{"id":292635,"date":"2024-02-23T08:33:53","date_gmt":"2024-02-23T07:33:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292635"},"modified":"2024-02-24T12:10:04","modified_gmt":"2024-02-24T11:10:04","slug":"angriffe-auf-synology-openvpn-server-feb-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/23\/angriffe-auf-synology-openvpn-server-feb-2024\/","title":{"rendered":"Angriffe auf Synology OpenVPN-Server? (Feb. 2024)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/02\/24\/attacks-on-openvpn-servers-synology-and-others-since-feb-2024\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurze Information in die Runde der Synology-Nutzer, ob etwas \u00e4hnliches zu beobachten ist. Ein Blog-Leser hat mich gestern Abend per E-Mail kontaktiert, weil er ein komisches Verhalten beobachtet hat. Er hat Zugriffsversuche von den immer gleichen IP-Adressen auf den Synology OpenVPN-Server seiner Systeme beobachtet. Ihm kommt es so vor, dass die bei Synology registrierten DDNS-Domains angegriffen werden. <strong>Erg\u00e4nzung:<\/strong> Habe noch eine zweite und dritte Meldung mit dieser Beobachtung erhalten und viele Kommentare best\u00e4tigen das.<\/p>\n<p><!--more--><\/p>\n<h2>Synology NAS-Server und OpenVPN<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/fd002ee783e940cc9bd4f228046e69c0\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/Synology\" target=\"_blank\" rel=\"noopener\">Synology Inc.<\/a> ist ein Hersteller von NAS-Servern mit einem breiten Angebot von Kleinservern f\u00fcr den privaten Bereich bis hin zu Hochleistungsrechnern. Alle Ger\u00e4te werden mit eigenem, auf Linux basierenden Betriebssystemen ausgeliefert und sind vergleichsweise einfach zu konfigurieren. Inzwischen sind bei Synology weitere Produkte im Angebot, die auf der <a href=\"https:\/\/www.synology.com\/de-de\" target=\"_blank\" rel=\"noopener\">Herstellerwebseite<\/a> beschrieben werden.<\/p>\n<p>Von Synology gibt es ein Paket <em>VPN Server<\/em>, mit dem ein Synology NAS ganz zu einem VPN-Server gemacht werden kann. Der Benutzer kann dann per Fernzugriff sicher auf geteilte Ressourcen des lokalen Netzwerks des Synology NAS zugreifen. Durch die Integration von gemeinsamen VPN-Protokollen \u2013 PPTP, OpenVPN und L2TP\/IPSec \u2013 bietet VPN Server Optionen f\u00fcr die Einrichtung und Verwaltung von VPN-Diensten, die auf Ihre individuellen Bed\u00fcrfnisse zugeschnitten sind.<\/p>\n<p>Basis f\u00fcr den VPN-Server ist dabei OpenVPN, einen Open-Source-L\u00f6sung f\u00fcr die Implementierung des VPN-Dienstes. Die Konfigurierung des Pakets ist auf <a href=\"https:\/\/kb.synology.com\/de-de\/DSM\/help\/VPNCenter\/vpn_setup?version=7\" target=\"_blank\" rel=\"noopener\">dieser Synology-Seite<\/a> beschrieben.<\/p>\n<h2>Beobachtung des Lesers<\/h2>\n<p>Blog-Leser Mario Cortes betreibt die <a href=\"https:\/\/www.pcambulanz-rheinneckar.de\/\" target=\"_blank\" rel=\"noopener\">PC Ambulanz<\/a>, ein Systemhaus in der Rhein-Neckar-Region und setzt in diesem Kontext auch Synology NAS-Server in Verbindung mit dem OpenVPN -Paket ein. In seiner Mail schrieb er gestern, dass er am 22. Februar 2024 auf verschiedenen Synology-Systemen ein komisches Verhalten des Pakets OpenVPN Server festgestellt habe.<\/p>\n<ul>\n<li>Er schreibt, dass es f\u00fcr ihn so ausschaut, als w\u00fcrden diese OpenVPN -Pakete \u00fcber den Standard UDP Port 1194 angegriffen.<\/li>\n<li>Nach seinen Beobachtungen handelt es sich immer um die gleichen IP Adressen: 197.148.68.41 und 197.148.64.126.<\/li>\n<\/ul>\n<p>Mario hat mir nachfolgenden Screenshot mit dem Auszug des Logs geschickt, welches diese Zugriffsversuche in der Nacht protokolliert hat. Die erfolgen im Abstand von Minuten, meinst zwei Zugriffsversuche mit einer Pause.<\/p>\n<p><img decoding=\"async\" title=\"Zugriffsversuche auf OpenVPN-Server\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/02\/image-27.png\" alt=\"Zugriffsversuche auf OpenVPN-Server \" \/><\/p>\n<p>Die IP-Adresse 197.148.68.41 wird mit auf <a href=\"https:\/\/ipinfo.io\/197.148.68.41\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> mit \"Cape Town, Western Cape, South Africa\" angegeben. Die zweite IP-Adresse 197.148.64.126 ist auf Johannesburg in S\u00fcdafrika verortet. Mario schrieb mir dazu, dass es scheint, als w\u00fcrden die DDNS Domains welche bei <em>synology.me <\/em>registriert sind angegriffen.<\/p>\n<p>Ich habe mal auf die Schnelle gesucht &#8211; in der Synology-Community hat jemand 2018 solche <a href=\"https:\/\/community.synology.com\/enu\/forum\/17\/post\/118759\" target=\"_blank\" rel=\"noopener\">Zugriffe beschrieben<\/a>. Frage in die Runde der Synology-Anwender, die das OpenVPN-Paket verwenden: K\u00f6nnt ihr diese Beobachtung, die Mario bei verschiedenen Systemen gemacht hat, best\u00e4tigten.<\/p>\n<p>Mario schreibt: \"Vielleicht ist das einen Blog-Beitrag wert\", was hiermit erfolgt ist (danke f\u00fcr den Hinweis). Er hat \u00fcbrigens eine einfache Abhilfe gefunden und schrieb: <em>Abhilfe schafft man \u00fcber die \u00c4nderung des Standard-Port 1194 auf z.B. 1196.<\/em><\/p>\n<h2>Eine zweite und dritte Meldung<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Habe noch eine zweite Meldung mit dieser Beobachtung. Maximilian schrieb mir auf Facebook in einer privaten Nachricht, dass ein Kunde von ihm ebenfalls betroffen sei. Mittwoch Nachmittag (21. Feb. 2024) ging es bei diesem System mit Zugriffsversuchen los. Dort werden allerdings zwei andere IPs 164.160.91.55\/56 gelistet. Den Standard-Port hat er seit Beginn schon abge\u00e4ndert &#8211; scheint laut seiner Aussage aber nicht zu helfen. Die bisher berichtete, erfolgreiche Gegenma\u00dfnahme ist wohl, Geo-Blocking einzusetzen, welches Zugriffe aus bestimmten L\u00e4ndern ausschlie\u00dft.<\/p>\n<p><strong>Erg\u00e4nzung 2:<\/strong> Daniel hat sich per Mail gemeldet und schreibt, \"scheint wie im Artikel beschrieben nicht neu zu sein, hatte es aber auch nur einmal kurz, und hatte die IPs in der Blockliste eingetragen und dann war irgendwann mal gut.\u00a0Trennen kann man diese Verbindungen nicht, kommt nur ein Fehler. Verbindungen bestanden immer 1-2 Minuten etwa und dann wieder neu.\"<\/p>\n<p>Er geht nicht von einem\u00a0allgemeinen Angriff aus, weil dies auch andere OpenVPN-Server ebenso betreffen w\u00fcrde. Die nachfolgenden Kommentare deuten aber darauf hin, dass OpenVPN im Fokus steht. Daniel hat mir folgenden Screenshot geschickt, der etwa einen Monat alt ist (danke daf\u00fcr).<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/C1dfrqhQ\/image.png\" alt=\"OpenVPN access log\" \/><\/p>\n<p>Beachtet die Hinweise in den nachfolgenden Kommentaren, u.a. im Hinblick auf Geo-Blocking\/Geo-Fencing.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Information in die Runde der Synology-Nutzer, ob etwas \u00e4hnliches zu beobachten ist. Ein Blog-Leser hat mich gestern Abend per E-Mail kontaktiert, weil er ein komisches Verhalten beobachtet hat. Er hat Zugriffsversuche von den immer gleichen IP-Adressen auf den Synology &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/23\/angriffe-auf-synology-openvpn-server-feb-2024\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292635","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292635"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292635\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}