbaasd, is dat veel Tweakers hier hun backup nog nét niet helemaal op orde hebben. Mag ik zo vrij zijn nog een tip te geven? Test je backup af en toe. Restoren naar een virtual machine is zo gek nog niet.

Of kies een backupmethode waarbij je altijd in je back-up kan, dan check je ook makkelijk of het werkt. Niet iedereen heeft een VM met zoveel ruimte bij de hand

Verbaast mij net zo hard - vooral omdat ik het zelf ook niet altijd helemaal op orde heb/had. Sinds een jaar hou ik een diskje met datakopie af en toe bij en die ligt bij een goede vriend. Gewoon laten liggen.
Dat ie dan soms 3 of 6 maanden niet bij is boeit weinig als je kunt kiezen tussen foto's van de afgelopen 10 jaar minus 1-6 maanden of GEEN foto's (in mijn geval vooral foto's).

Draai er momenteel ook een Time Machine back-up in mee en back-up ook de synocloud/google cloud meuk erop, heb ik die ook nog achter de hand.

Servor schreef op zaterdag 09 augustus 2014 @ 10:45:
[...]


Ik weet het echt niet . Ik vind het heel lastig om inzicht te krijgen vooraf in de te maken of de te verwachten kosten, dus ik ben maar ergens begonnen. Aangezien ik relatief weinig GB's wil backuppen verwacht ik dat het wel meevalt. Plus dat het native in de Synology software zit vind ik wel erg fijn. Ik kijk even waar het schip strand. Als het een paar euro's kost per maand vind ik dat ook geen ramp.

Kost je minder dan $0,5 per maand...

Nog ff terug naar de hack en wat je er tegen kan doen. Op het hoogtepunt van onduidelijk hoe we de hack konden voorkomen hadden we naast het dicht gooien van de poorten en de beperken van het aantal inlog pogingen ook een tip van iemand die de tijd had aan gepast waarbinnen je een beperkt aantal inlog pogingen mocht doen. Ik heb mijn aantal (drie) zo gelaten maar mijn tijd opgerekt naar een paar uur ipv 5 of 15 minuten.
RESULTAAT is dat ik de afgelopen dagen heel veel nieuwe IP nummers in mijn black list heb staan. Bijna allemaal nummer uit China en een enkele Rus.
Wat verder opvalt is dat de range aan IP nummers heel dicht bij elkaar zitten. Kortom ik denk dat er serieuze en slimme pogingen worden gedaan om in de server te komen.
Mijn TIP naar iedereen is verhoog de tijd waarbinnen je een beperkt aantal inlog pogingen mag doen. En kijk de komende dagen welke vissen in je net zwemmen. Misschien dat we met ze allen wel een hele grote vangen :-)

Op zich is het ook niet verkeerd om -indien van toepassing- alleen IP adressen uit NL toe te staan.
Of die uit RU en CN te blokkeren.

stefijn schreef op zaterdag 09 augustus 2014 @ 10:52:
Ik gebruik ook nog Symform (tot 10Gb gratis) voor een offsite backup van mijn cloudsync (5Gb). Dat is wel realtime, dus niet beveiligd tegen realtime-wijzigingen (zoals synolocker, ik ga er vanuit dat wanneer je files encrypted worden deze ook direct naar zo'n realtime backup gestuurd worden) maar deze heeft nog wel een "deleted" files optie. Dus als je een file per ongeluk weggooit is is nog een tijd beschikbaar.

Maar dat is in principe alleen een beveiliging tegen volledige failure van je DS (of bijv. diefstal/brand). Wil je echt een beveiliging hebben tegen Synolockerachtige zaken moet je backups hebben die pas na enige tijd overschreven worden (retaining backups).

Maar i.c.m. een offsite realtime backup kun je in principe een lokale retaining backup maken (bijv. op een synology). De offsite backup is voor wanneer de boel gestolen wordt of je huis in de fik vliegt (altijd de laatste versie beschikbaar), de lokale retaining backups zijn dan voor wanneer je files aangetast zijn door iets als synolocker, virussen, of wanneer je per ongeluk zaken weggooit.

Ik gebruik Crashplan Family Plan. Dat is wel wat duurder ($9 per maand), maar dan kun je tot 10 apparaten backuppen met een onbeperkte opslag. Mijn NAS (120GB) en MacBook back ik up (135GB), net als de pc van mijn ouders (140GB) en de Qnap op mijn werk (3,5TB). Toen ik voor Crashplan koos was het de goedkoopste optie. Nu is het vooral handig omdat de software set and forget is. In principe heb ik van de belangrijkste data 3 kopieën: op de MacBook, Synology en Crashplan. De data van mijn werk vind ik blijkbaar minder belangrijk, want die staat enkel op de Qnap en Crashplan

LuukNouwen schreef op zaterdag 09 augustus 2014 @ 18:52:
[...]


Ik gebruik Crashplan Family Plan. Dat is wel wat duurder ($9 per maand), maar dan kun je tot 10 apparaten backuppen met een onbeperkte opslag.

Ik doe precies hetzelfde, maar dan met een free account en friends sharing. Ik geloof niet dat het veel goedkoper kan.

Wat ik me dus afvroeg: stel je backupt incrementeel, dus alleen de gewijzigde bestanden, naar een niet synology schijf. Vervolgens krijg je de synlocker er overheen. Tenzij je de boel dan niet laat overschrijven, zit je toch alsnog met een corrupte backup

Inderdaad. Daarom ook dat je moet opletten met automatische backups en dus best meerdere versies hebt.

The Eagle schreef op zaterdag 09 augustus 2014 @ 23:59:
Wat ik me dus afvroeg: stel je backupt incrementeel, dus alleen de gewijzigde bestanden, naar een niet synology schijf. Vervolgens krijg je de synlocker er overheen. Tenzij je de boel dan niet laat overschrijven, zit je toch alsnog met een corrupte backup

Je bedoelt een incremental sync. Ja, dan overschrijf je de kopie met de versleutelde kopie. Met incremental backup maakt je alleen een nieuwe versie van je bestand aan als die gewijzigd is. Dus ook al voeg je de versleutelde versie toe, je kunt altijd nog terug naar je onversleutelde bestand. Daarom is het een backup en geen sync.

Ik wil graag IP ranges blokkeren in mijn DS109. De DSM versie is 4.2 (hoger kan niet). Hoe kan ik nu bijvoorbeeld alle IP adressen uit China blokkeren? Ik heb de ranges gedownload en in een tekstfile, maar volgens mij kun je alleen enkele IP adressen invoeren bij Auto Block>Block list. Bij gebruik van de import functie moet je dus ieder IP adres in het tekstbestand hebben staan, wat niet werkbaar is.
De andere optie is om bij Firewall and QoS>Allow/Deny een rule te maken, maar daar kan je kiezen uit All, Single IP of Subnet. Nergens kan je een range invoeren?
De optie zoals elders in dit topic genoemd om een land of regio te kiezen bestaat voor zover ik zie niet in DSM 4.2..
Toch maar eens kijken als ik weer in Nederland ben of mijn router dit wel ondersteunt.

Hmm, had beter in [Synology] Vraag en antwoord gepast..

[ Voor 8% gewijzigd door JanPedaal op 10-08-2014 10:56 ]

Je kunt je interne netwerk als regel (subnet) instellen en alles wat niet voldoet uitsluiten. Daarna zou je nog wat externe IPs kunnen vrijgeven voor als je extern iets moet doen vanaf specifieke IPs.

Dan is China uitgesloten (en de rest van de wereld, maar ja...wat moeten die op je NAS?)

Alleen nederland toestaan of alleen China uitsluiten gaat helaas niet op versie 4.2 volgens mij

Weet trouwens iemand waar die "configuratieversies" precies op slaan bij het instellen van een backuptaak? Gaat het alleen om configuratiedata van de DSM?

Het is wel jammer dat DSM backup geen versioning heeft én dat je taken niet kunt kopieren..
edit: hmm..het lijkt er zelfs op dat je een backuptaak naar bestemming X niet kunt wijzigen in bestemming Y?

[ Voor 31% gewijzigd door Stefke op 10-08-2014 11:16 ]

Die config data is je gedeelde mappen, gebruikers en rechten etc.

Verder vind ik de back-up ook erg beperkt... ik probeerde een gedeelde hdd van een router te koppelen aan de Synology. Maar na 2 uur pielen met gedeelde mappen etc. maar weer laten rusten. Het koppelen / mounten gaat wel, maar daar dan een back-up naar toe sturen is weer drama. (Vanuit de DSM, want cli gaat wel lukken, maar dan gaat dat misschien weer kapot na een update)

Inderdaad kun je een taak niet kopieren en eenvoudig wijzigen naar een andere locatie.
Daar zitten nog wel wat verbeteringen in voor Synology.

[ Voor 90% gewijzigd door ChuckyDevil op 10-08-2014 11:23 ]

Nou, ik kan een bestaande maar niet geplande taak niet eens gepland maken! Voor al die dingen moet je dus telkens de taak helemaal opnieuw instellen. Technisch geen probleem, maar gebruikersvriendelijk is het niet zeg...

stefijn schreef op zondag 10 augustus 2014 @ 11:08:
Je kunt je interne netwerk als regel (subnet) instellen en alles wat niet voldoet uitsluiten. Daarna zou je nog wat externe IPs kunnen vrijgeven voor als je extern iets moet doen vanaf specifieke IPs.

Dan is China uitgesloten (en de rest van de wereld, maar ja...wat moeten die op je NAS?)

Alleen nederland toestaan of alleen China uitsluiten gaat helaas niet op versie 4.2 volgens mij
...

Hmm, ja maar als ik zelf nu in de rest van de wereld zit, zoals nu? Dan wil ik er juist wel bij kunnen. En inderdaad vanaf mobiel in NL gaat dan ook niet.
Erg jammer dat je geen ranges kan gebruiken.

Ik (met mijn ds214) ben helaas ook getroffen door de hack van Synolocker, echter zit nu met het volgende issue:

De meeste belangrijke data heb ik ook nog elders op back-up. Echter een aantal recentere bestanden niet die ik liever niet kwijt zou zijn. Daarom ben ik toch op zoek naar een manier deze (evt. encrypted in de hoop op een toekomste oplossing) te kunnen bewaren.

Ik maakte een dagelijkse incremental backup naar de NAS van mijn neef. (tevens ook een syno, echter niet geïnfecteerd). Ik ben na de hack via zijn interne netwerk ingelogd op zijn NAS met mijn eigen username e.d. Echter toen ik de bestanden probeerde te openen leken deze ook niet meer te werken.

Is dit normaal in het geval van incremental backup's? Tijdens/na de encryptie zijn er namelijk nog incremental backup's gemaakt. Echter vond ik in de backup map op zijn NAS wel bestanden welke exacte data en tijdstippen van de laatste 5 incremental backup's bevatten. Zou het terugzetten van enkel de oudste (2 augustus) incremental backup mijn data weer in normale status moeten herstellen?

Is het overigens een idee om een nieuwe HD te kopen, vervolgens één van de huidige twee eruit te halen en te bewaren. Vervolgens de NAS opnieuw te installeren met één oude en een nieuwe HD? In de hoop op een toekomstige oplossing.

Ik hoor graag jullie kijk op bovenstaande.

Gé Brander schreef op vrijdag 08 augustus 2014 @ 21:31:
[...]
Ben ook benieuwd of iSCSI LUN's op de NAS ook kwetsbaar zijn voor de ransomware...

Gé Brander schreef op zondag 10 augustus 2014 @ 13:40:
[...]

Lijkt me wel, aangezien de iSCSI LUN op het filesystem van de Synology ook een file is die te encrypten valt door Synolocker.

iNSaNe-oNe schreef op zondag 10 augustus 2014 @ 13:51:
[...]

Lijkt me wel, aangezien de iSCSI LUN op het filesystem van de Synology ook een file is die te encrypten valt door Synolocker.

Dan zal de gehele LUN als zijnde 1 file ten prooi vallen. Wellicht dat er alleen naar de default shares gekeken wordt en de rest uitgesloten wordt.

Ik lees veel reacties over het blacklisten van complete IP-ranges / alle IP-adressen uit bepaalde landen. Is het dan niet handiger om gewoon alleen enkele adressen te whitelisten? Dan ben je toch ook klaar? Dan weet je in elk geval zeker dat er niet vanaf andere IP-adressen ingelogd kan worden.

Jorgen schreef op zondag 10 augustus 2014 @ 16:34:
Ik lees veel reacties over het blacklisten van complete IP-ranges / alle IP-adressen uit bepaalde landen. Is het dan niet handiger om gewoon alleen enkele adressen te whitelisten? Dan ben je toch ook klaar? Dan weet je in elk geval zeker dat er niet vanaf andere IP-adressen ingelogd kan worden.

Kan, maar dan moet je wel een vast IP adres hebben en nooit op via een andere wijze op je server willen (bijv tijdens vakantie, oid).

Klopt wat je zegt. Ik heb persoonlijk ook genoeg aan alleen mijn thuistoegang. Eventueel 1 of 2 extra adressen voor toegang en that's it. Ik snap dat het voor andere mensen niet perse zo is natuurlijk. Als je als vertegenwoordiger (ik noem maar wat) elke dag bij de klant bepaalde bedrijfsgegevens moet kunnen opvragen, is het al weer anders. En als je van overal ter wereld je foto's of muziek wilt beheren, dan heb je ook niet zo veel aan whitelisten.

Dat doet me denken: Elk apparaat heeft toch een eigen, uniek MACadres? Dan zou het misschien handig zijn om dat te whitelisten. (Als zoiets mogelijk is.)

nav dit probleem toch maar even extra backup gemaakt op een (nu offline) 2.5" USB-drive.
Normaal heb ik al een offsite backup, maar deze draait ook een Synology NAS.

De 3-2-1 rule is toch weer relevant...

[ Voor 11% gewijzigd door Verwijderd op 10-08-2014 21:24 ]

Ik ben erg blij dat ik een paar weken geleden mijn oude NAS als rsync target heb ingezet. Foto's en wat documenten veiliggesteld toen al. Gelukkig niet getroffen door SynoLocker (DSM 5). Toont maar weer aan dat backup belangrijk is, hopelijk beseffen mensen zich dat nu ook. Een 2tb HDD kost wat, 80 euro ofzo? Kan me niet voorstellen dat al je foto's dat niet waard zijn.

Arfman schreef op zondag 10 augustus 2014 @ 21:57:
Ik ben erg blij dat ik een paar weken geleden mijn oude NAS als rsync target heb ingezet. Foto's en wat documenten veiliggesteld toen al. Gelukkig niet getroffen door SynoLocker (DSM 5). Toont maar weer aan dat backup belangrijk is, hopelijk beseffen mensen zich dat nu ook. Een 2tb HDD kost wat, 80 euro ofzo? Kan me niet voorstellen dat al je foto's dat niet waard zijn.

je realiseert hoplelijk je toch wel , dat met een sync al je bestanden worden overschreven met een versleutelde versie, in het geval dat je getroffen wordt door een synolocker? sync is geen backup!

RobV schreef op zondag 10 augustus 2014 @ 22:24:
[...]

je realiseert hoplelijk je toch wel , dat met een sync al je bestanden worden overschreven met een versleutelde versie, in het geval dat je getroffen wordt door een synolocker? sync is geen backup!

Zelf kopieer ik periodiek mijn belangrijke bestanden van mijn NAS naar een NAS die bij mijn ouders staat, en andersom. Zo hebben we beide een offsite backup. Rsync of andere automatische kopieer acties zijn iederdaad niet verstandig.

JanPedaal schreef op zondag 10 augustus 2014 @ 10:50:
Ik wil graag IP ranges blokkeren in mijn DS109. De DSM versie is 4.2 (hoger kan niet). Hoe kan ik nu bijvoorbeeld alle IP adressen uit China blokkeren? Ik heb de ranges gedownload en in een tekstfile, maar volgens mij kun je alleen enkele IP adressen invoeren bij Auto Block>Block list. Bij gebruik van de import functie moet je dus ieder IP adres in het tekstbestand hebben staan, wat niet werkbaar is.
De andere optie is om bij Firewall and QoS>Allow/Deny een rule te maken, maar daar kan je kiezen uit All, Single IP of Subnet. Nergens kan je een range invoeren?
De optie zoals elders in dit topic genoemd om een land of regio te kiezen bestaat voor zover ik zie niet in DSM 4.2..
Toch maar eens kijken als ik weer in Nederland ben of mijn router dit wel ondersteunt.

Hmm, had beter in [Synology] Vraag en antwoord gepast..

Misschien is dit een optie:
http://gathering.tweakers.net/forum/list_messages/1583779

RobV schreef op zondag 10 augustus 2014 @ 22:24:
[...]

je realiseert hoplelijk je toch wel , dat met een sync al je bestanden worden overschreven met een versleutelde versie, in het geval dat je getroffen wordt door een synolocker? sync is geen backup!

Daarom trap ik hem ook handmatig af

RobV schreef op zondag 10 augustus 2014 @ 22:24:
[...]

je realiseert hoplelijk je toch wel , dat met een sync al je bestanden worden overschreven met een versleutelde versie, in het geval dat je getroffen wordt door een synolocker? sync is geen backup!

Inderdaad, valt eerder in de categorie cold of hot standby storage.

Ik kwam deze pagina van Synology nog tegen dit weekend over het extra beveiligen van inloggen op je NAS. Nieuw voor mij was dat je via b.v Google authenticator codes kunt genereren voor Synology.

http://www.synology.com/en-us/support/tutorials/615

Contents

• Before you start
• Create a new account as the system administrator and disable the system default admin account
• Set up password strength rules
• Restrict suspicious IP addresses with auto block
• Protect your account with 2-step verification
• Enable HTTPS connection
• Secure FTP service
• Only open the public ports for needed services on the router
• Enable browser's incognito mode or using guest browsing feature when accessing Synology NAS with a public computer

Beste manier om dit soort besmettingen te voorkomen is door VPN te gebruiken, kan je je server naar buiten toe in principe dicht gooien en er toch in komen!

http://www.synology.com/en-uk/support/tutorials/459

Dit is de meest veilige manier om in ieder geval het hele ransomware gedoe te voorkomen.

Dat heb ik nu inderdaad ook gedaan, maar loop toch ook weer tegen problemen aan. Ik gebruik de VPN functie van mijn router (Fritzbox) en die heeft nogal problemen met iOS. Mijn Android telefoon maakt gewoon verbinding, maar de iPhone van mijn vriendin niet en die wil ook graag bij haar data. Dus twijfel nu om toch Cloudstation of de webinterface weer toegankelijk te maken van buitenaf.

Als je van plan bent een rsync-achtige backup te gebruiken, kijk dan vooral of je rsnapshot kunt gebruiken voor versioning (daily, weekly, monthly, yearly). In combinatie met het juiste filesystem (ext2/3/4) kan het onveranderde bestanden hardlinken. (Het lastige aan deze setup is hoe de oude versies te beschermen tegen wijzigingen. Wellicht via een pull-model of permissies (niet getest).)

Poor mans variant is om op de target een incoming directory te hebben en het van daaruit lokaal te rsnapshotten. Kost je dubbele storage, maar wel vrijwel eindeloze versioning met kleine overhead.

Geen idee of Synology zoiets ondersteunt. Ik gebruik rsnapshot in elk geval op m'n Debian machine.

Over de hack zelf: bizar dat zovelen zomaar een appliance met kritieke data aan het internet hangen. Dan mis je duidelijk defense in depth.
Van mijn Debian machine hangen maar twee services direct aan het publieke internet: SSH en een IMAP server. Beide zijn al jaren stabiele software met geen tot weinig (kritieke) vulnerabilities. En dan nog ben ik niet bepaald blij met beide. Net zoals de webmail horen beide eigenlijk in een sandbox bijvoorbeeld een jumpbox VM voor SSH en een VM voor IMAP, al dan niet voorzien van reverse proxies.

Voor iets als DSM kun je zo'n afweging nauwelijks maken. Er is geen goed track record om het risico te rechtvaardigen. Tevens is de typische attack surface van web interfaces te groot.

De oplossing lijkt voor de hand te liggen: compleet firewallen met heel specifiek toestaan van bepaalde locaties. In aanvulling of alternatief kan er een service voorgezet worden met een betere verwachte robuustheid (bv VPN endpoint) waarvanuit de applicatie benaderd kan worden.

Deze architecturele aanpak van security zet veel meer zoden aan de dijk dan login lockouts (fail2ban), geografische IP restricties (hallo botnets). Aanvalsvector zijn immers vaak software vulnerabilities zoals remote code execution.

Farmerwood schreef op maandag 11 augustus 2014 @ 09:58:
Dat heb ik nu inderdaad ook gedaan, maar loop toch ook weer tegen problemen aan. Ik gebruik de VPN functie van mijn router (Fritzbox) en die heeft nogal problemen met iOS. Mijn Android telefoon maakt gewoon verbinding, maar de iPhone van mijn vriendin niet en die wil ook graag bij haar data. Dus twijfel nu om toch Cloudstation of de webinterface weer toegankelijk te maken van buitenaf.

Gebruik dan gewoon de VPN functie van je Synology, die is gewoon compatible met alles.

Persoonlijk vind ik eigenlijk niet dat de NAS de functie van VPN-server zou moeten vervullen. Zijn functie is het opslaan en beschikbaar maken van data. De toegang tot mijn interne netwerk hoort aan de deur (aka bij de router) geregeld te worden en niet via de NAS te lopen.
Maar als ik het echt niet aan de praat krijg via de router is het eventueel nog een optie. Of een klein Linuxbakje tussen de router en mijn interne netwerk zodat ik een SSH-tunnel kan gebruiken.

[ Voor 0% gewijzigd door Farmerwood op 11-08-2014 10:20 . Reden: typo ]

Rukapul schreef op maandag 11 augustus 2014 @ 10:03:
Geen idee of Synology zoiets ondersteunt. Ik gebruik rsnapshot in elk geval op m'n Debian machine.

Synology heeft een "Time Backup" package, waarmee je in elk geval versioning kan doen. Geen idee hoe dat in detail werkt, maar ik ben wel van plan dat eens uit te proberen.

Ik had al langer op de planning staan om mijn backup strategie wat beter te structureren.

Stap 1 was ik al gestart vlak voor synolocker los barstte en is nu bijna klaar: initiële backup naar Glacier is bijna compleet en daarna wordt dat een wekelijks schedule.
Stap 2 is het inzetten van een USB disk voor lokale backups. Bij voorkeur versioned en/of offline (als in: gewoon zo nu en dan eens die disk er aan hangen, backup trekken, disk weer los), maar in elk geval op zo'n manier dat er niet zomaar corruptie van de live data automatisch doorwerkt in de backup.

Dan heb ik een lokale, makkelijk toegankelijke backup voor kleine fuckups, falen van een disk in de NAS en issues als synolocker. En glacier voor het geval de boel afbrandt / gestolen wordt.

Verder externe toegang tot de NAS beperkt tot VPN en poort 80 voor de webserver die er op draait. Ik zou het liefst VPN naar mijn router doen, maar om de een of andere suffe reden krijg ik die niet zover dat ik dan vanaf de router de NAS kan benaderen.

[ Voor 12% gewijzigd door Orion84 op 11-08-2014 10:23 ]

Farmerwood schreef op maandag 11 augustus 2014 @ 09:29:
Ik kwam deze pagina van Synology nog tegen dit weekend over het extra beveiligen van inloggen op je NAS. Nieuw voor mij was dat je via b.v Google authenticator codes kunt genereren voor Synology.

http://www.synology.com/en-us/support/tutorials/615

Contents

• Before you start
• Create a new account as the system administrator and disable the system default admin account
• Set up password strength rules
• Restrict suspicious IP addresses with auto block
• Protect your account with 2-step verification
• Enable HTTPS connection
• Secure FTP service
• Only open the public ports for needed services on the router
• Enable browser's incognito mode or using guest browsing feature when accessing Synology NAS with a public computer

Dank voor deze checklist.
Op korte termijn wil ik hier zelf aan toevoegen:
• alleen toegankelijk maken voor enkele externe IP adressen
Later:
• VPN-only toegang.

Mis ik nou nog belangrijke zaken, qua beveiliging?

Arfman schreef op vrijdag 08 augustus 2014 @ 15:05:
[...]

De les is vooral: blijf je software up to date houden. De patch waarin dit probleem voorkomen werd is al in december 2013 gereleased. Iets wat je aan het internet hangt (wat inderdaad niet echt te vertrouwen is) moet, moet, moet je echt up-to-date houden. Zeker met het gemak waarmee je een DSM upgrade doet is er eigenlijk geen excuss om niet de laatste versie geïnstalleerd te hebben.

Ik vraag me af of het niet beter zou zijn dat dit soort cruciale updates automatisch worden verspreid en geïnstalleerd.

JAHRASTAFARI schreef op maandag 11 augustus 2014 @ 10:58:
[...]

Ik vraag me af of het niet beter zou zijn dat dit soort cruciale updates automatisch worden verspreid en geïnstalleerd.

Iets wat automatisch mijn NAS reboot, nou nee, liever heb ik daar zelf de controle over.

Zelf heb ik de admin webpage niet beschikbaar gemaakt van buitenaf. Dat hoeft alleen maar vanaf binnen beschikbaar te zijn (vind ik). Als je het dan wilt, gebruik dan een VPN.

Dan geldt natuurlijk nog steeds dat je moet opletten dat hetgeen je naar buiten toe publiceert veilig is.. Een onveilige apache/php/vpn maakt je NAS nog steeds vatbaar.

[ Voor 14% gewijzigd door Equator op 11-08-2014 11:14 ]

Farmerwood schreef op maandag 11 augustus 2014 @ 10:19:
Persoonlijk vind ik eigenlijk niet dat de NAS de functie van VPN-server zou moeten vervullen. Zijn functie is het opslaan en beschikbaar maken van data. De toegang tot mijn interne netwerk hoort aan de deur (aka bij de router) geregeld te worden en niet via de NAS te lopen.
Maar als ik het echt niet aan de praat krijg via de router is het eventueel nog een optie. Of een klein Linuxbakje tussen de router en mijn interne netwerk zodat ik een SSH-tunnel kan gebruiken.

Tja, het maakt eigenlijk niet zoveel uit, wel is het natuurlijk het makkelijkts om alles in één server te hebben, maar dat is al niet zo doordat je een Synology apparaat hebt staan. Als je je netwerk goed configureert maakt het eigenlijk niet uit welk systeem welke functie uitvoert, als alles maar juist wel of niet te bereiken is.

Je kan zeker de Synology VPN gebruiken zonder nadelen, dan heb je meerdere opties, hoewel L2TP/IPSec (wat de Fritzbox gebruikt) wel een erg goede VPN is natuurlijk.

Heb je dit wel eens geprobeerd?
http://www.gadgetgoeroe.n...lleren-en-mac-vpn-client/

maniak schreef op maandag 11 augustus 2014 @ 09:08:
[...]


Zelf kopieer ik periodiek mijn belangrijke bestanden van mijn NAS naar een NAS die bij mijn ouders staat, en andersom. Zo hebben we beide een offsite backup. Rsync of andere automatische kopieer acties zijn iederdaad niet verstandig.

Zolang je ze kopieert naar een nieuw mapje (backup_20150801) is dan een prima oplossing. Dan kan je altijd terug.

iNSaNe-oNe schreef op zondag 10 augustus 2014 @ 13:51:
[...]

Lijkt me wel, aangezien de iSCSI LUN op het filesystem van de Synology ook een file is die te encrypten valt door Synolocker.

Dat hangt er van af of je block-level of file-level iScsi gebruikt.
Bij block-level ziet de synology geen files, dus zal er niets geencrypt worden.

Die 2-step verification heb ik ook wel eens naar zitten kijken. Ik twijfel alleen een beetje om dat aan te zetten.
Ik heb maar 2 useraccounts op mijn NAS die aan staan.
1 er van is de vervanger van het admin account, en de ander is een (beperkte rechten)account voor mijn mediaplayer (WDtv) bij de tv.
Die 2-step verification kan je per account aanzetten, dus dat zou ik voor bijvoorbeeld de vervangende admin account kunnen regelen.
Alleen heb ik vanuit een andere Synology een backup lopen naar mijn NAS toe. Die gebruikt naam en password van het admin account. Hoe werkt dat dan met 2-step verification?
En voor mijn mediaplayer eigenlijk precies hetzelfde. Heeft iemand dat al eens geprobeerd?

Kan je bijvoorbeeld voor een account instellen dat ie alleen van binnen het eigen netwerk bereikt kan worden?
Anders heeft het toch maar beperkt zin om die 2-step verification niet bij alle accounts aan te zetten?
Of is die 2-step verification alleen nodig bij acoounts met veel rechten?

2-step is alleen van toepassing bij het aanmelden op de webinterface.

Andre_J schreef op maandag 11 augustus 2014 @ 12:05:
2-step is alleen van toepassing bij het aanmelden op de webinterface.

Nee, als ik via mijn mobiel een torrent toevoeg via Synodroid, dan moet ik helaas ook een code opgeven, maar als ik DS Download gebruik weer niet.

debom schreef op maandag 11 augustus 2014 @ 09:15:
[...]
Misschien is dit een optie:
http://gathering.tweakers.net/forum/list_messages/1583779

Mja, dat topic heb ik wel gevolgd maar vind de nadelen toch wat te groot. Wellicht binnenkort eens de hardware upgraden naar een x14 model en de DS109 pensioneren met een offline rol in mijn netwerk.

Zijn er gevallen bekend van gebruikers van XPEnology die zijn getroffen?

u_nix_we_all schreef op maandag 11 augustus 2014 @ 11:41:
[...]

Dat hangt er van af of je block-level of file-level iScsi gebruikt.
Bij block-level ziet de synology geen files, dus zal er niets geencrypt worden.

Goede en correcte aanvulling, thanks.

b0wi schreef op maandag 11 augustus 2014 @ 12:28:
Zijn er gevallen bekend van gebruikers van XPEnology die zijn getroffen?

Ik draai zelf een xpenology op een N54L en ik ben zelf niet geraakt. Maar ik draaide dan ook vanaf het begin DSM5, op de voet gevolgd door UPD1 en 2 en 3.

Ik had alleen VPN en port voor crashplan open staan

[ Voor 6% gewijzigd door debom op 11-08-2014 13:08 ]

Koldur schreef op maandag 11 augustus 2014 @ 11:13:
[...]

Je kan zeker de Synology VPN gebruiken zonder nadelen, dan heb je meerdere opties, hoewel L2TP/IPSec (wat de Fritzbox gebruikt) wel een erg goede VPN is natuurlijk.

Heb je dit wel eens geprobeerd?
http://www.gadgetgoeroe.n...lleren-en-mac-vpn-client/

Precies die website heb ik idd gebruikt om mijn Macbook op het VPN van de Fritzbox te krijgen, maar helaas werkt het dus niet op de iPhone van mijn vriendin. De Fritzboz geeft zelfs trouwens een heel net overzichtje van hoe je Android & iOS in moet stellen. Android werkt dus prima. iOS helaas niet.

Is het iemand nog gelukt om na het decrypten en uninstallen om via synology assistent de laatste firmware erop te krijgen?

mij lukt het niet..

http://www.synology.com/nl-nl/support/tutorials/493 hoofdstuk 2 geprobeerd?

ben nu even bezig met het maken van een backup en ik ga inderdaad op die site hoofdstuk 2 proberen..(voor de zekerheid) bedankt in ieder geval.

Audi-RS4 schreef op maandag 11 augustus 2014 @ 13:35:
ben nu even bezig met het maken van een backup en ik ga inderdaad op die site hoofdstuk 2 proberen..(voor de zekerheid) bedankt in ieder geval.

Maar heb je dan betaald voor de decrypting?

Ja ik heb betaald

Ouch.

Als ik vragen mag, welke porten had je openstaan?

Koldur schreef op maandag 11 augustus 2014 @ 11:13:
Je kan zeker de Synology VPN gebruiken zonder nadelen, dan heb je meerdere opties, hoewel L2TP/IPSec (wat de Fritzbox gebruikt) wel een erg goede VPN is natuurlijk.

Wellicht ten overvloede.
Naast PPTP worden OpenVPN en L2TP/IPsec tegenwoordig ook ondersteund door Synology.

Farmerwood schreef op maandag 11 augustus 2014 @ 13:15:
Precies die website heb ik idd gebruikt om mijn Macbook op het VPN van de Fritzbox te krijgen, maar helaas werkt het dus niet op de iPhone van mijn vriendin. De Fritzboz geeft zelfs trouwens een heel net overzichtje van hoe je Android & iOS in moet stellen. Android werkt dus prima. iOS helaas niet.

Probeer anders eens of de configuratie lukt op iOS met L2TP/IPsec op de Synology.

[ Voor 39% gewijzigd door technorabilia op 11-08-2014 13:58 ]

5000

Videopac schreef op maandag 11 augustus 2014 @ 10:43:
[...]

Dank voor deze checklist.
Op korte termijn wil ik hier zelf aan toevoegen:
• alleen toegankelijk maken voor enkele externe IP adressen
Later:
• VPN-only toegang.

Mis ik nou nog belangrijke zaken, qua beveiliging?

Heb zelf de standaard poorten (als 5000) in de router gemapped naar een random ander hoog getal (8642 b.v.) Dit zodat 5000 van buitenaf iig niet benaderbaar is.
Kan goed wezen dat de hackers'portscanner dit net zo snel ziet als 5000, maargoed ik heb geen verstand van die tools.

W.b.t. die 2-factor authentication:
Ik ben er groot voorstander van, en gebruik het zelf ook al jaren voor m'n email en sommige andere sites waarbij het mogelijk is. Maar i.c.m. m'n NAS was het vorig jaar echt drama.
Schijnbaar zijn er meer mensen die er last van hebben.
Mocht het nu wel fatsoenlijk werken dan wil ik wel weer een poging wagen.

[ Voor 5% gewijzigd door SmiGueL op 11-08-2014 16:14 ]

SmiGueL schreef op maandag 11 augustus 2014 @ 14:43:
[...]

W.b.t. die 2-factor authentication:
Ik ben er groot voorstander van, en gebruik het zelf ook al jaren voor m'n email en sommige andere sites waarbij het mogelijk is. Maar i.c.m. m'n NAS was het vorig jaar echt drama.
Schijnbaar zijn er meer mensen die er last van hebben.
Mocht het nu wel fatsoenlijk werken dan wil ik wel weer een poging wagen.

Ik heb het aanstaan, en nooit problemen mee gehad.

Ik ben nu alweer een paar uur back-ups aan het instellen voor diverse Syno's. Wat ik erg mis is monthly / maandelijkse back-up daily en weekly maar aangemaakt...

Modbreak:

Zeg Stimulate14,

Het plaatsen van meerdere berichten achter elkaar is normaliter not-done, tenzij het hele lange berichten zijn en de scheiding ervan logisch is voor de leesbaarheid. In jouw geval wordt er van je verwacht dat je deze in je laatste bericht plaatst, middels de 'Wijzig' link kun je je bericht aanpassen.

Dank voor je medewerking!

Voor de mensen die nog een backup optie zoeken, Synology heeft net integratie met Elephantcloud aangekondigd:

http://home.elephantdrive.com/welcome/synology/

Daarmee kan je a la dropbox ook oudere versies terug krijgen.

Lizard schreef op maandag 11 augustus 2014 @ 19:44:
Voor de mensen die nog een backup optie zoeken, Synology heeft net integratie met Elephantcloud aangekondigd:

http://home.elephantdrive.com/welcome/synology/

Daarmee kan je a la dropbox ook oudere versies terug krijgen.

Dat doet Crashplan ook en is aanzienlijk goedkoper. Het installeren en configureren is misschien iets lastiger, maar daarna heb je er ook geen omkijken meer naar.....

Misschien is het een idee om een niew topic te starten over de beste manieren om je Synology NAS te backuppen?

Ik heb crashplan een paar jaar geleden geprobeerd, maar dat was behoorlijk zwaar voor een 411. Op mn huidige 1812+ niet meer geprobeerd; een flink aantal TB's zou weken tot maanden duren via internet.

Of je het nou naar amazon, naar crashlplan of naar de buren pompt.. Je upload blijft de beperkende factor. En de backu hoeft nietmorgen klaar te zijn toch?