Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Synology NAS

01-08-2014, 09:03 door Anoniem, 21 reacties
Hallo,

Ik heb een Synology NAS in gebruik. Twee diskjes erin, iedere maand maak ik een externe backup. Werkt al tijden prima. Ding wordt alleen in het bedrijf gebruikt. Staat behalve voor beheer niet open naar buiten. Automatisch blokkeren staat uit bij 5 foute inlogpogingen. Op de NAS staan ondermeer klantgegevens, administraties.
Tot zover prima.
Nu wil ik eigenlijk ook de email voorziening gaan gebruiken. We doen heel veel met mail waardoor de mailboxen erg groot worden. De IMAP provider kan eigenlijk niet goed met grote mailboxen overweg. Als ik dit op de NAS ga doen, bepaal ik zelf hoe groot de mailbox kan zijn.
Punt is dan wel dat ik de NAS open moet gaan zetten voor inkomende mail en imap (want email moet ook van buiten benaderbaar blijven). De NAS wordt dan gevoeliger voor aanvallen van buienaf.

Vraag, is het verstandig dit op dezelfde NAS te zetten of is het verstandig om een extra NAS neer te zetten alleen voor mail.
Reacties (21)
01-08-2014, 10:36 door Anoniem
Beste,

Niets is 100% veilig als je WWW opgaat.
Maar je kunt bij de firewall instellen dat er alleen NL IP adressen toegelaten worden, op deze manier sluit je al heel veel uit.
Als je dan automatisch blokkeren wel aan zet ( ik heb deze op 3 pogingen staan ) dan gaat het best goed.
Sinds ik alleen NL IP adressen toelaat heb ik aanzienlijk minder blokkades.
Je zou ook nog kunnen kiezen om alleen IP adressen toe te laten die je zelf hebt ingegeven.
01-08-2014, 11:15 door Briolet
Ik heb ook een Synology met mailserver actief. Ik gebruik deze echter niet om mail op te ontvangen maar alleen voor interne opslag.

Mail komt bij mijn oude provider binnen in de inbox. (Ook IMAP). Daarna sorteer is de mail door naar de folders op de interne mailserver te slepen.
Je kunt de software ook instellen om automatisch externe pop3 mail op te halen.

Klanten zien bij mij dus alleen het mailaccount van mijn externe provider. Die heeft ook veel meer ervaring in spamfiltering etc. De mailserver op de NAS is verder alleen voor intern gebruik en mail opslag. En dat zijn TeraBytes aan ruimte. De mailboxen bij mijn externe providers blijven vrijwel leeg,
01-08-2014, 11:59 door ZeteMKaa
Zou sowieso een extra NAS aanschaffen om te zorgen voor een scheiding tussen de gegevens. Voor de mail zou je dan een DMZ vlan kunnen aanmaken waar maar en beperkt aantal protocollen toegang tot hebben.
01-08-2014, 14:42 door Anoniem
Door Briolet:Mail komt bij mijn oude provider binnen in de inbox. (Ook IMAP). Daarna sorteer is de mail door naar de folders op de interne mailserver te slepen.
Je kunt de software ook instellen om automatisch externe pop3 mail op te halen.

Het voordeel van deze werkwijze is dat je in noodgevallen, zoals de eigen verbinding down of storing aan de NAS, je nog bij nieuwe mail kunt. Die staat namelijk nog bij de provider.

Wat ik bij mail wel zou doen, is de back-up vaker uitvoeren. Als je die voor je administratie gebruikt en er gaat iets mis, dan is het een kwestie van de administratieve handeling van een maand opnieuw uitvoeren (oei). Als je van een maand mail kwijt bent, kan daar mail van potentiele klanten tussen zitten. Die gaan echt geen nieuwe mail sturen.

Een oplossing die ik heb is een tweede NAS (in mijn geval QNAP's) bij een bevriende relatie. Iedere nacht doet die een sync van de gegevens. Dat gaat dan via een VPN tunnel die is opgezet tussen onze routers. Ze zijn dus nog steeds niet gewoon via internet benaderbaar en de data gaat versleuteld door een versleutelde tunnel.

Peter
01-08-2014, 19:38 door [Account Verwijderd]
Waarom geen (Linux bijvoorbeeld) eenvoudige emailserver met een ISCSI verbinding naar je NAS?
Je NAS blijft volledig beschermd op die manier.

Ik gebruik onze lokale WSUS server op die manier; eenvoudige wsus, geen extra zaken op de server, en een prima dichte connectie naar de NAS.
02-08-2014, 07:58 door Anoniem
Door NedFox: Waarom geen (Linux bijvoorbeeld) eenvoudige emailserver met een ISCSI verbinding naar je NAS?
Je NAS blijft volledig beschermd op die manier.

Ik ben benieuwd waar je de winst denkt te halen...
Dat je zelf een Linux server beter kunt inrichten, updaten en beschermen dan Synology kan dan wel doet?
Of dat je door een aparte omgeving te hebben waar je mail in draait de boel beter compartimenteert?

Zijn er ook NASsen die bijvoorbeeld KVM ondersteunen voor deze toepassing?
02-08-2014, 10:03 door Briolet - Bijgewerkt: 02-08-2014, 18:46
Bij een eigen mailserver mag je er wel van uit gaan dat er pogingen komen om in te breken. Ik krijg ze bijna dagelijks sinds ik de mailserver actief heb en dat schijnt 'normaal' te zijn.

Volgens het log heeft MailServer 260 IP adressen geblokkeerd in de laatste 10 maand. (Bij mij blokkeren ze na 5 foute pogingen binnen 5 minuten)
02-08-2014, 12:01 door Anoniem
gevoelige zaken scheiden
2 x nas elk voor een eigen doel
java verplichtende nassen zsm de deur uit jassen
02-08-2014, 14:04 door [Account Verwijderd] - Bijgewerkt: 02-08-2014, 14:04
Door Anoniem:
Door NedFox: Waarom geen (Linux bijvoorbeeld) eenvoudige emailserver met een ISCSI verbinding naar je NAS?
Je NAS blijft volledig beschermd op die manier.

Ik ben benieuwd waar je de winst denkt te halen...
Dat je zelf een Linux server beter kunt inrichten, updaten en beschermen dan Synology kan dan wel doet?
Of dat je door een aparte omgeving te hebben waar je mail in draait de boel beter compartimenteert?

Zijn er ook NASsen die bijvoorbeeld KVM ondersteunen voor deze toepassing?

Onbeperkt uitbreiding van schijfruimte vanuit een veelal VEEL uitgebreidere email server. En als je je NAS wilt beschermen door zelfs geen SMTP toe te staan is dat dus de oplossing.

Het is niet heilig, alleen een oplossing voor het probleem gepost in de OP.

Also, ik heb de 64bits versie van chrome er weer afgedaan; ik krijg javascript niet aan de praat :/
02-08-2014, 15:30 door Anoniem
Door NedFox:

Also, ik heb de 64bits versie van chrome er weer afgedaan; ik krijg javascript niet aan de praat :/

Mogelijk een nieuwe privacy browser variant van Chrome
'no more "ga.js" javascripts', 'Don't be Evil! (again)'
03-08-2014, 12:11 door Anoniem
Door Anoniem: Niets is 100% veilig als je WWW opgaat.
Zo te zien heb jij geen idee wat het verschil is tussen het wereldwijde web en het internet.

Maar je kunt bij de firewall instellen dat er alleen NL IP adressen toegelaten worden, op deze manier sluit je al heel veel uit.
Heb je wat aan voor een mailserver.
03-08-2014, 12:19 door Anoniem
Wil je je NAS ook als mailserver gebruiken dan moet je even goed nadenken wat en hoe je dat precies gaat doen. Conceptueel de simpelste methode is om het ding als "doorgeefluik" naar je provider voor uitgaande mail op te zetten, en periodiek de uitstaande mail van je provider in bulk op te laten halen. Geen idee of synology het kan, maar op een unix (linux, freebsd, ...) machine is dat redelijk makkelijk te regelen en dan hoeft het ding niet publiekelijk bereikbaar te zijn.
03-08-2014, 18:25 door Briolet
Door Anoniem:....Conceptueel de simpelste methode is om het ding als "doorgeefluik" naar je provider voor uitgaande mail op te zetten, en periodiek de uitstaande mail van je provider in bulk op te laten halen.
.....en dan hoeft het ding niet publiekelijk bereikbaar te zijn.

Alle uitgaande mail via je internet provider laten lopen is simpel in te stellen. Dat moet ook simpel in te stellen zijn omdat vele ISP het verplicht stellen dat mail via poort 25 via hun server loopt.

Maar als je wilt dat je van overal met laptop of smartphone, bij je mailbox kunt komen, zul je toch je IMAP poorten open moeten zetten. Of beter: je IMAP-S poorten.
03-08-2014, 19:39 door Anoniem
Door Briolet: Maar als je wilt dat je van overal met laptop of smartphone, bij je mailbox kunt komen, zul je toch je IMAP poorten open moeten zetten. Of beter: je IMAP-S poorten.
Als dat een eis is, op zichzelf geen gegeven. Maar je kan ook zeggen: Doe het maar via een VPN.
04-08-2014, 08:29 door Anoniem
Allemaal bedankt voor de nuttige reacties.

Een korte reactie: Zelf een mailserver in de lucht brengen is te doen, maar in de lucht houden is een tweede vraagstuk. Patches van het OS, de mailserver software, maken backups, installeren en onderhouden spam, white en blacklisten. Nee, ook daarvoor koop ik een Synology (en geen andere NAS) omdat er dan support is en ik patches kan verwachten. Dat lijkt mij bij synology goed geregeld.

Dichzetten niet NL. Ik weet nog niet exact hoe ik het ga doen want ik heb nog geen ervaring met zelf mail afleveren via mijn provider. Maar bij mijn huidige provider moet ik zowel voor in als voor uitgaande mail alles doen via de proxy van de provider (en dat geeft weer extra risico's dat die proxy ermee kan stoppen).

Losse Vlans en twee servers. Daar zat ik dus zelf ook aan te denken. Maar dan niet met twee vlans want we hebben hier geen slimme switches. Daarin investeren in een bedrijfje met 5 man is op dit moment nog niet zinvol. Dan zou ik in het modem twee verschillende next-hops zetten. zowieso worden er op geen enkel apparaat dezelfde admin userid's en wachtwoorden gebruikt. Dat is dan weer het voordeel als je niet zo heel veel hardware hebt staan.

Backups, ja die gaan we tegen het licht houden. Ik maak nu een keer per week een 100% copy met twee externe schijven (om de week een). Dat gaat wel heel veel data worden op deze manier. Misschien kan dat slimmer. Maar gevoelsmatig heb ik het leifst gewoon een "snapshot" van alle data op een vast moment.

Ik denk dat het wel te doen is de mail er ook bij te zetten. Zal dan wel wat vaker in ieder geval de logs bijhouden.
04-08-2014, 15:44 door Anoniem
Waarom niet alles dicht behalve een VPN server ? certificaten+ww voor de werknemers die externe toegang nodig hebben. Eventueel een regel voor de mail zodat die na bv. na 17:00u alles doorstuurt naar een ander adres of een noificatie stuurt via pushover, pushbullet, growl etc. zodat ze op de hoogt zijn van nieuwe mail, maar momenteel niet verbonden zijn via VPN.
07-08-2014, 09:13 door Anoniem
Hoe groot zijn de imap-mailboxen waar je het over hebt?

antagonist heeft een unlimited pakket voor nog geen 5 euro per maand. (en er zijn vast nog wel meer providers te vinden die grote mailboxen leveren tegen een acceptabele prijs)
Is dat geen oplossing?

Inrichten en in de lucht houden van een mailserver is verre van triviaal en als je het niet begrijpt, laat het dan aan mensen over die er hun vak van gemaakt hebben.
Waarom je een file-server met mail-functionaliteit in wil zetten als mailserver is me een raadsel.....
07-08-2014, 15:07 door Anoniem
De imap boxen zijn een paar gig groot. In totaal denk ik dat het om zo'n 10 gig gaat.
En waarom de file server inzetten voor mail.
Stom antwoord misschien, maar omdat het kan.

Het is zelfs zo dat we meer emails hebben als bestanden op de server. De impact als de mail verloren raakt lijkt dan ook haast groter dan verlies van bestanden op de server.

En we zijn een heel klein bedrijf. Een aparte server neerzetten voor mail naast de fileserver is best een kostbare zaak. En de fileserver kan het qua cpu best trekken.
07-08-2014, 20:18 door Anoniem
Email van "Synology eNews" <notification@synology.com> met een uitgebreide overzicht welke nas versie risico lopen en wat je er aan kunt doen.

Dear Synology users,
We would like to inform you that a ransomware called "SynoLocker" is currently affecting some Synology NAS users. This ransomware locks down affected servers, encrypts users’ files, and demands a fee to regain access to the encrypted files.

We have confirmed that the ransomware only affects Synology NAS servers running older versions of DiskStation Manager by exploiting a security vulnerability that was fixed and patched in December, 2013.

Affected users may encounter the following symptoms:

When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is installed, but the system says no updates are available at Control Panel > DSM Update.
If you have encountered the above symptoms, please shutdown the system immediately and contact our technical support here: https://myds.synology.com/support/support_form.php

If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:

DSM 4.3-3827 or later
DSM 4.2-3243 or later
DSM 4.0-2259 or later
DSM 3.x or earlier is not affected
You can manually download the latest version from our Download Center and install it at Control Panel > DSM Update > Manual DSM Update.

If you notice any strange behavior or suspect your Synology NAS server has been affected by the above issue, please contact us at security@synology.com.

We sincerely apologize for any problems or inconvenience this issue has caused our users. We’ll keep you updated with the latest information as we continue to address this issue.

Thank you for your continued patience and support.

Sincerely,
Synology Development Team
08-08-2014, 21:55 door Anoniem
Nieuwe email van "Synology eNews" <notification@synology.com>

Over: Important message regarding DDNS and QuickConnect services

Dear Synology users,
We have discovered security vulnerabilities on the software currently installed on your Synology product. These vulnerabilities might result in unauthorized parties compromising your Synology product.

We strongly suggest you install the newest version of DSM as soon as possible. To do so, please visit our Download Center and download (http://www.synology.com/en-global/support/download) DSM 5.0-4493, DSM 4.3-3827, DSM 4.2-3250, or DSM 4.0-2263 according to your current version. Then, log in to DSM and go to Control Panel > Update & Restore > DSM Update > Manual DSM Update (for DSM 4.3 and earlier, please go to Control Panel > DSM Update > Manual DSM Update) and manually install the patch file.

For more information about security issues related to Synology products, please check our Synology Product Security Advisory page (http://www.synology.com/en-global/support/security) .

Running the latest version of DSM is essential to guarantee your Synology product is protected from threats fixed in previous versions. In this respect, we are no longer providing DDNS and QuickConnect services for Synology products that are running vulnerable versions of DSM. To continue enjoying Synology’s DDNS and QuickConnect service, please follow the instructions above to update your Synology product.

We apologize for any inconvenience caused by this issue. Should you encounter any further problems, please feel free to contact our technical support team (https://myds.synology.com/support/support_form.php?lang=enu) .

Sincerely,
Synology Development Team
09-08-2014, 00:24 door Briolet
Door Anoniem: We have discovered security vulnerabilities on the software currently installed on your Synology product.

Hier heeft Synology een fout gemaakt door de mail naar alle geregistreerde users te sturen en niet alleen de mensen met verouderde software. Verwarrend voor mensen die wel up-to-date zijn. Synology heeft inmiddels aangegeven dat de tekst algemener opgesteld had moeten worden en in deze staat verwarrend is.

Overigens heeft, waarschijnlijk, diezelfde groep al in februari een soortgelijke mail gehad die over dezelfde kwetsbaarheid ging. Blijkbaar reageren er velen niet op zo'n mail, of hebben velen hun product niet geregistreerd. In elk geval blijkt dat er, een half jaar na deze eerste mail, nog vele ongepatchte nassen aanwezig zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.