Synology waarschuwt voor malware die nas-apparaten infecteert

Nas-producent Synology waarschuwt dat er een sterke toename is van het aantal bruteforce-aanvallen op Synology-apparaten met behulp van het StealthWorker-botnet. Krijgt het botnet toegang tot een nas, dan wordt deze toegevoegd aan het botnet.

Volgens het Incident Responseteam van Synology, dat een bericht uitstuurde over het gevaar van het botnet, heeft StealthWorker zijn pijlen gericht op nas-apparaten van Synology, maar gebruikt het voor zover bekend geen softwarekwetsbaarheden. Het botnet probeert met bruteforce-aanvallen veelvoorkomende adminwachtwoorden te raden om zo een apparaat binnen te komen. Als dat lukt, installeert het een kwaadaardige payload op een nas, die ook ransomware kan bevatten.

Besmette apparaten worden vervolgens gebuikt om meer aanvallen uit te voeren op andere Linux-apparaten. Synology is nog op zoek naar een manier om het botnet uit te schakelen, door de servers achter de malware te vinden.

Synology waarschuwt administrators dat ze extra moeten oppassen met het gebruik van makkelijk te raden wachtwoorden, dat ze autoblock en accountbescherming aan moeten zetten en als het kan tweestapsverificatie aan moeten zetten.

Het botnet StealthWorker is al langer actief; het werd in februari 2019 ontdekt door Malwarebytes. Toen was het botnet vooral gericht op webwinkels door contentmanagementsystemen aan te vallen, met name Magento, phpMyAdmin en cPanel. Malwarebytes ontdekte toen al dat een deel van de malware speciaal gemaakt was voor bruteforce-aanvallen en er bot-communicatie was, wat de mogelijkheden voor een botnet suggereerde. Een maand later ontdekte FortiGuard Labs dat StealthWorker schakelde naar het uitvoeren van bruteforce-aanvallen op Linux- en Windows-apparaten.

Reacties (359)

Just Me Or Tha One 10 augustus 2021 09:08

Aanvullend heb ik de firewall aanstaan met blokkade op land-niveau, met een reverse proxy. Dat helpt niet als de boef VPN gebruikt in een niet geblokkeerd land, echter scheelt het al wel een bulk in aanvallen. Deze site https://mariushosting.com/ heeft heel veel eenvoudige how-to's:
https://mariushosting.com/synology-how-to-use-reverse-proxy/
https://mariushosting.com/how-to-set-up-synology-firewall-geoip-blocking/

Jerie

@Just Me Or Tha One • 10 augustus 2021 09:56

De vraag is waarom de hele wereld (of heel Nederland) met een NAS moet verbinden. Ik gebruik gewoon een VPN (Wireguard). Zonder VPN kom je nergens bij. Zelfs niet HTTP(S) of SSH.

paulrom @Jerie • 10 augustus 2021 10:35

Heb je nog tips of een link hoe je Wireguard het beste kan gebruiken i.c.m. een NAS? Ik ben aan het zoeken, maar tips zijn altijd welkom. Ik gebruik een QNAP en het lijkt alsof er support op komst is. Ik ben vooral benieuwd hoe het het beste te configureren is.

-- edit: goede tips hieronder, waarvoor dank!

[Reactie gewijzigd door paulrom op 22 juli 2024 16:34]

EelcoG @paulrom • 10 augustus 2021 11:07

Zelfs in het Nederlands: https://www.synology-foru...beter-beveiligde-openvpn/
Een manier om, op de Synology NAS, OpenVPN te draaien, en dat vervolgens dicht te timmeren zodat je er alleen met certificaten op kunt inloggen.

En inderdaad, die VPN is de toegang tot de rest van het systeem. Er is geen externe toegang tot de NAS.

thomas1907 @EelcoG • 10 augustus 2021 12:30

Ik heb altijd problemen gehad met OpenVPN op de Synology NAS omdat (iirc) mijn router dan niet weet waar hij de data voor de VPN heen moet sturen.
Met een rpi zero en OpenVPN/Wireguard via deze (makkelijke) installer werkt wel perfect:
https://github.com/angristan/openvpn-install
https://github.com/angristan/wireguard-install

Luuk2015 @thomas1907 • 10 augustus 2021 12:41

Voor een Raspberry Pi gebruik ik zelf altijd PiVPN, is imo eenvoudiger dan de door jouw gestuurde links. PiVPN biedt naast OpenVPN ook Wireguard aan.

Frij5fd @Luuk2015 • 10 augustus 2021 20:45

Die gebruik ik ook, in combinatie met Wireguard (een stuk sneller dan OpenVPN wat ik er eerst op gezet had). Voordeel van een losse Raspberry pi is dat het door blijft draaien ondanks wat je NAS misschien voor problemen heeft (bij upgrades) etc. Op vakantie heb je dan ook meteen minder reclames, als je ook Pihole gebruikt (doe ik op een tweede Pi)

Verwijderd @thomas1907 • 10 augustus 2021 17:31

Misschien kan je ook eens kijken naar TailScale, dat is een VPN-oplossing op basis van WireGuard, maar je hoeft geen poorten open te zetten, en alles is end-to-end encrypted: https://tailscale.com/

Zo te zien is er ook een Synology package: https://github.com/tailscale/tailscale-synology

yoswa @Verwijderd • 10 augustus 2021 20:21

Is dit zoiets als zero-tier? Ziet er goed uit, ga daar eens naar kijken

well0549 @EelcoG • 10 augustus 2021 12:11

Of een router met vpn mogelijkheden.

Openvpn client voor alle uitgaande verkeer. Een de synology daar doorheen tunnellen

En dan vpn server voor inkomend verkeer.

Werkt prima, op een asus router zit het allemaal

Jerie

@paulrom • 10 augustus 2021 10:54

Niet iedere NAS is hetzelfde. Ik gebruik het al tijden voor Synology / DSM, maar zelf compileren was nogal een gedoe (voor DSM). Inmiddels is dat niet meer nodig. Officiële support is aan te raden, en die staan hier aangegeven: https://www.wireguard.com/install/ hier zie ik Qnap niet bij staan. Voor Synology heb je iig https://github.com/runfalk/synology-wireguard

Als dat geen optie is kun je Nix of Docker proberen. Met Docker kun je relatief eenvoudig importeren en exporteren. Zo heb ik van mijn Synology machine een backup machine gemaakt en dat was eenvoudig migreren want Docker. Met Nix is het, na de learning curve, nog eenvoudiger.

De config van Wireguard is zo simpel dat je die eenvoudig kunt importeren en exporteren. Bij bijv EdgeOS (Ubiquiti), wat mijn primaire endpoint is, moet je wel e.e.a. doen om persistent te maken na reboot.

Tweaqer

@Jerie • 10 augustus 2021 11:11

Wat is het voordeel van Wireguard tov de ingebouwde VPN? Ben benieuwd, wilde net VPN op DSM 7 gaan configureren

deadderek @Tweaqer • 10 augustus 2021 11:32

Wireguard is snel en bestaat uit een relatief hele compacte codebase wat de attack surface veel kleiner maakt.

Luuk2015 @deadderek • 10 augustus 2021 12:59

Dit inderdaad, maar het gebruik van Wireguard is vaak ook een stuk eenvoudiger voor de gebruiker.

d3burt

@deadderek • 10 augustus 2021 17:27

De laatste keer dat ik ernaar keek zou ik teveel functionaliteit kwijtraken. Ik gebruik van OpenVPN bijvoorbeeld de mogelijkheid om routes naar de client te pushen, zodat ik niet van iedere client de configuratie hoef aan te passen als er iets in mijn netwerk verandert.

kaphuis @Jerie • 10 augustus 2021 18:40

Voor qnap zit dit er in vanaf QTS 5.0
Zie https://www.qnap.com/qts/5.0/nl-nl/

firedancer-88 @paulrom • 10 augustus 2021 11:02

Geen antwoord op jouw vraag, maar voor anderen met een Synology zou ik zeggen check deze handige link om te zien hoe je bijv. OpenVPN op je synology aan kan zetten: https://www.wundertech.ne...erver-setup-configuration

well0549 @firedancer-88 • 10 augustus 2021 12:13

Beter aan zetten op je router

firedancer-88 @well0549 • 10 augustus 2021 12:17

Puur uit nieuwsgierigheid hoor, maar wat maakt dat alternatief beter?

Enige dat ik kan bedenken is dat je zo de load op je NAS verlaagd en als je full tunnel VPN opzet, dat het je 1 netwerk hop scheelt.

Ik heb best zitten stoeien om dit werkend te krijgen (met name om in te kunnen loggen op de synology apps op mijn telefoon als ik op 4g netwerk zat, maar dat kwam door de custom ports :-D)
Ik had dus ook openVPN op mijn router geprobeerd, maar uiteindelijk toch voor de Synology gegaan omdat ik de UI ervan wat overzichtelijker vind. Maar ben wel benieuwd of het de moeite waard is toch over te stappen.

Shadow771 @firedancer-88 • 10 augustus 2021 14:11

Op je router is aanzetten is beter want dan stroomt de netwerk packetten efficienter door je netwerk. Bovendien, een router is meer bedoeld voor netwerk routeringen (het heet ook een 'router'

) wat eigenlijk met een VPN tunnel gebeurd aangezien het ook een layer 4 device is. Een NAS is eigenlijk voor storage en andere eventuele layer 7 services.

Jerie

@Shadow771 • 10 augustus 2021 16:46

Zo heb ik 't ook, maar ik gebruik ook Wireguard tussen router en Synology. Gewoon omdat het kan. Plus, ik ga de Synology off-site zetten. Het Wireguard IP address blijft dan hetzelfde.

Shadow771 @Jerie • 10 augustus 2021 16:58

WireGuard tussen 2 interne LAN devices heeft naar mijn inziens totaal geen nut. Maar wel natuurlijk als de WireGuard tunnel over een WAN verbinding moet.

Jerie

@Shadow771 • 10 augustus 2021 18:23

Ik doe het, om eerlijk te zijn, vooral omdat het kan zonder noemenswaardige performance loss.

Maar het heeft wel degelijk voordelen. Je kunt dan software draaien die alleen via Wireguard te benaderen is. Daarnaast kun je bijvoorbeeld IP adressen statisch assignen, terwijl ze verder dynamisch kunnen zijn (bijv DHCP). Verder gebruik ik over wireless (WLAN, 4G) altijd Wireguard.

firedancer-88 @Shadow771 • 10 augustus 2021 14:14

Makes sense, dank voor je toelichting. Ik ga het in overweging nemen :-)

xbeam @paulrom • 10 augustus 2021 11:07

Voor thuis kan je ook gewoon een pi als v-n server gebruiken
https://anton-puetz.mediu...spberry-pi-4-fce1e647abf4

[Reactie gewijzigd door xbeam op 22 juli 2024 16:34]

DefaultError @paulrom • 10 augustus 2021 11:44

Ik gebruik het als video/muziek server maar ook als backup voor bestanden. Bij het gebuik waar ssh nodig is zet ik deze achteraf ook weer uit. Dat voorkomt een bruteforce. Nu heb ik de nas op wake on lan om actief te worden, scheelt weer iets aan stroom. Zo ben ik in staat om het gebruik te minimaliseren en voorkomt activiteiten van buiten, het internet.

.MaT @Jerie • 10 augustus 2021 10:47

VPN werkt niet op altijd op elk netwerk (zit atm op een netwerk waar UDP geblokkeerd is, pech wireguard) en niet op elk toestel wil/kan/mag je VPN installeren. Met HTTP(S) heb je wel zo goed als 100% garantie dat je je toestel kan benaderen.

Voor aanvallen als dit is VPN absoluut niet nodig ook. Als je geen admin account hebt ben je al safe voor deze specifieke aanval. Als je een sterk wachtwoord hebt is de kans astronomisch klein dat ze het raden.

Jerie

@.MaT • 10 augustus 2021 10:57

Met een VPN als enige externe service is je attack surface simpelweg een stuk lager dan dat de hele wereld met je HTTPS server mag praten.

.MaT @Jerie • 10 augustus 2021 11:39

Klopt, en het nut van mijn NAS is nul als ik zelf niet kan verbinden omdat de VPN op één of andere manier niet mogelijk is.

Je kan alles beveiligen tot wanneer het onwerkbaar is en dat is ook niet de bedoeling. VPN is veel gevallen, en ook het mijne, niet werkbaar als enige toegangspunt. VPN is gelukkig ook niet de enige methode om iets te beveiligen, anders konden we naar geen enkele site gaan zonder VPN.

Nogmaals, tegen dit soort aanvallen bestaat er meer dan afdoende beveiliging zonder dat je in functionaliteit moet inboeten.

Jerie

@.MaT • 10 augustus 2021 13:32

Dan nog geldt Jerie in 'nieuws: Synology waarschuwt voor malware die nas-apparaten infecteert'

Het is zeer, zeer onaannemelijk dat de hele wereld met jouw NAS moet kunnen verbinden (of met je Kodi, of met je NFS, of je SSH, of weet ik veel wat dat ding allemaal doet).

VPN is gelukkig ook niet de enige methode om iets te beveiligen, anders konden we naar geen enkele site gaan zonder VPN.

'Jouw NAS' is niet vergelijkbaar met 'een willekeurige site'. Zo'n willekeurige site draait in een serverruimte, en ook deze behoort niet zomaar bijvoorbeeld SSH vanaf ieder IP adres toe te staan. Ja, HTTPS wellicht wel, maar dat is dan een specifieke kerntaak.

Wat wel fijn is, is dat Let's Encrypt self-hosting van HTTPS tegenwoordig eenvoudig maakt. Maar dan nog is het de vraag of je dit wel allemaal moet willen op een thuisverbinding met een privéserver. Ik denk het niet. Hou dat ding privé zodat de attack surface laag blijft, en host je content lekker op een goedkoop VPSje.

well0549 @.MaT • 10 augustus 2021 12:15

Nou ja, vpn client op je router voor uitgaande verkeer, daar je syno doorheen tunnellen.

Dan vpn server op je router aan zetten en klaar, zit standaard in asus router en staat met drie klikken aan..

Dan kun je er van buiten nog bij

[Reactie gewijzigd door well0549 op 22 juli 2024 16:34]

SpoekGTi @well0549 • 10 augustus 2021 12:59

Niet iedereen heeft een asus router.

Ge Someone @.MaT • 10 augustus 2021 14:38

Of Two Factor Authentication (2FA) aan zetten voor het admin(istrator) account. En voor het benaderen van de data andere account(s) gebruiken. Mijn mediaspeler gebruikt bijvoorbeeld een read-only account.
https://mysynology.nl/synology-veiliger-met-2fa/ is een voorbeeld. Je kunt natuurlijk je eigen E-mail en een authenticator van een ander (dan Google) gebruiken.

orvintax @.MaT • 10 augustus 2021 13:19

zit atm op een netwerk waar UDP geblokkeerd is, pech wireguard

Interessant dat UDP volledig wordt geblokkeerd, maar Wireguard heeft ook ondersteuning voor TCP.

DaLass @orvintax • 10 augustus 2021 14:20

Hebben we het over dezelfde WireGuard?
Uit de Known Limitations:

Known Limitations
WireGuard is a protocol that, like all protocols, makes necessary trade-offs. This page summarizes known limitations due to these trade-offs.

TCP Mode
WireGuard explicitly does not support tunneling over TCP, due to the classically terrible network performance of tunneling TCP-over-TCP. Rather, transforming WireGuard's UDP packets into TCP is the job of an upper layer of obfuscation (see previous point), and can be accomplished by projects like udptunnel and udp2raw.

.MaT @orvintax • 10 augustus 2021 14:13

Do tell..
Ik kan al een beetje raden welke kant je op wil.

WireGuard explicitly does not support tunneling over TCP, due to the classically terrible network performance of tunneling TCP-over-TCP. Rather, transforming WireGuard's UDP packets into TCP is the job of an upper layer of obfuscation (see previous point), and can be accomplished by projects like udptunnel and udp2raw.

De specifieke usecase is wireguard op android. Hoe pak ik dat aan?

elsinga @Jerie • 10 augustus 2021 10:48

In mijn geval host ik ook enkele websites op mijn NAS. En daar heb ik bezoekers van over de hele wereld op.

Ik gebruik overigens wel 2FA plus een sterk wachtwoord en heb het standaard admin account uitgeschakeld. Zal dus qua besmetting meevallen.

KoffieAnanas @elsinga • 10 augustus 2021 11:08

Ik heb op mijn QNAP daarnaast ook een andere poort ingesteld. Voor nog een extra laagje bescherming.

Ik host overigens geen websites, dus die service staat uit.

Jerie

@KoffieAnanas • 10 augustus 2021 13:39

Dit biedt niet extra bescherming, dit zorgt voor iets minder traffic/load en schonere logs. Je server is hier niet meer of minder veilig door. Het houdt hoogstens wat scriptkiddies tegen die Shodan afstruinen.

elsinga @KoffieAnanas • 10 augustus 2021 13:52

Oh, mijn NAS draait ook niet op de standaard poorten, maar via een reverse proxy met eigen hostname. Plus aardig strenge block regels, dus meer dan 3 pogingen in een dag krijgen ze niet.

Just Me Or Tha One @Jerie • 10 augustus 2021 10:46

Ik gebruik de ingebouwde VPN-server van Synology. Daarom heb ik minimaal toegang nodig vanuit het land waar ik ben. Een optie is natuurlijk een apart apparaat met VPN, echter heb je daar dezelfde uitdaging met toegang vanuit welk land etc.
Daarnaast is VPN niet voor elke situatie handig (foto's delen, in de toekomst bitwarden beschikbaar maken, bestanden delen met vrienden/bekenden).

Zezura @Jerie • 10 augustus 2021 11:30

Zelfs niet?, SSH moet je NOOIT exposen naar Internet. Dat is afgeraden.

Jerie

@Zezura • 10 augustus 2021 13:37

Mensen wanen zich nog wel eens veilig omdat er in OpenSSH Server weinig remote holes gevonden worden (zeker in vergelijking met iets als BIND

) maar dan nog is het onverstandig en bovenal onnodig om 0/0 te laten kunnen verbinden met SSH. Overigens kun je ook tunnelen over SSH, dan is het een poor man's VPN. Als ik OpenSSH's track record daarentegen vergelijk met OpenVPN (en dus niet met Wireguard!) dan heb ik meer vertrouwen in OpenSSH. En als ik dan zou moeten kiezen tussen SSH voor 0/0 allowen of OpenVPN voor 0/0 allowen dan kies ik voor het eerste.

Zezura @Jerie • 10 augustus 2021 15:02

ja maar wie gebruikt er dan weer OpenVPN voor private netwerk access.
IPSec of Wireguard anders niet.

ik bedoel er zijn zoveel bad practices, je MySQL (MariaDB) Database aan het internet exposen is er ook zo een.

Lachen dit haha.

Jerie

@Zezura • 10 augustus 2021 16:44

Nou ja, standaard zit in DSM al enkel OpenVPN, dacht ik (Wireguard iig niet). Lees hier in de comments maar hoe populair OpenVPN is. IPsec is moeilijk te configureren tov Wireguard, dat is een nadeel. Qua performance zijn ze allebei prima.

MySQL/MariaDB is inderdaad nog eentje, maar ook die heeft een minder goede track record dan OpenSSH. En toch zijn het exact de thuisgebruikers/amateurs die dit soort dingetjes fout configureren.

walberg @Jerie • 10 augustus 2021 15:53

Ik heb ooit ook eens een VPN geprobeerd maar op dat moment kon ik ook bijna 99 procent van de sites die ik voorheen bezocht niet meer bereiken.

Jerie

@walberg • 10 augustus 2021 16:35

Waarschijnlijk ging er dan iets mis met je routing of je DNS instellingen.

Verwijderd @Jerie • 10 augustus 2021 18:21

En dan waarom niet beide, enkel een vpn kunnen maken vanuit Nederland.

CaptainKansloos @Jerie • 10 augustus 2021 19:14

Dat is een prima strategie, maar daarmee zet je wel 'Personal-Cloud'-achtige toegang tot je data vanaf het internet uit. Ik gebruik bv QSync op een QNAP voor 'road-warrior' scenario's, dat is onhandig om dat uitsluitend via VPN aan te bieden.

Maar met gebruiks gemak komen risico's. De meeste QNAP apps ondersteunen 2-factor authenticatie, dat scheelt. Een FW met land IP blokkade is weer niet zo handig wanneer je net nu op vakantie bent in het buitenland, maar dat zou je selectief open kunnen zetten natuurlijk.

Kortom, uitsluitend VPN toegang is veilig (mits goed geconfigureerd), maar alternatieve oplossingen kun je ook - met wisselend succes - veilig configureren.

Jerie

@CaptainKansloos • 10 augustus 2021 22:21

Waarom? Daar kun je nog steeds bij, via je VPN. Of bedoel je iets als foto's delen? Ik zou dat niet zelf hosten met allerlei bekenden. De reden is dat ik de kans groot acht dat er in zo'n stack vulnerabilities zitten. Dat zou je op kunnen lossen door een specifieke machine te hosten (bijv op Nextcloud) met data die je wel wilt delen met derden.

Je zou dat op kunnen lossen met 2 VPN configuraties. Eentje voor road warrior, en eentje voor toegang tot NAS / LAN.

Maar de vraag is dan of je wilt dat men meteen bij je NAS data kan als je bijv je telefoon kwijt zou geraken of deze gecompromitteerd wordt. Je zou er namelijk ook voor kunnen kiezen de road warrior setup standaard te gebruiken, en de toegang voor NAS enkel op eigen WLAN (over Wireguard, als extra security layer).

McBacon @Jerie • 11 augustus 2021 09:57

En wat nou als Wireguard een vulnerability heeft en ze meteen toegang hebben tot je hele netwerk.

Uiteindelijk maakt het niet uit welk protocol je openstelt, er moet ergens een point of entry zijn. Die moet hoe dan ook goed beveiligd zijn, heb jij bijvoorbeeld IP whitelisting op je VPN? Username/password of ook certificate authentication? Smartcard misschien?

Jerie

@McBacon • 11 augustus 2021 16:52

Wireguard heeft een lagere attack surface dan OpenVPN, IPsec, of OpenSSH omdat het maar 5k regels code C zijn geschreven door een kundig programmeur. De code is ook gereviewed en geaudit. Dus jouw 'wat als' is onwaarschijnlijker dan andere points of entry. Ik heb op Wireguard geen whitelisting. Het draait op de standaard UDP port. Je zou het op een andere kunnen draaien, hij reageert pas nadat je de juiste public key hebt gestuurd. Certificate authentication is altijd sprake van bij Wireguard. Het feit dat je dat niet weet, zegt mij dat jij weinig kaas hebt gegeten van hoe Wireguard werkt. Yubikey hebben mijn devices nodig om op in te loggen. Je vergat trouwens nog MFA/2FA te benoemen. Allemaal overkill voor een thuis infra. Behalve de default lagere attack service van je single point of entry.

McBacon @Jerie • 11 augustus 2021 18:32

Ik heb inderdaad nooit iets gedaan met Wireguard, maakt ook niet uit want in mijn vorige comment kun je het ook gewoon vervangen met andere VPN types. Dat Wireguard minder complex is en dus minder kans op bugs heeft, is ook niet relevant. Het gaat erom dat je *iets* moet openzetten voor externe toegang en dat is altijd een risico. Ik heb het idee dat mensen vaak denken dat een VPN iets magisch is wat niet gehackt kan worden, wat helemaal niet zo is en wanneer het gehackt wordt je waarschijnlijk nog grotere problemen hebt dan als je alleen bijv. HTTPS openzet/forward.

Smartcards kun je gebruiken als 2e factor, dus ik heb het wel degelijk benoemd. ;] En volgens mij is 2FA voor thuis helemaal geen overkill; je moet het al bij zoveel dingen instellen, waarom dan niet je VPN?

En denk je daarnaast niet dat mensen met een Synology niet gewoon L2TP+IPsec of OpenVPN zullen gebruiken? Zit allebei volgens mij gewoon ingebouwd, veel makkelijker toch. ;]

Jerie

@McBacon • 11 augustus 2021 20:08

Nee, je vorige comment kun je niet met andere VPN types vervangen. Wireguard is volledig FOSS en maar 5k regels C, geaudit, door een ervaren programmeur geschreven. Linus Torvalds was bijvoorbeeld onder de indruk van de code. OpenVPN en IPsec hebben die track record niet, hebben een veel grotere code base, en een slechtere track record. Kun je gewoonweg niet omheen. Dat niets veilig is, is dan een dooddoener. Dat is nogal wiedes. Jij kunt ook zometeen doodgaan aan een hartaanval. Maar daar gaan we geen rekening mee houden.

Je kunt bij Wireguard al twee factoren gebruiken, een PSK en een public/private keypair. Verder doet Wireguard geen authenticatie, dat doet een andere laag, zoals bijvoorbeeld PAM of BSD_Auth. Iets met KISS.

Verder is het een keuze waar je het VPN voor gebruikt. Je kunt het als roadwarrior setup gebruiken met of zonder toegang tot je LAN en/of andere services.

haam @Jerie • 11 augustus 2021 11:17

Maar hoe komt de NAS dan aan zijn updates? Neem aan dat dat buiten de VPN om gebeurd.

Ik ben ook wel benieuwd welke informatie in welke situatie je van afstand wilt kunnen benaderen op je NAS (in een prive setting dan, zakelijk lijkt het me evident).

Ikzelf gebruik mijn NAS alleen lokaal (backup en sync), dus heeft de NAS geen verbinding met internet. Ik kijk af en toe of er een update beschikbaar is die geinstalleerd moet worden and that's it.

bbob

Netwerk en systeembeheer

@Just Me Or Tha One • 10 augustus 2021 09:16

Je nas geen verbinding laten maken met het internet c.q toegang vanaf het internet niet mogelijk maken is nog een veiligere optie.

iAR @bbob • 10 augustus 2021 10:34

Het hebben van geen NAS is nog veiliger...

Ik snap dat je in sommige situaties je NAS niet aan het internet moet hangen, zeker als het niet nodig is. Maar veel consumenten NASsen draaien allerlei services die wel internet toegang vereisen. Zonder internet werkt de boel gewoon niet. Een fabrikant van NAS systemen voor consumenten moet de instellingen om veilig te werk te gaan gewoon goed maken: duidelijk vindbaar, up to date en veilig.

Raymond Deen @iAR • 10 augustus 2021 10:55

Je laptop of mobiel hangt ook aan het internet, maar zijn beiden niet vanaf het internet direct benaderbaar meestal. Dat is een toch wel belangrijk verschil dat je moet onderscheiden.
Een nas direct benaderbaar maken vanaf internet, ook via een cloud-oplossing die ze bieden, is gewoon geen goed idee omdat die apparaten daar nooit voor bedoeld zijn en ook niet de juiste beveiligingen voor hebben zoals bijvoorbeeld een security hardened kernel.

jozuf @bbob • 10 augustus 2021 09:19

Sure, maar dan verlies je ook functionaliteit.
En VPN is mogelijk natuurlijk, en wellicht beter dan direct het open te gooien naar het net, maar er zijn genoeg netwerken die geen enkel ander verkeer toestaan dan 80/443, waardoor ook dat gelimiteerd word in functionaliteit (veel bedrijven doen dit bv).

sypie @jozuf • 10 augustus 2021 12:02

maar dan verlies je ook functionaliteit.

Niet iedereen heeft alle functionaliteit nodig. Mijn Synology doet hoofdzakelijk backups van 2 laptops. Dat is intern. Heel af en toe download ik eens een torrent, daarvoor is dus een poortje open gezet. Verder blijkt na een uitgebreide poortscan dat alles dicht staat. Buiten de deur doe ik niks met mijn NAS. Misschien, heel misschien, ga ik er nog eens een VPN op laten draaien zodat al mijn mobiele verkeer via mijn eigen verbinding gaat en ik zodoende een aantal domeinen geblokkeerd kan laten. Scheelt een boel reclame onderweg.

makaa @sypie • 10 augustus 2021 19:44

Waarmee heb je die uitgebreide poortscans uitgevoerd? Ik wil dat ook eens doen

sypie @makaa • 10 augustus 2021 19:46

Via een website die ik vond met de zoekterm "online portscan". Ik zou in de geschiedenis van de browser moeten kijken welke site dat is.

LaMaZitten @makaa • 10 augustus 2021 20:47

Ik gebruik zelf deze graag: Gibson Research - ShieldsUP!

Luuk2015 @makaa • 10 augustus 2021 21:07

Je hebt er diverse websites voor, maar een tool als Nmap werkt ook erg goed.

well0549 @sypie • 10 augustus 2021 12:17

Als je op reclame wilt besparen moet je nextdns eens proberen

sypie @well0549 • 10 augustus 2021 12:30

Ik heb deze uitgevoerd: https://community.ui.com/...af-4f3f-ab96-97bccdb897b3

latka @jozuf • 10 augustus 2021 09:45

Openvpn multiplexen op port 443 met een webserver doet wonderen.

The Zep Man

Netwerk en systeembeheer

@latka • 10 augustus 2021 09:53

Dat kan je ook gewoon met een reverse proxy server zoals HAProxy doen. Hoef je geen andere tools voor te draaien.

Een bonus is dat je dan Proxy Protocol kan inzetten, wat een veel nettere manier is om source IP en port mee te sturen naar een achterliggende server.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:34]

latka @The Zep Man • 10 augustus 2021 13:38

Volgens mij kan openvpn het zelf out-of-the-box heb je ook haproxy niet meer nodig

The Zep Man

Netwerk en systeembeheer

@latka • 10 augustus 2021 14:43

Dat kan (niet onder Windows), maar elke verbinding die gelegd wordt naar de webserver heeft bij het opzetten een merkbare vertraging. Ook weet de webserver dan niet het client source IP en port.

Een reverse proxy is flexibeler en vlotter.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:34]

devices @jozuf • 10 augustus 2021 09:26

Een VPN kan natuurlijk ook over poort 80 of 443 communiceren.

Hydranet @jozuf • 10 augustus 2021 12:05

Ik deel vanuit mijn thuis server ook bestanden met familie en kennissen(ook die in het buitenland wonen) en dat gaat ook via 80/443. Ik ga daar niet speciaal een vpn voor opzetten want de gemiddelde persoon waar ik bestanden mee deel die weet nog maar net hoe je een computer aan moet zetten en staat te stressen wanneer Windows updates gaat installeren om het maar zo te zeggen. Ik moet daarbij wel zeggen dat ik er nog wel een bruteforce beveiliging op gezet heb en dat je na x keren een fout wachtwoord in voeren voor een korte tijd geblokkeerd word.

bbob

Netwerk en systeembeheer

@jozuf • 10 augustus 2021 17:44

Zo kun je het zien maar de functionaliteit die je verliest lijkt me beperkt tot puur extern toegang hebben tot data.

NAS zie ik in het algemeen meer als interne centrale opslag. Zo gebruik ik deze bedrijfsmatig in ieder geval. Daarnaast alle belangrijke bestanden worden als ze op de nas komen ook meteen in de cloud gezet.
Reden is als nas kapot gaat, gestolen, brand enz staat de data nog in de cloud.

Cloud gebruik ik als backup maar je kan nas ook zo instellen dat deze beide kanten op werkt. Bestanden in de cloud die veranderen veranderen dan binnen x min ook op de nas. Zo kun je bestanden wel benaderen via cloud omgeving.

Voor thuis leuk om je bestanden te delen, als bedrijf gaat denk ik veiligheid boven alles en zie ik liever geen externe toegang.

Marco @bbob • 10 augustus 2021 09:21

Dat beperkt het nut van een NAS nogal.

Tweakert2020 @Marco • 10 augustus 2021 11:17

Ligt eraan wat je usecase is, maar om te stellen dat het nut van je NAS beperkt is wel kort door de bocht.
Een NAS is van origine een uitbreiding van opslag op je lokale netwerk, inmiddels zitten er volop clouddiensten op. Maar als je die niet gebruikt is het dus ook geen beperking.

Sandor_Clegane @Marco • 10 augustus 2021 09:26

Wireguard erop. Scheelt een hoop geneuzel.

CaDje

@bbob • 10 augustus 2021 09:21

Ik gebruik zelf wireguard of openvpn om toegang te krijgen tot mijn eigen netwerk vanuit buitenaf. Vooral bij wireguard is het maken en delen van certificaten erg gebruiksvriendelijk.

The Zep Man

Netwerk en systeembeheer

@CaDje • 10 augustus 2021 09:54

Vooral bij wireguard is het maken en delen van certificaten erg gebruiksvriendelijk.

WireGuard gebruikt geen certificaten. Waarschijnlijk bedoel je sleutelmateriaal.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:34]

michielonline @bbob • 10 augustus 2021 11:35

Klopt helemaal. Als je geen deuken in je auto wil rijden kan je deze ook beter op de oprit laten staan, als je het dan nog goedkoper wil maken zou ik em gewoon in de showroom laten staan

Dit artikel is wel een goede reminder om de beveiligingsinstellingen van mijn NAS nog eens na te lopen om te kijken of het nog steeds goed genoeg ingesteld is.

Stapper55 @michielonline • 10 augustus 2021 21:54

meeste succesvolle aanvallen zullen geen bruteforce zijn..., maar indirect... Binnengehaald via je pc, virus snuffelt dan even over je netwerk

Segafreak83 @bbob • 10 augustus 2021 09:23

Dit dus, je huis tuin en keuken NAS hoort sowieso geen toegang tot internet te hebben.

Veel te groot risico.

[Reactie gewijzigd door Segafreak83 op 22 juli 2024 16:34]

bertware @Segafreak83 • 10 augustus 2021 09:35

Het hoofddoel van een huis tuin en keuken NAS is om van overal aan je bestanden te kunnen. Die hoort voor de meeste mensen met een "normaal" gebruik dus toegang tot internet te hebben. Synology biedt echter voldoende tools om ze degelijk te beveiligen, en het admin account is tegenwoordig zelfs standaard uitgeschakeld (vroeger was dat enkel een officieel advies). Als je wachtwoord via een simpele brute-force geraden wordt heb je gewoon een zwak wachtwoord.

amigob2 @bertware • 10 augustus 2021 10:02

en met een vpnserver thuis is het veel veiliger.
is ook meteen je home automation veilig

bertware @amigob2 • 10 augustus 2021 10:10

Een huis tuin en keukengebruiker heeft thuis echter niet altijd vpnserver, die doorloopt vaak de standaard installatie en is klaar. De kans dat een huis tuin en keukengebruiker home automation heeft is ook een stuk minder dan de kans dat iemand op tweakers home automation heeft.

Edit: heeft niet altijd geinstalleerd/actief/in gebruik, 't is een extra stap/gedoe/hindernis, en een huis-tuin en keukengebruiker snapt er niets meer van zodra die in het VPN server pakket moet kiezen tussen IPsec, OpenVPN, interne ranges, profielen, ...

[Reactie gewijzigd door bertware op 22 juli 2024 16:34]

Shadow771 @bertware • 10 augustus 2021 10:26

vpn server kan je op de meeste Synology NAS'en installeren als extra software packet..

amigob2 @Shadow771 • 10 augustus 2021 10:36

Dat wil je dus niet, je moet dus over je intranet om bij je NAS te komen, gewoon op je WAN router waar hij thuis hoort. wrt-dd ondersteunt het tegenwoordig
Of anders Fresh Tomato

moredruid @amigob2 • 10 augustus 2021 10:52

<sarcasme>Ik zie mijn moeder van 76 (of haar broers/zussen) wel ff haar router firmware flashen (die achter een Ziggo router staat in bridge mode want ze weet natuurlijk ook dat dat beter is) met dd-wrt om VPN te installeren zodat ze haar foto's kan delen met de (klein-)kinderen die ook allemaal weten dat je met een eigen client specifiek daarnaartoe moet connecten (hoezo de NordVPN op m'n mobiel werkt niet, dat is toch VPN?).</sarcasme>

Voor Tweakers: ja. Voor de consument is dit geen optie en is een pakket op je NAS beter dan helemaal niets.

Shadow771 @amigob2 • 10 augustus 2021 10:40

klopt, maar mijn reactie ging om @bertware opmerking dat de meeste huis tuin keuken gebruikers geen vpn server zouden hebben, maar als je in dit nieuwsartikel ben kan je vanuit gaan dat je wel iig een NAS heb.

tuurlijk is het beter om het op de router te draaien, mits die huis tuin keuken gebruiker iets anders heeft dan de standaard ziggo of KPN modem draaien zonder eigen netwerk apparatuur.... :-)

coolkil @amigob2 • 10 augustus 2021 11:51

Wat is precies het verschil? of je nou termineert op de NAS of op je Gateway. toegang tot je netwerk heb je sowieso.. Daarnaast is het ook zo dat een VPN server ook gewoon een gat in je verdediging is. of je nou een webservertje van de Synology of een vpn server van Wireguard of Openvpn hebt opstaan het vereist allemaal een poort door jou firewall heen.

Deralte @amigob2 • 10 augustus 2021 22:51

Of Asuswrt Merlin. Superhandig.

bertware @Shadow771 • 10 augustus 2021 10:38

Ik heb afgelopen weekend bij kennissen nog een WD "cloud" harde schijf/NAS vervangen door een kleine "echte" NAS, nadat bleek dat die WD enorm kwetsbaar was. Die WD was een aankoop die ze spontaan in de winkel gedaan hadden, ingeplugd, stappen doorlopen, app geinstalleerd, en klaar. Dat is huis tuin en keuken gebruik. Nu zijn ze over op een Synology die in hun ogen hetzelfde doet, maar betere kwaliteit is, beter beveiligd is en security updates krijgt, Zij willen helemaal geen VPN gedoe, zij willen gewoon dat hun apps werken. In de ogen van een huis tuin en keukengebruiker zal een VPN slechts een nadeel zijn, dan is zo'n lekke WD NAS in de ogen van een gebruiker beter want die werkt tenminste gewoon.

Ik weet dat er een VPN server in zit, die staat ook geinstalleerd op mijn eigen NAS mocht ik van buitenaf mijn netwerk op willen. Een huis tuin en keukengebruiker heeft dat pakket niet geinstalleerd, en zou niet veel begrijpen van alle instellingen als ze het al geinstalleerd hadden. Verder heb ik gewoon directe toegang op niet standaard poorten met alle normale beveiligingsmaatregen, en ik heb in jaren al geen enkele inlogpoging meer gezien (op 2 a 3 verschillende synology's). Out-of-the-box is het admin account dat hier geprobeerd wordt tegenwoordig zelfs uitgeschakeld. (een andere poort en brute-force bescherming zouden ze wel nog in de standaard installatiestappen mogen toevoegen)

[Reactie gewijzigd door bertware op 22 juli 2024 16:34]

SpoekGTi @bertware • 10 augustus 2021 13:03

Alleen de kennissen hebben jouw de config laten doen van de Syno, dus ook een Syno is eigenlijk dus geen huis tuin en keuken oplossing

sojab0on @bertware • 10 augustus 2021 11:36

dat is waar de nas zn vpn server package in play komt.
dan heeft elke huis tuin en keuken gebruiker dus ook een vpn server in huis

White Feather

@Segafreak83 • 10 augustus 2021 09:51

Het gaat om de negatieve manier waarop je het brengt. Bovendien ben je niet de 1e die het zegt.

Ieder persoon kan bedenken dat niet aan het internet hangen veiliger is.

Hij kan ook uit, nog veiliger.

En waarom zou een huis-tuin en keuken Nas anders zijn dan iedere andere Nas?
Er zijn zoveel dingen die je met zo’n ding kan doen.
Alles dat aan het internet hangt heeft kans om aangevallen te worden.

En tja, zeuren over je score zorgt er helemaal voor dat de offtopic 0 of ongewenst -1 binnenstromen.

Jij bent namelijk niet degene die bepaald hoe een subjectief cijfer door een ander wordt uitgedeeld.

Als je post iets had toegevoegd, dan had je een hogere score gekregen.

Bensjero @Segafreak83 • 10 augustus 2021 09:38

Wat een onzin. Zorg dat je een (offsite) backup hebt. Als het systeem dan een keer geraakt wordt door malware/ransomware dan reset je de boel en zet je de backup terug. Worst case is dat je je hardware niet meer kan resetten. Dan koop je een nieuwe huis-tuin-en-keuken NAS.

TheSiemNL @Bensjero • 10 augustus 2021 10:24

Leuk als je 40TB hebt. Ben je wel dagen tot weken uit de running.

Bensjero @TheSiemNL • 10 augustus 2021 10:37

Leuk als je 40TB hebt. Ben je wel dagen tot weken uit de running.

Vind ik best als dat 1x per 4 jaar voorkomt. Als ik maar geen/nauwelijks data kwijt raak. Ik ben geen bedrijf dat afhankelijk is van mijn data.

[Reactie gewijzigd door Bensjero op 22 juli 2024 16:34]

Pietervs @Bensjero • 10 augustus 2021 12:42

totdat je er achter komt dat de foto's van de geboorte van je kinderen op je NAS staan. Of dat filmpje van die ene overleden dierbare oom...

Daarnaast heeft niet iedereen de discipline om iedere dag/week/maand een volledige offsite backup te maken. En dan heb je best een uitdaging...

Deralte @Pietervs • 10 augustus 2021 22:56

Dan kan je toch gewoon met rsync naar een server op een andere locatie? Ik maak een dagelijkse backup naar een vm met openmediavault vanaf mijn Nas.

Pietervs @Deralte • 11 augustus 2021 08:28

Klopt. Maar voor Tweakers is dat makkelijker gezegd dan voor de huis- tuin- en keukengebruikers van NASsen.

Deralte @Pietervs • 11 augustus 2021 12:33

Dat klopt, maar goed, die mensen kunnen dus een backup op een harddisk maken (of in de cloud). Normale gebruikers hebben geen 1Tb foto’s denk ik dan, dus een betaalde ondedrive account zal voor velen al volstaan.

Enthousiastelingen met meer foto’s (ik gebruik foto’s louter als voorbeeld - er is uiteraard nog andere data die je kan/wil backuppen) verdiepen zich toch best wat meer in de offsite automatische backup mogelijkheden denk ik.

FreshMaker @TheSiemNL • 10 augustus 2021 14:29

Leuk als je 40TB hebt. Ben je wel dagen tot weken uit de running.

Dan moet je kijken OF je die 40TB ook werkelijk in een backup moet hebben.
En indien het antwoord ja is ( niet direct vervangbaar, of te duur om opnieuw in te zetten ) dan zijn er betere oplossingen te bedenken om het veilig te stellen ( tapebackup - coldstorage elders )
40TB zijn tegenwoordig 3 á 4 HDD's ( al dan niet in een extra NAS) - dus prima te behapstukken als particulier

Bij verschillende grote bedrijven geweest, maar zoveel data hebben ze eigenlijk nergens direct als noodzakelijke backup.

sojab0on @Bensjero • 10 augustus 2021 10:43

Ik maak wekelijks een backup op een 12tb usb drive van alle belangrijke data zodra die klaar is gaat die los en heb ik altijd een backup van fotos videos en anderen dingen die max 1 week oud is als er iets gebeurd.

Xirt @Segafreak83 • 10 augustus 2021 09:37

Wel lastig om een externe back-up te draaien (op een fysiek andere locatie): anders ben je alsnog alles kwijt als je huis afbrand of je NAS gestolen wordt... In mijn ogen dus niet echt een goede oplossing om de NAS helemaal niet met het internet te verbinden.

Raymond Deen @Xirt • 10 augustus 2021 10:58

Je kunt prima een vpn opzetten daarvoor. De ene kant voorzien van een vpn server en de andere kant van een cliënt en je bent klaar zonder dat de apparaten direct benaderbaar zijn vanaf het grote boze internet.

yodeluxe @Segafreak83 • 10 augustus 2021 09:54

Dus dagelijks moet ik een externe schijf ophalen, backup maken en dan de externe schijf weer wegbrengen naar de andere locatie? Zie je dat al voor je? De hele reden om een offsite backup te maken via internet is dat de backup niet op dezelfde plek is als de originele data.

FreshMaker @yodeluxe • 10 augustus 2021 14:23

Neuh ....
Alleen als er iets wezenlijk aangepast is, en dan kan je nog met 2 schijven werken
Gaat hier al 10+ jaar prima.

Je moet wel heel veel doorloop hebben, als je niet afkan met zo'n backup
Hier gaan er 1 á 2 keer per week foto's naar de opslag, vrijwel alles staat dan ook al in icloud.

De HDD's wissel ik om, één in mijn locker op het werk, de andere in de meterkast, aan de NAS als ik hem nodig heb.
Na de actie loskoppelen en omruilen en het herhaalt zich weer.
Wil je het écht op veilig spelen, moet je ditzelfde met 3 HDD's moten doen, dan is er altijd één niet op de locatie.

Maar weet je wat nu het meest grappige is van het hele verhaal .....

Er is niet één oplossing voor iedereen, je moet dit helemaal zelf uitvinden, en inrichten.
Voor mij werkt dit super, maar voor de volgende is het bewaren op een werkplek helemaal niet mogelijk, of is de data-verzameling van die aard, dat je het 3x per dag moet opslaan, om veilig te blijven

Segafreak83 @yodeluxe • 10 augustus 2021 10:00

Zakelijk gezien is dat een compleet ander verhaal, maar voor privé is dat prima te doen, en hoeft zeker niet dagelijks.

yodeluxe @Segafreak83 • 10 augustus 2021 10:05

Ik heb het dus over privé. Misschien heb je zelf geen behoefte aan deugdelijke backups, maar ik wel. Bij mij draait die dus gewoon dagelijks. Het geneuzel met externe harde schijven heb ik gedaan, maar dat werd op den duur ondoenlijk. Plus dan heb je op een gegeven moment dat zowel de originele data en de backup op 1 en dezelfde plek zijn, wat ook weer een risico is. En dan moet je weer met meerdere externe schijven gaan werken om dat risico af te dekken, daar had ik geen zin in.

Segafreak83 @yodeluxe • 10 augustus 2021 10:09

Jammer dat je meteen de aanname doet dat ik geen waarde hecht aan een goede backup.

Data is op meerdere plekken veilig.

Verder was het meer de bewustwording, dat niet alles en iedereen aan het internet hoeft te hangen, niets meer of minder.

Hari-Bo @Segafreak83 • 10 augustus 2021 10:23

Een backup op een externe schijf vang je niet alles af. Als je het serieus aanpakt wat ik ook met mijn privé data doe pas je de zogenaamde 3-2-1 regel toe.
3-kopies van je data (1 productie, 2x backup)
2-verschillende media (nas, usb, tape etc)
1-offsite (buiten de deur)

Maar dan loopt je nog steeds risico dat je er totaal niets mee kan, want de data is immers niet gevalideerd met een restore. Daarom zie je de regel nu ook uitgebreid worden naar 3-2-1-0 waarbij de 0 staat voor 0 errors na validatie.

Mangu429 @Segafreak83 • 10 augustus 2021 11:17

Geen NAS nodig ook dan. Gewoon wat externe schijven gebruiken die je middels USB aan de gewenste computer aansluit....

Xirt @Mangu429 • 12 augustus 2021 10:48

Dus elke dag een rondje maken langs de desktops, tablets, telefoons en laptops in huis en dan de harde schijf naar een andere locatie brengen. Lijkt mij wel erg omslachtig en juist daarom heb ik een NAS (en een schijf in een externe NAS bij een contact) om het geheel te automatiseren. Daarmee zeg ik niet dat iedereen dit moet hebben, maar jouw oplossing werkt simpelweg niet in alle "huis, tuin en keuken"-situaties.

Thonz @Segafreak83 • 10 augustus 2021 09:52

Voor de meeste gebruikers (dus niet tweakers) is dit een prima optie denk ik.

coolkil @Segafreak83 • 10 augustus 2021 11:02

das juist de bedoeling en usecase van dit soort apparatuur.. je eigen data oplossing die je ook kan delen met vrienden en familie.

daarnaast is DSM software technisch nagenoeg gelijk op zowel de RS als de DS lijn dus deze software wordt ook gewoon zakelijk gebruikt. klinkt niet als een huis tuin en keuken nas.

[Reactie gewijzigd door coolkil op 22 juli 2024 16:34]

LNDN @bbob • 10 augustus 2021 09:46

Je NAS uitzetten is nog veiliger.

The Zep Man

Netwerk en systeembeheer

@LNDN • 10 augustus 2021 09:55

WOL is standaard zonder authenticatie, dus nee.

Bor Coördinator Frontpage Admins / FP Powermod @The Zep Man • 10 augustus 2021 10:50

Dat werkt out of the box niet via internet.

The Zep Man

Netwerk en systeembeheer

@Bor • 10 augustus 2021 11:13

Het argument van @bbob :

Je nas geen verbinding laten maken met het internet c.q toegang vanaf het internet niet mogelijk maken is nog een veiligere optie.

De reactie van @LNDN:

Je NAS uitzetten is nog veiliger.

In de context gaat men ervan uit dat er een onveilige router/firewallconfiguratie gebruikt wordt, en dat (mogelijk via een ander apparaat) toegang verkregen wordt tot het netwerk. WOL is qua dat onveilig, als je enkel vertrouwd op dat je NAS veilig is doordat deze uit staat.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:34]

Bor Coördinator Frontpage Admins / FP Powermod @The Zep Man • 10 augustus 2021 11:20

In de context gaat men ervan uit dat er een onveilige router/firewallconfiguratie gebruikt wordt, en dat (mogelijk via een ander apparaat) toegang verkregen wordt tot het netwerk.

Deze malware richt zich direct op Synology apparatuur. Er is geen aanwijzing dat er onveilige routers / firewalls of andere apparatuur in het spel is.

bbob

Netwerk en systeembeheer

@The Zep Man • 10 augustus 2021 17:48

De vraag is wat de functie van de nas is. Voor de meeste bedrijven is het een centrale opslag. De vraag is of die opslag toegankelijk moet zijn vanaf het internet. In veel gevallen hoeft dat niet.

Daarnaast zelf al heb je een nas in raid staan zul je nog steeds over backup moeten nadenken. Brand, diefstal, Bliksem en weg data op je nas. In mijn geval nieuwe bestanden in de meeste mappen worden meteen ook in de cloud gezet als kopie.

Je kan de synology ook zo instellen dat het 2 kanten op werkt. Externe medewerkers kunnen in de cloud toegang krijgen tot die bestanden, bewerken waarna ze binnen x minuten ook lokaal weer staan.

In dat geval heb je nog steeds externe toegang die via cloud provider werkt en je data dus op 2 locaties staat.

De opmerking uitzetten, leuk bedacht maar een nas hoeft niet online benaderbaar te zijn. Nog steeds heeft de nas dan genoeg functies.

Shadow771 @The Zep Man • 10 augustus 2021 10:23

True. En tegelijkertijd dan is je interne netwerk echt zo lek als gatenkaas als een indringer voor elkaar krijgt een WOL in je interne LAN kan sturen.

Daarom zie ik de firewall op de NAS (DSM) als 2nd 'line of defence'. Alles moet je zowiezo ook dichtgooien op de firewall op router niveau.

[Reactie gewijzigd door Shadow771 op 22 juli 2024 16:34]

LNDN @The Zep Man • 10 augustus 2021 10:27

Ik bedoelde uitzetten, uit laten en evt in de kast bewaren aka nooit meer gebruiken ..

Cis @The Zep Man • 10 augustus 2021 10:49

En wol beperkt de airflow en houdt de warmte vast. Dus lijkt me sowieso een slechte optie

smiba @Just Me Or Tha One • 10 augustus 2021 10:19

GeoIP is redelijk onzin en ik hoop echt niet dat je je hele security er vanaf laat hangen...

IP blokken worden overal de wereld over verplaatst en gesplitst, de database is simpelweg niet accuraat genoeg. Freedom Internet heeft hier zo bijvoorbeeld soms IPs die uit Oost-Europa lijken te komen volgens (oudere?) GeoIP databases

Just Me Or Tha One @smiba • 10 augustus 2021 11:01

Kijk, zo leer ik ook weer wat. Dankje voor je opmerking. Mijn beveiliging is gebaseerd op verschillende lagen. En GeoIP is daar een van. Op netwerk, applicatie en gebruikers-niveau doe ik zo veel als mogelijk aan hardening. Lees: uitzetten wat ik niet nodig heb.

Bor Coördinator Frontpage Admins / FP Powermod @smiba • 10 augustus 2021 11:22

GeoIP is redelijk onzin en ik hoop echt niet dat je je hele security er vanaf laat hangen...

Geoblocking afdoen als onzin is echt veel te kort door de bocht. Je houdt er een hack niet mee tegen gezien bv een VPN al een workaround is maar je ziet met name het scan verkeer en pogingen om via scripts en tooltjes toegang te verkrijgen heel erg afnemen.

Een geoblock filter behoor je niet als enige line of defense in te zetten maar kan wel degelijk en behoorlijk helpen.

[Reactie gewijzigd door Bor op 22 juli 2024 16:34]

smiba @Bor • 10 augustus 2021 11:46

[...]
Geoblocking afdoen als onzin is echt veel te kort door de bocht. Je houdt er een hack niet mee tegen gezien bv een VPN al een workaround is maar je ziet met name het scan verkeer en pogingen om via scripts en tooltjes toegang te verkrijgen heel erg afnemen.

Gezien geoblocking gebaseerd is op een database (waar je op moet vertrouwen en ook nog eens constant moet updaten) en het internet ook geen landgrenzen kent, is het naar mijn mening echt compleet nutteloos als serieus security middel.

Je bent veel beter af met een normale IP rate limiter en gewoon goede veilige credentials. In dit voorbeeld word er ook een botnet gebruikt en ik kan je zonder te controleren garanderen dat er ook wel een reeks in Nederland geïnfecteerd zijn...

Bor Coördinator Frontpage Admins / FP Powermod @smiba • 10 augustus 2021 11:48

Het een sluit het ander niet uit. Voor het overgrote deel van de verzoeken zal een geo block filter een prima hulpmiddel zijn. Geinfecteerde bots in een toegestaan land ga je met een geoblock filter niet tegen maar ik adviseer een enkel filter ook niet als single line of defense.

Aan een rate limiter heb je in dit geval overigens weinig; de geïnfecteerde machines proberen volgens sommige berichten maar een paar keer voor ze doorgaan naar een ander potentieel slachtoffer. Je ziet hetzelfde IP dus niet vaak voorbij komen als het goed is.

[Reactie gewijzigd door Bor op 22 juli 2024 16:34]

sojab0on @Just Me Or Tha One • 10 augustus 2021 10:39

En wat als je 2fa aan hebt staan dan kunnen ze zonder de authenticator die ik of de gebruikers in kwestie hebben het wachtwoord wel bruteforcen maar zonder de 2fa code kunnen ze er nog steeds niet in.

dooiedodo @Just Me Or Tha One • 10 augustus 2021 10:42

geoip is idd verstandig. Strong password natuurlijk nog beter, wens ze veel succes de komende 10000 jaar om mn sterke passwords te brute forcen met max 3 tries vanaf 1 ip adress.
Zelf draai ik ook mail server op mn nas, kijk regelmatig ip nummers na die te veel voorkomen in log, Hups in de blaclist of zelfs op router niveau in de not allow to connect lijst.

sojab0on @dooiedodo • 10 augustus 2021 11:43

geoip is leuke optie, maar ik zie vaak genoeg dat de nas de locaties niet kan op vragen.
maar mijne is zowiezo sterk in gericht, sterk wachtwoord 2fa en die max aantal tries op 3 en hij blockt gewoon alles, ik ben niet zo van op router level blocken dat is je router belasten met de taak elke conectie verzoek te checken daar zijn veel huis tuin en keueken router niet eens op ingericht.

nas kan het prima zelf, en mijne draaid zowiezo in een apart vlan die hem buiten hoofd netwerk houd op de poort waarmee hij naar buiten gaat, is ook een anders ip subnet wat geen direct connectie bied naar me hoofd subnet.

StormRider @Just Me Or Tha One • 10 augustus 2021 13:38

Super thnx, werkt GeoIp blocking icm met VPN?
Stel dat je in Frankrijk de bestanden wil inzien. Blokkeer ik dan mijzelf?

Just Me Or Tha One @StormRider • 10 augustus 2021 20:52

Als je dat vanuit Frankrijk doet dan is de kans groot dat je geen toegang hebt als je Frankrijk niet expliciet toestaat. Je blokkeert jezelf niet, je krijgt vooral geen toegan op basis van de ingestelde regels. Dus voordat je met vakantie gaat even het land toestaan in je regels.

Heb het zelf getest met Shields UP van Steve Gibson. Als je Amerika toelaat kan de scan een open poort vinden (als je die al hebt) en als je Amerika blokkeert dan kan die site geen open poort meer vinden.

Gr!mReaper- @Just Me Or Tha One • 10 augustus 2021 16:57

Als je de services die je door je firewall laat gaan enkel voor jezelf gebruikt kan je beter alles blokkeren en enkel de MAC adressen van je eigen devices doorlaten.

Als je echt VPN wil gebruiken kan je al beter een eigen gratis software firewall opzetten zoals OPNSense.

Zelf heb ik ook een NAS en gebruik die max voor iscsi.

De beste manier is eigenlijk om een remote desktop gateway server thuis te hebben, maar das niet voor de normale thuisgebruikers

Cyberpuppy @Just Me Or Tha One • 11 augustus 2021 21:39

En met de volgende lijst kun je ook nog een flink aantal datacenters blokkeren. Scheelt nog meer rommel. -> https://github.com/jhassine/server-ip-addresses

zunrob @Just Me Or Tha One • 21 augustus 2021 21:27

Even voor de zekerheid checken; als ik geen externe toegang wil, maar echt alleen intern, dan kan ik toch volstaan met alleen regel 1 en 4? Dan heb ik regel 3 volgens mij ook niet nodig.

NeFoRcE 10 augustus 2021 08:39

NAS is hier niet toegankelijk vanaf het internet. Lokaal 2 staps nodig. Maar toch denk ik soms van; wat als. Wat is nou de juiste manier van zo'n ding dichttimmeren? Er zijn zoveel opties. Hoe doen jullie dat?

sOid @NeFoRcE • 10 augustus 2021 08:50

Ik heb m'n NAS wel aan het internet hangen. Dit zijn wat stappen die ik heb ondernomen om het zo veilig mogelijk te maken.

Synology DSM adminpanel achter een nginx reverse proxy (mede omdat ik op die manier alleen poort 80 en 443 hoef te openen op router)
Htpasswd (via de reverse proxy) voordat je überhaupt de inlogpagina van m'n NAS ziet
Inloggen met username/password (default admin-account is uitgeschakeld)
2FA-codes ingesteld voor alle accounts
IP-block na 5 foutieve inlogpogingen
Geoblock op al het verkeer van buiten Nederland

Je hebt dus 2 verschillende passwords nodig (een voor de .htpasswd en voor het DSM account) en m'n telefoon om de 2FA-code te genereren.

[Reactie gewijzigd door sOid op 22 juli 2024 16:34]

The Wizard Moderator Mobile @sOid • 10 augustus 2021 09:00

Hoe stel je een geoblock in? Zijn er ergens lijsten?

CH4OS @The Wizard • 10 augustus 2021 09:07

Hoe stel je een geoblock in? Zijn er ergens lijsten?

Ik denk geoblocking in de Nginx reverse proxy, niet in DSM zelf.

Ik weet ook niet of er in DSM een aparte admin gedeelte is, maar je zou alleen dat admin gedeelte vanuit het lokale netwerk kunnen toestaan.

Daar is eventueel ook op te filteren vanuit Nginx, als je zoals @sOid eea toegankelijk hebt via een reverse proxy.

Naast het uitschakelen van het standaard admin account, ook het wachtwoord daarvan aanpassen. Mocht men toch weten in te loggen erop, heb je in elk geval geen standaard wachtwoord meer.

[Reactie gewijzigd door CH4OS op 22 juli 2024 16:34]

bertware @CH4OS • 10 augustus 2021 09:44

[...]
Ik denk geoblocking in de Nginx reverse proxy, niet in DSM zelf.

DSM heeft zelf geoblocking ingebouwd in de firewall

Ik weet ook niet of er in DSM een aparte admin gedeelte is, maar je zou alleen dat admin gedeelte vanuit het lokale netwerk kunnen toestaan.

Kan ook in DSM, de "desktop" applicatie (of eenders welke applicatie) beperken tot een lokaal subnet of IP (User/Group > Applications > By IP)

[Reactie gewijzigd door bertware op 22 juli 2024 16:34]

CH4OS @bertware • 10 augustus 2021 09:50

Kan ook in DSM, de "desktop" applicatie (of eenders welke applicatie) beperken tot een lokaal subnet of IP (User/Group > Applications > By IP)

Ik ken DSM niet, ik weet wel dat het webbased is. Maar lijkt me dat dit voor de gehele applicatie is. Je zou dan dus in de reverse proxy daar een verdere filtering op kunnen doen, waarmee je de daadwerkelijke admin-pagina's uitsluit van de publieke toegang en alleen toestaat op de lokale LAN.

Op deze manier sluit je dus een gedeelte van de (web)applicatie buiten. Lijkt me niet dat dit in te stellen is in DSM, als ik jou zo lees, althans.

[Reactie gewijzigd door CH4OS op 22 juli 2024 16:34]

bertware @CH4OS • 10 augustus 2021 09:57

Per pagina kan inderdaad niet, ik weet echter niet uit mijn hoofd hoeveel er in de URL staat om op te filteren met een reverse proxy, aangezien veel javascript is. Als je DSM filtert kan je wel nog aan specifieke applicaties (bestandsverkenner, muziek, video's, ...) komen door deze een eigen domeinnaam of map te geven (bvb nas:poort/muziek of muziek.nas/) en op die applicaties dan andere rechten te zetten. Wordt wel iets omslachtiger om er zelf aan te komen via de webinterface, aangezien je dan alle URLs moet kennen.

jicho @The Wizard • 10 augustus 2021 09:14

Je kunt in je firewall opgeven vanaf welke locations er toegang mag zijn (onder het kopje Source IP).

Hier wat meer info over het instellen van de firewall van Synology:
https://kb.synology.com/n...curity_firewall?version=6

Wat betreft de lijsten, dit staat in de footnote:
Deze functie omvat door MaxMind gegenereerde GeoLite-gegevens die beschikbaar zijn op http://www.maxmind.com.

Jerie

@jicho • 10 augustus 2021 09:58

Leuk, wel lullig als je een IP adres hebt dat recent door een ander land in gebruik was. Jarenlang vond GeoIP nog steeds dat ik uit Slovenië kwam (de route en whois alleen al wezen anders uit).

Tortelli

@jicho • 10 augustus 2021 10:43

Zat even logs door te kijken, valt me op dat er ook NL ip's worden gebruikt. Kortom eea afschermen zal helpen maar probleem zeker niet volledig oplossen denk ik.

(heb zelf eea niet open staan, wel op een nas die ik zelf beheeren geoblocking al op aan had staan)

[Reactie gewijzigd door Tortelli op 22 juli 2024 16:34]

FreqAmsterdam @Tortelli • 10 augustus 2021 11:41

Zie ik hier ook. Eentje gecheckt en dat lijkt een gehackte Synology van een of andere ziggo klant die z'n NAS bereikbaar heeft gemaakt op 5001.

amigob2 @The Wizard • 10 augustus 2021 10:06

geoblocking gaat hier dus niet tegen helpen, het kan zelfs de nas van je buren zijn die bij jou nas binnen probeert te komen.

sOid @amigob2 • 10 augustus 2021 10:22

Tuurlijk, en als een kwaadwillende een NL'se VPN-server gebruikt komt hij er alsnog bij. Maar het is natuurlijk één van de maatregelen die je kan nemen

amigob2 @sOid • 10 augustus 2021 10:33

DE maatregel is zelf een VPN server draaien en alles alleen op je intranet draaien.

Tortelli

@amigob2 • 10 augustus 2021 10:58

Maar dan kunnen ze toch net zo hard proberen de VPN te bruteforcen?
(iets wat niet gebeurd zover ik kan zien in de logs)

sOid @amigob2 • 10 augustus 2021 10:46

Ja, dat kan. Maar ik heb er voor gekozen om dat niet zo te doen. Zie ook mijn reactie hieronder: sOid in 'nieuws: Synology waarschuwt voor malware die nas-apparaten infecteert'

S1NN3D

@The Wizard • 10 augustus 2021 09:11

Ga naar Beveiliging, Firewall, Regels bewerken. Daar een regel aanmaken. Via Bron-IP kun je aangeven wat je wil blokkeren/toestaan.

pietje63 @The Wizard • 10 augustus 2021 09:11

Firewall van Synology kun je landen selecteren.

SunnieNL

@The Wizard • 10 augustus 2021 09:15

Wist ook niet dat dat kon.. ik vond net deze guide:
https://mariushosting.com...-firewall-geoip-blocking/

mr.loepie @The Wizard • 10 augustus 2021 09:16

hier ben ik ook wel in geïnteresseerd ! als die er is

HollowGamer @sOid • 10 augustus 2021 09:17

Had je niet beter voor een VPN oplossing kunnen kiezen? Dan hoef je ook port 80/443 niet open te stellen voor het netwerk en geen proxy server te draaien (met certificaat gedoe). Tevens is het verkeer tussen de NAS en cliënt versleuteld, op welk niveau je de NAS ook benaderd.

Ik hoop ook dat je HTTP plain verkeer, redirect naar HTTPS, anders heeft die htpasswd ook niet echt zin. Er komt echt meer bij kijken bij het goed instellen van een proxy, zeker bij iets als een NAS.

sOid @HollowGamer • 10 augustus 2021 10:27

Ja, VPN kan natuurlijk ook. Ik heb vooral hiervoor gekozen omdat ik al een reverse proxy had draaien vanwege de HomeAssistant-installatie op mijn NUC. Daarvan wil ik sowieso dat die zonder VPN te bereiken is. Draait nu ongeveer een jaar op deze manier, zonder vreemde inlogpogingen of ander gedoe. Zie de noodzaak dus niet om nu over te stappen naar een VPN-oplossing. Mocht ik opnieuw beginnen en alleen extern bij DSM willen kunnen, had ik inderdaad wel voor een VPN gekozen.

Http verkeer wordt absoluut doorverwezen naar https, via nginx

Goede aanvulling, was ik vergeten te vermelden. Certificaten zijn trouwens ook geen enkel probleem. Ik gebruik de SWAG docker-container voor zowel de reverse proxy als certificaatafhandeling (inclusief verlengen van certificaten). Bijzonder solide oplossing (voor thuisgebruik in ieder geval). En nauwelijks onderhoud als het eenmaal is ingesteld.

asing

Netwerk en systeembeheer

@HollowGamer • 10 augustus 2021 10:26

Daar heb je tegenwoordig Let's Encrypt voor.

HollowGamer @asing • 10 augustus 2021 10:42

Ja, alleen is dat soms wel een gedoe.
Gelukkig heb je er goede tools voor, maar dan nog moet je zelf in de gaten houden of het vernieuwen/aanvragen goed gaat.

Tortelli

@HollowGamer • 10 augustus 2021 10:59

Synology regelt dit voor je, heb je verder geen omkijken naar

ASS-Ware @HollowGamer • 10 augustus 2021 11:10

Ja, alleen is dat soms wel een gedoe.
Gelukkig heb je er goede tools voor, maar dan nog moet je zelf in de gaten houden of het vernieuwen/aanvragen goed gaat.

Let's encrypt wordt standaard door Synology ondersteund.
Aanzetten en klaar, werkt direct.
Nadeel is dat poort 80 open moet staan

Joecatshoe @sOid • 10 augustus 2021 10:05

Synology DSM adminpanel achter een nginx reverse proxy (mede omdat ik op die manier alleen poort 80 en 443 hoef te openen op router)

Kan je toelichten wat het nut is van de reverse proxy? Is dat omdat je verwacht dat een nginx minder kans heeft op een zero-day dan DSM zelf? Begrijp ook niet goed waarom de reverse proxy ervoor zorgt dat je enkel poort 80 en 443 hoeft te openen, je hebt die 2 toch ook enkel maar nodig om bij DSM te geraken als hij direct aan 'het internet' hangt?

sOid @Joecatshoe • 10 augustus 2021 10:43

De reverse proxy zorgt er voor dat ik dus inderdaad maar 2 poorten open hoef te zetten voor de buitenwereld. Stel dat er een lek is in de Synology DSM-software. Via sites als shodan.io is het dan heel gemakkelijk om te scannen op de standaard DSM-poorten (poort 5000 en 5001 meen ik). Een kwaadwillende kan dan heel snel gebruik maken van die kwetsbaarheid.

Dit kun je natuurlijk al deels oplossen door die standaard poorten te veranderen. Maar met een reverse proxy kun je nog meer. Namelijk het doorsturen van bepaald verkeer naar een bepaalde interne poort/interne LAN.

Een voorbeeldje. Stel mijn hoofddomein is mijndomein.nl. Ik heb 4 diensten draaien waar ik extern bij wil. Bijvoorbeeld een plex-server (poort 2342), de webinterface van Synology DSM (poort 5001), HomeAssitant (poort 8332) en Synology Photo Station (poort 8800). Poorten ter illustratie, geen idee wat de default poorten zijn

Dan kun je ervoor kiezen om alle poorten apart te forwarden op je router, en mijndomein.nl te laten verwijzen naar je WAN IP. Vervolgens kun je dan bijvoorbeeld DSM benaderen via mijndomein.nl:5001 en HomeAssistant via mijndomein.nl:8332.

Wat je ook kan doen is een reverse proxy gebruiken. Daarmee hoef je dus alleen poorten 80 en 443 open te zetten en te forwarden naar de machine met de reverse proxy software. De software handelt het dan intern af. Je kan dan een subdomein aanmaken zoals homeassistant.mijndomein.nl of synology.mijndomein.nl. Beide subdomeinen verwijzen naar hetzelfde IP-adres en nginx doet de rest. Nginx herkent dat hij het verkeer van synology.mijndomein.nl intern moet doorverwijzen naar 192.168.178.25:5001 (bijvoorbeeld). Een gebruiker merkt of ziet hier niets van.

Hoop dat het een beetje duidelijk is zo!

Luuk2015 @sOid • 10 augustus 2021 13:06

Ik las laatst dit artikel over het instellen van een reverse proxy:
https://mariushosting.com/synology-how-to-use-reverse-proxy/
Echter wordt hier alleen uitgelegd hoe je de proxy aan de Synology kant instelt, niet aan de kant van het domein. Heb jij hier misschien een goede tutorial voor? Daar kwam ik namelijk niet echt uit.

stefaan1o @Luuk2015 • 10 augustus 2021 22:53

Hoe ik het doe is een A-record aanmaken per subdomein
voorbeeld
foto A 12.34.56.78
home-assistant A 12.34.56.78

foto.mijndomein.xy verwijst naar IP 12.34.56.78

de reverse proxy zal adhv hostname 'foto.mijndomein.xy' de trafiek kunnen doorlussen

Luuk2015 @stefaan1o • 10 augustus 2021 23:35

Dank, daar heb ik wat aan.
Hoe doe je dat dan met HTTP verkeer? Stuur je dat verkeer direct door naar HTTPS?

stefaan1o @Luuk2015 • 13 augustus 2021 14:33

Dat heb ik niet opgevangen en ook nog geen testen mee gedaan.

Verwijderd @sOid • 10 augustus 2021 10:05

Mijn NAS is extern niet toegankelijk, heeft deze dan nog een (groot) risico?

Als gewone thuisgebruiker heb ik:
- default admin account uit
- 2FA
- 20+ random karakter paswoord

NAS staat in RAID10 met 2 schijven en iedere dag een backup (via Hyper back-up) naar de C2 cloud van Synology zelf, is dit dan nog een goed idee?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:34]

HSG @Verwijderd • 10 augustus 2021 10:30

Ooit had ik 2FA ingeschakeld totdat mijn gegenereerde codes niet meer geaccepteerd werden. Ik had het vermoeden dat het iets met het tijdsverschil te maken had.

(Als ik een map op de NAS aanmaakte zag je duidelijk dat er verschil in de tijd dat het mapje was aangemaakt tegenover de tijd van mijn desktop)

roller12358 @HSG • 10 augustus 2021 22:01

Een NTP server koppelen is wel haast verplicht op je NAS, voor 2FA maar ook voor datum/tijdstempels van je data en backups.

EDIT: verduidelijking tekst

[Reactie gewijzigd door roller12358 op 22 juli 2024 16:34]

HSG @roller12358 • 10 augustus 2021 22:05

Dat heb ik ook en de NTP-services staan aan. Maar toch ging het mis.

De server is nu pool.ntp.org tenzij dit niet zo'n beste is.

roller12358 @HSG • 10 augustus 2021 22:44

Ja die gebruik ik ook (sinds een jaar of twee). Gelukkig altijd goed gegaan met inloggen.

HSG @roller12358 • 10 augustus 2021 22:59

Dan vraag ik mij af wat er verkeerd is gegaan. Ondanks de hele troubleshoot kwam ik er niet uit.

Jij misschien ideeën?

roller12358 @HSG • 12 augustus 2021 12:26

niet echt, hooguit issue met tijdzone of zomer/wintertijd. Maar dan zou het altijd mis moeten gaan.
Tweede wat kan is dat de NTP server niet bereikt kan worden dus nooit een sync veroorzaakt wordt. Maar dat kun je allemaal vrij simpel nakijken als je de tijd van de NAS met je telefoon vergelijkt.

HSG @roller12358 • 12 augustus 2021 22:02

Hmmm bizar allemaal. Ik heb nu wel een scriptje gemaakt om elke de dag de sync weer goed te zetten. Hopelijk voorkomt dit gedoe voor in de toekomst.

sOid @Verwijderd • 10 augustus 2021 10:31

Vind ik lastig inschatten, maar ziet er op het eerst oog wel prima uit (disclaimer: ik ben geen security expert). Denk dat het handiger is als je dit in het Synology-topic hier op GoT navraagt

Trinitronic @sOid • 10 augustus 2021 09:46

Solide voordeur, maar zijn alle ramen en achterdeurtjes ook dicht?

sOid @Trinitronic • 10 augustus 2021 10:30

Wat bedoel je daarmee? Instellingen op routers en andere apparatuur op mijn LAN enzo? Ik denk dat het allemaal wel redelijk goed is afgedekt, ja. Zo heb ik bijvoorbeeld wel SSH draaien op m'n NAS maar die is alleen via LAN bereikbaar, via een niet-standaard poort. Daarnaast werk ik met SSH-keys.

Ook nog een NUC draaien die met de buitenwereld is verbonden, maar die firewall zit behoorlijk dichtgetimmerd.

iAR @sOid • 10 augustus 2021 10:51

Op de een of andere manier vind ik dat reverse proxy erg ingewikkeld. Zeker voor diensten (als sonarr, sab die in dockers draaien). Die poorten staan geforward in de router.

En, ik heb een allow rule voor Nederland. Moet je dan ook nog een deny maken voor de rest van de wereld?

[Reactie gewijzigd door iAR op 22 juli 2024 16:34]

The Wizard Moderator Mobile @NeFoRcE • 10 augustus 2021 08:45

In ieder geval de standaard admin account uitschakelen, die aanvallen (wat ik terugzie in mijn NAS) zijn altijd op username admin. En stel andere poorten in dan de standaardpoorten van Synology. Auto block helpt helaas niet zoveel, ze proberen maar 2x per IP. Ik heb wel na 3x auto block ingesteld binnen 10 dagen. En uiteraard 2FA instellen...

[Reactie gewijzigd door The Wizard op 22 juli 2024 16:34]

mindcre8r @The Wizard • 10 augustus 2021 12:45

dit dus (heb je ook een +2 gegeven) en zet een ruime timeout op fouten inlogpogingen. dat is lastig voor jezelf als je het fout doet maar voorkomt een heleboel.

ik heb:

Acces enkel op nederland en deny op al het andere
Het standaard Admin account disabled.
Foutieve Inlogpogingen maximaal 3 per uur.
2fa op de accounts

Op die manier ben je in iedergeval al een stuk minder bereikbaar voor de brute force.

Oon

@The Wizard • 10 augustus 2021 08:51

Andere poorten instellen is security through obscurity, bots hebben met een portscan zo alsnog de juiste poort te pakken

miitjohn @Oon • 10 augustus 2021 08:59

Dat hangt ervan af. Iets securen bestaat uit verschillende stappen en lagen. Het minder zichtbaar maken van een service is helemaal geen 'security through obscurity' indien je dat kan doen zonder dat het een nadeel is voor gebruikers én het in een groter geheel past. Verder kan ik mij voorstellen dat meeste bots geen 65k poorten scannen per host.

[Reactie gewijzigd door miitjohn op 22 juli 2024 16:34]

Oon

@miitjohn • 10 augustus 2021 09:02

Tja, je kan ook gewoon alleen SSH open laten, plaintext auth en root auth helemaal uitschakelen, en fail2ban toepassen voor de simpelere aanvallen. Ook dat is niet dekkend als je dingen als buffer overflow aanvallen meerekent, maar dat is wel een stuk veiliger dan je poort veranderen en dan hopen dat ze 'm niet vinden.

Ik denk dat ook in de alternatieve poorten die mensen gebruiken er geen 65k nodig zijn om 9/10 keer wel de juiste te vinden, want de meeste mensen zijn lang niet zo origineel als ze denken.

Voor de web interface gewoon heel simpel alleen intern bereikbaar maken. Mocht je dan ooit écht direct bij de web interface moeten dan kun je een SSH tunnel opzetten

[Reactie gewijzigd door Oon op 22 juli 2024 16:34]

miitjohn @Oon • 10 augustus 2021 09:26

SSHD heeft ook vulnerabilities. Door deze op een niet evidente poort te zetten loop je nog minder risico. De kans dat iemand én de poort vind én gebruik maakt van die betreffende vulnerability in dat timeframe dat de vulnerability er was, is kleinder dan dat je 'm gewoon op 22 zet.

Gevoelsmatig voelt het verkeerd om zo te denken, maar het is gewoon een extra laag in de totale opzet. Alleen als je de andere lagen gaat afzwakken - of niet toepast - omdat je SSHD op een andere poort zette, pas dan kan je over security through obscurity spreken.

[Reactie gewijzigd door miitjohn op 22 juli 2024 16:34]

Heidistein @miitjohn • 10 augustus 2021 10:00

Ga ik je toch teleurstellen. Het maakt niet uit op welke poort je een SSH-daemon laat luisteren, je wordt direct aangevallen. Dat is niet na een uurtje, werkelijk binnen een minuut staat er een leger op je poort te stampen. Voor HTTP duurt het iets langer, maar na een uurtje of twee staan ze al naar wordpress en outlook om te neuzen.

The Wizard Moderator Mobile @Oon • 10 augustus 2021 08:57

Klopt, maar niet bij deze botnet, heb ook nog een andere Synology NAS lopen op andere poorten en daar nog geen enkele inlogpoging gehad. Het scheelt altijd.

pepsiblik @Oon • 10 augustus 2021 09:08

Zoals een politieman ooit tegen me zei: "Het is niet de bedoeling om het onmogelijk te maken om binnen te komen. Dat gaat niet lukken. Maar maak het moeilijk genoeg dat ze bij liever bij een ander gaan kijken."

Oeroeg @Oon • 10 augustus 2021 10:02

Ik vind het voordeel vooral dat het je logs niet zo vervuild.

Al die kansloze loginpogingen worden anders wel gelogd

[Reactie gewijzigd door Oeroeg op 22 juli 2024 16:34]

CH4OS @The Wizard • 10 augustus 2021 09:07

Ervan uitgaande dat de pogingen die jij in de logging ziet van deze malware is, maar dat weet je natuurlijk ook nooit.

vgroenewold @The Wizard • 10 augustus 2021 09:16

En ik wissel mijn wachtwoorden daarnaast iedere maand, met behulp van mijn ww-manager, random ook voor alle users en geoblock op een hele rits aan IP ranges (zijn sites voor die bijhouden waar de meste zooi vandaan komt).

[Reactie gewijzigd door vgroenewold op 22 juli 2024 16:34]

Dennisdn @The Wizard • 10 augustus 2021 09:56

Hoe kun je die aanvallen bekijken? Gebruik je dan het gewone logboek in Synology? Daar zie ik alleen m’n eigen inlogs. Of gebruik je externe software zoals ik net snel Darkstat heb weten te vinden?

nooberke @The Wizard • 10 augustus 2021 10:06

Hier afgelopen weken ook heel veel pogingen, maar inderdaad allemaal op het "admin" account, die staat al heeeeel lang uit of op advies van de Security Advisor.

Ik kreeg zoveel emails van geblokkeerde IP's dat ik de emails maar uitgezet heb

[Reactie gewijzigd door nooberke op 22 juli 2024 16:34]

spiritrulez @NeFoRcE • 10 augustus 2021 08:43

Altijd updates draaien (ik kijk wekelijks, meestal vaker) en niet de standaard user gebruiken met een "veilig" wachtwoord (minimaal 8 kleine/grote letters, cijfers en tekens). Ik gebruik niet eens tweestaps authenticatie, voor mijn gevoel is dit voldoende.

Verder heb ik overigens een QNAP en geen Synology.

NLKornolio @spiritrulez • 10 augustus 2021 09:01

8 is niet echt meer een veiligheid, duurt 9 uur om dat te bruteforcen.

Mijzelf @NLKornolio • 10 augustus 2021 09:11

Als je alleen hoofdletters, kleine letters en cijfers gebruikt, dan geeft een password van 8 karakers 62⁸ = 2.2*10¹⁴ mogelijkheden. Als je die in 9 uur wilt bruteforcen, moet je daar gemiddeld de helft van geprobeerd hebben, dus 1.1*10¹⁴. Dat zijn ruim 3 miljard pogingen per seconde. Misschien dat je het lukt om een hash met dat tempo te bruteforcen, maar voor een online login is dat absoluut onhaalbaar.

aap @NLKornolio • 10 augustus 2021 10:24

Als je instelt dat IPs geblokkeerd worden na zeg 3 mislukte pogingen, heb je de brute force aanvallers wel afgedekt.

Als een hacker toegang heeft tot je password file, dan heb je al heel andere problemen.

init6 @spiritrulez • 10 augustus 2021 08:54

Als je het bericht gelezen had dan was duidelijk dat ze de boel brute forcen. Dus gewoon wachtwoord raden, wat gaat een update daar aan veranderen?

spiritrulez @init6 • 11 augustus 2021 08:17

Wanneer bekend is van welke IP's of ranges de aanvallen komen kan men in een update login pogingen van die adressen ondervangen toch? Of wordt dat niet gedaan?

rookie no. 1 @spiritrulez • 10 augustus 2021 11:53

Qnap heeft de afgelopen jaren enorm veel kritieke beveiligings lekken gehad waarbij het niet eens uitmaakte dat je een (sterk) wachtwoord erop had ingesteld

VPN verbinding om in je netwerk te komen is nog het meest veilige. Niet zo makkelijk, maar het loont.

Stefan H @NeFoRcE • 10 augustus 2021 08:41

Ik vond het juist bij Synology heel makkelijk om in te stellen dat je maximaal een x aantal keer het wachtwoord in kon voeren, anders wordt het IP geblokt.

Hoe gaat dat overigens met zo'n bot net? Als de ene IP geblokt is, probeert een ander IP het opnieuw? Of is dat gewoon willekeur? Iemand die dat weet?

rscheper @Stefan H • 10 augustus 2021 08:48

Inderdaad een ander IP adres.

Ik kreeg sinds een paar weken (wordt nu hard minder) elke 5 minuten een poging op een nieuw, ander IP adres. Die van mij is zo ingesteld dat ik alleen met IP van een whitelist er bij mag en ik heb een blocklist via Marius Hosting ingesteld. Na 1 mislukte poging vanaf een onbekend IP adres wordt dit IP geblokkeerd.

[Reactie gewijzigd door rscheper op 22 juli 2024 16:34]

Rinaldootje

@rscheper • 10 augustus 2021 11:29

Zo heb ik het ook ingesteld staan.
Tevens alleen geo-block met alleen NL toegestaan en verder alleen mijn interne netwerk in de whitelist.
Alle attacks probeerden het via het admin account. Maar die schakel ik gelijk na de installatie uit. Dus al helemaal vergeefse moeite (tegenwoordig raadt Synology dat ook aan).

ikbentomas @Stefan H • 10 augustus 2021 08:57

In de logs die ik voorbij heb zien komen, van andere bruteforce attacks, zag ik dat elke poging al van een ander IP adres af kwam. Er wordt dus steeds door een andere geïnfecteerde machine een poging gedaan. Zo voorkomen ze dat ze geblokkeerd worden, of dat je eenvoudig een blacklist kan opstellen.

bertware @Stefan H • 10 augustus 2021 09:22

Je kan ook gemakkelijk begrenzingen instellen voor inlogpogingen per account, waarbij het account wordt geblokkeert na x foute pogingen, ook al komen alle pogingen van verschillende IP adressen (met mogelijkheid voor whitelists om bvb nooit accounts te blokkeren bij toegang vanaf LAN). Zit tesamen bij de brute-force beveiliging, en heet "account protection"

n9iels

@NeFoRcE • 10 augustus 2021 08:44

Niet vanaf "het internet" toegankelijk maken maar vanaf een VPN helpt al enorm. Daarnaast gewoon de standaard maatregelen: een goed wachtwoord een zo min mogelijk rechten. Gebruik je de NAS remote bijv. enkel voor het kijken van films onderweg, zorg er dan voor dat er maar 1 account is met enkel leesrechten die er van buitenaf in kan. Zo minimaliseer je risico's.

En als je dan toch bezig bent ook in je netwerk een apart VLAN opstellen. Dan kun je daar ook nog limiteren welke apparaten toegang mogen hebben tot de NAS.

[Reactie gewijzigd door n9iels op 22 juli 2024 16:34]

DigitalExorcist @NeFoRcE • 10 augustus 2021 08:44

Nou, wat jij doet is over het algemeen prima. Niet toegankelijk vanaf internet maken.

Natuurlijk is het dan wél zaak dat je router te allen tijde goed beveiligd is. Sterk wachtwoord en misschien ook alleen maar minimaal toegankelijk maken, als je dat al hebt.

ctrl-tab @NeFoRcE • 10 augustus 2021 08:46

user/pass , op apart vnet alleen bereikbaar vanaf mijn eigen devices (MAC) en mijn shield tv / htpc
Verder kan ik er alleen bij via VPN (wireguard @ opnsense)

Je nas gewoon open zetten voor de buitenwereld is vragen om problemen.

S1NN3D

@NeFoRcE • 10 augustus 2021 08:47

Naast de diverse hier al genoemde opties: schakel het standaard admin-account uit en maak zelf een beheeraccount aan met admin-rechten.

Edit: @The Wizard was me net voor.

[Reactie gewijzigd door S1NN3D op 22 juli 2024 16:34]

Lounge Deluxe

@NeFoRcE • 10 augustus 2021 10:15

Ik heb Quick Access uit staan en heb Router Configuration nooit ingesteld, ben ik dan inderdaad niet benaderbaar vanaf externe IP adressen?

FreshMaker @NeFoRcE • 10 augustus 2021 14:00

NAS is hier niet toegankelijk vanaf het internet. Lokaal 2 staps nodig. Maar toch denk ik soms van; wat als. Wat is nou de juiste manier van zo'n ding dichttimmeren? Er zijn zoveel opties. Hoe doen jullie dat?

stap één - moet er verkeer op en neer gaan ?
Dus is het noodzakelijk dat je vanaf buitn er op kan komen ?
Nee, dan geen portforwading aanzetten in de router.

legend07p @NeFoRcE • 10 augustus 2021 08:42

Je interne netwerk goed beveiligen, dit kan je doen met behulp van een Unifi Dream machine modem bijvoorbeeld.

tom.cx @legend07p • 10 augustus 2021 08:48

Wat stel je dan voor? Aparte vlan voor belangrijke apparaten, alleen vpn toestaan naar het vlan en de nas? Plus natuurlijk goed je firewall instellen? Sowieso lijkt het mij goed om dan alleen Nederlandse ipadressen toe te staan naar je vpn-server en de rest te blokkeren.

init6 @tom.cx • 10 augustus 2021 08:52

Wat gaat je VPN dan precies doen?

The Zep Man

Netwerk en systeembeheer

@legend07p • 10 augustus 2021 08:45

dit kan je doen met behulp van een Unifi Dream machine modem bijvoorbeeld.

Of via elke andere goed geconfigureerde firewall.

The Zep Man

Netwerk en systeembeheer

@legend07p • 10 augustus 2021 11:14

Elke beetje firewall kan dit. Daar heb je echt geen Unifi Dream Machine voor nodig.

Waarom zou ik een apparaat van een specifieke fabrikant onderzoeken als het met elk ander fatsoenlijk apparaat kan? Ik ben niet hard gebonden aan een merk.

Verder ben ik het eens met @hottestbrain: hij heeft het heetste brein, maar kan niet in dat van jou kijken (net als ik). Schrijf op wat je bedoelt als je denkt dat je iets kan bijdragen, en wuif verzoeken voor onderbouwing niet weg met 'DYOR'. Dat maakt je argument niet sterker.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:34]

legend07p @The Zep Man • 10 augustus 2021 11:58

Ik de Unifi Dream Machine erbij gepakt als voorbeeld. Dat kan je namelijk ook lezen...

Je interne netwerk goed beveiligen, dit kan je doen met behulp van een Unifi Dream machine modem bijvoorbeeld.

hottestbrain

@legend07p • 10 augustus 2021 10:52

Een blocklist op basis van IP adressen. Klinkt alsof elke firewall dat kan. Daarnaast: DYOR? Doe normaal en zeg wat je wil zeggen ipv anderen te laten gokken wat je verder nog zou bedoelen.

hottestbrain

@legend07p • 10 augustus 2021 11:07

Het is geen modem, het is een router. Modems MOduleren en DEModuleren in de regel signalen van medium A naar medium B (coax/telefoon/glas 'analoge' signalen naar digitaal IP verkeer en vice versa). De firewall functie is leuk, maar niet bovengemiddeld goed (edit: binnen de prijsklasse).

Waar unifi uitblinkt is corporate wifi en dit apparaat heet niet eens externe antennes. Oprecht, elke open-wrt/dd-wrt router kan blocklists en ook mijn 70 euro asus wifi6 router ondersteund out of the box blocklists.

Ik weet natuurlijk waar DYOR voor staat, maar de conclusie daarvan is dat ik zelf moet gaan uitzoeken wat jij bedoelt. Dat doe ik niet, want ik leef niet in jouw google-bubble en ook niet in jouw hoofd: Weet ik veel of je het verder over DPI, IDS of IPS hebt? Gewoon zeggen wat je bedoelt is wenselijk voor een discussie.

[Reactie gewijzigd door hottestbrain op 22 juli 2024 16:34]

bartovitc 10 augustus 2021 09:40

Nog (zo snel) nergens gelezen, maar is er een manier waarop je kan zien of je Synology al geïnfecteerd is met de botnet?

ChrisVrolijk

10 augustus 2021 10:25

Om te beginnen heb ik quickconnect maar even uitgezet.
Poortnummer en standaard usernames had ik al veranderd.

Theone098 10 augustus 2021 10:52

Even een extract van mijn SIEM m.b.t. usernames gebruikt voor login pogingen:

test admin office ftp campaign correo chemical toshiba copier testmail support boss noreply xerox ceo meeting alex 123 111 sharepoint tester contro chris ldap accounts helpdesk printer git admin1 lager portal marketing 1 it xbmc postgres konica ftpuser gamma acronis internet user1 test2 vmail ceshi reality
student abc audit postmaster finance chiara transfer backup test1 monitor auditor test123 testuser buh
demo test info scanner guest scan user root cyrus 11111111111 info unknown almedin sale

Zoals je ziet, zeker niet alleen admin. Admin is wel het account wat het vaakst wordt geprobeerd.

Maar geo-blocking, IDS/IPS, Reverse proxy en een strikt blokkeerbeleid op het NAS zorgt al voor veel meer rust.

leroy98ecker 10 augustus 2021 11:18

Het viel mij de laatste dagen al op dat er erg veel inlogpogingen worden gedaan. Het zijn er zo’n 2500 per dag. Ik heb het standaard adminaccount uitgeschakeld en 2FA aanstaan. Daarnaast een IP-block na vijf pogingen, maar de IP’s wisselen om de twee pogingen. Mijn router gaf ook elke dag een aantal meldingen over “WEB Remote Command Execution via Shell Script -1.a” aanvallen die zijn geblokkeerd. Dus er wordt ook geprobeerd om door middel van scripts binnen te komen. Uiteindelijk heb ik besloten om poorten 5000, 5001 en de VPN-poorten naar mijn NAS dicht te zetten en dus de internettoegang vanaf buiten te blokkeren. Sinds gisteren bouw ik een VPN-verbinding over IKEv2 naar de router op en benader ik op die manier de NAS. Op die manier zit er een extra laag beveiliging tussen de NAS en het internet.

still_the_same 10 augustus 2021 08:38

Wat ik al heel lang mis is een cool down periode na 3x een verkeer wachtwoord. Zou al heel veel helpen.

GertMenkel @still_the_same • 10 augustus 2021 08:47

Dat maakt een DoS dan weer triviaal. Geheimhouding, integriteit en beschikbaarheid zijn de speerpunten van cybersecurity die je soms prioriteit moet toewijzen. Iemand uit zijn NAS houden door drie keer een verkeerd wachtwoord te gokken kan schadelijker zijn dan een botnet dat een complex wachtwoord probeert te raden maar nooit zal lukken.

Aannemende dat het wachtwoord op mijn NAS goed genoeg is en dat de firmware veilig genoeg is, zou ik het persoonlijk niet op prijs stellen dat zoiets mis zou kunnen gaan.

R4gnax @GertMenkel • 10 augustus 2021 09:18

Iemand uit zijn NAS houden door drie keer een verkeerd wachtwoord te gokken

Synology's login-ban is IP-bound, niet account-bound.
Jij kunt vanaf je eigen IP addressen gewoon nog inloggen.

GertMenkel @R4gnax • 10 augustus 2021 10:54

Dat is wel beter, maar dat werkt ook niet altijd. Als je router IP masquerading toepast, verandert het bron-IP van de pakketten die je NAS bereiken en sluit je mensen alsnog van buiten uit omdat de NAS alleen je gateway binnen ziet komen (en die blockt).

Dit kan bij Linux-gebaseerde firewalls nog wel eens voorkomen. Ik verwacht dat de meeste consumentenrouters DNAT gebruiken, maar er zullen genoeg apparaten te vinden zijn die IP masquerades doen, vooral op zakelijk gebied.

bertware @R4gnax • 10 augustus 2021 12:12

zowel ip-bound en access-bound zijn mogelijk, beiden met whitelists om "veilige" ip-adressen altijd toe te laten.

bertware @GertMenkel • 10 augustus 2021 09:27

Er zijn ook mogenlijkheden voor whitelists (altijd toegang toelaten vanuit bepaalde IP-ranges of specifieke adressen), trusted devices (toestellen waar je al eerder succesvol op hebt ingelogd) die een eigen regelset kunnen krijgen, en nog meer whitelists voor andere soorten bescherming, zodat je zelf altijd toegang kan houden van je eigen toestellen, lokaal subnet, ... wat je maar wilt. Op die manier kan je de regels een heel stuk genuanceerder maken en veel beter balanceren dan gewoon bescherming aan of uit.

Sebazzz

@still_the_same • 10 augustus 2021 08:40

Gelukkig ondersteunt DSM two factor authentication. Ik zou dat dus ook zeker aanzetten.

vespino @Sebazzz • 10 augustus 2021 08:50

Nadeel is dat de API dan lastiger in gebruik is.

satpet @Sebazzz • 10 augustus 2021 11:54

Alleen oppassen met gmail adressen als je een gsm probleem hebt. Voor gmail als Synology account is het heel moeilijk op te zetten.
Met een microsoft live, outlook, ... account geen probleem.
Heb het aan den lijve mogen ondervinden. Gelukkig had mijn vrouw toen nog geen two factor authentication aanstaan op de NAS en ben ik er zo terug op geraakt.

MatthiasL @still_the_same • 10 augustus 2021 08:41

Je kan toch automatisch blokken van accounts, en zelf IP's na een verkeerd wachtwoord? Dit dit er al in sinds weet ik hoe lang dus snap niet waar je dit mist?

Ben75 @MatthiasL • 10 augustus 2021 09:27

Deze beveiliging staat bij mij ook aan. Na 2 pogingen einde verhaal. Dit staat ook aan bij onbetrouwbare clients.Hopelijk stopt dit de aanval.

psychodude @MatthiasL • 10 augustus 2021 14:19

Dit inderdaad. Mijn NAS heeft zo vele tienduizenden IPs in de blocklist staan. Diverse landen heb ik ook ge-geoblocked staan.

azteke

@still_the_same • 10 augustus 2021 08:44

Je kan een op adres blokkeren bij x mislukte inlog pogingen binnen x minuten. En daarna een auto unban na x tijd. Dit haalt helaas niet veel uit. Ik zie op de twee synology's in mijn beheer al weken inlog pogingen op de admin accounts, ongeveer iedere vijf minuten twee pogingen vanaf 1 ipadres. Daarna weer vanaf een ander ip adres. Mijn admin accounts zijn disabled dus het gaat ze niet lukken. Voornamelijk erg irritant, maar ik kan er niet veel aan veranderen.

bartvries @azteke • 10 augustus 2021 12:13

Precies hetzelfde hier. Er wordt constant met ADMIN geprobeerd. Dit is de beste tip, gewoon disablen. Op eigen username/account kun je ook admin rechten toekennen.

mcmlx @still_the_same • 10 augustus 2021 09:22

Wat bedoel je hier precies mee?

Bij Control Panel - Security - Protection kun je instellen:
* Het aantal inlogpogingen door een IP adres
* Binnen welke tijdsperiode dit aantal moet plaatsvinden
* Eventueel: Het aantal dagen waarna dit IP adres weer gedeblokkeerd moet worden

Is dat niet hetgeen jij wil?

sweetdude @mcmlx • 10 augustus 2021 11:48

Maar als je NAS al niet benaderbaar is vanaf het internet doordat je hem er niet rechstreeks aan hebt hangen en/of geen port forwarding hebt. Dan is dat sowieso al beter lijkt me.

mcmlx @sweetdude • 19 augustus 2021 10:20

Klopt helemaal maar ik gebruik het NAS ook om van waar dan ook bijv. documenten in te kunnen kijken of foto's te kijken.

robbinkg @still_the_same • 10 augustus 2021 08:42

Configuratiescherm > Beveiliging > Account > Automatisch blokkeren inschakelen als het al niet is ingeschakeld, hierin kun je ook het aantal inlogpogingen instellen binnen x aantal minuten.

Goudvis @still_the_same • 10 augustus 2021 08:42

Die cooldown mis je dan waarschijnlijk niet in je Synology NAS. Het Synology OS heeft die feature namelijk gewoon.

Meer info: https://kb.synology.com/e...Center/security_autoblock

hrikken @still_the_same • 10 augustus 2021 08:42

Misschien even de handeling lezen?

FrenzyFreak @still_the_same • 10 augustus 2021 08:43

Control panel > Security > Protection

Onder het kopje Auto Block met de optie voor "block expiration".

disheaver @still_the_same • 10 augustus 2021 08:45

control > security > account:
- block IP + unblock after # days,
- untrusted clients met cancel account protection.

Doet volgens mij precies wat je wil.

Globefrotter @still_the_same • 10 augustus 2021 09:25

In het mailtje over het beveiligen van je nas dat ik ontving van Synology staat bij de 5 manieren om je nas te beschermen:
"2. Enable Auto Block and Account Protection in DSM
Auto Block protects your NAS by automatically blocking IP addresses that make a certain number of failed login attempts."

Dus volgens mij is die 'cool down' periode waar je het over hebt er wel degelijk.....

Ortep

@still_the_same • 10 augustus 2021 09:31

Dat heeft een synology
Bv 3 keer fout password in 15 minuten is 24 uur geen toegang.
Dat zit er al jaren in.

[Reactie gewijzigd door Ortep op 22 juli 2024 16:34]

Jasper1911 @still_the_same • 10 augustus 2021 16:24

dat is er al voor synology: blocklist na [n] aantal keer foutief inloggen binnen [x] tijdsduur voor [y] tijd.

g-crash 10 augustus 2021 10:37

Laten we het nog even anders stellen, zelfs al heeft je nas geen externe toegang is het nog steeds mogelijk om van binnen uit een aanval te openen. Jij als gebruiker bent vaak de zwakste schakel. Er hoeft maar een foutieve website tussen te zitten die je netwerk scant en dan die zelfde aanval uitvoert, maar dan via bijvoorbeeld JavaScript. Een oplossing hiervoor kan zijn MFA of je netwerk opsplitsen in meerdere segmenten (vlans). Niet het meest gebruiksvriendelijke helaas.

firedancer-88 @g-crash • 10 augustus 2021 11:37

Ik heb een apart VLAN voor mijn raspberry Pi's en IoT spul. Maar mijn NAS staat (zoals bij velen waarschijnlijk) op hetzelfde vlan als de laptop/pc/smartphone. Als men uberhaupt al vlans in kan stellen op hun router... MFA is dan zeker een aanrader.

Maarten21

10 augustus 2021 08:43

Autoblock staat bij mij standaard aan voor "10 failed login attempts within 5 minutes". Daarna wordt het IP adres geblokkeerd.
Lijkt me triviale bescherming tegen tegen een botnet met zeer grote aantallen IP addressen?

xFeverr @Maarten21 • 10 augustus 2021 08:51

Tips:

Schakel in dat een IP wordt geblokkeerd als het een x aantal keren een fout wachtwoord heeft ingevoerd.
Zorg er voor dat de security advisor je een mail stuurt bij verdachte inlogactiviteit.
Stel je firewall op je NAS goed in. Ik heb hem ingesteld dat hij alleen te benaderen is vanaf Nederlandse en Belgische IP-adressen, aangezien ik daar woon (NL) en vaak kom (BE). (Zorg er ook voor dat je je lokale netwerk toestaat. Die vallen hier namelijk ook niet onder.)
Zet je DSM interface op een andere poort dan de standaard poort.
Gebruik niet het account 'admin'. Dit zal namelijk de eerste zijn die ze proberen. Het wordt alweer een stukje lastiger als ze ook een gebruikersnaam moeten raden.

(Sorry @Maarten21, dit was eigenlijk niet eens bedoeld als reactie op jou. Zie het als een aanvulling)

[Reactie gewijzigd door xFeverr op 22 juli 2024 16:34]

Coromoto @xFeverr • 10 augustus 2021 09:13

Ik heb meerdere inbraakpogingen gezien tijdens de afgelopen weken die gewoon vanaf een Nederlands adres afkomen, dus het blokkeren van niet NL IP adressen is niet afdoende.

Ik heb autoblock bij 2 mislukte pogingen binnen 10 dagen, heb een admin account met een wachtwoord > 16 karakters, dus tegen de tijd dat ze dat gekraakt hebben kunnen ze pas bij mijn AudioStation (enige dienst die ik “open” heb staan).

2FA heeft mij vaker in de steek gelaten dan geholpen, en het admin account disablen is ook niet compleet zonder gevolgen (zie bijv. https://kb.synology.com/e...e_admin_data_and_settings )

HSG @xFeverr • 10 augustus 2021 10:07

(Zorg er ook voor dat je je lokale netwerk toestaat. Die vallen hier namelijk ook niet onder.)

Hoe stel ik dat in?

xFeverr @HSG • 10 augustus 2021 11:54

Je kunt in de firewall van Synology een heel subnet opgeven dat niet geblokkeerd mag worden. Of je doet het via een IP-range. Ik heb bijvoorbeeld de range van 192.168.0.0 tot 192.168.255.255 opgegeven, daar waar dit lokale IP-adressen zijn.

HSG @xFeverr • 10 augustus 2021 17:17

Ik zie het al. Thanks.

Dan kan ik dus een range opgeven alleen wat doe je dan met de poorten? Laat je die dan op "alles" staan en zo niet welke poorten selecteer je dan?

xFeverr @HSG • 10 augustus 2021 18:13

Ik heb hem voor het lokale netwerk op alles staan inderdaad. Van buiten af kies ik voor de applicaties die beschikbaar mogen zijn.

HSG @xFeverr • 10 augustus 2021 18:29

Noem eens een paar dan?

Ik heb NTP, beheer gebruikersinterface, HTTPS en reverse proxy en vpn server als applicaies die van buiten benaderd mogen worden.

Met betrekking tot intern...daar ben ik iets strenger door alleen de poorten open te zetten van zaken die ik ook echt gebruik.

[Reactie gewijzigd door HSG op 22 juli 2024 16:34]

xFeverr @HSG • 10 augustus 2021 20:05

Ik heb daarbij nog Synology Drive, dit is voor mij wel de belangrijkste applicatie. In gebruik door de hele familie. Daarnaast Synology Photos (het vorige Moments, niet Photo Station), om eigenlijk dezelfde reden.

En ja, over de reverse proxy wat applicaties die ik op docker heb draaien.

HSG @xFeverr • 10 augustus 2021 21:22

Oh ja foto, muziek en file zijn bij mij ook te benaderen maar dan d.m.v. reverse proxy en ook een applicatie op Docker genaamd Papermerge om documenten te uploaden en te beheren. Verder niks.

Het enige wat sowieso nooit via buiten te benaderen is is PHPmyAdmin om de KODI-database te beheren en MariaDB waar de database op staat te draaien.

Dan denk ik dat ik het nog wel goed heb gedaan.

[Reactie gewijzigd door HSG op 22 juli 2024 16:34]

xFeverr @HSG • 10 augustus 2021 21:29

Dan denk ik dat ik het nog wel goed heb gedaan.

Zal toch wel

Ik heb nog bitwarden_rs Vaultwarden draaien. Zeker een aanrader! En firefly III.

HSG @xFeverr • 10 augustus 2021 21:43

FireFly III? Kun je dat ook op een Docker installeren?

Maarten21

@xFeverr • 10 augustus 2021 08:58

Goede tips!
Mijn NAS is sowieso niet benaderbaar buiten het lokale netwerk (zit achter router en port forwarding staat uit)

Wachten... 10 augustus 2021 09:31

Raar dat er niet vermeld wordt dat je sowieso het standaard admin uit moet schakelen en een nieuwe admin aan moet maken.

Ik ga er namelijk vanuit dat dit soort aanvallen hoofdzakelijk zijn op de username: Admin zijn en dat als jij een admin aanmaakt het de username: onshuis (slechts een voorbeeld) dat dit soort attacks al veel minder voor gaan komen.

alexvanniel @Wachten... • 10 augustus 2021 09:40

Voor zover ik weet wordt het standaard admin account bij de eerste setup al uitgeschakeld, evenals het guest account. Bij mij zijn die beide accounts in ieder geval na / bij de eerste setup van mijn Synology uitgeschakeld. En omdat dat account niet verwijderd maar uitgeschakeld wordt, kun je geen nieuwe account aanmaken met 'admin' ... Tenzij je die dus verwijderd hebt.

Wachten... @alexvanniel • 10 augustus 2021 10:08

Mijn server draait al 10 jaar, dus geen idee hoe dat dan nu is, maar dat zou dan kunnen inderdaad (goede zaak dan).

Toch zijn er blijkbaar genoeg mensen die bepaalde instellingen niet (of niet goed) doen.

Bekijk anders even deze video van Spacerex. Hier worden veel zaken goed behandeld (hij heeft er meer video's over)

Shadow771 @alexvanniel • 10 augustus 2021 10:27

Dat is pas vanaf DSM7 zo.

alexvanniel @Shadow771 • 10 augustus 2021 10:48

Dat is wel raar dan want bij mij heb ik destijds volgens mij nooit zelf het admin en guest account op disabled gezet. Volgens mij was dat toch echt iets dat tijdens de setup is gebeurd. Of ik moet toen zowaar iets van een best practices lijstje gevolgd hebben.

Shadow771 @alexvanniel • 10 augustus 2021 10:56

Ik denk dat ik mezelf even moet verbeteren. Het zou kunnen dat ze dit in update DSM 6.2.4-25556 al doorgevoerd hadden.

Maar ik kan me herinneren toen ik jaren geleden verse NAS installaties uitvoerde dat ik altijd zelf handmatig de Admin account moet disablen.

Bor Coördinator Frontpage Admins / FP Powermod @alexvanniel • 10 augustus 2021 10:57

Voor zover ik weet wordt het standaard admin account bij de eerste setup al uitgeschakeld, evenals het guest account.

Dat is vanaf DSM 7 zo inderdaad. De security advisor geeft ook een critical wanneer het admin account niet uitgeschakeld is en adviseerd je direct om een nieuw / ander admin account te maken.

[Reactie gewijzigd door Bor op 22 juli 2024 16:34]

nooberke @Wachten... • 10 augustus 2021 10:09

Hier zijn alle aanvallen op "Admin" ja.

Jerie

@Wachten... • 10 augustus 2021 11:02

Op zich is een username geen geheim. Als enkel het veranderen van de username het probleem oplost, dan is sprake van security through obscurity. Maar het kan wel je logs verlichten. Beetje hetzelfde idee als SSH op niet-standaard poort draaien.

Op dit item kan niet meer gereageerd worden.

Synology waarschuwt voor malware die nas-apparaten infecteert

Lees meer

Reacties (359)

Sorteer op:

Weergave: