Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

luxdunkel

Benutzer
Contributor
Mitglied seit
22. Mai 2023
Beiträge
99
Punkte für Reaktionen
45
Punkte
18
Danke für die schnelle Antwort. Dann werde ich das mal versuchen und dann damit beginnen, die Ports zu schliessen.
 

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
Die Side to side VPN-Verbindung zwischen zwei Fritzboxen funktioniert auf jeden Fall Mit dem eingebauten IPSec, mit wireguard hab ich es nicht ausprobiert. Wiederherstellung nach Zwangstrennung funktioniert, auch mit "fremden" DynDNS Diensten.

Persönlich würde ich Zugänge für einzelne Geräte bevorzugen, wer weiss, was sich da noch im Netz tummelt, und du musst dir weniger einen Kopf machen wegen überschneidender IP Bereiche etc ...

Oops - ist ja längst beantwortet :ROFLMAO:
 

NormalZeit

Benutzer
Mitglied seit
15. Okt 2012
Beiträge
361
Punkte für Reaktionen
17
Punkte
24
Die Side to side VPN-Verbindung zwischen zwei Fritzboxen funktioniert
Es heisst site to site
... OpenWRT werfen. Das ist ein speziell für Router zugeschnittenes Linux, auf dem uA. des Freifunk-Netz basiert. ... (Das war (oder ist?) ein stadtweites WLAN-basiertes Intranet über den Dächern von Berlin
Da hat „jemand“ aber wenig Ahnung von dem was die Leute von Freifunk inzwischen machen, und das nicht nur in Berlin. Über OpenWRT auf ausgemusterten Routern sind die längst hinaus! Es geht um dezentrale und unabhängige Vernetzung; da werden eigene Richtfunkstrecken mit Gigabit Kapazität aufgebaut und große WLAN-Netze für ganze Kommunen geplant und betrieben.

Sorry für Off-Topic, aber die halbgaren Beiträge (die beiden Zitate sind nur exemplarisch) von Nixnuzz regen mich mehr und mehr auf. Ohne „jemand“ direkt zu beleidigen zu wollen, aber Nomen est Omen.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Persönlich würde ich Zugänge für einzelne Geräte bevorzugen, wer weiss, was sich da noch im Netz tummelt, und du musst dir weniger einen Kopf machen wegen überschneidender IP Bereiche etc ...
Den Kommentar verstehe ich nicht. Die FRITZ!Box vergibt jeder einzelnen Wirecard-Verbindung eine IP-Adresse außerhalb des für eigene Geräte festgelegten Bereich. Sollen die verbundenen Geräte beispielsweise Adressen von 192.178.168.1 bis 100 erhalten, beginnen die WireGuard-IPs ab 101.

Ich habe auch für jedes Gerät einen eigenen Zugang geschaffen, schon alleine, weil ich nicht ausprobiert habe, ob man überhaupt über einen Zugang gleichzeitig mit zwei Geräten zugreifen kann.
 

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
Den Kommentar verstehe ich nicht. Die FRITZ!Box vergibt jeder einzelnen Wirecard-Verbindung eine IP-Adresse außerhalb des für eigene Geräte festgelegten Bereich...
@luxdunkel fragte explizit nach einer Verbindung zwischen zwei Fritzboxen, da liegt die Sache ein bisschen anders.
Beide lokale Netze werden zu einem gemeisamen verbunden, und JEDES Gerät was sich im entfernten Netz tummelt, hat Zugriff auf dein Netz zuhause.

(... und ja, es heisst site to site ;))
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Kann man nicht bei der Site to Site Verbindung direkt definieren was nur erreichbar ist? Ich nutze es nicht, daher weiß ich es nicht, aber dann wäre das Problem doch direkt gelöst.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.487
Punkte für Reaktionen
3.514
Punkte
344

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.233
Punkte für Reaktionen
324
Punkte
109
Nur - woher soll eine Person wissen, dass sie etwas nicht weiß wenn man sie nicht zumindest darauf aufmerksam macht?

Sowas nannte man früher --> Infomieren!
Wenn ich etwas betreiben möchte, gerade wenn es wichtige Daten sind auf die ich von extern zugreifen möchte, mache ich mich vorher schlau über die eventuellen Risiken und wie ich sie vermeiden kann schlau. Ansonsten ist es persönliches Pech.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Die Side to side VPN-Verbindung zwischen zwei Fritzboxen funktioniert auf jeden Fall Mit dem eingebauten IPSec, mit wireguard hab ich es nicht ausprobiert.
Geht einwandfrei mit WireGuard, habe ich im Einsatz. Auf beiden Seiten kann festgelegt werden, welches Gerät den Tunnel "betreten" darf. Außer man nennt eine 7490 sein Eigen, die kann das nur mit IPSec (die Geräte-Einschränkung)

UND: Ja, für Synology DDNS brauchts keine Weiterleitung für's Cert: https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS
Dies gilt nicht nur für synology.me, sondern für alle Domains, die Synology per DDNS anbietet
 
  • Like
Reaktionen: Nixnuzz

luxdunkel

Benutzer
Contributor
Mitglied seit
22. Mai 2023
Beiträge
99
Punkte für Reaktionen
45
Punkte
18
Sowas nannte man früher --> Infomieren!
Wenn ich etwas betreiben möchte, gerade wenn es wichtige Daten sind auf die ich von extern zugreifen möchte, mache ich mich vorher schlau über die eventuellen Risiken und wie ich sie vermeiden kann schlau.
Ich weiß nicht ob man bei so einem komplexen Thema von informieren alleine sprechen kann. Ich bin der Meinung, dass man die Finger von etwas lassen soll, wenn man keine Ahnung hat. Oder man lernt es im Selbststudium oder wie auch immer. Deshalb habe ich mein Konstrukt von einer IT Firma einrichten lassen, und habe alle Lücken, die ich jetzt habe für einen Stundensatz von knapp unter 200€ netto gratis dazu bekommen. Jetzt stelle ich nach Jahren fest, das ich mich auf sehr dünnem Eis bewege was die Sicherheit betrifft. Auch nur weil mir das ganze Thema Spaß macht.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.854
Punkte für Reaktionen
762
Punkte
128
Klar - wenn er einen Fremdrouter einsetzt - oder gar den Provider-
Router mit OpenWRT flasht - verliert er Support und/oder Garantie - aber nur, soweit es den Router betrifft.
Die Provider werden aber immer versuchen es auf den Fremdrouter zu schieben. Für den Nutzer wird es immer schwierig bleiben, wenn man sich in der Materie nicht oder nur wenig auskennt.
Was ich aber auch bei einem Provider-Router unbedingt abschalten würde wäre UPNP (Universal Plug aNd Pray)
Wieso "nur" WÜRDE? Für mich gehört das eigentlich immer abgeschalten. Es gibt - meiner Meinung nach !!! - ganz wenig Fälle wo dies überhaupt nötig wäre. UPnP ist immer ein Sicherheitsrisiko.
 

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
231
Punkte für Reaktionen
115
Punkte
93
I
Sowas nannte man früher --> Infomieren!
Wenn ich etwas betreiben möchte, gerade wenn es wichtige Daten sind auf die ich von extern zugreifen möchte, mache ich mich vorher schlau über die eventuellen Risiken und wie ich sie vermeiden kann schlau. Ansonsten ist es persönliches Pech.


Wenn du nix Konstruktives zum Thema beizutragen kannst und dieses Thema so unnötig findest, warum bleibst du nicht einfach weg?

Ich würde dich mit deiner Einstellung und deinen Kommentaren nicht vermissen.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.854
Punkte für Reaktionen
762
Punkte
128
Deshalb habe ich mein Konstrukt von einer IT Firma einrichten lassen
Bei allem Respekt: Der vorher angesprochene Youtuber hat auch eine Firma. Wenn der das so macht, wie in seinen Videos, welche ja auch @stevenfreiburg gesehen hat, dann hat das doch nichts mit Sicherheit zu tun, oder??? :ROFLMAO:
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.854
Punkte für Reaktionen
762
Punkte
128
Noch einmal zum Thema Site-to-Site VPN: Sind wir jetzt auf der privaten "Schiene", dann würde ich in Fritzboxen investieren, die das können oder ggf. über 2 Raspi's o.ä. nachdenken, die das VPN übernehmen und so vielleicht die Netze und Angriffssektoren trennen.

Oder wenn technisches Interesse da ist und man vor einer steilen Lernkurve keine Angst hat, den Tausch gegen OpnSense/pfSense. Dort kann man wirklich separieren und für Datensicherheit sorgen. Gleichfalls kann mir Hürden wie Geo IP, Crowdsec einbauen und soweit ich weiß, werden - bei entsprechender Einstellung - auch Angriffe von Innen erkannt, was vielleicht @stevenfreiburg geholfen hätte, da viele - ICH AUCH - der Meinung sind, dass die "Verseuchung" eher von einem PC kommt und mittels SMB auf dem NAS (via Netzlaufwerk) verschlüsselt wurde.

Aber wie allen bekannt sein sollte, gibt es keinen 100%igen Schutz und es ist jede Menge Eigeninitiative gefragt. ;) Der einzige 100%ige Schutz vor bösen Buben aus dem Netz ist ... Trommelwirbel ... STECKER ZIEHEN UND KEIN INTERNET NUTZEN.
 
  • Like
Reaktionen: Tuxnet und Nixnuzz

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.176
Punkte für Reaktionen
1.141
Punkte
194
VPN ist wirklich auch eine gute Sache . Aber auch da muss man wissen was man macht . Sonst hat wirklich das andere Netzt kompletten zugriff.
Muss man selbst wissen ob man das will.

Vielleicht bekommen wir es noch heraus was es bei Steven war.


Ganz wichtig ist aber auch für den Thread , es bringt nichts dem Steven immer wieder zu sagen das er einen Fehler gemacht hat.
Das haben wir ja nun schon erkannt. Es geht ja jetzt das wie zu erkennen , und dann vorsorge zu treffen das es nicht wieder passiert.


Und wie Ronny schon sagt. Man ist niemals komplett sicher . Jedes System was man betreibt im Netzwerk treibt das Risiko in die höhe.
Daher betreibe ich das IT NEtz bei mir in der Firma nach der devise Kepp it Simple .
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Auf beiden Seiten kann festgelegt werden, welches Gerät den Tunnel "betreten" darf. Außer man nennt eine 7490 sein Eigen, die kann das nur mit IPSec (die Geräte-Einschränkung)
Geht das da nicht nur um die Erreichbarkeit, die eingeschränkt wird? Also eingehend eingeschränkte Erreichbarkeit, ausgehend aber jedes Gerät erlaubt? Ich habe das nie ausprobiert
(Und ja, die Frage ist allgemein, die Einstellung gibt es bei der 7490 ja nicht).
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
570
Punkte
194
site2site lässt sich über 2 Fritzboxen betreiben, aber untereinander in dieser Verbindung nicht absichern. Wer es von Aussen in das eine LAN geschafft hat kommt auch in das andere rein! Auch unabhängig davon welchen Geräten man die Kommunikation erlaubt.
Wer hier Sicherheit haben will muss in 2 vernünftige VPN Router investieren, denn damit kann ich auch im site2site Firewallregeln genau definieren und auch mit Zertifikaten arbeiten.
Dies ist sogar zwingend nötwendig, wenn mit SMB gearbeitet wird und zB in beiden Standorten eine gemeinsame Domäne genutzt wird!

Ganz so rosarot und trivial wie das hier einige beschreiben ist dieses Thema nicht. Man muss sich schon über neue Gefahren bewusst sein, die durch das gekoppelte LAN eingeschleppt werden können.
Und nochmal, die meisten Netzwerke werden nicht durch Hacken des Zuganges kompromittiert sondern durch Trojaner in E-Mails.
Alle mir bekannten, erfolgreichen Angriffe direkt auf Synos sind durch unzureichend abgesicherte SmartHome Apps entstanden, nicht durch "hacking"!

Daher Firewall im Router UND Syno vernünftig einrichten, nur VPN nutzen und mehr Aufmerksamkeit nach Innen auf Mails richten dürfte zielführender sein. Auch gegenüber dem TE meine mit grösster Wahrscheinlichkeit zutreffende Vermutung, dass er sich etwas mit einer Mail eingefangen hat. Warum die verschlüsselung seiner Daten nicht beendet wurde kann man nur mutmassen.
Ich kenne zB einen Dateianhang als Zip getarnt. Öffne ich die Zip starte ich gleichzeitig eine exe die verschlüsselt. Beende ich Windows stellt die exe auch den Betrieb ein und bleibt aus, bis ich die zip wieder öffne. Davon gibt es so viele Variationen....... Auf jeden Fall würde ich meine Clients im LAN und auch Mails mit Anhang mal genauestens unter die Lupe nehmen!
 

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
Eine relativ einfache Lösung ist es, einen Raspberry Pi als wireguard-'Brückenkopf' hinter den Router zu stellen, wireguard z.B. mit pivpn darauf einzurichten und genau eine Portfreigabe auf dem Router von aussen zum RPi (nicht zur DS) zuzulassen.
- Kosten ca 100 €
- Kann weiters als pihole genutzt werden
- Das bisschen Debian, was man dafür braucht, lernt man schnell.

Anleitungen gibt's im Netz zur Genüge, wobei ich grundsätzlich 'lesen und kapieren' dem 'youtuben und nachmachen' vorziehe. Wie man lernt, belastbare verlässliche Informationsquellen von Blödsinn zu unterscheiden, ist das Thema unserer Zeit.
Kritisch sein, anzweifeln, Skeptiker werden und bleiben, prüfen und stets hinterfragen und Abgleichen mit bereits gelerntem wird unerlässlich sein.

Der Umgang mit den Möglichkeiten der IT ist uns nicht in Gene oder Wiege gelegt.
Einen guten Einstieg zu IT-Sicherheit bietet Kuketz:
Einstieg hier
Durcharbeiten hier

Danach ist man schon einigermaßen vorbereitet, weil man eine Vorstellung der möglichen Gefahren und Vorschläge für Lösungen bekommt.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Raspberry Pi als wireguard-'Brückenkopf' hinter den Router zu stellen
Inwiefern ist das notwendig, wenn man wie der Threadersteller hier eine FRITZ!Box verwendet, die nativ WireGuard unterstützt?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat