Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.683
Punkte für Reaktionen
2.084
Punkte
829
Daher ist es die Frage wie bekommt man das es hin das den Usern gar nicht erst das passiert wie dem TE .

Ganz genau. Ich würde gern Szenarien, die @stevenfreiburg nutzen wollte und die hier im Forum auch häufig angesprochen werden, einmal konkret hinsichtlich der Sicherheitsbedenken und konkreten Umsetzung abklopfen. Ich fange einmal mit zwei Szenarien an:

Let's encrypt SSL Zertifikat
Sicherheitsbedenken: Wenn man sagt, man sollte die DS komplett abschotten und z.B. für Fotos Clouds verwenden, dann braucht man m.E. kein SSL-Zertifikat. Viele möchten aber beispielsweise Synology Photos nutzen. Wie wird das Risiko dieser Anwendung insbesondere hinsichtlich Ransomware eingeschätzt?
Portforwarding: Für die Aktualisierung des Zertifikats alle 90 Tage wird m.W. die Weiterleitung von Port 80 auf die DS benötigt. Ist das korrekt oder nicht?
Hintergrund: Tutorial von Synology zum Thema

Synology Photos
Synology Photos ist aus meiner Sicht eines der gefragtesten Pakete - sowohl für die Bilderpräsentation im Internet als auch für die Bildersicherung vom Smartphone.
Sicherheitsbedenken: Wie wird das Risiko dieser Anwendung insbesondere hinsichtlich Ransomware eingeschätzt? Wir haben in diesem Forum einen Bereich zu Synology Photos und zur PhotoStation, müsste man hier die Risiken beschreiben bzw. von der Nutzung des Pakets abraten?
Portforwarding: Für die Aktualisierung wird m.W. die Weiterleitung von Port 443 auf die DS benötigt. Ist das korrekt? Wenn nicht, was ist richtig? In der Firewall sollte man den Zugriff auf die Länder beschränken, aus denen tatsächlich zugegriffen werden soll - z.B. Deutschland:
Ports: Web Station und Webmail
Protokoll: TCP
Quell-IP: Deutschland
Hintergrund: Synology Tutorial "Wie konfiguriere ich die Firewall in DSM? "
 

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
231
Punkte für Reaktionen
115
Punkte
93
Aber davon wurde nix verschlüsselt?

Die Ransomware hat vor dem monatlichen Backuptermin auf einen externen Datenträger gewütet.
Das laufende Backup von Synology in meine pcloud war letztes Jahr frickelig und lief über eine VM mit Windows 10 pro auf der Synology (hier).
Diese VM war zur Zeit der Verschlüsselung durch die Ransomware nicht aktiv, also wurden auch keine von der Ransomware verschlüsselten Daten ins pcloud Backup übertragen.
Die Ransomware war nur auf der Syno, Computer, Smartphone und die Backups davon waren nicht betroffen.
Das hätte schlimmer ablaufen können, also Glück im Unglück.

Dass auf meiner Syno irgendetwas nicht stimmt, hatte ich ziemlich schnell durch Syncthing mitgekriegt, denn plötzlich lief mein Smartphone heiß durch die Übertragung vieler verschlüsselter Dateien.
Ich war im Ausland und die Syno wurde zwar abgeschaltet, aber da war die Ransomware bereits fertig mit der Verschlüsselung aller Daten.
Glück im Unglück, Syncthing ist bei mir so eingestellt, dass es nix löscht auf Smartphone und PC, es werden nur alle neuen und geänderten Dateien zur Synology übertragen.

Wenn ich mich entscheide meine Synology nochmal zu aktivieren, werde ich synology die immutable Funktionen nutzen und Kontakt zum Internet wird die Synology nur über virtuelle Maschinen und VPN haben.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Portforwarding: Für die Aktualisierung des Zertifikats alle 90 Tage wird m.W. die Weiterleitung von Port 80 auf die DS benötigt. Ist das korrekt oder nicht?
Das hängt ja davon ab wie man sein SSL Zertifikat holt. Wenn du es als DNS Challenge (kann Synology nicht) holst, dann brauchst du gar keinen offnen Port. Weder 80 noch 443. Dann wird geprüft, ob deine Zugangsdaten für die Domain passen in dem DNS Records anlegt.
Da wäre es halt wichtig, wenn man solche Szenarien abdecken will nur davon ausgeht was Synology OotB mitbringt/kann oder aber ob man auch sowas wie Docker/VM/andere Hardware erwartet. Das beeinflußt ja enorm was möglich wäre und wie sicher es dann ist.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.683
Punkte für Reaktionen
2.084
Punkte
829
@alexhell Verstehe. Mir geht es darum zu prüfen, ob populäre Funktionen auf einer DS sicherheitstechnisch abwegig sind, und wie sie im Sinne von best-practise einfach implementiert werden können, falls das im Sinne der Sicherheit mit einem kalkulierten Risiko vertretbar ist. Eine Blaupause als Beispiel reicht völlig. Wer es anders macht oder machen will, kann das ja tun.
 
  • Like
Reaktionen: Benie

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.487
Punkte für Reaktionen
3.514
Punkte
344
Das hängt ja davon ab wie man sein SSL Zertifikat holt. Wenn du es als DNS Challenge (kann Synology nicht) holst,
Wie @goetz ja schon angemerkt hat bei Synology braucht es hierzu keine offene Ports.
Mich wundert es, wenn wie erst kürzlich geschehen, offensichtlich aus eigener Unwissenheit, langjährige Forenmitglieder dies in Frage gestellt wird.
Das steht so sogar so in der KB, und scheint selbst hier im Forum nicht nur wenigen unbekannt zu sein.
Da werden die verschiedensten Wege mit wilden Beschreibungen gegangen um Zertifikate zu verlängern, mit und ohne offene Ports.

@*kw* dies wäre ein Thema im Anfängerthread. Sinn u. Zweck eines Zertifikats, Synology Zertifikat Verlängerung ohne offene Ports, Erläuterung Sinn und Zweck Wildcard Zertifikat.
Notwendigkeit der Portumleitung, wenn offener Port unumgänglich ist.
Sinn und Zweck eines VPN Zugangs.
 
  • Like
Reaktionen: *kw* und metalworker

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Wie @goetz ja schon angemerkt hat bei Synology braucht es hierzu keine offene Ports.
Mich wundert es, wenn wie erst kürzlich geschehen, offensichtlich aus eigener Unwissenheit, langjährige Forenmitglieder dies in Frage gestellt wird.
Das steht so sogar so in der KB, und scheint selbst hier im Forum nicht nur wenigen unbekannt zu sein.
Da werden die verschiedensten Wege mit wilden Beschreibungen gegangen um Zertifikate zu verlängern, mit und ohne offene Ports.
Das gilt aber nur für synology.me Domains. Wenn du eine eigene nutzen willst, dann greift das doch nicht. Nicht jeder will eine synology.me Domain nutzen.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.487
Punkte für Reaktionen
3.514
Punkte
344
Habe ich ja mehr oder weniger geschrieben.
Für den unbedarften Nutzer auf jeden Fall eine gute und einfache Möglichkeit diese zu nutzen. Zb. wenn Vaultwarden genutzt werden soll, wird ja gern als Nr. 1 für die sinnvolle Nutzung von Docker angesprochen. Ein Synology Zertifikat in Verbindung unter DNS die interne IP als ext. IP zuzuweisen und die DS bleibt trotzdem dabei ohne offene Ports, und mit VPN wird sogar, obwohl im Prinzip unnötig, von Netzextern ein Zugriff möglich.
Ein einfacher und Sicherer Weg, auch wenn man nicht so versiert ist.
 
  • Like
Reaktionen: ebusynsyn und dil88

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
458
Punkte für Reaktionen
271
Punkte
119
Man kann es nicht oft genug sagen: Keine Ports im Router öffnen.

Ja, verstanden. Aber: Was, wenn der (Zwangs)-Router keine Wireguard-Server Installation zulässt und ich deshalb hinter dem Router irgend ein Device (keinen Zweit-Router) habe auf dem Wireguard läuft? Mein WG-VPN würde doch gar nicht funktionieren wenn ich nicht den WG-Port öffnen würde? So mindestens meine Versuche. Oder übersehe ich da was?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
Zwangsrouter ist halt immer mist . Und ist ja eigentlich in Deutschland gar nicht zulässig .
Was hast du für einen Provider ?

Aber grundlegend dafür könnte man schon Ports öffnen . ABer dann sollte das Device nicht gerade das NAS sein,
 
  • Like
Reaktionen: Benares

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
458
Punkte für Reaktionen
271
Punkte
119
@metalworker

Swisscom / Schweiz ... und ja, man dürfte hierzulande den Router wechseln - es gibt da so ne Liste mit 'geprüften' - aber nicht zertifizierten Geräten - verliert dann aber jede Möglichkeit auf Support auf dem Abo.

Edit: Eine Router-Kaskade wäre (glaube ich) eine Möglichkeit. Es gibt im Router eine Art DMZ-Funktion in welcher aller Traffic dann auf den dahinterliegenden Router geleitet würde. So eine Kaskade ist aber - soweit ich weiss - kein Spaziergang um sie einzurichten.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
Achso , na in der Schweiz da kenn ich mich nicht aus.
 

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
Ja, verstanden. Aber: Was, wenn der (Zwangs)-Router keine Wireguard-Server Installation zulässt und ich deshalb hinter dem Router irgend ein Device (keinen Zweit-Router) habe auf dem Wireguard läuft? Mein WG-VPN würde doch gar nicht funktionieren wenn ich nicht den WG-Port öffnen würde?
Das ist richtig.
... um Abhilfe zu schaffen, könntest einen Blick auf OpenWRT werfen. Das ist ein speziell für Router zugeschnittenes Linux, auf dem uA. des Freifunk-Netz basiert.

(Das war (oder ist?) ein stadtweites WLAN-basiertes Intranet über den Dächern von Berlin, um die "weissen Flecken" auf der DSL-Karte mit schnellem Internet zu versorgen, wo sonst nur ISDN mit Abrechnung im Minutentakt zur Verfügung stand, und mobiles Internet ein ferner Zukunftstraum war. Das Mesh-Routing, das man heute in jedem AVM-Router findet, wurde dort zur Einsatzreife gebracht)
 
  • Angry
Reaktionen: NormalZeit

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
. um Abhilfe zu schaffen, könntest einen Blick auf OpenWRT werfen.
Bleibt aber doch das selbe Problem. Wenn er nur einen Provider Router hat, weil das bleibt doch.
Swisscom / Schweiz ... und ja, man dürfte hierzulande den Router wechseln - es gibt da so ne Liste mit 'geprüften' - aber nicht zertifizierten Geräten - verliert dann aber jede Möglichkeit auf Support auf dem Abo.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.487
Punkte für Reaktionen
3.514
Punkte
344
Swisscom / Schweiz ... und ja, man dürfte hierzulande den Router wechseln - es gibt da so ne Liste mit 'geprüften' - aber nicht zertifizierten Geräten - verliert dann aber jede Möglichkeit auf Support auf dem Abo.
Das ist auch in Deutschland so. Ich habe, als ich zu Vodafone Kabel gewechselt habe mir extra eine eigene Fritzbox gekauft um nicht diversen Zwängen des Providers ausgestzt zu sein. Aber deshalb gibt es für alles was ab Eingang Fritbox oder, wenn der Provider zum Entschluß kommt es könnte nur daran liegen, zutrifft keinen weiteren Support. So kann man die Leute quasi auch zur gemieteten Fritbox (rund 8,00Euro monatlich) zwingen.
 

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
458
Punkte für Reaktionen
271
Punkte
119
@Benie
Hmm.. vielleicht sollte ich gelegentlich doch mal auf eine 7590AX wechseln und damit den separaten WG-Server einsparen, da WG ja in der FritzBox! machbar ist.
Kann mich gar nicht daran erinnern, wann ich den Support das letzte Mal kontaktiert habe. Wär mal so ein Projekt, wenn Frau und Hund ein Wochenende die Verwandschaft besuchen. ;)
 

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
Bleibt aber doch das selbe Problem. Wenn er nur einen Provider Router hat, weil das bleibt doch.
Klar - wenn er einen Fremdrouter einsetzt - oder gar den Provider-
Router mit OpenWRT flasht - verliert er Support und/oder Garantie - aber nur, soweit es den Router betrifft.

Ist halt die Frage, was der wert ist - bzw. was man verliert und was man gewinnt. Mit OpenWRT kannst du halt auf dem Router Samba tanzen - und der Support duch die Communitiy ist um Klassen besser, als der von JEDEM Hersteller.

Aber natürlich ist das eine neue Baustelle mit einer steilen Lernkurve, wenn man sich drauf einlassen will - und du hast recht, das muss man nicht wollen, wenn es "einfach nur funktionieren" soll. Bin gerade nur ein bisschen nostalgisch ;)
-----------------------------------------------------------------

Was ich aber auch bei einem Provider-Router unbedingt abschalten würde wäre UPNP (Universal Plug aNd Pray), das es Rechnern im Heimnetz erlaubt, von sich aus Löcher in die Firewall zu bohren, ohne Zutun des Benutzers.
 
  • Like
Reaktionen: Benie

luxdunkel

Benutzer
Contributor
Mitglied seit
22. Mai 2023
Beiträge
99
Punkte für Reaktionen
45
Punkte
18
Nachdem ich mit meinen ebenfalls nicht wenigen Portfreigaben und obendrauf einer Debian VM als WireGuard-Server auf der Synology immer mehr Panik bekomme je länger ich hier mitlese: Klappt eine Side to Side VPN Verbindung zwischen 2 FRITZ!Boxen? Vor allem wird die Verbindung nach einer Zwangstrennung und der sich ändernden IP wiederhergestellt? Benötige ich zwingend eine MyFRITZ! Adresse oder klappt es mit der xxx.Synology.me auch?
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
  • Like
Reaktionen: luxdunkel


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat