Grundlagen

Brute-Force Angriffe auf Synology NAS verhindert

In den letzten Tagen, im Oktober 2022, waren Synology NAS-Benutzer das Ziel fortlaufender Brute-Force-Angriffsversuche, bei denen IPs aus der ganzen Welt versuchten, sich mit den Synology-Geräten der Benutzer zu verbinden. Diese IPs sind Teil eines Botnets, eines Netzwerks von Bots, das über gehackte Geräte wie Computer mit Sicherheitslücken speziell auf die NAS-Geräte abzielt. Ein Brute-Force-Angriff besteht darin, dass ein Angreifer viele Passwörter oder Passphrasen eingibt, in der Hoffnung, sie schließlich richtig zu erraten. Der Angreifer prüft systematisch alle möglichen Passwörter und Passphrasen, bis er das richtige gefunden hat. Glücklicherweise werden solche IPs täglich von uns blockiert. Allein in den letzten paar Tagen wurden über 20.000 neue IPs, die zum aktuellen Botnetz gehören, in meiner Deny-IP-Liste blockiert.

Botnetze sind nichts Neues. Es gibt sie schon lange, und von Zeit zu Zeit tauchen sie wieder auf. Das war im Sommer 2021 der Fall und leider auch wieder im Oktober 2022. Wir haben diese NAS-Predating-Bots seit 2019 genau beobachtet und wir waren nicht der Einzige. So viele Menschen aus der ganzen Welt haben zu dieser Deny-IP-Liste beigetragen. Wir möchte Daron Brewood, Umut Çelebi, mariushosting, Zoltan Zsedenyi, James Krause, John P. Burns, Yhulmer Izquierdo, Maurice Tai, Jose Ignacio Usoz, Henk Puik, Christof, Mark Preston, Georg Chiari, Frans van erwähnen, die zu dieser Liste beigetragen haben.

Was ist ein Botnet?

Ein Botnet ist ein Netzwerk privater Computer, die mit bösartiger Software infiziert sind und als Gruppe ohne das Wissen der Besitzer kontrolliert werden.

Müssen Sie sich Sorgen machen?

Nicht, wenn Sie die nachstehenden Tipps, sorgfältig befolgen.

Folgende Meldung sollte immer kommen:
Sehr geehrter Benutzer, die IP-Adresse [xxx.xxx.xxx.xxx] versuchte sich innerhalb von 1 Minuten 1 Mal erfolglos bei DSM auf XYZ-NAS anzumelden und wurde um XXX-Datum blockiert. Von XYZ-NAS

SCHRITT 1 – Bitte unterstützen Sie unsere Arbeit durch den kauf unserer Deny-IP-Liste:

SCHRITT 2 – Deaktivieren Sie Ihr Standard-Administratorkonto

Dies ist eine sehr gute Praxis im Hinblick auf die Sicherheit und wird von Synology selbst empfohlen. Erstellen Sie ein anderes Benutzerkonto mit vollen Administratorrechten (Admin-Rechten), dass Sie stattdessen für den Zugriff auf Ihr System verwenden und deaktivieren Sie Ihr aktuelles Administratorkonto. Dies ist eine recht einfache, aber effektive Maßnahme, die Sie für die Sicherheit Ihres NAS ergreifen können und die für alle Ebenen der technischen Kompetenz zugänglich ist.

Gängige Administrator-Benutzernamen können Ihrer Synology NAS anfällig für böswillige Parteien machen, die Brute-Force-Angriffe durchführen, die gängige Kombinationen von Benutzernamen und Passwort verwenden. Vermeiden Sie bei der Einrichtung Ihres NAS gängige Namen wie “admin”, “administrator”, “root “. Wir empfehlen Ihnen, gleich nach der Einrichtung Ihres Synology NAS ein starkes und eindeutiges Passwort festzulegen und das Standard-Administratorkonto des Systems zu deaktivieren*.

Wenn Sie sich derzeit mit dem Benutzerkonto “admin” anmelden, gehen Sie zu Systemsteuerung > Benutzer und erstellen Sie ein neues Administratorkonto. Melden Sie sich dann mit dem neuen Konto an und deaktivieren Sie das standardmäßige “admin”-Konto des Systems.

  • “root” ist als Benutzername nicht erlaubt.

** Wenn Sie einen anderen Benutzernamen als “admin” verwenden, ist das Standardkonto bereits deaktiviert.

SCHRITT 3 – Installation des neuesten DSM-Betriebssystems

Viele Benutzer haben noch nicht die neueste Version von DSM 7.xx Update 1 installiert. Version 42962 zum Beispiel behebt über 60 Sicherheitsprobleme in einem Update, genauer gesagt, 64 CVEs. Es ist also eine obligatorische Sicherheitspraxis, immer das neueste DSM-Betriebssystem zu installieren, sobald es verfügbar ist. Haben Sie noch die DSM 6.x, so prüfen Sie hier auch auf die neuste Software, damit alle Plugins und Software auf dem neusten Stand ist.

Synology veröffentlicht regelmäßig DSM-Updates, um die Funktionalität und Leistung zu verbessern und Sicherheitslücken im Produkt zu beheben.

Sobald eine Sicherheitslücke auftritt, führt Synology Incident Response Team (PSIRT) innerhalb von 8 Stunden eine Bewertung und Untersuchung durch und veröffentlicht innerhalb der nächsten 15 Stunden einen Patch, um mögliche Schäden durch Zero-Day-Angriffe zu verhindern.

Für die meisten Benutzer empfehlen wir dringend, automatische Updates einzurichten, damit die neuesten DSM-Updates automatisch installiert werden.*

Führen Sie einen Upgrade-Test durch, indem Sie die neueste DSM-Version auf Ihrem Virtual DSM installieren und die wichtigsten Funktionen, die für Ihre aktuelle Bereitstellung erforderlich sind, überprüfen, bevor Sie mit dem Update in Ihrer Hauptumgebung fortfahren.

Ein weiterer wichtiger Punkt ist, dass Sie immer auf dem Laufenden bleiben müssen, wenn etwas passiert. Richten Sie Benachrichtigungen auf Ihrem Synology NAS ein und lassen Sie sich per E-Mail, SMS, auf Ihrem Mobilgerät oder über Ihren Webbrowser benachrichtigen, wenn bestimmte Ereignisse oder Fehler auftreten. Wenn Sie den DDNS-Dienst von Synology nutzen, können Sie wählen, ob Sie benachrichtigt werden möchten, wenn die Verbindung zum externen Netzwerk unterbrochen wird. Die sofortige Reaktion auf Benachrichtigungen, wenn der Speicherplatz knapp wird oder wenn eine Sicherungs- und Wiederherstellungsaufgabe fehlschlägt, ist ein wichtiger Bestandteil der Gewährleistung der langfristigen Sicherheit Ihrer Daten.

Wir empfehlen Ihnen außerdem, Ihr Synology Konto so einzurichten, dass Sie den Synology Newsletter für NAS- und Sicherheitshinweise erhalten, um über die neuesten Sicherheits- und Funktionsupdates auf dem Laufenden zu bleiben.

  • Die automatische Aktualisierung unterstützt nur kleinere DSM-Updates. Größere Aktualisierungen erfordern eine manuelle Installation.

SCHRITT 4 – Erstellen Sie ein sicheres Passwort

Es mag die meisten überraschen, dass ein starkes Passwort in der Regel alles ist, was Sie brauchen, um Ihre Daten bei sich zu behalten, die niemand erreichen kann. Ihr Passwort ist die erste und wichtigste Verteidigungslinie, die zwischen Ihren privaten Daten und der Außenwelt steht. Deshalb mag es zumindest für einige überraschend sein, dass ein schwaches Passwort der Hauptgrund für die meisten Sicherheitsverletzungen ist. Der Sinn eines Kennworts besteht darin, die Daten in Ihrem NAS zu schützen, weshalb es sich empfiehlt, kein gängiges Wort, sondern ein Unwort zu verwenden. Das bedeutet, dass Sie Ihr Passwort aus Großbuchstaben, Zahlen und Symbolen zusammensetzen und darauf achten müssen, dass es lang genug ist – mindestens 12 Zeichen. Ein solches Kennwort ist praktisch unmöglich zu erraten, d. h. ein starkes Kennwort ist alles, was Sie brauchen, um Ihr NAS optimal zu sichern. Verwenden Sie auch gerne dafür einen Passwort-Generator.

Ein sicheres Kennwort schützt Ihr System vor unberechtigtem Zugriff. Erstellen Sie ein komplexes Kennwort, das gemischte Buchstaben, Ziffern und Sonderzeichen auf eine Weise enthält, die nur Sie sich merken können.

Die Verwendung eines gemeinsamen Passworts für viele Konten ist eine Einladung für Hacker. Wenn ein Konto kompromittiert wird, können Hacker leicht die Kontrolle über Ihre anderen Konten übernehmen. Dies geschieht regelmäßig bei Websites und anderen Dienstanbietern.

Wenn Sie Schwierigkeiten haben, sich komplexe und eindeutige Passwörter für verschiedene Konten zu merken, könnte ein Passwortmanager (wie 1Password, LastPass oder Bitwarden) die beste Lösung sein. Sie müssen sich nur ein einziges Passwort merken – ein Master-Passwort – und der Passwort-Manager hilft Ihnen beim Erstellen und Ausfüllen der Anmeldedaten für all Ihre anderen Konten.

Wenn Sie ein Synology NAS verwalten, das die Authentifizierung* handhabt, können Sie die Benutzer-Passwortrichtlinie anpassen, um die Anforderungen an die Passwortsicherheit für alle neuen Benutzerkonten zu erhöhen. Gehen Sie zu Systemsteuerung > Benutzer > Erweitert und aktivieren Sie das Kontrollkästchen Passwortstärke-Regeln anwenden unter dem Abschnitt Passwort-Einstellungen. Die Richtlinie wird auf jeden Benutzer angewendet, der ein neues Konto erstellt.

  • Ähnliche Optionen sind auch in den Paketen LDAP Server und Directory Server verfügbar.

SCHRITT 5 – Ändern der Standard-DSM-Anschlüsse

Einer der besten Tipps zur Verbesserung Ihrer allgemeinen Sicherheit besteht darin, die Standard-Ports 5000 und 5001 auf Ihrem NAS zu ändern. Das ist unabhängig von Ihren technischen Kenntnissen ganz einfach und kostet nichts.

Das Ändern der Standard-HTTP- (5000) und -HTTPS-Ports (5001) des DSM in benutzerdefinierte Ports kann zwar keine gezielten Angriffe verhindern, aber es kann allgemeine Bedrohungen abwehren, die nur vordefinierte Dienste angreifen. Um die Standard-Ports zu ändern, gehen Sie zu Systemsteuerung > Netzwerk > DSM-Einstellungen und passen Sie die Portnummern an. Es empfiehlt sich auch, den Standard-SSH-Port (22) zu ändern, wenn Sie regelmäßig Shell-Zugriff verwenden.

Sie können auch einen Reverse-Proxy einsetzen, um potenzielle Angriffsvektoren auf bestimmte Webdienste zu beschränken und so die Sicherheit zu erhöhen. Ein Reverse-Proxy fungiert als Vermittler für die Kommunikation zwischen einem (in der Regel) internen Server und entfernten Clients und verbirgt bestimmte Informationen über den Server, z. B. seine tatsächliche IP-Adresse.

SCHRITT 6 – Verwenden Sie die 2-Faktor-Authentifizierung (2FA)

Eine großartige Praxis, die Ihnen hilft, Ihr NAS sicherer zu machen, ist die Aktivierung der 2-Faktor-Authentifizierung für Ihr DSM-Konto. Wenn Sie sich nicht an den zusätzlichen Schritten stören, die Sie beim Zugriff auf Ihre Box durchführen müssen, könnte dies eine sehr nützliche Lösung für Sie sein. Gehen Sie zu Persönlich / Konto / klicken Sie auf 2-Faktor-Authentifizierung, um den Einrichtungsassistenten zu starten. Geben Sie Ihr Passwort ein, um den Prozess fortzusetzen. Sie können entweder ein mobiles Gerät für die Approve-Anmeldung oder einen OTP (One-Time Verification Code) oder einen Hardware-Sicherheitsschlüssel verwenden. Sie können die App Secure SignIn von Synology herunterladen, die sowohl für Android- als auch für iOS-Geräte verfügbar ist, wenn Sie die 2-Faktor-Authentifizierung einrichten. Ich persönlich verwende die Secure SignIn-App auf meinem Smartphone.

SCHRITT 7 – Besorgen Sie sich ein SSL-Zertifikat und verbinden Sie sich über HTTPS

HTTPS, d. h. Hypertext Transfer Protocol Secure, hat sich als Standard für den Zugriff auf das Internet durchgesetzt. Das Protokoll verschlüsselt Ihre Verbindung und stellt sicher, dass die ausgetauschten Daten nicht in irgendeiner Form von Datenschutzverletzungen betroffen sind. Als Synology NAS-Benutzer haben Sie die Möglichkeit, ein KOSTENLOSES SSL-Zertifikat für Ihr System zu erhalten, z. B. das von Let’s Encrypt. Mit einem SSL-Zertifikat können Sie eine Verbindung zu Ihrem NAS von einem beliebigen Ort außerhalb Ihres lokalen Netzwerks herstellen, sei es ein Café in Berlin, ein Strand in Spanien oder ein Restaurant in Deutschland und dies sicher über HTTPS.

Digitale Zertifikate spielen eine Schlüsselrolle bei der Ermöglichung von HTTPS, sind aber oft teuer und schwer zu pflegen, insbesondere für nicht geschäftliche Nutzer. DSM verfügt über integrierte Unterstützung für Let’s Encrypt, eine kostenlose und automatisierte Organisation zur Ausstellung von Zertifikaten, die es jedem ermöglicht, seine Verbindungen einfach zu sichern.

Wenn Sie bereits eine registrierte Domain haben oder DDNS verwenden, gehen Sie zu Systemsteuerung > Sicherheit > Zertifikat. Klicken Sie auf Neues Zertifikat hinzufügen > Holen Sie sich ein Zertifikat von Let’s Encrypt, für die meisten Benutzer sollten Sie “Als Standardzertifikat festlegen “* aktivieren. Geben Sie Ihren Domainnamen ein, um ein Zertifikat zu erhalten.

Sobald Sie ein Zertifikat haben, stellen Sie sicher, dass Ihr gesamter Datenverkehr über HTTPS abgewickelt wird (wie in Tipp Nr. 3 beschrieben).

  • Wenn Sie Ihr Gerät so eingerichtet haben, dass es Dienste über mehrere Domains oder Subdomains bereitstellt, müssen Sie unter Systemsteuerung > Sicherheit > Zertifikat > Konfigurieren konfigurieren, welches Zertifikat von den einzelnen Diensten verwendet wird.

SCHRITT 8 – Richten Sie Ihre Firewall ein und laden Sie unsere IP-Block-Liste hoch

Einer der besten und wichtigsten Schutzmechanismen für Ihr NAS ist die Firewall. Unsere IP-Blockierliste ist ebenfalls eine der besten und einfachsten Sicherheitsmaßnahmen, die Sie ergreifen können, um Ihre Sicherheit zu verbessern, und spielt eine wichtige präventive Rolle. Ihre Rolle besteht darin, Sicherheitsverletzungen und Cyberangriffe auf Ihr System zu verhindern, indem der Zugang zu bekannten bösartigen IPs absichtlich verweigert wird. Es ist zu 100% kompatibel mit allen Synology NAS-Modellen und Synology Routern wie dem RT1900ac, RT2600ac, MR2200ac und dem neuen RT6600ax. Sie wird immer wieder aktualisiert und die IPs werden einzeln getestet und regelmäßig überprüft. Laden Sie unsere IP-Blockierliste herunter, um bösartige IPs zu blockieren, bevor sie versuchen, eine Verbindung zu Ihrem NAS herzustellen.

, ,
Vorheriger Beitrag
Wie füge ich die IP-Blockliste auf meine Synology NAS hinzu?
Nächster Beitrag
Extremes aufschieben: So kann man Prokrastination verhindern

Verwandte Beiträge aus er Kategorie

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.
Sie müssen den Bedingungen zustimmen, um fortzufahren.

Consent Management Platform von Real Cookie Banner