Synology geeft waarschuwing voor ransomware aanval.

[Babylonia]

Daarom zo weinig mogelijk via een adinistrator account werken, maar bij voorkeur gewone useraccounts gebruiken voor het normale werk.

Ik weet niet of je reageert op de berichten van @stapper of op mijn laatste geschreven reactie?
In het betreffende voorval bij die kennis, is elk soort account onveilig, als je de login gegevens voor shares vastlegt / opslaat via de netwerktoegang vanuit een PC, Apple of Linux computer.
Dat kan dus net zo goed voor een "gewone" gebruiker gelden, als die slechts beperkte toegang heeft tot bepaalde shares.
De data voor die wel geldende shares voor die persoon kan "vrij" worden benaderd vanuit de PC, Apple of Linux computer.

[Briolet]

Ik reageerde op het bericht er direct boven. Die van jou dus.

Als de share gemount is binnen de gebruikersomgeving, maakt het inderdaad niet veel uit welk account mount.

Maar ik noemde backuppen. Als de mac via timemachine een backup maakt, dat is de mount op systeem niveau en kan de gebruiker er niet bij. Ook diverse andere backup software maakt soms een mount die buiten het bereik van de user ligt.

In het algemeen kan mallware minder schade aanrichten als het onder een useraccount gestart wordt.

[Babylonia]

In het algemeen kan mallware minder schade aanrichten als het onder een useraccount gestart wordt.

Hooguit dan misschien voor de "eigen" data van een user account.
Blijft de data van andere user accounts (alleen als die andere shares hebben) buiten shot.
Maar is en blijft IMO dan nog steeds een veel te veel onderschat veiligheidsrisico.

Met de ervaring van die kennis, moet ik ook eens achter de oren gaan krabben, voor mijn eigen situatie.
Want ik zal eerlijk zijn, heb voor mijn eigen situatie ook gewoon op SMB niveau de login gegevens vastgelegd voor mijn NAS.
Moet me er toch eens op gaan beraden hoe op dat niveau een balans te vinden in "makkelijk te benaderen" versus risico's.

[Briolet]

Ik bedoel hier natuurlijk een useraccount op je PC, want je gaf aan dat de infectie vanaf de PC begonnen was. Diverse mallware kan niet actief worden onder een useraccount omdat het dan bepaalde noodzakelijke functies niet kan starten. Die kun je alleen met een beheerderswachtwoord van de PC starten.

Als je op de PC onder beheerdersrechten werkt, is de kans veel groter dat malware actief kan worden. En dus iets met shares kan doen.

Encryptie van shares is geen probleem. Daar zijn backups voor, want i.p.v. versleutelde files kan ook de hele harddisk crashen. Dus niet te panisch doen over mallware dat via smb bij de nas kan komen. Als je dat beperkt, gaat het ten koste van je gebruikservaring. Zorg er echter voor dat de shares naar een backuplocatie gaan waar de PC niet bij kan. En natuurlijk goede versioning. Je wilt niet dat er een paar encripted versies naar de backup gaan en je eindigt met een backup zonder goede files.

[DSGebruiker]

Wat ook kan helpen is goed nadenken over de soort data die je over shares ter beschikking gaat stellen.
Niet alle data/shares hoeven "writable" te zijn.

Vb mijn film-archief, audio-archief etc zijn READ-ONLY. Op deze manier is de data ook veilig tegen malware die een poging zou doen om de boel te encrypteren.Nieuwe content toevoegen (in batch) doe ik via een omweggetje.

Toegegeven, het is niet altijd mogelijk maar ook op die manier kan je "de schade wat meer beperken" moest er zoiets gebeuren.

En er is altijd nog je backup :-)
 

[wbree]

Ik heb mijn "admin" account uitgeschakeld, ook het e-mailadres wat gekoppeld was aan deze account weggehaald, maar krijg nog steeds meldingen, alleen via een ander mailadres wat ik gebruik voor algemene storingen/updates etc. van mijn NAS.

Hoe krijg ik de meldingen niet meer over dit beveiligingsissue?

[Briolet]

Als je geen meldingen wilt, dan zet je die gewoon uit. Ik heb ze al uit staan zolang ik de nas heb. Je hebt er niets aan omdat je de melding krijgt als het kwaad toch al voorkomen is.

Wel kijk ik af en toe in het log om het aantal te bekijken.

Wil je het niet uitzetten dan blijft over het instellen van een regio blokkering.

Als je een eigen domeinnaam gebruikt dan kun je de boel zo instellen dat men met een IP adres niet in dsm komt.

1) Forward geen DSM poorten in de router. Dus geen 5000/5001 (Wel 80 en 443)

2) Aktiveer de Webserver op de nas. Dit voorkomt dat dsm de poorten 80/443 naar de dsm poorten doorstuurt.

3) Maak een reverse proxy aan die je domeinnaam van poort 80/443 doorstuurt naar je DSM poorten 5000/5001 (of je gemodificeerde dsm poorten)

De aanvallers moeten nu je compete domeinnaam gebruiken bij een aanval. Doen ze dat niet, dan komen ze uit op de default pagina van de webserver. Daar kunnen ze niets doen. De aanvallers zullen normaal gesproken op een IP proberen in te loggen en niet op een domeinnaam die ze niet kennen.

4) Denk eraan dat de DS apps steeds poort 5000/5001 als defaut gebruiken. Als je daar nu mee wilt inloggen zul je er expliciet :80 of :443 achter de domeinnaam moeten zetten.

Als je een synology ddns naam gebruikt kun je die ook gebruiken.

[Babylonia]

1) Forward geen DSM poorten in de router. Dus geen 5000/5001 (Wel 80 en 443)

2) Aktiveer de Webserver op de nas. Dit voorkomt dat dsm de poorten 80/443 naar de dsm poorten doorstuurt.

4) Denk eraan dat de DS apps steeds poort 5000/5001 als defaut gebruiken. Als je daar nu mee wilt inloggen zul je er expliciet :80 of :443 achter de domeinnaam moeten zetten.

Punt 1 en 4 zijn in tegenspraak met elkaar.
Als je een webserver gebruikt en poorten 80 en 443 voor DS apps inzet.  Kom je niet bij DSM uit.

Poorten 80 en 443 zijn geen vervanging voor de poorten 5000 en 5001.
Je geeft nu net aan dat je voor DSM wel de poorten 5000/5001 wilt blijven gebruiken, alleen niet geforward.
Dat betekent dat je alleen "intern" (via je thuisnetwerk) DSM kunt benaderen.

[Briolet]

Ik zie de tegenspraak niet. Dat werkt bij mij perfect. Als ik poort 5000/5001 dicht zet, kom ik met de DS apps alleen in dsm door de poorten 80 of 443 expliciet in de url op te nemen.

Ik gebruik echter een reverse proxy op "dsm.xxxx.synology.me". "xxx.synology.me" komt op mijn webpaginas uit.  Maar als je geen webpaginas gebruikt kun je ook "xxx.synology.me" via een reverse proxy naar je dsm inlogpagina sturen.

[Briolet]

Ik heb zelf even in mijn log gekeken. Ik heb poort 5000/5001 wel geforward in mijn router, maar in het log zie ik nul inlogpogingen op DSM. (Wel 185 gedurende dit jaar op de mailserver)

Maar op DSM heb ik de account beveiliging aangezet en die staat iets strakker dan de gewone inlogbeveiliging zodat ik ook niet verwacht dat er IP adressen geblokkeerd worden.

Ik had dit weekend zitten te testen met foutieve inlogpogingen op mijn uitgeschakelde 'admin' account. Die mistte ik in het log. Ik stuur echter ook meldingen door naar de syslog-server op de nas. Daar stonden ze wel tussen. Maar ook niet een andere inlogpoging ooit dan een paar testen met deze beveiliging.

[Babylonia]

Ik zie de tegenspraak niet. Dat werkt bij mij perfect. Als ik poort 5000/5001 dicht zet, kom ik met de DS apps alleen in dsm door de poorten 80 of 443 expliciet in de url op te nemen.

Ik heb het net geprobeerd met DS File door de poorten 5000 en 5001 niet te forwarden. Dan werkt het simpelweg niet.
Bovendien is een "domein" specifiek bedoeld voor benadering vanuit een externe locatie.

Maar zelfs binnen mijn eigen WiFi netwerk (dus lokaal) en een "loopback" van mijn domeinnaam,
krijg ik echt geen verbinding door achter het domein :443 te zetten (voor een hhtps verbinding).
Als ik :443 gewoon weg laat kom ik er wel in.
Door het normaal gebruikelijke poortnummer alsnog er achter te zetten, dus :5001 kom ik er ook in.

Ik gebruik echter een reverse proxy op "dsm.xxxx.synology.me". "xxx.synology.me" komt op mijn webpaginas uit.  Maar als je geen webpaginas gebruikt kun je ook "xxx.synology.me" via een reverse proxy naar je dsm inlogpagina sturen.

Misschien dat met dat soort instellingen je aan een andere redirect komt??
Ik gebruik helemaal geen reverse proxy, en heb gewoon een NL-domein (met SSL certificaat) op mijn internet WAN aansluiting.

[Briolet]

Heb je wel een goede reverse proxy opgezet. Want het is juist de bedoeling dat je er anders niet in komt.

[Babylonia]

Als het niet de bedoeling is extern via een "normale" login in DSM te komen, kan ik beter een VPN-verbinding gebruiken.
Als je poorten 5000/5001 niet doorstuurt (en wel die poorten gebruikt voor DSM), kom je van buiten niet in DSM.

Als je via een "proxy" omweg met domeinnamen extern wel toegang hebt met DSM,
lijkt het me dat het met een IP-adres ook moet kunnen?
Het gebruik van een domeinnaam is slechts een vertaling van een IP-adres.

Een methode die bij mij wel bekend is, is om geen poorten door te sturen en gebruik te maken van "QuickConnect"
Maar dan maak je feitelijk gebruik van de server van Synology, waar je NAS reeds verbinding mee heeft.
Je zoekt van buitenaf dan feitelijk contact met de Synology server.
Die twee eindjes worden daar dan aan elkaar geknoopt, en heb je verbinding met je NAS.

[Briolet]

Als je via een "proxy" omweg met domeinnamen extern wel toegang hebt met DSM,
lijkt het me dat het met een IP-adres ook moet kunnen?
Het gebruik van een domeinnaam is slechts een vertaling van een IP-adres.

Nee, je begrijpt de werking van een reverse proxy niet. Een reverse proxy routeert het verkeer op basis van een domeinnaam. Een domeinnaam staat altijd in de header van een http(s) pakket. Met mijn boven beschreven methode stuur je all het verkeer naar een 'doodlopend' stuk. Alleen de domeinnamen die een reverse proxy gebruiken worden anders behandeld.

Stel b.v. in:
Domeinnaam: dsm.xxxx.synology.me
externe poort 443
interne poort 5000 (het is een onnodige belasting voor de nas om hier 5001 te gebruiken)

Al het verkeer op poort 443 gaat naar de webserver. Alleen het verkeer voor "dsm.xxxx.synology.me" wordt apart behandeld.

NB een certificaat moet je per reverse proxy instellen als je meer hebt dan een default certificaat.

Een VPN is natuurlijk nog veiliger, maar ik wil mijn gebruikers niet dwingen om alles via vpn te doen. Dat is weer lastig voor automatische foto backup, adresboek/agenda synchronisatie etc.

[Marie-José]

Dit heb ik precies zo gedaan, maar ik krijg de melding dat mijn computer wordt geblokkeerd door de nieuwe firewallconfiguratie. Deze is dan ook automatisch weer teruggezet.