Malware/virussen/... op nas?

[chth]

Hallo iedereen

Ik heb hier thuis 3 nassen van Synology. Af en toe log in op alle apparaten om updates en dergelijke te doen. Vandaag viel mij op dat de "https" in de url balk in het rood staat en deze ook doorstreept is in rood. Ik kreeg ook eerst een melding dat de verbinding niet beveiligt was.

Ik gebruik Google Chrome versie 37.0.2062.120. Op alle 3 de nassen staan de instellingen ingeschakeld om door te schakelen naar de https pagina en poort 5001. Hierdoor kreeg ik eerder een geel venster in Chrome als ik het ip-adres van een nas intypte. Ik begin mij de laatste tijd steeds meer en meer zorgen te maken rond de beveiliging van mijn nassen aangezien ik ook al verschillende mails van Synology ontvangen heb i.v.m. beveiligingsproblemen.

Hoe kan ik zien dat er eventuele malware/virussen/... op de nas staan of dat iemand deze gehackt heeft?
Ook heb ik al opgemerkt dat de nassen soms actief zijn ook als niemand toegang zoekt of ingelogd is op de nassen, de slaapmodus is ingeschakeld op 20 min dus veronderstel ik dat deze uitgeschakeld blijven totdat iemand wil inloggen.

Dank bij voorbaat

Met vriendelijke groet

[leerdammer]

Als je lokaal inlogt naar een https pagina dan krijg je idd een rood kruis. Dit betekent dat de browser geen geldig certificaat heeft van de server maar de verbinding is wel ssl beveiligd.
Hoef je je geen zorgen over te maken, heb ik ook en het is lokaal.
Klik maar eens op dat rode kruis met de uitleg.
Als je via het internet inlogt krijg je dat ook, tenzij je een Ssl certificaat installeert. maar dat is een ander topic.

Betreft veiligheid; je kan je Nas eens scannen om de zoveel tijd. De beveiliging eens goed nalopen, open poorten, firewall, logcenter, updates etc. Of je gehacked bent tja dat is moeilijk te zeggen maar dan merk je het wel.
Maak regelmatig backups en hou deze site in de gaten en tweakers bv.

Sinds ik mijn Nas heb heb ik igg veel geleerd over dit soort zaken en instellingen, veel lezen.
Na de laatste synolocker hack heb ik alle poorten dicht gezet en werk nu uitsluitend via open-Vpn.
Veilig maar wel omslachtiger. Het ligt maar net wat je hebt draaien en wat perse naar het internet open moet staan.

[Babylonia]

- DSM geupdate tot de laatste versie (indien mogelijk) tot versie 5.0 ??
   ----> Controleer je versies in Configuratiescherm van DSM.
- Niet meer poorten open dan strik noodzakelijk.
- Uitgebreide Firewall regels ingesteld om benadering bijv. van buitenaf "buiten Nederland" volledig af te blokken.

[chth]

Bedankt voor jullie reacties.

Dit was ik nog vergeten vermelden, de nassen draaien op DSM versie 5.0-4493 update 5. Bij alle nassen zijn ook zoveel mogelijk poorten geweigerd sinds ik van synolocker gehoord had.

[Briolet]

Als je lokaal inlogt naar een https pagina dan krijg je idd een rood kruis. Dit betekent dat de browser geen geldig certificaat heeft van de server maar de verbinding is wel ssl beveiligd.

Wat is een geldig certificaat? Eigenlijk moet er staan 'onbekend' certificaat. Persoonlijk vind ik dit soort certificaten zelfs veiliger dan de certificaten die door een root-authority ondertekend zijn. Met die root auhtorities can ongemerkt gefraudeerd worden en dan slikt je browser het . (Denk b.v. aan de affaire Diginotar)
Bij een zelfondertekend certificaat krijg je altijd een waarschuwing en kun je expliciet contoleren of de site vertrouwd is. Zo ja, dan voeg je het certificaat toe aan je lijst met vertrouwde certificaten.

Als automatisme gewoon verder gaan met zo'n rood kruis, vind ik ook fout omdat je dan niet ziet of de reden van de dat kruis veranderd is.

[Birdy]

Wat Leerdammer ook zegt, VPN is gewoon de veiligste manier om je NAS van buitenaf te benaderen.
Hierbij het advies om OpenVPN te gebruiken, snel en meest veilig.

Ook Quickconnect is een manier om zonder poorten te forwarden echter, is vrij langzaam omdat deze via een omweg werkt (over een Synology server in UK), en je bent afhankelijk van Synology of het werkt of niet.
Hier meer info over hoe het werkt.
 

[leerdammer]

@Briolet daar heb je gelijk in. Ik bedoelde ook lokaal(192.168.1.x) inloggen op je Nas. Ik heb nog even geprobeerd om mijn huidige certificaat van de nas in de browser te importeren maar ik blijf een rood kruis krijgen (met lokaal ip adres dan) Geen idee of je lokaal ook een groen slotje kan krijgen en dus geen waarschuwing? Het werkt denk ik alleen op namen gekoppeld aan extern ip adres. Of je moet met de hosts file gaan werken. Of inderdaad een self signed aanmaken met een lokaal ip adres..?
Ik heb nu geen selfsigned maar eentje aangemaakt op mijn domeinnaam via startssl.

Edt: heb dus even in mijn hostfile dit gezet: 192.168.1.x   sub.websitenaam.nl
Bij website naam dus de naam waarop dat certificaat dus staat als je het exporteert, bij mij het sub adres.
En inderdaad een groen slotje. Omdat mijn poorten dus niet zijn geforward werk ik toch nog lokaal al lijkt het van niet omdat ik nu mijn website.nl in de adresbalk zie.

[Briolet]

Hoe je dat rood kruisje weg krijgt, verschilt per browser. Op de mac Safari kun je het simpel toevoegen, gedurende de melding met de accept button. Met Firefox op de mac, ging dat ook nog eenvoudig. Maar met sommige browsers op Windows schijnt dat toevoegen inderdaad lastig te zijn.

Ik ben dit weekend met de DNS server bezig geweest en als test diverse namen voor mijn nas aangemaakt en getest. Elke keer als ik de nas weer met een nieuwe naam benaderde, kreeg ik die certificaat-vraag weer. Bij de 2e inlog niet meer. Ik vraag me wel af waar die toestemming bij mij opgeslagen worden. 
(Ik vind ze niet terug in de sleutelhanger, wat de meest logische plek zou zijn.)

EDIT: over die 'hostfile': Als je dat in een eigen DNS server doet i.p.v. de hostfile, dan werkt het direct voor alle apparaten op je netwerk. 

[leerdammer]

ha dat is mooi! Eigen Dns server ? draait die op je router? Op mijn asus ac66u kan ik wel een andere dns server instellen bv google, maar zelf 1 draaien geen idee..

[Birdy]

Was misschien de DNS Server op de NAS ?

[Briolet]

Yep, dat was dat ding op de nas. Dus voor de grap een paar sub-domeinen aangemaakt, zoals mail.xxx.synology.me, www.xxx.synology.me

Met Safari kreeg ik dus elke keer dat ik een nieuwe naam gebruikte de certificaat vraag. Maar eenmaal ge-accepteerd bleef de vraag weg.
Met Chrome kreeg ik echter ook de https met een rode streep erdoor en zie ik ook geen mogelijkheid om dit vertrouwd te maken. De url om in te loggen moest identiek zijn aan die in het certificaat en ik zie geen toestemming om een andere url te vertrouwen.

Dan bied een eigen DNS server op de NAS wel goede mogelijkheden. Dan kun je op je LAN gewoon je xxx.synology.me naam gebruiken, maar hij gaat dan niet meer via de router. Handig als je router geen nat-loopback ondersteunt.