Synology warnt vor koordinierter Brute-Force-Attacke
Synology warnt derzeit seine Nutzer vor einer koordinierten Brute-Force-Attacke gegen Synology-Geräte. Eine Sicherheitslücke sei nicht vorhanden, vielmehr ist es so, dass man festgestellt habe, dass es Bots gäbe, die unzählige Passwörter auf dem System ausprobieren. Leider ist das Ganze nicht sehr ausführlich, doch ich denke, dass Synology logischerweise nur die Geräte meint, die von außen über das Internet zu erreichen sind. Das Unternehmen warnt noch einmal davor, den standardmäßigen, bzw. automatisch angelegten Admin-Account zu nutzen. Ebenso ist es ratsam, die Zwei-Faktor-Authentisierung zu nutzen, um den Account abzusichern. Synology abschließend:
Wie könnt Ihr erkennen, dass Handlungsbedarf besteht: 1. Ihr könnt im Widget (rechts unten im DSM) sehen, wie viele Clients aktuell auf Euer NAS zugreifen. 2. Unter Systemsteuerung -> Sicherheit , seht Ihr die geblockten IP Adressen. Dadurch könnt Ihr erkennen, ob Versuche unternommen wurden in Eurer System zu gelangen. 3. In den Protokollen von DSM seht Ihr die Historie alle Verbindungsversuche.
Wieso funktioniert überhaupt eine Brute-Force-Attacke bei Synology? Sollte man nicht immer ein Delay bei der Eingabe eines Passwortes einbauen, so dass der träge Mensch davon zwar gar nichts mitbekommt, der superschnelle PC aber keine 1000 Passwörter in der Sekunde ausprobieren kann sondern z.B. nur zwei?
Das würde doch eine Brute-Force-Attacke unattraktiv machen, da es viel zu lange dauern würde eine ausreichende Anzahl von Passwörter zu probieren. Oder denke ich einfach wieder zu optimistisch und die Realität funktioniert erneut nicht so, wie ich es gerne hätte? 😀
Natürlich bringt das einiges, tatsächlich versuchen solche Brutefoce-Angriffe aber oft nur wenige Passwörter, eben um die Geräte zu finden, auf denen der Standard-Admin noch aktiv ist. Dagegen hilft dann auch ein Delay nicht.
Und alle so, die keiner kommerziellen Cloud vertrauen und ihr Zeuch auf der Syno hosten: „Uuuuuh!!!“
So was kann bei Dropbox und Co natürlich nicht passieren………. die Unsinnigkeit Deines Kommentars merkste selbst
Klar kann das passieren. Ist mir als Endkunde aber völlig egal. Der Anbieter regelt das schon.
Ich finde es ist eine schwache Position für Spott und Häme gegenüber Menschen zu äußern, die lieber selbst schauen was sie da einstellen, wenn man einfach einem Konzern vertraut dessen Probleme, Infrastruktur, Sicherheitskonzept und Mitarbeiter man nicht kennt. Dass bei beiden was passieren kann, wenn jemand einen Fehler macht, ist schon klar. Aber dein schadenfreudiger Zynismus im ersten Post halte ich schon für ziemlich peinlich bis dumm.
„Klar kann das passieren. Ist mir als Endkunde aber völlig egal. Der Anbieter regelt das schon.“
Das meinst du nicht im Ernst, oder? Das ist so wie wenn du sagst: „Ein Einbruch oder Diebstahl ist mir egal, regelt meine Versicherung“. Manchmal wäre Nachdenken vor dem Posten hilfreich…
Dann kannst Du Dir auch ne externe Festplatte hinstellen………
Oder das NAS lokal verwenden. Klar, Wenn es von außen nicht (oder nur via VPN, also quasi von innen) erreichbar ist, gehen viele tolle Dinge nicht, sonst geht aber eine ganze Menge.
Schwachsinn. Nicht jeder muss sein NAS nach draußen providen. Wozu auch?
Meins ist Backup und Medienserver bzw Bildaufbewahrung. Wozu braucht der eine Verbindung nach außen?
Unsinn. Zum einem gibt es VPN, zum anderen gibt es sowas wie „mehrere Rechner“. Bei mir laufen zwei Raspis durch und ein iMac wenn ich dran arbeite, und die haben alle die NAS gemountet.
Es gibt durchaus simple Maßnahmen, sein Synology NAS nach außen abzusichern. Den voreingestellten Admin Account kann man deaktivieren und durch einen beliebigen ersetzen. Dann kann man die Ports umbiegen, um nicht auf den Standards erreichbar zu sein. Das hilft nicht gegen einen Portscan, wohl aber gegen die einfachsten Angriffe.
Dazu sollte natürlich die 2-Faktor Authentifizierung kommen. Die mag lästig sein, schützt aber zuverlässig. Und am Ende die Grundregel, dass nur die Dienste offen sein sollten, die man auch wirklich braucht.
Egal wo Egal wie es geht nix über sichre Passwörter
Doch, 2FA.
IP-Sperre oder Wartezeit von 5 Sekunden pro nächstem Loginversuch, nach z.B. 20 fehlgeschlagenen Versuchen, geht nicht auf der Synology?
Klar, das geht.
X fehlgeschlagene Logins innerhalb von y Minuten für zu einer IP-Sperre von z Tagen.
x, y und z lassen sich frei in de Systemsteuerung wählen.
Nach 3 fehlerhaften Login Versuchen in 5 Minuten wird die IP bei mir geblockt, zudem habe ich alle Länder geblockt außer Deutschland und den USA und jeweils das Land, in dem ich Urlaub mache.
Seitdem nie Probleme gehabt.
Eine sehr gute Idee, schon eingestellt. Danke dafür.
(Wäre ich nur gerne selbst drauf gekommen 🙂 )
Wie kann man denn IP-Adressebereiche oder Länder blocken?
Firewallregeln (Einstellungen -> Sicherheit -> Firewall)
Bei mir sind es 5 fehlgeschlagene Logins innerhalb von 10 Minuten. Und jede IP-Adresse wird für immer geblockt. Außerdem werde ich bei sowas immer direkt informiert, per Mail und Telegram. Ich setze mich dann zeitnah dran und sperre das komplette Subnetz des jeweiligen Providers. Damit ist es auf meinem NAS ziemlich ruhig. Alles Einstellungssache.
Diese Penner bei Unitymedia.
Der verdammte Router erlaubt einfach keine Änderung des Adminnamens. Um hier eine neuen Namen zu vergeben muss man das Ding resetten.
Ja, prinzipiell Zustimmung. Aber was hat das mit dem Thema zu tun? Bist du im Beitrag verrutscht?
Willst Du mir damit sagen das dieses Problem nur das NAS betrifft? Nein….der Router kann auch Cloud.
Aber das Dev-Team bei Synology-Netzwerken taugt nicht die Bohne
Du musst es doch nicht in der Fritzbox blocken. Verzichte doch einfach auf das Synology Cloud Gedöns und betreibe dein NAS lokal.
Solange du keinen Quatsch wie Exposed Host machst, sehe ich da keine Probleme.
Die NAS-Systeme von QNAP sind ebenfalls im Visier:
https://www.computerbase.de/2019-07/qnap-nas-ransomware-ech0raix/
Sämtliche Server der Welt sind abzuschalten 😉
Verstehe die Paranoia nicht. Ist wohl dem Umstand geschuldet, dass in der Regel ein NAS zuhause steht und nicht im RZ.
Ich habe in synology Center fast alle Ostblock Länder geblockt und IP Blockade sobald 3x falscher login. Seitdem hab ich Ruhe.
mmmh, ich kann den „admin“ weder deaktivieren noch umbenennen. was muss man denn machen damit das geht?
Hast du denn einen zweiten Benutzer mit Adminrechten angelegt? Soweit ich weiß kann man den Admin nur deaktivieren, wenn man einen zweiten Account mit den Rechten hat, sonst würde man sich ja selber von seinem Gerät aussperren.
Du musst als eingeloggter „Admin“ einen neuen Benutzer mit Adminrechten einrichten.
Dann mit dem neuen Benutzer einloggen und den alten „Admin“ Benutzer deaktivieren.