Hallo an alle die Synology nutzen. Heise warnt vor einer Sicherheitslücke in DSM und weiterem
Solltet ihr die automatische Aktualisierung eingestellt haben, dann müsste euer System aber schon geschützt sein. Ist zumindest bei mir so.

—
Aber ich stelle fest, dass aus Russland und Hongkong versucht wird sich über meinen Admin anzumelden. In den Protokollen der Synology sehe ich, dass dort IPs geblockt wurden. Nun meinen Admin Account habe ich deaktiviert. Damit sollten die bösen Menschen also nicht weiter kommen.
Hat jemand noch weitere Tipps für mich, wie ich mich noch besser schützen kann?
Das Synology NAS ist ein Firmen NAS und benötigt Zugang über das Internet.

Das ist eine grössere Kiste..
Es gibt da bestimmt Möglichkeiten das besser zu machen. Ich kenne mich da nicht gut genug aus, um hier zu beraten, aber direkt ins inet würde ich so ein Teil nicht stellen. Schon gar nicht mit irgendwelchen Firmendaten.
Automatisch die updates einzuspielen ist gut, aber alleine kein ausreichender Schutz.

Ist eine DS3018xs. Die Teile sind doch extra dafür gedacht über das Internet darauf zuzugreifen? ... Mache ich was falsch?

Jein. Ich würde dir empfehlen so wenige Protokolle wie irgend möglich von extern freizugeben (also durch die Firewall auf die NAS zu lassen).

Gute Praxis ist es nur eine VPN von außen erreichbar zu machen, und alles andere dann nur über die VPN zu machen. Somit muss ein Angreifer erst mal die VPN hacken, um dann noch einen weiteren Dienst des NAS knacken zu müssen. Ausserdem hat die VPN only Lösung den Vorteil, dass alle schwach verschlüsselten/unverschlüsselten Daten (Passwörter) die über das Netz gehen noch mal verschlüsselt werden.

Ok, das mit dem VPN schaue ich mir nochmal an. Und es laufen sowieso nur die nötigsten Dienste.

Das ist völlig normal.

Aha

Nicht wundern. Ist so.

Ich habe ein /24 (IPv4) und ein /60 (IPv6) im Internet stehen, bei denen ich das meiste an ankommenden Verbindungen schon an der Peripherie blockiere, weil es den betreffenden Service auf der Adresse gar nicht gibt.

Gerade mal in Graylog geschaut: In den letzten 24 Stunden waren das ca. 37500 Versuche. Und das ist nichts besonderes, in den letzten 30 Tagen waren es ca. 1.5 Millionen Verbindungsversuche.

Trotzdem kommen noch ca. 300000 im Monat durch. Die muß dann halt der Server selbst verdauen und abwerfen. Legitim ist davon höchstens ca. 1%.

Es ist also unabdingbar, sich a) sehr genau zu überlegen, was man direkt ins Netz stellt und b) das dann so gut es geht abzusichern. Und wenn man das nicht kann, lieber auf eine vernünftige VPN-Lösung zu setzen oder es einfach sein zu lassen.

Ach ja, und der ganze Aufwand ist auch wieder umsonst, wenn man sich dann naiv irgendwelchen Internet-of-Shit-Kram ins Netz stellt.

Neben den bereits genannten Punkten, wie:

• autom. Updates bzw. Benachrichtigung, wenn Update verfügbar
• nur die notwendigen Ports auf das NAS weiterleiten
• Zugriff über VPN

Ist es überlegenswert bzw. anzuraten:

• Standard-Admin-Account deaktivieren und durch anderen Nutzer mit Admin-Rechten ersetzen
• Zugriff auf Oberfläche nur per https und Nutzung von anderen Ports (nicht 5000 bzw. 5001)
• Quell-IP länderspezifisch einschränken

Wie Peter bereits schrub ist das das alltägliche Hintergrundrauschen des Internets. Das ist natürlich ein bisschen gruselig wenn man das zum ersten Mal mitbekommt, aber hat nichts mit etwaigen Synology-Sicherheitslücken zu tun.

Ja, gruselig ist das. Zum Glück sind es bei mir nicht so viele Zugriffsversuche wie bei Peter.
Danke an alle für die Tipps.

eMac Extreme
Folgende Punkte hatte/habe ich bereits eingestellt:

• ✔️autom. Updates bzw. Benachrichtigung, wenn Update verfügbar
• ✔️nur die notwendigen Ports auf das NAS weiterleiten
• ➖Zugriff über VPN
• ✔️Standard-Admin-Account deaktivieren und durch anderen Nutzer mit Admin-Rechten ersetzen
• ✔️Zugriff auf Oberfläche nur per https und Nutzung von anderen Ports (nicht 5000 bzw. 5001)
• ➖Quell-IP länderspezifisch einschränken

Mit den zwei fehlenden muss ich mich noch beschäftigen.
Quell-IP länderspezifisch einzustellen sollte ich hinbekommen.
Allerdings habe ich einen WebDAV Zugang eingerichtet. Da weiß ich im Moment nicht, wie ich dann den Zugang über VPN auf den Clients einstelle. Ich werde mich die Woche darum kümmern.

Mein NAS ist nicht per se Internet faced. Ich verbinde nur via FritzvVPN mit hinreichend sicheren Passwörtern und Shared secret.
Als Firma würde ich einen zweiten Faktor etablieren.

Wie setzt ihr denn "Quell-IP länderspezifisch einschränken" technisch um? Am Router? Oder nutzt ihr alle ne Firewall? Welche denn?

VPN hab ich selbst auch noch nicht umgesetzt, das steht bei mir aber schon auf der toDo-Liste.

Sicherlich die erste Adresse zum Umsetzen einer Zugriff-Filterung nach Quell-IP (länderspezifisch) wäre der Router bzw. eine Firewall (OPNsense o.ä.), sofern diese es unterstützen. Für den Zugriff auf das NAS stellt jedoch Synology diese Option in den Firewall-Einstellungen zur Auswahl bereit (siehe dieses YouTube-Video ). Statt wie in dem Video alle ungewollten Länder zu sperren (deren Anzahl pro Regel scheinbar begrenzt ist), habe ich hier nur den Ländern Zugriff gewährt aus denen ich auch tatsächlich zugreife.

Wenn ein Webserver darauf läuft muss das zwangsläufig möglich sein. Grundsätzlich hast Du aber recht.

Hast du OPNsense im Einsatz? Sieht sehr interessant aus...

Ja, habe OPNsense im Einsatz und bin soweit zufrieden. Ist am Anfang etwas ungewohnt und man muss sich doch erstmal ordentlich einlesen, von der Installation bis zur Definition der ganzen Firewall-Regeln, etc. Plug&Play ist das definitiv nicht, aber das ist ja auch gewollt.

Betreibe OPNsense auf einem APU2C4 Board von PC Engines, welches für meine Anforderungen von der Leistung her völlig ausreicht.