Hoe is jou NAS beveiligd?

[Michael D]

Hey allen,

Ik kreeg net een mailtje:
'IP [189.80.219.230] heeft 3 mislukte aanmeldingspogingen uitgevoerd binnen 30 minuten en werd geblokkeerd om Tue Oct 18 22:54:43 2011.'.

Hierna ben ik hier even gaan zoeken en deze topic gelezen en schijnbaar hebben veel mensen hier last van.

Ik zit sowieso al niet op de standaard 5000 poort, maar toch merk ik dat mijn NAS nooit gaat slapen (naar 30 minuten inactief) en er af en toe activiteit is. Ook poort 80 is niet geforwarded naar de NAS en kan dus geen reden zijn voor de activiteit.
Ondanks dat dus toch activiteit en nu een 'hack poging'.

Ik lees dat sommigen deze 'hack pogingen' dagelijks hebben, maar zijn er mogelijkheden om dit te voorkomen?
De standaard poort is dus al onbereikbaar en denk dat ik de FTP poort ook nog wel ga wijzigen.

Wat doen jullie verder om te zorgen dat er niet kan worden ingelogd?
Hebben jullie de admin een onmogelijk wachtwoord gegeven en een nieuw account aangemaakt met alle admin rechten?
Of heb je misschien de admin alle rechten afgenomen?
Backup je ook naar een externe schijf? En laat je deze schijf altijd aan de NAS verbonden zodat als er iemand toegang krijgt, alsnog je backup kan wissen? Of zet je de externe schijf af en toe even aan om alleen te backuppen en verder laat je 'm uit?

Ik ben benieuwd hoe jullie dit doen! Ik ben zelf nog vrij nieuw hiermee en heb de NAS nog maar een paar maanden.

[JeroenVanOmme]

Beveiliging:
- Admin heeft een lastig wachtwoord
- Na drie pogingen wordt een inlogger geblokkeerd.
- Alle applicaties (sabnzb, etc) hebben een ander wachtwoord
- Niet meer poorten forwarden dan strikt noodzakelijk

Meer kan je m.i. niet doen. Er zullen altijd scripts bestaan die willekeurig aan poorten gaan rammelen om te zien of er toevallig eentje open gaat. Als je daar bang voor bent kan je maar beter je NAS niet naar buiten toe openzetten.

Jeroen

[wopper]

Hi

Ja ik heb hier ook mijn gedachten over laten gaan. Ik werk als netwerk consultant en wat we daar doen is een accesslist maken (kan onder firewall in DSM) waarbij de standaard rule AFWIJZEN is en dat je specifieke zaken TOESTAAT. Maar het nadeel is, is dat je dan moet weten dat het IP van jouw werkgever/ouders/andere locatie altijd hetzelfde is. Immers je moet deze specifiek toelaten ander kan er niemand bij.

Dus dat was geen oplossing voor mij, wat ik gedaan heb in de firewall is mijn LAN IPv4 en IPv6 subnet toegang gegeven naar alles (dus ook SMB/SAMBA) en daarnaast nog een rule voor de buitenwereld welke alleen port 21,22,80 en 5000 en 7000 doorlaten. Het verhaal dat je een andere poort als de default moet gebruiken is ten dele waar, als men je scant zien ze per direct dat jouw port bijvoorbeeld je geboortejaar 1983 gewoon open staat. 1x een http get en ze zien dat er Apache draait en het hacken kan starten. Dus ik zie daar niet zoveel heil in, lijkt mij meer schijnveiligheid immers de poortscan (welke ook jij ) online gratis kan laten doen verraad alles.

Overigens moet je met het opkomende IPv6 goed opletten, bij IPv6 is er namelijk geen NAT meer (porten openzetten in je router) daar is alles gerouteerd. Dus als je, nu nog, voor de fun IPv6 aanvraagt via een tunnelbroker(.net) dan is je NAS op alle porten benaderbaar. Daarom heb ik ook op IPv6 en filter gemaakt waarin alleen 21,22 en 80 openstaan. Overigens heb ik dit ook dicht gezet op de router onder het kopje firwall (dus geen NAT) sommige routers hebben geen IPv6 firewall let hierop bij aanschaf van een nieuwe router want IPv6 wordt vanaf 2012/13 uitgerold bij Nederlandse providers.

En inderdaad scripts rammelen lekker door vanaf de hele wereld scannend op port 21 en 22 meestal om een reeks wachtwoorden af te vuren meestal onder de account "root" dus zorg dat achter je admin account een hele sterk wachtwoord zit.

[JeroenVanOmme]

Backup je ook naar een externe schijf? En laat je deze schijf altijd aan de NAS verbonden zodat als er iemand toegang krijgt, alsnog je backup kan wissen? Of zet je de externe schijf af en toe even aan om alleen te backuppen en verder laat je 'm uit?

Dat laatste, inderdaad.
Een USB HDD naast de Synology (jaja ik weet het, bij brand ben ik alles kwijt, ook mijn back-up) die ik handmatig aanslinger als ik een back-up wil maken.
Daarnaast heb ik nog een losse HDD-unit waarop ik mijn foto's back-up (het meest waardevolle dat ik op mijn Synology heb), en die staat in een andere ruimte en gaat naar een ander adres als ik bijvoorbeeld met vakantie ben.
Alle risico's afgedekt? Nee, zeker niet, alles staat nog op een plek en als daar wat fout gaat...... Ben dan ook aan het denken aan een cloud back-up, maar daar moet ik nog wat research in steken.

Jeroen

[Michael D]

Hmm lastig allemaal. Als 't zo wordt uitgelegd is het veranderen van 5000 inderdaad maar schijn-veiligheid. Al vind ik dit wel fijner dat 't niet direct te raden is. Voorbeeld: Er zijn nog al wat mensen die standaard een linkje onderaan hun post hebben staan van hun website, plaats hier :5000 achter en 90% kom je op de admin pagina. Nou hoop ik dat ze allemaal een sterk wachtwoord hebben, maar dat is wel weer erg makkelijk.

Ik ga in ieder geval het admin wachtwoord nog aanpassen en nog sterker maken (Geen idee of 't nu voldoende is, maar kan altijd beter).
Ik ga dan denk ik een account aanmaken met een andere naam. En geef ik deze dan weer alle rechten? Of schiet ik dan eigenlijk nog niks op. Eigenlijk moet je wel kunnen lezen en schrijven maar niet kunnen verwijderen of zo.
Ook zal 't sowieso beter zijn als je de naam 'admin' kon veranderen en dat je admin in een groep kon plaatsen die alleen vanaf een intern IP bereikbaar is en een andere groep voor extern. Want extern hoef ik sowieso niet te schrijven/verwijderen en niet in alle mappen te lezen, maar dat is zover ik kon vinden niet mogelijk?

Edit:
Wat betreft 't backuppen. Dat doe je dus handmatig? USB schijf aanzetten. In DS de mappen overschrijven en de USB schijf weer uitzetten en loskoppelen?
Ik zit inderdaad ook nog wel te denken om een aantal heel belangrijke dingen weg te schrijven naar externe servers (cloud o.i.d.).

[henkg]

Ook zal 't sowieso beter zijn als je de naam 'admin' kon veranderen

Wat wel kan (alleen vanaf DSM 3.1): een nieuwe gebruiker maken, uiteraard met een sterke wachtwoord én een sterke naam, en die aan de groep system default admin group toevoegen. Daarna kun je admin volledig uitschakelen (disable this account), uiteraard ingelogd als de nieuwe admin gebruiker.
Als je Photostation gebruikt: Voordat je in DSM admin uitschakelt, eerst even een admin user in Photostation aanmaken: 'instellen als beheerder' (kan ook later, maar dan moet je tijdelijk even admin inschakelen en weer uitschakelen).

[Michael D]

Bedankt voor de reacties.

Ik heb nu de admin account uitgeschakeld zoals henkg zei.
Ik heb een andere gebruikersnaam genomen met alle rechten en een ingewikkeld wachtwoord van allerlei letters,cijfers,tekens.
Daarnaast 3 aparte accounts aangemaakt voor FTP, Backup en Audio en Download.
Zo hoef ik niet meer mijn hoofd account op mn mobiel in te vullen om muziek te luisteren en m'n downloads te bekijken en hoef ik mijn hoofd wachtwoord niet op de computer, in synology data replicator, op te slaan om te backuppen.
Hopelijk maken deze maatregelen het gebeuren alweer veiliger.

Graag zou ik eigenlijk Audio station op een andere poort willen hebben zodat ik de poort naar DSM voor de buitenwereld dicht kan gooien, maar zover ik kan vinden kan dat niet?

Naar het backuppen op een externe schijf ben ik nog niet helemaal uit.
Het handige van een backup is dat je 't standaard op een bepaalde tijd kan laten doen, maar om mijn backup aan mijn nas te laten hangen vind ik geen fijn idee dus wil ik 'm uitschakelen, zoals JeroenVanOmme zei, waardoor automatische backups niet meer mogelijk zijn.
Hoe doen jullie dit?

[LukeVredeveld]

Sorry hoor, maar ik vind dit altijd een beetje onzinnige discussies die onnodig 'angst' veroorzaken. Het is volstrekt normaal dat er constant aan de poorten gerammeld worden. 'Nou en?' denk ik dan. Ik heb een wachtwoord van 6 tekens op het standaard admin account. Verder staat de standaard beveiliging op 5 pogingen in 5 minuten. Ik weet niet of jullie statistiek hebben gehad, maar als we de leestekens even niet meetellen en hoofdletters en cijfers wel, zijn er dus 62x62x62x62x62x62 = 56.800.235.584 mogelijke wachtwoorden. Degene die dan mijn wachtwoord in 5 pogingen raad, mag m'n huis én m'n auto hebben :-)  (syno houd ik zelf)

Dus gewoon lekker met internet verbinden dat ding, daar krijg je een hoop gebruiksgemak voor terug, beetje fatsoenlijk wachtwoord gebruiken, autoblock erbij en er is niks aan de hand. Geen paniek ;-)

[WebSpider]

Backup je ook naar een externe schijf? En laat je deze schijf altijd aan de NAS verbonden zodat als er iemand toegang krijgt, alsnog je backup kan wissen? Of zet je de externe schijf af en toe even aan om alleen te backuppen en verder laat je 'm uit?

Ik backup al mijn gevoelige data online, verdeeld over vrienden en betaalde diensten. Dit doe ik met CrashPlan, wat je (als je optware op je NAS hebt) direct op je NAS kunt draaien!

[LukeVredeveld]

Dit doe ik met CrashPlan, wat je (als je optware op je NAS hebt) direct op je NAS kunt draaien!

Alleen op Atom-bases syno's... En dan is het nog behoorlijk rocketscience om het draaiende te krijgen   Is m.i. niet weggelegd voor de beginnende gebruiker of mensen met beperkte kennis van Linux (zoals ik zelf   )

[pqp]

Zijn er hacks bekend via een achterdeur oid van een synology?

Sorry hoor, maar ik vind dit altijd een beetje onzinnige discussies die onnodig 'angst' veroorzaken. Het is volstrekt normaal dat er constant aan de poorten gerammeld worden. 'Nou en?' denk ik dan. Ik heb een wachtwoord van 6 tekens op het standaard admin account. Verder staat de standaard beveiliging op 5 pogingen in 5 minuten. Ik weet niet of jullie statistiek hebben gehad, maar als we de leestekens even niet meetellen en hoofdletters en cijfers wel, zijn er dus 62x62x62x62x62x62 = 56.800.235.584 mogelijke wachtwoorden. Degene die dan mijn wachtwoord in 5 pogingen raad, mag m'n huis én m'n auto hebben :-)  (syno houd ik zelf)

Dus gewoon lekker met internet verbinden dat ding, daar krijg je een hoop gebruiksgemak voor terug, beetje fatsoenlijk wachtwoord gebruiken, autoblock erbij en er is niks aan de hand. Geen paniek ;-)

[peter.de.groote]

De beste beveiliging en goedkoopste !
Internet abb opzeggen  

nee je moet afwegen waarvoor je de synology gaat gebruiken
Ik heb bv een DS1511+ met 5x3Tb aan disks goed voor 10,9Tb met een bezetting van 70%
ik ga echter geen web of photostation gaat openzetten naar buiten voor vrienden familie of vreemden
een USB station2 kost 100euro
diskje er aan en direct op internet of via een VLAN gescheiden van je eigen netwerk
willen ze daar de moeite op doen en binnen geraken... tja damage control.

Bijkomend voor iedereen
als je überhaupt een mail krijgt van je synology dat iemand bezig is geweest.
kijken van waar het komt visual traceroute  (google) landen zoals Nederland , Belgie Frankrijk Duitsland USA etc.. kan je best even naar de voor Belgie Federal Computer Crime Unit sturen (kan online)
voor nederlanders vermoedelijk naar de lokale politie of misschien ook online.
Pogingen van uit afrika , China tokyo rusland etc... de moeite niet doen want de politie diensten weten toch dat daar bijna geen prio word aan gegeven dus verloren moeite van jou en de plaatselijke politie.

[LukeVredeveld]

voor nederlanders vermoedelijk naar de lokale politie

En jij denkt dat ze daar werk van maken??  
Lokale politie komt niet eens als m'n fiets gejat is, laat staan voor een poging tot digitale 'inbraak'.

[peter.de.groote]

Hallo Luk
Ik weet niet hoe het in NL gaat maar in belgie doet men zoveel mogelijk aangifte van kleine misdrijven waar geen slachtoffer is bv Fietsdiefstal, graffiti etc.; via een online portal policeonweb https://www.epol.be
computer misdrijven en oplichting via het internet gaan in Belgie via https://www.ecops.be

heb redelijke ervaringen met de FCCU mensen doen ook maar hun job en het word hen niet altijd makkelijk gemaakt door "daders"
Bovendien het grote "boze" internet is de dag van vandaag zo groot en heeft zoveel gebruikers dat het niet evident is om alles in goede banen te houden.
Bovendien is ieder item voor iedereen verschillend van mening.
de niveau's liggen bij iedereen verschillend naar ernst van misdrijf waar iemand een "wereldramp" van maakt van bij een fietsdiefstal is voor een ander "een probleem maar geen ramp".
net zo met het moraal.

Als je bovendien in Belgie aangifte doet met Burgerlijke partijstelling is de Onderzoeksrechter wel verplicht van een onderzoek in te stellen en kan het niet zomaar in de prullenbak gaan.
Maar ook dit systeem word door mensen "misbruikt"

Wat je ook kan doen is naar de provider mailen met logs van de poging
ernstige providers hebben het in hun algemene voorwaarden en hebben liever geen hackers onder hun klanten.
mailen kan meestal naar abuse@provider.xxx of hun support dienst

Nogmaals goed voor sommige landen maar anderen zoals ik eerder reeds zei

[LukeVredeveld]

zo zie je maar dat er een wereld van verschil tussen twee landen kan bestaan. Hier gaat iedereen je erg raar aankijken als je aangifte gaat doen. Ik vraag me eerlijk gezegd ook af of ze in België niks beters te doen hebben als ze hier de tijd aan kunnen besteden.