Synology geeft waarschuwing voor ransomware aanval.

[Birdy]

Ik heb geen enkele poort forwarding in mijn Router, ik gebruik alleen OpenVPN op m'n Router (VPN Plus).
Ik heb in Windows geen shares naar mijn NASsen.
Ik heb wel shortcuts naar mijn NASsen.

Nu vraag ik mij af:
Stel mijn PC wordt besmet (is gelukkig nog nooit het geval geweest, afkloppen dus), lopen die shortcuts dan ook een potentieel gevaar op ? Dus, kan men via die shortcuts, ook m'n NASsen besmetten ?

[Briolet]

Dus, kan men via die shortcuts, ook m'n NASsen besmetten ?

Als het systeem die shortcuts kan gebruiken, dan kan malware dat ook als het systeemrechten heeft. Daarom is het verstandig altijd onder useraccounts te werken. Op mijn mac log ik hooguit 1 of 2 keer per jaar in onder een beheerdersaccount.

Als ik vanuit een useraccount iets wil doen wat beheerdersrechten nodig heeft, dan moet ik steeds een beheerdersnaam en wachtwoord opgeven.  Dat maakt alles wat omslachtig soms, maar voorkomt dat als ik per ongeluk malware activeer, dit direct systeemtaken kan uitvoeren.

[Hofstede]

Eigenlijk is het heel simpel. Als jij vanuit je computer een verbinding kan opbouwen naar je NAS zonder dat je een wachtwoord hoeft in te geven, dan kan malware op je PC dat ook.
Moderne malware kan je netwerk scannen op de aanwezigheid van netwerkopslag en de koppeling leggen. Het wel of niet continu aangekoppeld zijn of shortcuts doet dan niet ter zake.

Dus je bent alleen veilig als je het zo inricht dat je bij elke toegang op de NAS moet inloggen. Maar dat is onwerkbaar.

Beste methode naar mijn mening is zorgen voor backups die niet altijd toegankelijk zijn en met versioning werken. Zelf gebruik ik een backup NAS die maar twee uur per week aan staat en die geïsoleerd is van internet. Daarnaast een backup van kritische data naar Synology C2.

[Birdy]

Juist, dus shortcuts zijn dus net zo gevaarlijk als shares !
M'n backups heb ik in ieder geval goed geregeld.

[DSGebruiker]

Pas op hé, er staat *niks* zomaar "open" naar de buitenwereld hé. Vb als ik een port-forward/NAT voorzien gebruikt ik altijd een geo-filter en laat vb enkel BE IP's toe (als het voor mezelf of directe vrienden is). Als je natuurlijk een website wil hosten op je Syno kan je bijna niet anders als eigenlijk alles toe te laten als je niet echt weet wie ongeveer het doelpubliek is.

Een hit op een firewall rule is niets bijzonders.
De plek waar alles qua filtering plaats heeft is mijn firewall en niet die van de ISP, dat is het enige verschil.

Ik heb dan ook een tijdje een koppeling gemaakt met Splunk en liet m'n firewall-logs door de Splunk verwerken zodat ik op wereldkaart kon visualiseren van waar de traffiek kwam (uiteraard is toch relatief gespoofed dus niet echt waarheidsgetrouw)

ICMP moet je echt wel laten doorgaan hoor. Dat is een essentieel protocol in de IPv4 netwerk stack en bestaat uit verschillende "types". Eventueel kan je de "echo request" en "echo reply" codes wel filteren, maar gewoon ICMP volledig afleggen doe ik nooit.

Die geautomatiseerde systemen die miljoenen IP's aflopen  trekken zich echt niets aan van een "Ah, ik krijg reply op ping, we zullen nog wat verder gaan". Nee die doen gewoon hun ding.

[Pippin]

ICMP moet je echt wel laten doorgaan hoor.

Dat wordt niet door iedereen begrepen.
Echter wel de DoS protectie aanvinken.

Die geautomatiseerde systemen die miljoenen IP's aflopen  trekken zich echt niets aan van een "Ah, ik krijg reply op ping, we zullen nog wat verder gaan". Nee die doen gewoon hun ding.

[stapper]

ah dat wou ik dus ook nog vragen die moet dus wel aan?
wat doet die functie dan eigenlijk?

[Birdy]

Een zogenaamde DOS-aanval Denial Of Service)zorgt ervoor dat uw internettoegang wordt overbelast. Dit wordt uitgevoerd door de router te bestoken met een lawine aan informatieaanvragen van buitenaf. De router kan de toevloed niet goed verwerken en wordt daarmee van buiten af onbereikbaar. Daarnaast is de router ook de hele tijd bezig met het reageren op de informatieverzoeken, waardoor de toegang die u zelf achter de router tot het internet heeft ook dichslibt. De gevolgen kunnen meevallen, want er wordt geen schade aangericht aan uw netwerk zelf en het gaat vanzelf weer een keer over. Maar als uw bedrijf voor zijn bedrijfsvoering afhankelijk is van goede internettoegang kan het gevolg van een DOS-aanval veel ernstiger zijn: verlies van klanten en omzet.

[Pippin]

wat doet die functie dan eigenlijk?

Het past rate limiting toe op beperkte maar nodige typen ICMP, benodigd voor het goed functioneren van het netwerk.
Als je die regels wilt zien kun je

Code: [Selecteer]

iptables -Sdoen op de command line.

[stapper]

Ok , nou ik heb me de afgelopen dagen de pleuris gelezen in materie waar ik helemaal niet in thuis ben.
Dit word een lang verhaal, want ik loop vast, dus even wat hulp nodig, ben een end op weg volgens mij.

Ik volgde daarbij 2 filmpjes.

/>

/>
eest maar die HTTPS:

Ik heb een domein gemaakt via synology, daar kon ik dan een naam invullen.
Toen via dsm bij certificaten een certificaat van let's encrypt aangevraagd.

Zie ik nu bij beveiliging-certificaat, dan zie ik daar een certificaat: gekozennaam.synology.me
Verstrekt door lets encrypt (standaard certificaat)

Verder de nodige instellingen gedaan volgens dat filmpje, waaronder dat ik die poorten 5000/5001 heb veranders in een paar gekozen nummers in ongeveer dezelfde range.

Log ik nu lokaal in https://naamnas/gekozen nummer dan kom ik in dsm en kan ik inloggen.
Ik zie dan een slotje staan met geel uitroepteken...
Zet ik daar de muis op dan staat er : U heeft een beveiligingsuitzondering gemaakt voor deze website.

Klopt dit allemaal wat, zit ik goed??? ( voor mij is dit allemaal vrij heftig)

Ik heb ook de boel veranderd voor de gebruikers.. Die worden nu geforceerd 1 keer per half jaar hun wachtwoord aan te passen, en wat dan weer uit allemaal voorwaarden moet bestaan, hoofdletters ect ect.

Lokaal gecontroleerd alles werkt, kodi op mijn tv was toegankelijk

Mijn externe adres kon ik niet bij....!!!

Vraag: Ik neem aan omdat ik toen in die router die 2 poorten heb opengetrokken, dat ik die daar ook die aan te passen in die gekozen poortnummers?

ps in de router van DSM heb ik ook al regels gemaakt volgens filmpje 2... ( die heb ik even uitgezet tot dit af is)

bvd

[stapper]

ter aanvulling... in de router zie ik dat ik poort 5000 5001 en 80 geforward heb...geen idee waar 80 voor is..

[Briolet]

eest maar die HTTPS:

https beschermt niet tegen ransomeware. Dus dat hele stuk hoort hier niet thuis. https beschermt alleen de gebruikers van de nas tegen meekijken en niet de nas zelf.

[stapper]

Uhm paar antwoorden terug, kreeg ik wat linken hoe ik de zaken moest aanpakken...
Daar ben ik dus mee bezig....

maar wil er wel een apart topic van maken als dat handiger is?

[Babylonia]

Gisteren heb ik nog contact gehad met die kennis wiens NAS is gehackt, en data versleuteld.
Zoals eerder aangegeven had ik het vermoeden dat er helemaal geen pogingen werden gedaan via "directe connectie" van buitenaf naar de NAS.

Maar zoals het zich liet aanzien het gevolg van een aanval malware / virus op en via diens PC.

Dat heeft hij gisteren bevestigd. Data op diens PC en delen van het Windows operating system waren namelijk ook aangetast.
Inmiddels had hij de gehele PC leeg gemaakt / geformatteerd (??). In ieder geval volledig opnieuw geïnstalleerd (nu met Windows 10).

Dus hoe goed je de beveiliging van buitenaf als "rechtstreekse connectie" met de NAS ook beveiligt, met twee staps verificatie etc.
Als je op een PC gewoon de login en wachtwoorden opslaat van je shares, zodat een PC een "open verbinding heeft" met de NAS,
ligt daar het grote beveiligingsrisico.

[Briolet]

Daarom zo weinig mogelijk via een adinistrator account werken, maar bij voorkeur gewone useraccounts gebruiken voor het normale werk.

Als je backups naar de nas maakt, hiervoor een apart account gebruiken naar een eigen home of eigen share, waar je gewone gebruiker van de nas geen toegang tot heeft. etc etc.

Veiligheid is laagsgewijs opgebouwd. Nooit op één beveiliging alleen vertrouwen. Het is een illusie dat je 100% bescherming tegen een infectie hebt. Ook al denk je dat je nooit op links klikt, of up-to-date software gebruikt, er zijn nog steeds dingen als zero-days lekken. Dus zorg ervoor dat als je besmet raakt, de schade minimaal is.