Synology Take Immediate Action to Protect Data Ransomware

woensdag 24 juli 2019 21:43

Acties:

+1 Henk 'm!

Topicstarter

Vandaag deze mail ontvangen van Synology =>

Take Immediate Action to Protect Your Data from Ransomware Attack

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Please make sure you go through the checklist below:
• Create a new account in administrator group and disable the system default “admin” account.
• Use a complex and strong password, and apply password strength rules to all users.
• Enable 2-step verification to add an extra security layer to your account.
• Enable Auto Block in Control Panel and run Security Advisor to make sure there is no weak password in the system.
• Enable Firewall in Control Panel, and only allow public ports for services that are necessary.
In addition to the network and account management settings described above, we also recommend you keep your NAS up to date as well as protect your data with the built-in Snapshot Replication or Hyper Backup in case a recovery is necessary. To learn more about how to safeguard your NAS against encryption-based ransomware, please visit https://www.synology.com/solution/ransomware.

More resources available:
• How to add extra security to your NAS?
• How can I protect my Synology NAS against WannaCry?
• How to back up your data to a remote Synology NAS or file server with Hyper Backup?

Zoals hierboven staat brute-force en het zou geen kwetsbaarheid/heden betreffen. Toch vind ik dit altijd zorgelijke berichten.

Heeft iemand specifiekere informatie omtrent dit issue?

You may enlighten me!

woensdag 24 juli 2019 21:47

Acties:

0 Henk 'm!

Room42

Wat wil je dan weten? Er staat toch een link bij? En de stappen die je kunt doen om je nas te beveiligen zijn toch ook duidelijk?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 24 juli 2019 22:14

Acties:

0 Henk 'm!

MrBreaker

Topicstarter

Room42 schreef op woensdag 24 juli 2019 @ 21:47:
Wat wil je dan weten? Er staat toch een link bij? En de stappen die je kunt doen om je nas te beveiligen zijn toch ook duidelijk?

Heeft iemand specifiekere informatie omtrent dit issue?

You may enlighten me!

donderdag 25 juli 2019 09:46

Acties:

0 Henk 'm!

XeNoN62

Deze mail van Synology heb ik ook gehad. Ze versturen deze mail niet voor niets. Dus ik geef MrBreaker wel degelijk gelijk. En ik maak ook wel zorgen hierover . . .

donderdag 25 juli 2019 09:49

Acties:

0 Henk 'm!

Verwijderd

MrBreaker schreef op woensdag 24 juli 2019 @ 22:14:
[...]

Heeft iemand specifiekere informatie omtrent dit issue?

Maar WAT wil je precies weten. Het issue, en hoe je dit kunt voorkomen, staan in de email.

donderdag 25 juli 2019 09:50

Acties:

0 Henk 'm!

lasharor

7 december 2004

Maar; er staat toch heel duidelijk waar het over gaat?

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Ofwel; zorg ervoor dat je geen zwakke wachtwoorden gebruikt. Daaronder geven een specifiek stappenplan hoe je ervoor kan zorgen dat je Synology NAS voorzien is van een sterk (admin) wachtwoord.

donderdag 25 juli 2019 09:53

Acties:

0 Henk 'm!

Bushie

ik krijg regelmatig een e-mail van de Syno dat er weer een IP is toegevoegd aan de blocklist, meestal IP's uit Rusland en China. Werkt goed die auto-block functie.

donderdag 25 juli 2019 10:06

Acties:

0 Henk 'm!

MrBreaker

Topicstarter

lasharor schreef op donderdag 25 juli 2019 @ 09:50:
Maar; er staat toch heel duidelijk waar het over gaat?

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Ofwel; zorg ervoor dat je geen zwakke wachtwoorden gebruikt. Daaronder geven een specifiek stappenplan hoe je ervoor kan zorgen dat je Synology NAS voorzien is van een sterk (admin) wachtwoord.

Via welk protocol? Vanaf welke bron(nen)? Weten ze echt zeker dat men niet via een zero day bezig is?

You may enlighten me!

donderdag 25 juli 2019 10:17

Acties:

0 Henk 'm!

DarkSide

theres no place like ::1

Zero day weten ze waarschijnlijk (nog) niet.
Maar volgens mail gaat het om Brute Force attacks. En niet een actie die misbruikt van een kwetsbaarheid.
Als het toch een nieuwe, zero day, kwetsbaarheid blijkt. Kom je daar pas later achter als ze daarvoor een patch hebben uitgebracht.

De genomen stappen zijn sowieso aan te raden en eigenlijk dien je die standaard ingesteld te hebben.

Zelf geen mail gekregen en zie ook geen blocks in mijn FW.

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

donderdag 25 juli 2019 10:45

Acties:

0 Henk 'm!

jeroen3

Synology® Urges All Users to Take Immediate Action to Protect Data from Ransomware Attack
https://www.synology.com/nl-nl/security/advisory

Maar geen van de genoemde maatregelen in de press release duidt op een zero day. Tenzij je configuratiefouten als een zero day beschouwd.
Gewoon weer iemand die het internet afspeurt naar DSM login pagina's en daar een woordenboek op loslaat.

donderdag 25 juli 2019 10:50

Acties:

+6 Henk 'm!

apollo13

Bushie schreef op donderdag 25 juli 2019 @ 09:53:
ik krijg regelmatig een e-mail van de Syno dat er weer een IP is toegevoegd aan de blocklist, meestal IP's uit Rusland en China. Werkt goed die auto-block functie.

Als je deze inbraak pogingen wilt verminderen is het aan te raden een regio-blokkade in te stellen in je NAS. Bij mij worden nu alle ip-adressen, behalve die uit Nederland, automatisch geblokkeerd.
Heb nu gemiddeld 1 inbraakpoging per 2 maanden.

apollo13

donderdag 25 juli 2019 11:07

Acties:

0 Henk 'm!

Bushie

@apollo13 dank je, zo leer ik ook nog wat

donderdag 25 juli 2019 12:20

Acties:

0 Henk 'm!

demokert

@apollo13 inderdaad goede toevoeging!

donderdag 25 juli 2019 19:11

Acties:

+2 Henk 'm!

Dimensionaut

Ik ervaar zelf deze aanvallen, terwijl ik daarvoor eigenlijk nooit last had. Hooguit twee keer per jaar. Het begon op de 17e om 1 uur 's nachts met brute force aanvallen. Echt elke seconde. Ze proberen in het geval van Synology op de DSM in te loggen met het admin account. Deze staat bij mij uit, maar toch gebruik ik Account protection, zodat ik zie of pogingen worden ondernomen, ook op uitgeschakelde accounts. Zodra de blokkering weer verlopen is wordt binnen een minuut weer een poging gedaan. Adressen van over de hele wereld. Opvallend veel Westerse landen met name Griekenland Frankrijk en VS en amper China of oostblok landen. Ze gebruiken verschillende IP adressen op een bepaald moment, zodat de IP adressen niet geblokkeerd worden. Instellingen kijken vaak naar bijvoorbeeld 3 pogingen in 5 minuten. Als een IP adres een poging heeft gedaan, dan kan het meer dan een uur duren voordat vanaf hetzelfde IP adres weer een poging wordt gedaan. Daar heb ik mijn blokkeringsinstellingen op aangepast (een tijd van meer dan een uur ingesteld), zodat die adressen dan toch geblokkeerd worden.

Ik heb daarop ook regio blokkade gedaan. Daarna liepen de aanvallen af. Vandaag wel weer vrij veel aanvallen gehad, maar inderdaad van Nederlandse adressen. En een enkele uit de VS en Griekenland, die mogelijk voor Nederlands worden aangezien.
Ik heb Synology al op de 17e op de hoogte gebracht van deze aanvallen.

Het beste is om alle tips van Synology en die van apollo13 toe te passen.

donderdag 25 juli 2019 21:26

Acties:

+1 Henk 'm!

Dimensionaut

Het zal me niet verbazen als het hetzelfde als dit is nieuws: Nieuw ontdekte ransomware richt zich op nas-systemen van QNAP

donderdag 25 juli 2019 22:15

Acties:

0 Henk 'm!

Room42

Dimensionaut schreef op donderdag 25 juli 2019 @ 21:26:
Het zal me niet verbazen als het hetzelfde als dit is nieuws: Nieuw ontdekte ransomware richt zich op nas-systemen van QNAP

Ah ja, die zocht ik al maar kon ik niet zo snel vinden. Zo te zien, inderdaad, is het niet alleen Synology die nog maar weer eens waarschuwt dat je je NAS goed moet beveiligen als je hem vanaf het open internet beschikbaar maakt. Goede zaak.

offtopic:
PS: Dubbelposten is niet nodig, hè

Edit: Ah, sorry, je bent nieuw. Als je als laatste gepost hebt, kun je beter je bericht bewerken als je nog wat toe wilt voegen. Twee keer achter elkaar posten kan als irritant ervaren worden.

Welkom, @Dimensionaut

[ Voor 14% gewijzigd door Room42 op 25-07-2019 22:18 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

donderdag 25 juli 2019 22:33

Acties:

+1 Henk 'm!

maratropa

Dimensionaut schreef op donderdag 25 juli 2019 @ 19:11:
Ik ervaar zelf deze aanvallen, terwijl ik daarvoor eigenlijk nooit last had. Hooguit twee keer per jaar. Het begon op de 17e om 1 uur 's nachts met brute force aanvallen. Echt elke seconde. Ze proberen in het geval van Synology op de DSM in te loggen met het admin account. Deze staat bij mij uit, maar toch gebruik ik Account protection, zodat ik zie of pogingen worden ondernomen, ook op uitgeschakelde accounts. Zodra de blokkering weer verlopen is wordt binnen een minuut weer een poging gedaan. Adressen van over de hele wereld. Opvallend veel Westerse landen met name Griekenland Frankrijk en VS en amper China of oostblok landen. Ze gebruiken verschillende IP adressen op een bepaald moment, zodat de IP adressen niet geblokkeerd worden. Instellingen kijken vaak naar bijvoorbeeld 3 pogingen in 5 minuten. Als een IP adres een poging heeft gedaan, dan kan het meer dan een uur duren voordat vanaf hetzelfde IP adres weer een poging wordt gedaan. Daar heb ik mijn blokkeringsinstellingen op aangepast (een tijd van meer dan een uur ingesteld), zodat die adressen dan toch geblokkeerd worden.

Ik heb daarop ook regio blokkade gedaan. Daarna liepen de aanvallen af. Vandaag wel weer vrij veel aanvallen gehad, maar inderdaad van Nederlandse adressen. En een enkele uit de VS en Griekenland, die mogelijk voor Nederlands worden aangezien.
Ik heb Synology al op de 17e op de hoogte gebracht van deze aanvallen.

Het beste is om alle tips van Synology en die van apollo13 toe te passen.

staat jouw login dan op poort 5000/5001 op jouw externe ip ofzo? Als ik mijn syno extern benaderbaar maak dan is dat altijd op een rare hoge poort. (idem voor vpn, ftps etc) Nog nooit 1 rare login gehad. Security through obscurity maar het werkt in de praktijk redelijk goed iig..

specs

zaterdag 27 juli 2019 12:20

Acties:

+1 Henk 'm!

wolly_a

Die regioblokkade moet ik nog even uitzoeken en waarschijnlijk ga ik ook mijn standaardpoort 5000/5001 wijzigen. Ik word helemaal gek van de meldingen van geblokkeerde ip adressen. Zodra ik deze poorten openzet, ontvangt zo’n 50 mailtjes per minuut van mijn Synology met meldingen van automatisch geblokkeerde ip adressen. Ik heb nog niet de tijd gehad om te kijken waar deze vandaan komen, maar ik hoop dat met een regioblokkade het rustiger wordt.

Zijn er nog meer goede tips om het moeilijk te maken voor dit soort aanvallen? Ik neem aan dat dit automatisch gebeurt vanuit eerder gehackte systemen ofzo? Ze zullen wel zoeken naar makkelijke targets, dus standaard poorten die open staan, makkelijke wachtwoorden, etc.?

Kan je trouwens inzichtelijk maken welke gebruikersnamen en wachtwoorden ze gebruiken zodravze geblokkeerd worden? Ik ben wel benieuwd of dit bijvoorbeeld wachtwoorden zijn uit lijstjes die op internet rondzwerven van sites of diensten waar eerder data is buitgemaakt of dat ze maar random letters en cijfers proberen.

zaterdag 27 juli 2019 12:47

Acties:

+1 Henk 'm!

MrBreaker

Topicstarter

wolly_a schreef op zaterdag 27 juli 2019 @ 12:20:
...

Kan je trouwens inzichtelijk maken welke gebruikersnamen en wachtwoorden ze gebruiken zodravze geblokkeerd worden? Ik ben wel benieuwd of dit bijvoorbeeld wachtwoorden zijn uit lijstjes die op internet rondzwerven van sites of diensten waar eerder data is buitgemaakt of dat ze maar random letters en cijfers proberen.

Ja dat staat in je log.

You may enlighten me!

zaterdag 27 juli 2019 12:59

Acties:

+1 Henk 'm!

jeroen3

wolly_a schreef op zaterdag 27 juli 2019 @ 12:20:
Zijn er nog meer goede tips om het moeilijk te maken voor dit soort aanvallen? Ik neem aan dat dit automatisch gebeurt vanuit eerder gehackte systemen ofzo? Ze zullen wel zoeken naar makkelijke targets, dus standaard poorten die open staan, makkelijke wachtwoorden, etc.?

Met een geschikte internetverbinding kun je het hele IPv4 scannen op open poorten in 45 minuten.

Als je die lijst filtert op open poorten 5000/5001, kun je daar met een script op checke of het synology draait.
En dat is niet zo moeilijk, want in de http 200 ok reply staat al dat het een synology apparaat is.

Veel mensen zijn te lui om het default password aan te passen, of hebben een veel te simpel wachtwoord. Als je deze dan probeert kun je -volledig automatisch- zo een lijstje maken met vrij toegankelijke synology servers.

Vervang hierboven Synology met IP camera, router of ander IoT apparaat en het de stappen zijn hetzelfde. Het is echt niet meer moeilijk.
De enige drempel is het verkrijgen van die internetverbinding, want als je op je Ziggo of KPN glas lijntje een port scan van het hele internet uitvoert sluiten ze je verbinding af.

[ Voor 17% gewijzigd door jeroen3 op 27-07-2019 13:03 ]

zaterdag 27 juli 2019 15:02

Acties:

0 Henk 'm!

wolly_a

@MrBreaker Ga ik daar even kijken. Ik ben benieuwd hoever ze zijn met mijn password.

@jeroen3 Als je een beetje alle veiligheidsinstellingen maakt en zorgt voor een deftig moeilijk password zou je safe moeten zitten. Toch word ik altijd een beetje zenuwachtig van zoveel pogingen in zo’n korte tijd.

Regioblokkade heb ik zojuist ingesteld. Dat scheelt aanzienlijk. Nu heb ik in plaats van 50 pogingen per minuut nog maar 30 pogingen per uur. Dat is al een mooi verschil.

Ik moet zeggen dat het Synology siert om ook dit soort mailtjes met adviezen te sturen. Als iedereen ook nog een beetje z’n best doet, scheelt dat veel.

zaterdag 27 juli 2019 15:20

Acties:

0 Henk 'm!

MrBreaker

Topicstarter

wolly_a schreef op zaterdag 27 juli 2019 @ 15:02:
@MrBreaker Ga ik daar even kijken. Ik ben benieuwd hoever ze zijn met mijn password.
...

Ik bedoel dat je kunt zien met welke user ze proberen in te loggen. Niet daadwerkelijke wachtwoord dat ze ingeven.

You may enlighten me!

zaterdag 27 juli 2019 18:38

Acties:

0 Henk 'm!

wolly_a

@MrBreaker Ik zie het. Het lijkt bij mij dat ze voornamelijk op de user SYSTEM proberen in te loggen. Dat is waarschijnlijk een ingebouwde user van DSM. Deze user staat ook in het logboek als het gaat om starten/stoopen van services.

Zou er ergens een zwakke plek in de beveiliging zitten? Bijvoorbeeld een zwak wachtwoord dat automatisch is gegenereerd voor user SYSTEM.

zaterdag 27 juli 2019 18:48

Acties:

+1 Henk 'm!

MrBreaker

Topicstarter

wolly_a schreef op zaterdag 27 juli 2019 @ 18:38:
@MrBreaker Ik zie het. Het lijkt bij mij dat ze voornamelijk op de user SYSTEM proberen in te loggen. Dat is waarschijnlijk een ingebouwde user van DSM. Deze user staat ook in het logboek als het gaat om starten/stoopen van services.

Zou er ergens een zwakke plek in de beveiliging zitten? Bijvoorbeeld een zwak wachtwoord dat automatisch is gegenereerd voor user SYSTEM.

Als ze als system kunnen inloggen, vind ik dit wel een zero day ookal wordt deze gebrute forced.

You may enlighten me!

zaterdag 27 juli 2019 18:56

Acties:

+2 Henk 'm!

johnkeates

Tsja, dit soort zaken moet je eigenlijk universeel afdekken: geen toegang van buiten af, geen zwakke wachtwoorden, gebruik altijd MFA en zorg voor offline backups.

zondag 28 juli 2019 10:21

Acties:

0 Henk 'm!

Skyrunner

Goedemorgen allen,

Sinds een paar weken zit ik met iemand die hardnekkig probeert op mijn Syn in te loggen middels de admin account. Omdat de pogingen vanaf schijnbaar willekeurige IP adressen komt kan ik helaas niet blokkeren op adres/oorsprong, dus sowieso heb ik een IP block ingesteld in de hoop dat er een lijstje van adressen in roulatie staat.

Daarnaast wordt de admin account, die overigens niet actief is, in protect gezet na 2 foutieve inlog pogingen binnen een minuut en voor de max periode.

Ik heb tevens Ziggo verzocht mijn modem te resetten om zo het dynamisch IP te veranderen, maar de aanvallen gaan gewoon door (heeft deze persoon mijn quick connect ID gevonden?).

Een reverse dns lookup op gebruikte IP's levert weinig op, behalve dat het domein amazonaws.com vaker terugkomt.

Wat kan ik nog meer doen om dit te stoppen? De persoon zal niet binnenkomen, maar het is irritant. Tips?

Bedankt alvast en fijne zondag!

It took the power of Commodore 64 to put man on the moon

zondag 28 juli 2019 10:25

Acties:

+2 Henk 'm!

kunnen

Je kunt je port forward (of nog erger: DMZ) naar je NAS weghalen zodat mensen vanaf het internet er uberhaubt niet meer bij kunnen.

zondag 28 juli 2019 10:27

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Skyrunner schreef op zondag 28 juli 2019 @ 10:21:
...
Sinds een paar weken zit ik met iemand die...

't Is niet één iemand; zie ook Synology Take Immediate Action to Protect Data Ransomware

QnJhaGlld2FoaWV3YQ==

zondag 28 juli 2019 10:29

Acties:

0 Henk 'm!

wolly_a

Je hebt hier mogelijk ook een e-mail over ontvangen van Synology met waarschuwing en tips.

Zie ook:
https://gathering.tweakers.net/forum/list_messages/1935742

@Brahiewahiewa was me net voor... In ieder geval kan je daar nog wat meer info vinden. Weinig aan te doen, behalve wat dingen instellen, zoals regioblokkade en zorgen voor goede wachtwoorden.

[ Voor 36% gewijzigd door wolly_a op 28-07-2019 10:30 ]

zondag 28 juli 2019 10:29

Acties:

0 Henk 'm!

Skyrunner

kunnen schreef op zondag 28 juli 2019 @ 10:25:
Je kunt je port forward (of nog erger: DMZ) naar je NAS weghalen zodat mensen vanaf het internet er uberhaubt niet meer bij kunnen.

Ik reis veel voor mijn werk, dus toegang van buitenaf is wel een ding. Maar mocht ik dat doen zouden de Syn apps wel gewoon blijven werken denk ik?

It took the power of Commodore 64 to put man on the moon

zondag 28 juli 2019 10:34

Acties:

+3 Henk 'm!

Brahiewahiewa

boelkloedig

Skyrunner schreef op zondag 28 juli 2019 @ 10:29:
[...]

Ik reis veel voor mijn werk, dus toegang van buitenaf is wel een ding. Maar mocht ik dat doen zouden de Syn apps wel gewoon blijven werken denk ik?

Nee, dat doen ze dan niet. Investeer in een fatsoenlijke vpn-oplossing

QnJhaGlld2FoaWV3YQ==

zondag 28 juli 2019 10:36

Acties:

+2 Henk 'm!

wolly_a

Misschien nog een aardige instelling voor een stukje extra veiligheid. Je kan per gebruikers groep instellen of deze diensten mag gebruiken of niet. Daarnaast kan je daar ook instellen dat alleen bepaalde ip adressen gebruik mogen maken van deze dienst. Voor mij zou het bijvoorbeeld prima acceptabel zijn wanneer ik DSM alleen vanuit mijn huisnetwerk kan benaderen.

zondag 28 juli 2019 11:09

Acties:

+3 Henk 'm!

lier

MikroTik nerd

Desnoods de VPN oplossing van je NAS zelf. Gebruik bij voorkeur L2TP/IPSEC of OpenVPN. Alle Synology apps werken prima hiervoor. Andere poorten dicht (wat heb je op dit moment open staan?).

Eerst het probleem, dan de oplossing

zondag 28 juli 2019 11:18

Acties:

+1 Henk 'm!

Skyrunner

Bedankt voor alle info tot dusver!

Ik had die mail van Synology dus niet ontvangen, maar ben nu volledig op de hoogte. Verder in aangehaald draadje en excuus voor het openen van een nieuw topic hiervoor.

It took the power of Commodore 64 to put man on the moon

zondag 28 juli 2019 12:54

Acties:

+2 Henk 'm!

sn0w13

Had hier ook last van op 2 van mijn servers.
Tot zo'n 10 pogingen per minuut.
Heb gewoon de standaard poort 5000 veranderd naar een andere en de aanvallen zijn onmiddellijk gestopt.

zondag 28 juli 2019 13:02

Acties:

+1 Henk 'm!

maratropa

Met @sn0w13 , standaard poorten open hebben is vragen om problemen, ik draai al jaren met de syno bereikbaar op een hoge xxxxxx poort en nog nooit 1 rare loginpoging gehad. Het is niet echt security maar met autoban aan er bij en een sterk wachtwoord waan ik mezelf redelijk safe.

specs

zondag 28 juli 2019 13:03

Acties:

0 Henk 'm!

lier

MikroTik nerd

Beste @sn0w13 , blij dat je dit hier hebt gepost! Wat je hier namelijk doet is symptoombestreinding. Het geeft je misschien een veilig gevoel, maar je bent hier echt helemaal niets opgeschoten.

Los van het feit dat je poort 5000 (en in feite elke service van Synology, afgezien van VPN) totaal niet naar buiten open wil hebben, staat je Synology nog steeds (naar mijn mening te veel) open.

Tenzij je het niet erg vindt dat buitenstaanders met wat moeite bij jouw privébestanden kunnen, want dan is dit een prima keuze.

[update] Idem voor @maratropa ...

[ Voor 3% gewijzigd door lier op 28-07-2019 13:04 ]

Eerst het probleem, dan de oplossing

zondag 28 juli 2019 13:18

Acties:

0 Henk 'm!

sn0w13

lier schreef op zondag 28 juli 2019 @ 13:03:
Beste @sn0w13 , blij dat je dit hier hebt gepost! Wat je hier namelijk doet is symptoombestreinding. Het geeft je misschien een veilig gevoel, maar je bent hier echt helemaal niets opgeschoten.

Los van het feit dat je poort 5000 (en in feite elke service van Synology, afgezien van VPN) totaal niet naar buiten open wil hebben, staat je Synology nog steeds (naar mijn mening te veel) open.

Tenzij je het niet erg vindt dat buitenstaanders met wat moeite bij jouw privébestanden kunnen, want dan is dit een prima keuze.

[update] Idem voor @maratropa ...

Ik weet dat het dan nog niet 100% veilig is maar deze Synology's draaien enkel voor camerabeveiliging.
Belangrijke gegevens staan er niet op.
In het ergste geval zijn ze snel terug geïnstalleerd.
Het valt me ook op dat enkel de servers die een ******.synology.me adres hebben aangevallen worden.
De andere met een quickonnect adres hebben nooit ergens last van.

zondag 28 juli 2019 13:20

Acties:

0 Henk 'm!

maratropa

@lier absolute veiligheid is natuurlijk een goed streven maar in de praktijk is nét ff veiliger (of onvindbaarder) zijn dan de buurman al een prima oplossing.

Ik ben benieuwd wat jij "wat moeite" noemt; even aangenomen dat iemand de syno inlog vind op de niet standaard poort, en autoban en de firewall aanstaat, en de boel up2date is; zijn er op dit moment lekken bekend waardoor toch iemand er zo inkomt, als user of admin?

specs

zondag 28 juli 2019 13:48

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Misschien wat overtrokken, @sn0w13 ...stel dat op die camerabeelden privacy gevoelige informatie staat. En dat deze op straat komt te liggen, omdat je (itt @maratropa die wat meer bewust lijkt te zijn van gevaren) niet van aanvullende beveiligingsinstellingen gebruik maakt. Iets anders...mogen jouw camera's op Internet, @sn0w13 ? Bevatten deze geen software waarmee ze onnodig naar buiten gaan?

Het gaat mij, in het algemeen, om bewustzijn. Om op een publieke website dit als veilig(er) te betempelen is wat mij betreft niet slim.

Eerst het probleem, dan de oplossing

zondag 28 juli 2019 13:49

Acties:

0 Henk 'm!

laurens0619

Het hangt een beetje van de dreiging af of draaien op afwijkende poorten helpt.
Voor een targeted attack helpt het niets nee

Voor een untargeted attack (waar de ts last van lijkt te hebben) is het een prima maatregel om het risico gehackt te worden omlaag te krijgen. Het kost de aanvallers teveel moeite om alle poorten af te gaan dus gaan ze liever naar “de buurman”.
Tegelijk is het ook weer een beetje “not done” omdat de hygiene juist op internet is om op standaard poorten te draaien. Met afwijkende poorten wordt het dus een zooitje. Dus een beetje it professional zal het (een organisatie) nooit adviseren (maar doet het thuis stiekem zelf wel

)

Volgende plaat laat visueel mooi zien wat ik bedoel (keer van microsoft gejat). Afwijkende poorten is een manier om de “known attacker playbook” te beinvloeden.

Afbeeldingslocatie: https://image.slidesharecdn.com/keynotevliem-170608091605/95/asmc-2017-martin-vliem-security-lt-productivity-lt-security-syntax-error-9-638.jpg?cb=1496913455

Afbeeldingslocatie: https://image.slidesharecdn.com/keynotevliem-170608091605/95/asmc-2017-martin-vliem-security-lt-productivity-lt-security-syntax-error-9-638.jpg?cb=1496913455

[ Voor 20% gewijzigd door laurens0619 op 28-07-2019 13:57 ]

CISSP! Drop your encryption keys!

zondag 28 juli 2019 13:58

Acties:

+3 Henk 'm!

yorroy

Ik heb dit jaren geleden ook een tijdje gehad, maar de aanvallen kwamen allemaal uit het midden oosten.
Ik heb toen ingesteld dat de nas alleen te bereiken was vanaf Nederlandse IP adressen. Als ik naar het buitenland ging voegde ik tijdelijk dat land ook toe.

Dit was een standaard beveiligingsinstellingen van DSM



zondag 28 juli 2019 14:00

Acties:

0 Henk 'm!

sn0w13

lier schreef op zondag 28 juli 2019 @ 13:48:
Misschien wat overtrokken, @sn0w13 ...stel dat op die camerabeelden privacy gevoelige informatie staat. En dat deze op straat komt te liggen, omdat je (itt @maratropa die wat meer bewust lijkt te zijn van gevaren) niet van aanvullende beveiligingsinstellingen gebruik maakt. Iets anders...mogen jouw camera's op Internet, @sn0w13 ? Bevatten deze geen software waarmee ze onnodig naar buiten gaan?

Het gaat mij, in het algemeen, om bewustzijn. Om op een publieke website dit als veilig(er) te betempelen is wat mij betreft niet slim.

Privacygevoelige beelden zijn het niet.
En natuurlijk zijn de Synology's meer dan standaard beveiligd.
Firewall ligt aan, standaardpoorten zijn veranderd, guest en admin account zijn uitgeschakeld, inlogpogingen worden geblokkeerd bij meer dan 2/60min, certificaat is aangemaakt bij true crypt en verkeer loopt via Https, ...

zondag 28 juli 2019 14:16

Acties:

+2 Henk 'm!

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Je moet een combinatie van oplossingen gebruiken.
1) standaard Syno poorten op je router doorzetten vanaf een andere poort. Dus bijv poort 45000 extern gaat naar 5000 intern. D.w.z. de standaard poort 5000 is dan van buitenaf niet meer zo snel te vinden (voor een bot die alleen de standaard Syno poorten afgaat)
2) firewall rule op je Syno instellen. Local LAN toestaan, eventueel de landen waar je op reis bent (met alleen de gewijzigde poorten), overige netwerken+poorten+landen op deny
3) nieuw account aanmaken met admin rechten en standaard admin account sluiten.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

zondag 28 juli 2019 17:55

Acties:

0 Henk 'm!

lier

MikroTik nerd

sn0w13 schreef op zondag 28 juli 2019 @ 14:00:
Privacygevoelige beelden zijn het niet.
En natuurlijk zijn de Synology's meer dan standaard beveiligd.
Firewall ligt aan, standaardpoorten zijn veranderd, guest en admin account zijn uitgeschakeld, inlogpogingen worden geblokkeerd bij meer dan 2/60min, certificaat is aangemaakt bij true crypt en verkeer loopt via Https, ...

Mooi, dan heb je het gelukkig redelijk goed voor elkaar!

Eerst het probleem, dan de oplossing

zondag 28 juli 2019 18:00

Acties:

+1 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Skyrunner schreef op zondag 28 juli 2019 @ 10:21:

Ik heb tevens Ziggo verzocht mijn modem te resetten om zo het dynamisch IP te veranderen, maar de aanvallen gaan gewoon door (heeft deze persoon mijn quick connect ID gevonden?).

en beetje kansloze actie. Het is vast geen wraakactie uit één persoon, maar het zijn gewoon botjes die hele IP-reeksen afscannen. Zorg gewoon dat je veilige en sterke wachtwoorden hebt. Alle laatste updates van Synology en dat je bij voorkeur niet te veel open zet naar buiten. Ikzelf zou liever een VPN adviseren, omdat NAS'sen erg een kwetsbaar doelwit zijn.

Poortje wisselen kan handig zijn, maar is wel symptoonbestrijding.

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zondag 28 juli 2019 18:19

Acties:

+1 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

sn0w13 schreef op zondag 28 juli 2019 @ 14:00:
[...]

certificaat is aangemaakt bij true crypt en verkeer loopt via Https, ...

Dat doet wer-ke-lijk he-le-maal niets; het maakt alleen maar onderscheppen van data moeilijker/"onmogelijk", maar draagt nul bij aan buiten houden van ongewenste verbindingen / inlogpogingen.

Niet dat het verkeerd is, helemaal niet, het is zelfs goed. Maar het hoort niet in dat rijtje thuis

[ Voor 12% gewijzigd door RobIII op 29-07-2019 12:34 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 28 juli 2019 18:22

Acties:

0 Henk 'm!

Headshot_NL

Met mijn Qnaps heb ik het zelfde ervaren. Om er vanaf buiten alsnog makkelijk bij te kunnen komen heb ik de standaard poorten aangepast. Vanaf dat moment geen enkele inlogpoging meer gezien.
Dat lijkt me de meest werkbare oplossing zoals hierboven vaker is aangegeven.

🚗 Hyundai Ioniq electric premium 28kWh | ☀️ 4350Wp oost, 1005Wp zuid, 2940Wp west | 🌡️ LG 3,5kW + 2,5kW warmtepomp | 🔋 Marstek Venus 5,12kWh v151 + HW P1

zondag 28 juli 2019 18:26

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

maratropa schreef op zondag 28 juli 2019 @ 13:02:
Met @sn0w13 , standaard poorten open hebben is vragen om problemen, ik draai al jaren met de syno bereikbaar op een hoge xxxxxx poort en nog nooit 1 rare loginpoging gehad. Het is niet echt security maar met autoban aan er bij en een sterk wachtwoord waan ik mezelf redelijk safe.

Dat is het niet. Services op rare poorten gaan draaien is niets meer dan security through obscurity.

Wat voor SSH beter is om alleen key-based auth toe te staan, bijvoorbeeld.

Daarnaast kun je op een normale Linux-bak fail2ban draaien om brute-force attacks te blokkeren. Geen idee of je ook zoiets op een Synology-NAS kunt draaien.

Gewoon een heel grote verzameling snoertjes

zondag 28 juli 2019 18:33

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Compizfox schreef op zondag 28 juli 2019 @ 18:26:
[...]
Daarnaast kun je op een normale Linux-bak fail2ban draaien om brute-force attacks te blokkeren. Geen idee of je ook zoiets op een Synology-NAS kunt draaien.

No prob

http://www.iholken.com/in...ke-owncloud-or-wordpress/

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zondag 28 juli 2019 18:51

Acties:

0 Henk 'm!

laurens0619

Alhoewel services op andere poorten inderdaad security through obscurity heet, betekent dat niet dat het niets toevoegd.

Tenminste, op zichzelf is het een slechte control(bv andere poort maar outdated/geen authenticatie) maar als onderdeel van de keten is het een prima toevoeging (zoals bij ts).

Helemaal voor untargeted attacks en mij nieuwe kwetsbaarheden geeft het je meer tijd om te patchen omdat ze in het algemeen pas later langskomen

CISSP! Drop your encryption keys!

maandag 29 juli 2019 07:41

Acties:

0 Henk 'm!

Skyrunner

AW_Bos schreef op zondag 28 juli 2019 @ 18:00:
[...]

en beetje kansloze actie. Het is vast geen wraakactie uit één persoon, maar het zijn gewoon botjes die hele IP-reeksen afscannen. Zorg gewoon dat je veilige en sterke wachtwoorden hebt. Alle laatste updates van Synology en dat je bij voorkeur niet te veel open zet naar buiten. Ikzelf zou liever een VPN adviseren, omdat NAS'sen erg een kwetsbaar doelwit zijn.

Poortje wisselen kan handig zijn, maar is wel symptoonbestrijding.

Ik was totaal niet bekend met dit soort aanvallen, laat staan wie en hoeveel bronnen achter de aanval zitten, vanwaar ook mijn post hier.

VPN wil ik gaan bekijken, de Synology eigen service dan daar een VPN abonnement me een beetje overkill lijkt voor de enkele keren per week dat ik remote inlog.

Voorlopig de boel zodra thuis resetten ; bij het aanpassen vh wachtwoord heeft Safari ergens een oepsje gemaakt, met als gevolg dat niets of niemand weet wat nu het echte ww is. Daarna geografische restricties instellen.

It took the power of Commodore 64 to put man on the moon

maandag 29 juli 2019 10:32

Acties:

+2 Henk 'm!

lier

MikroTik nerd

Skyrunner schreef op maandag 29 juli 2019 @ 07:41:
VPN wil ik gaan bekijken, de Synology eigen service dan daar een VPN abonnement me een beetje overkill lijkt voor de enkele keren per week dat ik remote inlog.

Synology heeft een eenvoudige HowTo:
https://www.synology.com/.../help/VPNCenter/vpn_setup

Let op, gebruik geen PPTP: dan lever je weer in op je veiligheid!

Met een VPN abonnement krijg je overigens geen toegang tot je lokale netwerk. Dit is alleen bedoeld om je als Internet gebruiker een beetje te anonimiseren.

Eerst het probleem, dan de oplossing

maandag 29 juli 2019 10:58

Acties:

0 Henk 'm!

BonJonBovi

Er zijn meerdere zaken die je kan ondernemen om de kans te verkleinen dat een kwaadwillende toegang verkrijgt tot je NAS.

Al eerder genoemd in dit topic: gebruik fail2ban zodat brute-forcen lastiger wordt, port-forwarding minimaal houden, de Synology admin pagina alleen lokaal beschikbaar maken en mocht het echt essentieel zijn om ook extern hiertoe toegang te hebben, dan alleen via een VPN verbinding. Verder kan je de SSH beveiliging opschroeven (bijv. geen root user, geen passwords maar keys gebruiken, 2-FA instellen, ook fail2ban instellen bij SSH, etc.). Eventueel kan je ook in je firewall connecties vanuit bepaalde landen volledig blokkeren. Mijn ervaring is dat China, Rusland en Korea relatief erg actief zijn.

Wat in het algemeen een goede tip is voor Docker gebruikers, is het opzetten van een reverse proxy (bijv. met Traefik) voor al je services. Daardoor hoef je geen extra poorten te forwarden en loopt alles via port 80 of 443. Mooi meegenomen: Traefik regelt ook https certificaten. Om je services verder te beveiligen, kan je een forward authentication instellen, zodat alleen (bepaalde) mensen met een account van o.a. gmail of github kunnen inloggen.

maandag 29 juli 2019 11:15

Acties:

0 Henk 'm!

Royz

Kleurenblind!!

Ik heb meerdere Synology apparaten waaronder een oude 209. Deze software is helaas nooit meer geüpdate (blijven hangen op v3) dus ik ben sowieso een beetje bang voor dit apparaat. Heb hem uiteindelijk maar zo geconfigureerd dat hij niet te benaderen is van buitenaf. Ik zal eens in de logging kijken van die andere (ook met firewall block etc), want ondanks dat ik nooit wat heb gemerkt wil natuurlijk niet zeggen dat er niks gebeurt.... thanks voor de info allemaal in dit topic!

Fotografie kanalen: Website - Royz.nl | YouTube - @Royz.nl | Instagram - @Royz.nl.

woensdag 31 juli 2019 07:38

Acties:

0 Henk 'm!

UninPro

lier schreef op maandag 29 juli 2019 @ 10:32:
[...]

Synology heeft een eenvoudige HowTo:
https://www.synology.com/.../help/VPNCenter/vpn_setup

Let op, gebruik geen PPTP: dan lever je weer in op je veiligheid!

Met een VPN abonnement krijg je overigens geen toegang tot je lokale netwerk. Dit is alleen bedoeld om je als Internet gebruiker een beetje te anonimiseren.

Mijn Synology heb ik voor zover mogelijk beveiligd met eerder genoemde voorbeelden.
Echter is een VPN verbinding opzetten nooit een succes geweest. Door dit topic ben ik weer getriggerd maar ik heb toch echt hulp nodig.
Ik maak gebruik van NordVPN. Het opzetten van een VPN verbinding op de NAS gaat ook via "Netwerk" in het configuratiescherm. Via de browser werkt het dan nog maar via de Synology Drive app op de telefoon kan ik geen verbinding meer maken. Een onderdeel die voor mij toch van belang is.
Het werkt dus enigszins maar lijkt niet helemaal compatible met alle functionaliteiten die ik wil gebruiken binnen mijn Synology systeem.

woensdag 31 juli 2019 07:52

Acties:

+2 Henk 'm!

jeroen3

@UninPro Je probeert een uitgaande VPN in te stellen. @lier bedoelde een inkomende VPN. Zodat je telefoon via de VPN Server met je nas verbind.

Een derde partij als VPN verbinding zal vrijwel nooit werken omdat je daar geen publiek IP van krijgt, en dus geen portforwards kan instellen. (tenzij je daar extra voor betaald natuurlijk)

woensdag 31 juli 2019 08:16

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Idd, mensen halen hier allerlei 3rd party VPNs erbij maar das in deze usecase totaal niet interessant.

Staat ook letterlijk in de link van lier:

VPN Server instellen
Met het pakket VPN Server maakt u van uw Synology NAS een VPN-server zodat SRM-gebruikers op externe en beveiligde wijze toegang hebben tot gedeelde bronnen van het LAN-netwerk van uw Synology NAS. Door de integratie van gebruikelijke VPN-protocollen, PPTP, OpenVPN en L2TP/IPSec, biedt VPN Server opties om VPN-services op maat in te stellen en te beheren.

Gewoon gratis OpenVPN server in je netwerk en je hoeft niks meer open te hebben staan naar buiten.

[ Voor 52% gewijzigd door FreakNL op 31-07-2019 08:19 ]

woensdag 31 juli 2019 08:55

Acties:

+1 Henk 'm!

MrBreaker

Topicstarter

Doe voortaan gewoon een topicreport aub en laat het modereren aan ons over.

[ Voor 83% gewijzigd door RobIII op 31-07-2019 11:14 ]

You may enlighten me!

Onderwerpen