Jump to content

Synology® bada bieżące ataki typu brute force z botnetu

Rate this topic


open-it.shop
 Share

Recommended Posts

Ja miałem ostatnio 3 próby z Tajwanu. Co ciekawe na zaporze Synology (GEOFILTER) mam poblokowane wszystkie kraje poza Polską. Nie mówię o prywatnym tylko służbowym gdzie nie ma Wordpresa 😉 

Edited by Mariusz_Sz
Link to comment
Share on other sites

  • Administrator
W dniu 9.08.2021 o 15:13, Mariusz_Sz napisał:

Ja miałem ostatnio 3 próby z Tajwanu. Co ciekawe na zaporze Synology (GEOFILTER) mam poblokowane wszystkie kraje poza Polską. Nie mówię o prywatnym tylko służbowym gdzie nie ma Wordpresa 😉 

może sam producent kijem w wiadrze miesza 😉 

Nie miewam ataków do samego DSM, wszystko “wyczesuje” mi IPS na routerze, a jest tego ogrom…

 

You do not have the required permissions to view images attached to this post.

To unlock hidden content, you need to log in and add a reply to this topic.

 

 

Link to comment
Share on other sites

  • Administrator
W dniu 11.08.2021 o 18:54, Mariusz_Sz napisał:

Możliwe, że sam producent coś sprawdzał

włącz to :

 

 
Link to comment
Share on other sites

 

 Mam włączoną dwuetapową weryfikację Google Authenticator od lat 😉

 

Doradca ds. zabezpieczeń na Synology ustawiony na profil biznesowy - wszystko świeci na zielono 😉

  • Like it 1
Link to comment
Share on other sites

  • Administrator

@Mariusz_Sz Synology SS jest wygodniejsze, ma 2 rodzaje autentykacji i pozwala dodawać zaufane urządzenia 😉 

Link to comment
Share on other sites

2 godziny temu, house napisał:

@Mariusz_Sz Synology SS jest wygodniejsze, ma 2 rodzaje autentykacji i pozwala dodawać zaufane urządzenia 😉 

 

Może i wygodniejsze. Nie ukrywam tego. Pytanie brzmi: jak zmigrować 50 kont w moim Google Authenticatorze 

 

Da się w tej apce to zaimportować?

 

Druga sprawa, czy przy zmianie telefonu moge zrobić eksport? Przywiązuje się to do konta Synology?

 

Trzecia sprawa: pytanie paradoksalne czy jest to bezpieczne aby pchać wszystko do Synology? Jak włamią się do konta to mają dostęp do wszystkiego

 

Google Authenticator jest jednak aplikacją niezależną 

Link to comment
Share on other sites

  • Administrator
2 godziny temu, Mariusz_Sz napisał:

Pytanie brzmi: jak zmigrować 50 kont w moim Google Authenticatorze Da się w tej apce to zaimportować?

nie, wyłączasz GA na wszystkich kontach i ustawiasz od nowa SSS.

2 godziny temu, Mariusz_Sz napisał:

Druga sprawa, czy przy zmianie telefonu moge zrobić eksport? Przywiązuje się to do konta Synology?

tak, w przeciwieństwie do GA tutaj można właczyć backup (tak jak w Authy) i przywrócić na nowym urządzeniu za pomocą konta Synology.

2 godziny temu, Mariusz_Sz napisał:

Trzecia sprawa: pytanie paradoksalne czy jest to bezpieczne aby pchać wszystko do Synology?

mam wrażenie, że bezpieczniejsze. Sama idea 2FA z reakcją w chwili próby uzyskania dostępu jest sama w sobie bezpieczniejsza, tutaj dochodzi jeszcze polityka zabezpieczeń kont użytkowników DSM, firewall samego DSM i szyfrowane połączenie. Wymogiem jest wystawienie DSM po ssl na świat aby zachować interakcję z urządzeniem uwierzytelniającym użytkownika.

Cytat

Bezpieczne logowanie jest dostępne tylko wtedy, gdy do infrastruktury sieciowej NAS można uzyskać dostęp z Internetu

Jak się "pierdykniesz" w trakcie (działa to tak, że wskazujesz na urządzeniu kod wyświetlony w DSM i zabezpieczasz wszystko ustawieniami biometrycznymi), masz jeszcze metodę haseł OTP, które działają identycznie jak GA. No i w samym GA nie ma backupów, tracisz urządzenie - ratujesz się generowanymi kodami jednorazowymi. Poza tym :

Cytat

Jeśli FIDO2 jest włączone, połączenia HTTP, bezpośrednio do adresu IP lub adresu QuickConnect w DSM zostaną wyłączone ze względów bezpieczeństwa

 

Mnie najbardziej interesuje integracja z Windows Hello i macOS Touch ID co sprawia, że pomimo zachowania bezpieczeństwa czynisz proces logowania łatwiejszy dla "użyszkodnika" i używasz jako takiego czynnika sprzętowego.

 

2 godziny temu, Mariusz_Sz napisał:

Google Authenticator jest jednak aplikacją niezależną 

od czego? 😉 

Link to comment
Share on other sites

Nie ruszam Google Authenticator ponieważ działa dobrze

 

Nie ma kopii G.A. ale ma przeniesienie konta (export) na drugi telefon i mam go na wszelki wypadek na dwóch telefonach.

 

Od nowa nie chce mi się bawić. Nie widzę większych zalet niż G.A. - w końcu służą do tego samego

Link to comment
Share on other sites

  • Administrator

dla mnie kluczową zaletą jest 

5 godzin temu, house napisał:

integracja z Windows Hello i macOS Touch ID

ale do niczego nie namawiam 😉 

Link to comment
Share on other sites

  • 2 weeks later...

 

Tajwański producent serwerów NAS Synology ujawnił, że ujawnione niedawno luki w zabezpieczeniach OpenSSL umożliwiające zdalne wykonanie kodu (RCE) i odmowę usługi (DoS) mają wpływ na niektóre z jej produktów.

„Wiele luk w zabezpieczeniach umożliwia zdalnym atakującym przeprowadzenie ataku typu „odmowa usługi” lub wykonanie dowolnego kodu za pośrednictwem podatnej wersji oprogramowania Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server lub VPN Server” — wyjaśnia firma w opublikowany dziś poradnik dotyczący bezpieczeństwa .

Pełna lista urządzeń dotkniętych lukami bezpieczeństwa śledzonymi jako CVE-2021-3711 i CVE-2021-3712 obejmuje DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server i VPN Server.

 

You do not have the required permissions to view links attached to this post.

To unlock hidden content, you need to log in and add a reply to this topic.

 

  • THX! 1
Link to comment
Share on other sites

  • Administrator
Cytat

While Synology does not provide an estimated timeline for these incoming updates, the company told BleepingComputer earlier this month that it generally patches affected software within 90 days after publishing advisories.

Oh My God Reaction GIF

Link to comment
Share on other sites

  • Administrator

w październiku prawdopodobnie, zgrają to z wydaniem aktualizacji DSM7 dla modeli biznesowych

Link to comment
Share on other sites

Ja właśnie mam próbę włamywania się na konto admin. Każde logowanie z innego IP.

Konto było i jest wyłączone - ale co zrobić by się odczepili? ;>

Link to comment
Share on other sites

  • Administrator
8 godzin temu, mollu napisał:

Konto było i jest wyłączone - ale co zrobić by się odczepili? ;>

2FA + szykana geoip

Link to comment
Share on other sites

Jak można ograniczyć logowanie po geoip do nas'a? Tylko FW czy na samym nasie możemy jakoś to ograniczyć.
Generalnie konto wyłączone i zmieniłem reguły blokowania ...

Link to comment
Share on other sites

  • Administrator
3 godziny temu, mollu napisał:

Jak można ograniczyć logowanie po geoip do nas'a?

You do not have the required permissions to view images attached to this post.

To unlock hidden content, you need to log in and add a reply to this topic.

Link to comment
Share on other sites

Dzięki!

  • Like it 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Similar Content

    • house
      By house
      "some say", że o ile nie wydarzy się nic nieoczekiwanego to w okolicach Q1/2022 pojawi się nowe rozwiązanie sieciowe (router, gateway) od Synology, które zastąpi RT2600ac 😉 
       
    • house
      By house
      W 4 kwartale br. mają powrócić do Photos funkcjonalności, które występowały w Synology Photo Station :
      Upcoming features (~Q4 2021): Ratings! Per file adding/editing Map view on the Photos mobile app Improved Shared Space permissions A way to batch apply user permissions to multiple folders Option for subfolders to inherit parent folder settings Album sorting options By creation, content date, album type, and sharing status źródło : https://community.synology.com/enu/forum/1/post/145499
       
    • mollu
      By mollu
      Powiedzmy że mam folder udostępniony 5 użytkownikom którzy z serwerem łączą się za pomocą SDC.
      Chciałbym by dostęp do pliku był blokowany jeśli go ktoś w danym monecie otworzy i edytuje - lub chciałbym by była informacja przy zapisie że na serwerze jest nowszy lub jest w trakcie edycji. 
      Dodam że praca odbywa się na plikach cad/pdf ...
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. For more information, please see ours Guidelines and Privacy Policy.