Synology geeft waarschuwing voor ransomware aanval.

[Weerz]

Wat voor mij heeft gewerkt (werd nu sinds 3 dagen gebashed en continue meldingen) is de firewall rules instellen op NAS.
Daarin heb ik alleen aangegeven vanuit welke landen ik toegang wil hebben.

Bijv:
Ports all -> Source IP (keuze Netherlands) -> Allow
Ports all -> Source IP all -> Deny

In die volgorde ook als opbouw.

Security Advisor had om de 2 min logs ivm met brute force attacks.
Nu de laatste 20 min, geen 

Voor mij werkt het in ieder geval en heb dit remote uitgevoerd op de NAS.
Dus als ik een foutje had gemaakt,, dan had ik dat gelijk gemerkt 

[Briolet]

Met die regels kom je er ook alleen remote in. Thuis kun je het schudden.  (Tenzij je thuis natloopback gebruikt i.v.p. een lokaal IP)

[a.m.j.janssen]

Hoe weet je trouwens wanneer de aanvallen voorbij zijn en je alles weer 'normaal' kunt instellen?
Anders weet je dus niet eens dát je wordt aangevallen.
?

[Briolet]

Er is geen "normaal instellen na de aanval". Het betreft instellingen die ook zonder de aanval verstandig zijn, want een aanval gebeurd constant. In elk geval moet je er bij de beveiliging vanuit gaan dat de aanval permanent is en dat de instellingen zo zijn dat dit geen kwaad kan.

[OutintheBlue]

Ik begrijp wat je zegt, @Briolet, maar dit is een gerichte aanval door één iemand/organisatie.
Dit kan toch niet tot in de euewigheid doorgaan, zeg maar. Wij zetten de boel wel op slot (hopelijk), maar heeft bv. een internetprovider of Synology hier ook nog een rol in om deze specifieke aanval stop te zetten?
Het gaat immers maar door... Dit heb ik zo nog niet eerder meegemaakt, de afgelopen vijf jaar met mijn NAS...

[Babylonia]

Die aanvallen komen meestal vanuit "Verweggistan".
Een "abuse" melding naar netwerkbedrijven gelegen in "Verweggistan" van waaruit die lieden opereren haalt meestal niet zoveel uit. Temeer daar ze van gefingeerde IP-addressen gebruik schijnen te maken. De werkelijke afkomst mogelijk veel moeilijker is te achterhalen.

Wil je echt dat de lieden die dat doen ermee ophouden en juridisch worden aangepakt,
zul je via juridische weg in dat "Verweggistan" je heil moeten zoeken.
Mag je hopen dat je niet alsnog in een doolhof terecht komt van overheden en juridische afdelingen van bedenkelijke reputatie.

Onbegonnen werk, en kost enorm veel tijd en geld.

Gewoon je NAS een week of twee weken, van het internet afhalen, is mogelijk effectiever?
Omdat de animo om ermee door te gaan getemperd wordt, als men merkt dat er geen verbinding is met een apparaat.

Zelf heb ik jaren terug in een "SPAM loop" gezeten van berichten in mijn mailbox., toen ik op vakantie was.
Ik had een automatische "responder" ingesteld dat ik op vakantie was. Omdat die door de server van de versturende partij
niet werden aangenomen, werd vanaf daar ook weer een automatisch bericht terug gestuurd.

Had toen in enkele dagen 27.000 mails. Door gewoon de mailbox twee weken dicht te gooien, was het hersteld.
(De tegenpartij zat in ieder geval ook met 27.000 tegenberichten op hun server,
en zullen het proces mogelijk om die reden uiteindelijk ook hebben stop gezet ??).

[DSGebruiker]

In een ideaal Internet zou de provider verantwoordelijkheid moeten opnemen en ervoor zorgen vb dat elke eindpunt op het netwerk enkel verkeer kan verzenden met z'n officieel toegekende IP-adres om alvast "spoofing" een stuk lastiger te maken.
Echter met miljarden verbonden devices blijkt dit helemaal geen sucess.
De techniek is er hoor. Dat zijn bepaalde features die je op de ISP-netwerk apparatuur dient op te zetten.

Verder moet je er niet teveel van wakker liggen. Als je dan toch devices/services bloot gaat stellen rechtstreeks op Internet kan je dit verwachten. Het kan al helpen om niet standaard poorten te gebruiken (indien mogelijk)

Als ik de logs op m'n firewall zie dan heb ik duizenden "hits" per dag van vreemde IP's die allerlei poorten proberen om te zien of er toch maar niets aan het luisteren is ; 80,443,8080,22,23,53,3389,8888 etc, de lijst gaat eindeloos door.

Ofwel moet je die mail/alarmen afzetten en verder niet van wakker liggen, ofwel moet je in je firewall vb reeds een filter zetten. Ik filter bijvoorbeeld alle NIET "BE" (Belgie) IP's voor sommige van m'n services weg. Daarmee heb ik gelijk 99.9% van rommel eruit. Je moet een beetje afwegen hoe of wat. De "prefixes" van alle landen zijn op bepaalde sites gewoon "up-to-date" te vinden.

Niet alle firewalls kunnen dit natuurlijk. Ik beschouw mezelf dan ook niet echt als "standaard gebruiker"

Uiteraard altijd de standaard "admin" gebruiker disabled zetten. Net zoals je op Windows machines ook standaard de "Administrator" nooit gebruikt (en zelfs disabled zet) maar aan een andere gebruikernaam admin-rechten gaat koppelen. Dit soort ingrepen maakt het een stuk veiliger allemaal.
En complexe passwords natuurlijk (en 2FA waar mogelijk met je smartphone)

[Babylonia]

Als ik de logs op m'n firewall zie dan heb ik duizenden "hits" per dag van vreemde IP's die allerlei poorten proberen om te zien of er toch maar niets aan het luisteren is ; 80,443,8080,22,23,53,3389,8888 etc, de lijst gaat eindeloos door.

Dan heb je relatief je netwerk erg "open" en herkenbaar voor de buitenwereld opgezet.
Via de logs hier (in de router van de ISP), kom ik slechts aan een handjevol vreemde IP's die bepaalde poorten aandoen, waarvan de meeste poorten waar ze op sniffen ik niet eens in gebruik heb.

[stapper]

Nas en pc allemaal niks aan de hand gelukkig...
Dat grapje is nu een paar dagen geleden op die pc, alles gescanned met meerdere scanners, vonden niks.
Meer kun je niet doen denk ik?
Admin een heel lang wachtwoord in gezet, met allemaal tekens Hoofdletters ect... en uitgezet.
Gebruiker met admin rechten, dat werkt allemaal.

Ze kloppen daar nog wel steeds om de haverklap aan, maar ik neem aan dat dit nu verder geen kwaad kan?
ik krijg nog steeds die melding in het berichtencentrum rechts dat die admin beveiligd is, omdat ze steeds aan de achterdeur aankloppen daar... is dat ook uit te zetten?

Ik heb die firewall van die nas maar vast aangezet, dan ga ik dat vanmiddag eens rustig lezen met die regels.
Nog een vraagje... HTTPS, staat bij mij ook niet aan, das ook niet slim natuurlijk.
Is er ook ergens een goede uitleg, hoe ik dat activeer?

BVD

[Babylonia]

Is er ook ergens een goede uitleg, hoe ik dat activeer?

Je vraagt wel erg naar de bekende weg:

Gebruiksaanwijzing (PDF) - Help files van de NAS - online Tutorials van Synology - Video filmpjes.

https://www.synology.com/nl-nl/support
https://www.youtube.com/results?search_query=Synology+NAS+http+vs+https
Google search (en klik voor de aardigheid ook eens "afbeeldingen" aan).

[Birdy]

HTTPS heeft niets te maken met aanvallen, het geeft je alleen de zekerheid dat het adres waar je naar toe gaat, het juiste adres is middels een certificaat.
Lees hier voor meer info, daarin staat ook een tutorial link hoe je HTTPS moet opzetten.

Overigens, had je reactie #7 ook gelezen, dan was je uiteindelijk ook op die link uitgekomen.

[Babylonia]

Alleen als @stapper daarbij ook alleen gebruik maakt om via http van buitenaf zelf in te loggen, is dit "vragen" om moeilijkheden.

[DSGebruiker]

Mijn "profiel" bij de ISP is dan ook zo opgezet dat alle poorten op staan. Je kan vb ook kiezen voor een eenvoudig profiel zodat alles qua poorten < 1024 reeds op de firewall van de ISP (niet op het kastje thuis dus maar echt in het ISP netwerk) tegen gehouden zal worden. Dat scheelt een hoop, maar je kan vb dan ook geen interne servers op poort 80 of 443 draaien etc alsook geen SSH op 22 etc,etc.

Deze keuze was bewust. Ik heb dan ook een redelijk stevige firewall staan met veel mogelijkheden.

[Babylonia]

Mijn "profiel" bij de ISP is dan ook zo opgezet dat alle poorten op staan.

Geen wonder bij alles open (65.535 poorten), dat je dan zoveel aandacht krijgt door lieden, waar je dat liever niet van wilt hebben?

Ik laat juist alle poorten "dicht" met uitzondering van het handjevol poorten die ik zelf achterliggend gebruik.
En dan tevens zodanig ingesteld dat die poorten alleen voor de regio Nederland open staan.
Probeer zelf zo min mogelijk op te vallen en "anoniem" te zijn (voor zover mogelijk), door bijv. ook ICMP uit te schakelen, zodat lieden die in eerste instantie een IP-adres pingen geen respons terug krijgen. Daarmee is de animo om dan nog daadwerkelijk verder te sniffen al tot een minimum beperkt. (Dat blijkt dus een erg goede methode te zijn gebleken afgelopen jaren).

Deze keuze was bewust. Ik heb dan ook een redelijk stevige firewall staan met veel mogelijkheden.

Erg logische keus vind ik het niet.
Eerst alles doorlaten zodat je maar vooral veel aandacht krijgt door ongenode gasten.
Om dan vervolgens al die lieden met zwaar geschut alsnog te gaan tegenhouden.

Doet me denken aan die "per ongeluk" openbare uitnodiging via Facebook voor een "verjaardagsfeestje" enkele jaren terug.
https://www.rtlnieuws.nl/nieuws/artikel/2866091/beeld-facebookfeestje-loopt-compleet-uit-de-hand

[Briolet]

…haalt meestal niet zoveel uit. Temeer daar ze van gefingeerde IP-addressen gebruik schijnen te maken. De werkelijke afkomst mogelijk veel moeilijker is te achterhalen.

Als ik de mail van Synology interpreteer, gaat het niet om gespoofde adressen, maar echte adressen die onderdeel uitmaken van een botnet. Sommige ISP's blokkeren de internettoegang van dergelijke gebruikers wel resoluut en andere ISP's vinden dat niet klantvriendelijk (De veroorzakers van de ellende zijn hun klanten en niet de slachtoffers).

Daarom vind ik het goed dat er blocklists zijn die niet alleen individuele IP adressen op zo'n lijst zetten, maar ook lijsten die het hele IP block van een provider erop zetten als ze niets tegen dit soort misbruik doen. Op die manier wordt een ISP toch gedwongen actie te ondernemen en hun klanten te manen hun PC's vrij van virussen te houden.

Zelf gebruik ik de regio blokkade al sinds die in DSM zit. Alleen poort 25 moet wereldwijd open staan. (ik dacht dat ik maar twee landen expliciet blokkeer) omdat je nooit weet via welke omweg een regulier mailtje verstuurd wordt. Via poort 25 zie ik dagelijks grote hoeveelheden inbraakpogingen in de hoop een server te vinden om spam mee te kunnen versturen.