LET OP: NAS HACK: Synolocker actief.

[iwan073]

Ik had dat EZ-Internet gedraaid om poorten open te zetten.
Hoe kan ik die open gezette poorten weer sluiten?
Nogmaals EZ-Internet draaien of in m'n Airport Extreme het één en ander aanpassen?


EDIT:

Ik heb in AirPort configuratieprogramma gekeken, maar daar staan helemaal geen port forwardingen in???

[Dokman]

Waarom kan ik nergens een reactie vinden van synology zelf.
heb op hun site / twitter en Facebook account gekeken maar is niets te vinden.

[MaVeWeb]

Ze hebben hier een reactie staan: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770

[blackgoku]

Ik ga zelf ook maar even alles controleren dan en de poort 5000 omzetten naar een andere.
Gelukkig download ik al op een andere nas dan waar ik de bestanden op bewaar, maar ja we zullen zien

http://tweakers.net/nieuws/97631/ransomware-richt-zich-op-synology-opslagsystemen.html

[Dokman]

Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.

ik heb deze gelijk verandert toen ik mijn nas in bedrijf nam. heb er een heel raar
nummer van gemaakt.

Heb toch maar even snel een kleine backup gemaakt naar mijn Externe Harddisk met
belangrijke dingen. de rest wat op de nas staat kan ik wel weer terug vinden op Internet.

gelijk de backup schrijf even aan een linux computer gehangen en al mijn bestanden staan er op

[Babylonia]

Nu even aan de practische kant en voor de duidelijkheid geheel mijn mening. Ieder heeft recht op z'n eigen mening hierover.

Mijn systemen (dus ook m'n NAS(-en) zijn alleen bereikbaar vanuit het LAN en verder niet.
Het LAN is afschermt van het WAN via een firewall (m'n router), want die is daar voor gemaakt.
Toegang tot m'n LAN vanuit het internet doe ik via een VPN die ik opzet met m'n router.
Je kunt dingen als firewalls en VPN beter door devices laten uitvoeren die daar voor gemaakt zijn, dan door een NAS die dat er even bij doet.
Ik heb al jaren geleden wat meer geld daar in geinvesteerd in een router die daar goed in was en daar heb ik nooit spijt van gekregen.

Zoals jezelf aangeeft je eigen mening, die met je uiteenzetting hoe je de NAS en services gebruikt is afgestemd op je eigen situatie (uiteraard). Maar ja, jouw situatie hoeft niet die voor een ander te gelden. Het NAS-systeem hier is er juist op gericht om makkelijk van buitenaf door diverse familieleden te worden benaderd, om met name toegang te hebben tot een historisch media-archief (foto's, filmpjes door de jaren heen). Te ongebruiksvriendelijk om dat via VPN op te moeten zetten.

Met de nodige zorg is er wel aandacht besteed om de beveiliging binnen de mogelijkheden van DSM zo goed mogelijk af te stemmen. Maar merk daarbij tegelijkertijd de behoefte dat een aantal zaken reeds eerder binnen de router worden afgeblokt voordat het überhaupt bij de NAS terechtkomt en daar het zaakje moet worden tegengehouden voor kwaadwillenden. De router is in dit geval dan een Ubee modem van Ziggo (bij mijn ex opgesteld). Moet het ter plekke dan nog eens verder bestuderen, maar ik schat in dat het modem te beperkte mogelijkheden heeft om reeds op routeniveau zaken af te blokken voordat data bij de NAS komt.
Een "dubbele" beveiliging is echter wel zo prettig. In het geval dat de beveiliging binnen DSM te labiel wordt is een goede router ertussen een welkome aangelegenheid.

Bijv. binnen de mogelijkheden van DSM is er een mogelijkheid om connectie buiten Nederland af te blokken. Het zou al fijn zijn als dat reeds op routerniveau zou kunnen plaatsvinden, al is het alleen maar om van de dagelijkse meldingen af te zijn dat IP-nummers vanuit met name Azië zijn tegengehouden.

[Hofstede]

Helemaal eens met je verhaal. Maar heb al gezegd dat ik helemaal niet snap waarom mensen poort 5000/5001 openzetten naar internet. Externe toegang tot de applicaties zoals PhotoStation etc. kan ik begrijpen, maar hoe vaak moet je instellingen in je NAS op afstand aanpassen? En als je dat dan wilt kun je het via een VPN oplossen.
Maar het is ook nog niet duidelijk of de besmetting via die poort plaatsvindt.
Het lijkt me ook belangrijk dat mensen die voor het gemak hun NAS in DMZ gezet hebben dit zo snel mogelijk aanpassen. Het is duidelijk dat beveiliging zoals autoblocking in de NAS zelf niet voldoende is.

[Santina1]

En dan zijn er bedrijven die een Synology gebruiken.......
Lijkt me wel een heeeeeeele goede reclame voor Synology !!!

[Briolet]

Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.

Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.

[Briolet]

Ik heb in AirPort configuratieprogramma gekeken, maar daar staan helemaal geen port forwardingen in???

De forwards die EZ-Internet via UPnP aanmaakt zijn in veel routers niet zichtbaar. Via aparte tools zijn die forwards wel zichtbaar te maken en ook te deleten. Voor de Mac kun je b.v. het programma Port Map gebruiken.

Of het Java programma: UPnP Portmapper. En omdat het Java is, werkt dit op elk platform waar de Java engine op staat.

[Handige Harry]

Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.

Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.

Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?



Verstuurd vanaf mijn GT-I9300 met Tapatalk

[Erwin1]

Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.

Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.

Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?



Verstuurd vanaf mijn GT-I9300 met Tapatalk

Dat vraag ik me dus ook af, nu heb ik poort 5000 op de router dicht gezet maar ik wordt niet automatisch doorverwezen naar 5001 

Hoe kun je het beste de standaard poorten vervangen?

[Handige Harry]

Omdat 5001 https is inplaats van http Maar dat maakt dus in dit geval niets uit. Poort blijft een poort

Verstuurd vanaf mijn GT-I9300 met Tapatalk

[Handige Harry]

Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.

Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.

Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?



Verstuurd vanaf mijn GT-I9300 met Tapatalk

Dat vraag ik me dus ook af, nu heb ik poort 5000 op de router dicht gezet maar ik wordt niet automatisch doorverwezen naar 5001 

Hoe kun je het beste de standaard poorten vervangen?

Dat kun je op de nas inschakelen. Volgens mij bij configuratie en dan beveiliging, dacht ik zo uit mijn hoofd.

Verstuurd vanaf mijn GT-I9300 met Tapatalk

[Dokman]

Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.

Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.

Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?



Verstuurd vanaf mijn GT-I9300 met Tapatalk

Dat vraag ik me dus ook af, nu heb ik poort 5000 op de router dicht gezet maar ik wordt niet automatisch doorverwezen naar 5001 

Hoe kun je het beste de standaard poorten vervangen?

Dat kun je op de nas inschakelen. Volgens mij bij configuratie en dan beveiliging, dacht ik zo uit mijn hoofd.

Verstuurd vanaf mijn GT-I9300 met Tapatalk

ik heb mijn poort 5000 ook verandert naar een nummer boven de 8000.
hou er rekening mee dat je dat de DS apps ook weer moet aanpassen als je die gebruikt op je ipad of android