Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

[dil88]

Daher ist es die Frage wie bekommt man das es hin das den Usern gar nicht erst das passiert wie dem TE .

Ganz genau. Ich würde gern Szenarien, die @stevenfreiburg nutzen wollte und die hier im Forum auch häufig angesprochen werden, einmal konkret hinsichtlich der Sicherheitsbedenken und konkreten Umsetzung abklopfen. Ich fange einmal mit zwei Szenarien an:

Let's encrypt SSL Zertifikat
Sicherheitsbedenken: Wenn man sagt, man sollte die DS komplett abschotten und z.B. für Fotos Clouds verwenden, dann braucht man m.E. kein SSL-Zertifikat. Viele möchten aber beispielsweise Synology Photos nutzen. Wie wird das Risiko dieser Anwendung insbesondere hinsichtlich Ransomware eingeschätzt?
Portforwarding: Für die Aktualisierung des Zertifikats alle 90 Tage wird m.W. die Weiterleitung von Port 80 auf die DS benötigt. Ist das korrekt oder nicht?
Hintergrund: Tutorial von Synology zum Thema

Synology Photos
Synology Photos ist aus meiner Sicht eines der gefragtesten Pakete - sowohl für die Bilderpräsentation im Internet als auch für die Bildersicherung vom Smartphone.
Sicherheitsbedenken: Wie wird das Risiko dieser Anwendung insbesondere hinsichtlich Ransomware eingeschätzt? Wir haben in diesem Forum einen Bereich zu Synology Photos und zur PhotoStation, müsste man hier die Risiken beschreiben bzw. von der Nutzung des Pakets abraten?
Portforwarding: Für die Aktualisierung wird m.W. die Weiterleitung von Port 443 auf die DS benötigt. Ist das korrekt? Wenn nicht, was ist richtig? In der Firewall sollte man den Zugriff auf die Länder beschränken, aus denen tatsächlich zugegriffen werden soll - z.B. Deutschland:
Ports: Web Station und Webmail
Protokoll: TCP
Quell-IP: Deutschland
Hintergrund: Synology Tutorial "Wie konfiguriere ich die Firewall in DSM? "

 

[stevenfreiburg]

Aber davon wurde nix verschlüsselt?

Die Ransomware hat vor dem monatlichen Backuptermin auf einen externen Datenträger gewütet.
Das laufende Backup von Synology in meine pcloud war letztes Jahr frickelig und lief über eine VM mit Windows 10 pro auf der Synology (hier).
Diese VM war zur Zeit der Verschlüsselung durch die Ransomware nicht aktiv, also wurden auch keine von der Ransomware verschlüsselten Daten ins pcloud Backup übertragen.
Die Ransomware war nur auf der Syno, Computer, Smartphone und die Backups davon waren nicht betroffen.
Das hätte schlimmer ablaufen können, also Glück im Unglück.

Dass auf meiner Syno irgendetwas nicht stimmt, hatte ich ziemlich schnell durch Syncthing mitgekriegt, denn plötzlich lief mein Smartphone heiß durch die Übertragung vieler verschlüsselter Dateien.
Ich war im Ausland und die Syno wurde zwar abgeschaltet, aber da war die Ransomware bereits fertig mit der Verschlüsselung aller Daten.
Glück im Unglück, Syncthing ist bei mir so eingestellt, dass es nix löscht auf Smartphone und PC, es werden nur alle neuen und geänderten Dateien zur Synology übertragen.

Wenn ich mich entscheide meine Synology nochmal zu aktivieren, werde ich synology die immutable Funktionen nutzen und Kontakt zum Internet wird die Synology nur über virtuelle Maschinen und VPN haben.

 

[alexhell]

Portforwarding: Für die Aktualisierung des Zertifikats alle 90 Tage wird m.W. die Weiterleitung von Port 80 auf die DS benötigt. Ist das korrekt oder nicht?

Das hängt ja davon ab wie man sein SSL Zertifikat holt. Wenn du es als DNS Challenge (kann Synology nicht) holst, dann brauchst du gar keinen offnen Port. Weder 80 noch 443. Dann wird geprüft, ob deine Zugangsdaten für die Domain passen in dem DNS Records anlegt.
Da wäre es halt wichtig, wenn man solche Szenarien abdecken will nur davon ausgeht was Synology OotB mitbringt/kann oder aber ob man auch sowas wie Docker/VM/andere Hardware erwartet. Das beeinflußt ja enorm was möglich wäre und wie sicher es dann ist.

 

[dil88]

@alexhell Verstehe. Mir geht es darum zu prüfen, ob populäre Funktionen auf einer DS sicherheitstechnisch abwegig sind, und wie sie im Sinne von best-practise einfach implementiert werden können, falls das im Sinne der Sicherheit mit einem kalkulierten Risiko vertretbar ist. Eine Blaupause als Beispiel reicht völlig. Wer es anders macht oder machen will, kann das ja tun.

 

[goetz]

Hallo,

Wenn du es als DNS Challenge (kann Synology nicht)

beim eigenen DDNS kann Synology das sehr wohl, nur bei fremden nicht.

Gruß Götz

 

[alexhell]

Ja gut, beim eigenen DDNS muss man auch kein acme.sh einsetzen

 

[Benie]

Das hängt ja davon ab wie man sein SSL Zertifikat holt. Wenn du es als DNS Challenge (kann Synology nicht) holst,

Wie @goetz ja schon angemerkt hat bei Synology braucht es hierzu keine offene Ports.
Mich wundert es, wenn wie erst kürzlich geschehen, offensichtlich aus eigener Unwissenheit, langjährige Forenmitglieder dies in Frage gestellt wird.
Das steht so sogar so in der KB, und scheint selbst hier im Forum nicht nur wenigen unbekannt zu sein.
Da werden die verschiedensten Wege mit wilden Beschreibungen gegangen um Zertifikate zu verlängern, mit und ohne offene Ports.

@*kw* dies wäre ein Thema im Anfängerthread. Sinn u. Zweck eines Zertifikats, Synology Zertifikat Verlängerung ohne offene Ports, Erläuterung Sinn und Zweck Wildcard Zertifikat.
Notwendigkeit der Portumleitung, wenn offener Port unumgänglich ist.
Sinn und Zweck eines VPN Zugangs.

 

[alexhell]

Wie @goetz ja schon angemerkt hat bei Synology braucht es hierzu keine offene Ports.
Mich wundert es, wenn wie erst kürzlich geschehen, offensichtlich aus eigener Unwissenheit, langjährige Forenmitglieder dies in Frage gestellt wird.
Das steht so sogar so in der KB, und scheint selbst hier im Forum nicht nur wenigen unbekannt zu sein.
Da werden die verschiedensten Wege mit wilden Beschreibungen gegangen um Zertifikate zu verlängern, mit und ohne offene Ports.

Das gilt aber nur für synology.me Domains. Wenn du eine eigene nutzen willst, dann greift das doch nicht. Nicht jeder will eine synology.me Domain nutzen.

 

[Benie]

Habe ich ja mehr oder weniger geschrieben.
Für den unbedarften Nutzer auf jeden Fall eine gute und einfache Möglichkeit diese zu nutzen. Zb. wenn Vaultwarden genutzt werden soll, wird ja gern als Nr. 1 für die sinnvolle Nutzung von Docker angesprochen. Ein Synology Zertifikat in Verbindung unter DNS die interne IP als ext. IP zuzuweisen und die DS bleibt trotzdem dabei ohne offene Ports, und mit VPN wird sogar, obwohl im Prinzip unnötig, von Netzextern ein Zugriff möglich.
Ein einfacher und Sicherer Weg, auch wenn man nicht so versiert ist.

 

[ebusynsyn]

Man kann es nicht oft genug sagen: Keine Ports im Router öffnen.

Ja, verstanden. Aber: Was, wenn der (Zwangs)-Router keine Wireguard-Server Installation zulässt und ich deshalb hinter dem Router irgend ein Device (keinen Zweit-Router) habe auf dem Wireguard läuft? Mein WG-VPN würde doch gar nicht funktionieren wenn ich nicht den WG-Port öffnen würde? So mindestens meine Versuche. Oder übersehe ich da was?

 

[metalworker]

Zwangsrouter ist halt immer mist . Und ist ja eigentlich in Deutschland gar nicht zulässig .
Was hast du für einen Provider ?

Aber grundlegend dafür könnte man schon Ports öffnen . ABer dann sollte das Device nicht gerade das NAS sein,

 

[ebusynsyn]

@metalworker

Swisscom / Schweiz ... und ja, man dürfte hierzulande den Router wechseln - es gibt da so ne Liste mit 'geprüften' - aber nicht zertifizierten Geräten - verliert dann aber jede Möglichkeit auf Support auf dem Abo.

Edit: Eine Router-Kaskade wäre (glaube ich) eine Möglichkeit. Es gibt im Router eine Art DMZ-Funktion in welcher aller Traffic dann auf den dahinterliegenden Router geleitet würde. So eine Kaskade ist aber - soweit ich weiss - kein Spaziergang um sie einzurichten.

 

[metalworker]

Achso , na in der Schweiz da kenn ich mich nicht aus.

 

[Nixnuzz]

Ja, verstanden. Aber: Was, wenn der (Zwangs)-Router keine Wireguard-Server Installation zulässt und ich deshalb hinter dem Router irgend ein Device (keinen Zweit-Router) habe auf dem Wireguard läuft? Mein WG-VPN würde doch gar nicht funktionieren wenn ich nicht den WG-Port öffnen würde?

Das ist richtig.
... um Abhilfe zu schaffen, könntest einen Blick auf OpenWRT werfen. Das ist ein speziell für Router zugeschnittenes Linux, auf dem uA. des Freifunk-Netz basiert.

(Das war (oder ist?) ein stadtweites WLAN-basiertes Intranet über den Dächern von Berlin, um die "weissen Flecken" auf der DSL-Karte mit schnellem Internet zu versorgen, wo sonst nur ISDN mit Abrechnung im Minutentakt zur Verfügung stand, und mobiles Internet ein ferner Zukunftstraum war. Das Mesh-Routing, das man heute in jedem AVM-Router findet, wurde dort zur Einsatzreife gebracht)

 

[alexhell]

. um Abhilfe zu schaffen, könntest einen Blick auf OpenWRT werfen.

Bleibt aber doch das selbe Problem. Wenn er nur einen Provider Router hat, weil das bleibt doch.

Swisscom / Schweiz ... und ja, man dürfte hierzulande den Router wechseln - es gibt da so ne Liste mit 'geprüften' - aber nicht zertifizierten Geräten - verliert dann aber jede Möglichkeit auf Support auf dem Abo.

 

[Benie]

Swisscom / Schweiz ... und ja, man dürfte hierzulande den Router wechseln - es gibt da so ne Liste mit 'geprüften' - aber nicht zertifizierten Geräten - verliert dann aber jede Möglichkeit auf Support auf dem Abo.

Das ist auch in Deutschland so. Ich habe, als ich zu Vodafone Kabel gewechselt habe mir extra eine eigene Fritzbox gekauft um nicht diversen Zwängen des Providers ausgestzt zu sein. Aber deshalb gibt es für alles was ab Eingang Fritbox oder, wenn der Provider zum Entschluß kommt es könnte nur daran liegen, zutrifft keinen weiteren Support. So kann man die Leute quasi auch zur gemieteten Fritbox (rund 8,00Euro monatlich) zwingen.

 

[ebusynsyn]

@Benie
Hmm.. vielleicht sollte ich gelegentlich doch mal auf eine 7590AX wechseln und damit den separaten WG-Server einsparen, da WG ja in der FritzBox! machbar ist.
Kann mich gar nicht daran erinnern, wann ich den Support das letzte Mal kontaktiert habe. Wär mal so ein Projekt, wenn Frau und Hund ein Wochenende die Verwandschaft besuchen.

 

[Nixnuzz]

Bleibt aber doch das selbe Problem. Wenn er nur einen Provider Router hat, weil das bleibt doch.

Klar - wenn er einen Fremdrouter einsetzt - oder gar den Provider-
Router mit OpenWRT flasht - verliert er Support und/oder Garantie - aber nur, soweit es den Router betrifft.

Ist halt die Frage, was der wert ist - bzw. was man verliert und was man gewinnt. Mit OpenWRT kannst du halt auf dem Router Samba tanzen - und der Support duch die Communitiy ist um Klassen besser, als der von JEDEM Hersteller.

Aber natürlich ist das eine neue Baustelle mit einer steilen Lernkurve, wenn man sich drauf einlassen will - und du hast recht, das muss man nicht wollen, wenn es "einfach nur funktionieren" soll. Bin gerade nur ein bisschen nostalgisch
-----------------------------------------------------------------

Was ich aber auch bei einem Provider-Router unbedingt abschalten würde wäre UPNP (Universal Plug aNd Pray), das es Rechnern im Heimnetz erlaubt, von sich aus Löcher in die Firewall zu bohren, ohne Zutun des Benutzers.

 

[luxdunkel]

Nachdem ich mit meinen ebenfalls nicht wenigen Portfreigaben und obendrauf einer Debian VM als WireGuard-Server auf der Synology immer mehr Panik bekomme je länger ich hier mitlese: Klappt eine Side to Side VPN Verbindung zwischen 2 FRITZ!Boxen? Vor allem wird die Verbindung nach einer Zwangstrennung und der sich ändernden IP wiederhergestellt? Benötige ich zwingend eine MyFRITZ! Adresse oder klappt es mit der xxx.Synology.me auch?

 

[Monacum]

Klappt eine Side to Side VPN Verbindung zwischen 2 FRITZ!Boxen?

Ja.

Vor allem wird die Verbindung nach einer Zwangstrennung und der sich ändernden IP wiederhergestellt?

Ja.

Benötige ich zwingend eine MyFRITZ! Adresse oder klappt es mit der xxx.Synology.me auch?

Läuft über WireGuard, weder noch.