Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

[luxdunkel]

Danke für die schnelle Antwort. Dann werde ich das mal versuchen und dann damit beginnen, die Ports zu schliessen.

 

[Nixnuzz]

Die Side to side VPN-Verbindung zwischen zwei Fritzboxen funktioniert auf jeden Fall Mit dem eingebauten IPSec, mit wireguard hab ich es nicht ausprobiert. Wiederherstellung nach Zwangstrennung funktioniert, auch mit "fremden" DynDNS Diensten.

Persönlich würde ich Zugänge für einzelne Geräte bevorzugen, wer weiss, was sich da noch im Netz tummelt, und du musst dir weniger einen Kopf machen wegen überschneidender IP Bereiche etc ...

Oops - ist ja längst beantwortet

 

[NormalZeit]

Die Side to side VPN-Verbindung zwischen zwei Fritzboxen funktioniert

Es heisst site to site

... OpenWRT werfen. Das ist ein speziell für Router zugeschnittenes Linux, auf dem uA. des Freifunk-Netz basiert. ... (Das war (oder ist?) ein stadtweites WLAN-basiertes Intranet über den Dächern von Berlin

Da hat „jemand“ aber wenig Ahnung von dem was die Leute von Freifunk inzwischen machen, und das nicht nur in Berlin. Über OpenWRT auf ausgemusterten Routern sind die längst hinaus! Es geht um dezentrale und unabhängige Vernetzung; da werden eigene Richtfunkstrecken mit Gigabit Kapazität aufgebaut und große WLAN-Netze für ganze Kommunen geplant und betrieben.

Sorry für Off-Topic, aber die halbgaren Beiträge (die beiden Zitate sind nur exemplarisch) von Nixnuzz regen mich mehr und mehr auf. Ohne „jemand“ direkt zu beleidigen zu wollen, aber Nomen est Omen.

 

[Monacum]

Persönlich würde ich Zugänge für einzelne Geräte bevorzugen, wer weiss, was sich da noch im Netz tummelt, und du musst dir weniger einen Kopf machen wegen überschneidender IP Bereiche etc ...

Den Kommentar verstehe ich nicht. Die FRITZ!Box vergibt jeder einzelnen Wirecard-Verbindung eine IP-Adresse außerhalb des für eigene Geräte festgelegten Bereich. Sollen die verbundenen Geräte beispielsweise Adressen von 192.178.168.1 bis 100 erhalten, beginnen die WireGuard-IPs ab 101.

Ich habe auch für jedes Gerät einen eigenen Zugang geschaffen, schon alleine, weil ich nicht ausprobiert habe, ob man überhaupt über einen Zugang gleichzeitig mit zwei Geräten zugreifen kann.

 

[Nixnuzz]

Den Kommentar verstehe ich nicht. Die FRITZ!Box vergibt jeder einzelnen Wirecard-Verbindung eine IP-Adresse außerhalb des für eigene Geräte festgelegten Bereich...

@luxdunkel fragte explizit nach einer Verbindung zwischen zwei Fritzboxen, da liegt die Sache ein bisschen anders.
Beide lokale Netze werden zu einem gemeisamen verbunden, und JEDES Gerät was sich im entfernten Netz tummelt, hat Zugriff auf dein Netz zuhause.

(... und ja, es heisst site to site )

 

[alexhell]

Kann man nicht bei der Site to Site Verbindung direkt definieren was nur erreichbar ist? Ich nutze es nicht, daher weiß ich es nicht, aber dann wäre das Problem doch direkt gelöst.

 

[Benie]

Benötige ich zwingend eine MyFRITZ! Adresse oder klappt es mit der xxx.Synology.me auch?

https://avm.de/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/

https://avm.de/service/vpn/wireguar...etzwerken-einrichten/dok2/3448_VPN-mit-FRITZ/

EDIT: Backup ggf. Verschlüsselt erstellen um Zugriff auf dem Zielnas zu verhindern.

 

[Rotbart]

Man kann festlegen welche Geräte die Site to Site Verbindung nutzen dürfen.

 

[Jagnix]

Nur - woher soll eine Person wissen, dass sie etwas nicht weiß wenn man sie nicht zumindest darauf aufmerksam macht?

Sowas nannte man früher --> Infomieren!
Wenn ich etwas betreiben möchte, gerade wenn es wichtige Daten sind auf die ich von extern zugreifen möchte, mache ich mich vorher schlau über die eventuellen Risiken und wie ich sie vermeiden kann schlau. Ansonsten ist es persönliches Pech.

 

[plang.pl]

Die Side to side VPN-Verbindung zwischen zwei Fritzboxen funktioniert auf jeden Fall Mit dem eingebauten IPSec, mit wireguard hab ich es nicht ausprobiert.

Geht einwandfrei mit WireGuard, habe ich im Einsatz. Auf beiden Seiten kann festgelegt werden, welches Gerät den Tunnel "betreten" darf. Außer man nennt eine 7490 sein Eigen, die kann das nur mit IPSec (die Geräte-Einschränkung)

UND: Ja, für Synology DDNS brauchts keine Weiterleitung für's Cert: https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS
Dies gilt nicht nur für synology.me, sondern für alle Domains, die Synology per DDNS anbietet

 

[luxdunkel]

Sowas nannte man früher --> Infomieren!
Wenn ich etwas betreiben möchte, gerade wenn es wichtige Daten sind auf die ich von extern zugreifen möchte, mache ich mich vorher schlau über die eventuellen Risiken und wie ich sie vermeiden kann schlau.

Ich weiß nicht ob man bei so einem komplexen Thema von informieren alleine sprechen kann. Ich bin der Meinung, dass man die Finger von etwas lassen soll, wenn man keine Ahnung hat. Oder man lernt es im Selbststudium oder wie auch immer. Deshalb habe ich mein Konstrukt von einer IT Firma einrichten lassen, und habe alle Lücken, die ich jetzt habe für einen Stundensatz von knapp unter 200€ netto gratis dazu bekommen. Jetzt stelle ich nach Jahren fest, das ich mich auf sehr dünnem Eis bewege was die Sicherheit betrifft. Auch nur weil mir das ganze Thema Spaß macht.

 

[Ronny1978]

Klar - wenn er einen Fremdrouter einsetzt - oder gar den Provider-
Router mit OpenWRT flasht - verliert er Support und/oder Garantie - aber nur, soweit es den Router betrifft.

Die Provider werden aber immer versuchen es auf den Fremdrouter zu schieben. Für den Nutzer wird es immer schwierig bleiben, wenn man sich in der Materie nicht oder nur wenig auskennt.

Was ich aber auch bei einem Provider-Router unbedingt abschalten würde wäre UPNP (Universal Plug aNd Pray)

Wieso "nur" WÜRDE? Für mich gehört das eigentlich immer abgeschalten. Es gibt - meiner Meinung nach !!! - ganz wenig Fälle wo dies überhaupt nötig wäre. UPnP ist immer ein Sicherheitsrisiko.

 

[stevenfreiburg]

I

Sowas nannte man früher --> Infomieren!
Wenn ich etwas betreiben möchte, gerade wenn es wichtige Daten sind auf die ich von extern zugreifen möchte, mache ich mich vorher schlau über die eventuellen Risiken und wie ich sie vermeiden kann schlau. Ansonsten ist es persönliches Pech.

Wenn du nix Konstruktives zum Thema beizutragen kannst und dieses Thema so unnötig findest, warum bleibst du nicht einfach weg?

Ich würde dich mit deiner Einstellung und deinen Kommentaren nicht vermissen.

 

[Ronny1978]

Deshalb habe ich mein Konstrukt von einer IT Firma einrichten lassen

Bei allem Respekt: Der vorher angesprochene Youtuber hat auch eine Firma. Wenn der das so macht, wie in seinen Videos, welche ja auch @stevenfreiburg gesehen hat, dann hat das doch nichts mit Sicherheit zu tun, oder???

 

[Ronny1978]

Noch einmal zum Thema Site-to-Site VPN: Sind wir jetzt auf der privaten "Schiene", dann würde ich in Fritzboxen investieren, die das können oder ggf. über 2 Raspi's o.ä. nachdenken, die das VPN übernehmen und so vielleicht die Netze und Angriffssektoren trennen.

Oder wenn technisches Interesse da ist und man vor einer steilen Lernkurve keine Angst hat, den Tausch gegen OpnSense/pfSense. Dort kann man wirklich separieren und für Datensicherheit sorgen. Gleichfalls kann mir Hürden wie Geo IP, Crowdsec einbauen und soweit ich weiß, werden - bei entsprechender Einstellung - auch Angriffe von Innen erkannt, was vielleicht @stevenfreiburg geholfen hätte, da viele - ICH AUCH - der Meinung sind, dass die "Verseuchung" eher von einem PC kommt und mittels SMB auf dem NAS (via Netzlaufwerk) verschlüsselt wurde.

Aber wie allen bekannt sein sollte, gibt es keinen 100%igen Schutz und es ist jede Menge Eigeninitiative gefragt. Der einzige 100%ige Schutz vor bösen Buben aus dem Netz ist ... Trommelwirbel ... STECKER ZIEHEN UND KEIN INTERNET NUTZEN.

 

[metalworker]

VPN ist wirklich auch eine gute Sache . Aber auch da muss man wissen was man macht . Sonst hat wirklich das andere Netzt kompletten zugriff.
Muss man selbst wissen ob man das will.

Vielleicht bekommen wir es noch heraus was es bei Steven war.


Ganz wichtig ist aber auch für den Thread , es bringt nichts dem Steven immer wieder zu sagen das er einen Fehler gemacht hat.
Das haben wir ja nun schon erkannt. Es geht ja jetzt das wie zu erkennen , und dann vorsorge zu treffen das es nicht wieder passiert.


Und wie Ronny schon sagt. Man ist niemals komplett sicher . Jedes System was man betreibt im Netzwerk treibt das Risiko in die höhe.
Daher betreibe ich das IT NEtz bei mir in der Firma nach der devise Kepp it Simple .

 

[Stationary]

Auf beiden Seiten kann festgelegt werden, welches Gerät den Tunnel "betreten" darf. Außer man nennt eine 7490 sein Eigen, die kann das nur mit IPSec (die Geräte-Einschränkung)

Geht das da nicht nur um die Erreichbarkeit, die eingeschränkt wird? Also eingehend eingeschränkte Erreichbarkeit, ausgehend aber jedes Gerät erlaubt? Ich habe das nie ausprobiert
(Und ja, die Frage ist allgemein, die Einstellung gibt es bei der 7490 ja nicht).

 

[NSFH]

site2site lässt sich über 2 Fritzboxen betreiben, aber untereinander in dieser Verbindung nicht absichern. Wer es von Aussen in das eine LAN geschafft hat kommt auch in das andere rein! Auch unabhängig davon welchen Geräten man die Kommunikation erlaubt.
Wer hier Sicherheit haben will muss in 2 vernünftige VPN Router investieren, denn damit kann ich auch im site2site Firewallregeln genau definieren und auch mit Zertifikaten arbeiten.
Dies ist sogar zwingend nötwendig, wenn mit SMB gearbeitet wird und zB in beiden Standorten eine gemeinsame Domäne genutzt wird!

Ganz so rosarot und trivial wie das hier einige beschreiben ist dieses Thema nicht. Man muss sich schon über neue Gefahren bewusst sein, die durch das gekoppelte LAN eingeschleppt werden können.
Und nochmal, die meisten Netzwerke werden nicht durch Hacken des Zuganges kompromittiert sondern durch Trojaner in E-Mails.
Alle mir bekannten, erfolgreichen Angriffe direkt auf Synos sind durch unzureichend abgesicherte SmartHome Apps entstanden, nicht durch "hacking"!

Daher Firewall im Router UND Syno vernünftig einrichten, nur VPN nutzen und mehr Aufmerksamkeit nach Innen auf Mails richten dürfte zielführender sein. Auch gegenüber dem TE meine mit grösster Wahrscheinlichkeit zutreffende Vermutung, dass er sich etwas mit einer Mail eingefangen hat. Warum die verschlüsselung seiner Daten nicht beendet wurde kann man nur mutmassen.
Ich kenne zB einen Dateianhang als Zip getarnt. Öffne ich die Zip starte ich gleichzeitig eine exe die verschlüsselt. Beende ich Windows stellt die exe auch den Betrieb ein und bleibt aus, bis ich die zip wieder öffne. Davon gibt es so viele Variationen....... Auf jeden Fall würde ich meine Clients im LAN und auch Mails mit Anhang mal genauestens unter die Lupe nehmen!

 

[Gulliver]

Eine relativ einfache Lösung ist es, einen Raspberry Pi als wireguard-'Brückenkopf' hinter den Router zu stellen, wireguard z.B. mit pivpn darauf einzurichten und genau eine Portfreigabe auf dem Router von aussen zum RPi (nicht zur DS) zuzulassen.
- Kosten ca 100 €
- Kann weiters als pihole genutzt werden
- Das bisschen Debian, was man dafür braucht, lernt man schnell.

Anleitungen gibt's im Netz zur Genüge, wobei ich grundsätzlich 'lesen und kapieren' dem 'youtuben und nachmachen' vorziehe. Wie man lernt, belastbare verlässliche Informationsquellen von Blödsinn zu unterscheiden, ist das Thema unserer Zeit.
Kritisch sein, anzweifeln, Skeptiker werden und bleiben, prüfen und stets hinterfragen und Abgleichen mit bereits gelerntem wird unerlässlich sein.

Der Umgang mit den Möglichkeiten der IT ist uns nicht in Gene oder Wiege gelegt.
Einen guten Einstieg zu IT-Sicherheit bietet Kuketz:
Einstieg hier
Durcharbeiten hier

Danach ist man schon einigermaßen vorbereitet, weil man eine Vorstellung der möglichen Gefahren und Vorschläge für Lösungen bekommt.

 

[Monacum]

Raspberry Pi als wireguard-'Brückenkopf' hinter den Router zu stellen

Inwiefern ist das notwendig, wenn man wie der Threadersteller hier eine FRITZ!Box verwendet, die nativ WireGuard unterstützt?