DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all

[JG]

Beste forumleden, deze herfstvakantie had ik van buiten af opeens geen contact meer met mijn NAS 214+. Normaal check ik elke dag wel de bewakingscamera's en domotica. Bij thuiskomst bleek dat XS4all mijn router had geblokkeerd voor verkeer van buiten, omdat er de afgelopen dagen veel spam/ aanvallen vanuit mijn IP-adres waren verstuurd. Het logboek van de NAS toonde dat vreemde IP-adres (178.188.70.122 én 192.109.148.100) met succes als admin via DSM waren ingelogd en daar allerlei firewalls en portforwarding hebben aangepast. Dat is mij de afgelopen 10 jaar niet overkomen, daar ik dacht:
- een zeer lastig te kraken admin-wachtwoordzin te gebruiken;
- bij foutieve aanmeldingen de inbreker meteen een jaar te laten blokkeren na 2 foute aanmeldingen in een minuut;
- firewall-regels toe te passen en gericht poorten open te zetten, niet meer dan nodig is om mijn applicaties te draaien;
- nieuwe updates direct automatisch te installeren;
- security-checks te doen, waarna Synology aangeeft dat eea in orde is;

Heeft iemand hier ervaring mee of leerzame tips? Hoe lukt het derden dan toch om als admin binnen te komen in mijn NAS? Lukt dat via de beschreven UPnP van de router (van XS4all waar ik nu enkele maanden over beschik)? Heeft het lek kunnen ontstaan doordat ik dan per smart-phones en computer gebruik maak van een open netwerk in buitenland, waar ze wellicht inlogcodes hebben kunnen afluisteren in mijn internetverkeer?

Ik heb de firewalls en poorten weer hersteld, dubbele verificatie bij inloggen ingesteld, alle gebruikers afgesloten en zal mijn UPnP nog afsluiten in de router. Houdt dit toekomstige hackers dan tegen? Graag jullie ervaringen, theorieën en suggesties. Bij voorbaat dank!
Groet, Jelger

[Babylonia]

1. NOOIT  "admin" als gebruikers loginnaam gebruiken.
    Dan hoeft er alleen maar een wachtwoord te worden gegenereerd.
    (Account "admin" uitschakelen, en andere gebruikersnaam met admin rechten instellen om in te loggen).

2. Voor login naar je NAS, van buiten uit, gebruik in ieder geval een beveiligde verbinding (https ----> poort 5001),
    zodat verstuurde login-data versleuteld is.  Of nog beter, gebruik een VPN-verbinding.

    (Als antwoord op gebruik van smart-phones en computergebruik in buitenland, en je doet dat niet met een beveiligde verbinding,
     ja die ingetikte login-data zou opgepikt en uitgelezen kunnen worden).

3. De betreffende IP's behoren toe aan een range buiten Nederland  (zover ik het kan achterhalen Oostenrijk en Frankrijk).
    Firewall-regels instellen met restricties voor "regio's. Dan stel je alleen toegang open voor Nederland, of land waar je je bevindt.
    ---> Zo gauw je weer terug bent van het buitenland sluit je het land waar je bent geweest meteen weer uit voor toegang.
    Zie voorbeeld hoe dergelijke regio-restricties in te stellen < HIER >

4. De door  XS4ALL  versterkte "Fritz!box" modem/routers zijn al eerder doelwit geweest van hacks.
    Weet niet of je de Remote Acces-functie van de modem van buiten uit hebt ingesteld, maar dat is dus een extra veiligheidsrisico.
    https://blog.xs4all.nl/2014/02/06/telefoniemisbruik/
    https://blog.xs4all.nl/2014/02/18/nieuwe-firmware-voor-alle-gebruikers-van-fritzbox-modems/

    In ieder geval bij < Fritz!box Benelux > zelf controleren of de laatste firmware update voor de modem/router is geïnstalleerd.
    (Eerst even informeren, om er zeker van te zijn dat een update de voor XS4ALL gebruikelijke connectie-profielen bevatten).

Weet niet of de "Fritz!box" een Firewall heeft waarbij je kunt instellen dat alleen apparaten met een bepaald MAC-adres verder toegang wordt verleend tot achterliggende diensten. Dan zet je daar alleen de door jezelf gebruikte apparatuur in.

5. Het gebruik van UPnP wordt ten zeerste afgeraden i.v.m. veiligheidsrisico's.

Onlangs nog een ernstig veiligheidslek m.b.t. UPnP er nog bijgekomen, waardoor een toevallige connectie met een verkeerde website, en inschakeling van Javascript in je browser, men toegang heeft "van binnenuit" tot je router, en in 20 seconden je router kan zijn gewijzigd waardoor men toegang heeft.

Zie officiële waarschuwing van CERT via:   https://www.security.nl

Hoewel de UPnP-problemen waarvoor het CERT/CC waarschuwt alleen via privénetwerken kunnen worden aangevallen, is het ook mogelijk om vanaf het internet hier toegang toe te krijgen. Via een speciale website kan een aanvaller, bij gebruikers van Chrome en Firefox die JavaScript hebben ingeschakeld, namelijk willekeurige UPnP-verzoeken naar de firewall sturen en zo het netwerk verder aanvallen.
De "Filet-O-Firewall" kwetsbaarheid werd begin augustus al gedemonstreerd, maar nu heeft het CERT/CC besloten er een waarschuwing voor af te geven.

en ook:

"volgens de ontdekker van het probleem gaat het om een "leverancier onafhankelijke kwetsbaarheid".

Meer info:
http://www.filet-o-firewall.com

Zie YouTube filmpje (30 aug. 2015 geplaatst) hoe de aanval plaatsvindt in 20 seconden:
Filet-O-Firewall Vulnerability PoC Demonstration:  Zie < YouTube Filmpje >

Na die eerste aanval zijn allerlei Firewall-regels toegevoegd (met uitsluitingen) die connectie van buitenaf verder mogelijk maken.


Verder:

Bij thuiskomst bleek dat XS4all mijn router had geblokkeerd voor verkeer van buiten, omdat er de afgelopen dagen veel spam/ aanvallen vanuit mijn IP-adres waren verstuurd.

Ik neem dan aan dat je je computer-sytemen en NAS erna tevens heel grondig hebt gescand en ontdaan van alle virussen en malware die de problemen hebben veroorzaakt, zodat er niet alsnog DDOS aanvallen en/of SPAM van jou kant verstuurd kunnen worden, en het gevaar nog niet is geweken?

[Ben(V)]

Gebruik VPN om je netwerk van buiten te benaderen.
Dat is het meest secure.
Het allerbeste is het als je router VPN ondersteund(dat doen vele routers) zodat je de beveiliging aan de poort van je eigen netwerk hebt staan.
Ondersteund je router geen VPN dan kun je de VPN server van Synology gebruiken.

[Hofstede]

De beste tips zijn al gegeven. Hoe ze ondanks al je maatregelen toch binnen wisten te komen? Ik denk dat je ergens openbaar internet hebt gebruikt en dat iemand mee zat te "luisteren". Of mogelijk zelfs een openbare internet-computer?

[Babylonia]

De  Fritz!box  modem/routers hebben zelf de mogelijkheden aan boord om een VPN-server in te stellen.
http://nl.avm.de/vraagbaak/veiligheid/alles-over-vpn/
http://nl.avm.de/zoeken/?q=vpn&x=3&y=7
< YouTube filmpje Engels >
< YouTube filmpje Duits >
http://avm.de/service/vpn/uebersicht/

[JG]

Allen dank voor de waardevolle antwoorden en tips! Ik vermoed dat ik ben "afgeluisterd" tijdens het gebruik van een smartphone (inloggen op netwerk richting NAS) op een openbaar WIFI-netwerk in Oostenrijk. Ik heb hierbij http gebruikt en geen https. Dus dat het inbrekende IP-adres uit Oostenrijk/ Frankrijk afkomstig is, is zeer waarschijnlijk! Dankzij jullie tips heb ik de firewall en poorten anders ingesteld, waarmee ik al het verkeer buiten NL weer, is de UPnP in de XS4all-modem uitgezet, zijn wachtwoorden gewijzigd en ga ik mijn admin-account verwijderen en gebruikers anders inrichten. Die VPN-tunnel ga ik zeker uitzoeken en toepassen.
Het grondig scannen van mijn NAS blijkt tijdrovend... na een 12 uur is er pas 20% gescand. Ergens moeten de indringers wel een programmaatje hebben achtergelaten....dat mogelijk ook zijn eigen poort probeert te openen.
Wat wel opvallend is dat een VOIP-telefoon op mijn netwerk (Grandstream GVX3275 in gebruik met Asterisk) steeds een afwijkend poort probeert te openen naar buiten als ik de UPnP even open zet op de modem.  Die zal ik voor de zekerheid terugzetten naar fabrieksinstellingen. Mocht er nog wat uit de malware-scan van de NAS rollen, dan zal ik dat toevoegen aan deze topic. Hopelijk kunnen andere gebruikers hier weer hun voordeel mee doen. Dank tot zover!

[Babylonia]

....ga ik mijn admin-account verwijderen

Een admin account kun je niet verwijderen, maar wel uitschakelen (nadat je eerst een andere gebruikersnaam adminrechten hebt gegeven).

Het grondig scannen van mijn NAS blijkt tijdrovend... na een 12 uur is er pas 20% gescand. Ergens moeten de indringers wel een programmaatje hebben achtergelaten....dat mogelijk ook zijn eigen poort probeert te openen.

Niet alleen NAS scannen maar ook je PC's.

Wat wel opvallend is dat een VOIP-telefoon op mijn netwerk (Grandstream GVX3275 in gebruik met Asterisk) steeds een afwijkend poort probeert te openen naar buiten als ik de UPnP even open zet op de modem.

Die VOIP functionaliteit is typisch het gedeelte waar indertijd de Fritz!box op gehackt is bij XS4ALL.
Gebruikers werden getrakteerd op erg hoge telefoonkosten door buitenlandse telefoontjes op kosten van de gebruiker.
Misschien kan de klantenservice van XS4ALL je daarbij nog wel van dienst zijn in welke richting je moet zoeken om problemen daarmee te elimineren, omdat ze daar eerder mee geconfronteerd zijn geweest en "ervaringsdeskundig" daarin zijn.

Voor alle zekerheid zou ik ook even nagaan of je telefoonkosten niet onnodig hoog zijn opgelopen, wat je nu nog niet weet omdat het mogelijk pas bij een volgende afrekening wordt gepresenteerd? Indien dat het geval is, zeker de problematiek met XS4ALL doornemen.
(Graag ook aanvullende informatie / update hier op het forum, als het probleem groter blijkt dan tot nu toe gedacht).