Unbefugter Zugriff auf NAS

[demon cleaner]

Seit kurzem gibt es Versuche von auswärts auf meine Synology (2413+) zuzugreifen, immer von der fast gleichen IP aus. Zugriff wird zwar erfolgreich geblockt, trotzdem gibt’s die Versuche fast täglich. Was kann ich tun?

Dear user,

The IP address [95.70.26.60] experienced 10 failed attempts when attempting to log into DSM running on Synology2413 within 5 minutes, and was blocked at Wed Mar 28 14:23:55 2018.

Sincerely,
Synology DiskStation

 

[Tommes]

Zugriff wird zwar erfolgreich geblockt, trotzdem gibt’s die Versuche fast täglich. Was kann ich tun?

Das ist das normale Hintergrundrauschen des Internets. Da du die automatische Blockierung bereits eingeschaltet hast, bist du schon mal gut aufgestellt. Sicherlich gehört noch mehr dazu als sich auf die automatische Blockierung zu verlassen... Firewall, GeoIP, starke Passwörter, zwei Faktor Authorisierung, nur benötigte Ports weiterleiten, nur https oder nur VPN verwenden etc. fließen, neben einigen anderen Dingen, ebenfalls mit ein. Hier auf alle Möglichkeiten einzugehen würde wohl den Rahmen sprengen, auch kommt es immer auf deine eigene Paranoia an, wie weit du dein System absichern möchtest.

Tommes

 

[demon cleaner]

Ok, wie erwähnt, wird einwandfrei blockiert, nur habe ich mich gefragt wie lange dies andauern wird? IP ist immer die 95.70... Könnte ich diese komplett blockieren?

 

[Fusion]

Kannst auch fest in die Blockliste schreiben. Ob du dir damit andere gewollte Anfragen gleich mitblockst ist die andere Frage.

Die Anzahl der Versuche kann man auch noch runter setzen.

Und welchen Dienst probiert der Ungebetene denn aus? Direkt DSM (ports) oder SSH oder anderes?

 

[NSFH]

lookup zeigt Chabarowsk in Russland als Herkunft.
Meine Frage, welche Ports zeigen auf deinem Router nach draussen? Es ist nie gut die überall bekannten Syno Ports oder die Standardports für HTTPS, Webdav oder FTP zu benutzen. Die sollten eher im hohen 5-stelligen Bereich angesiedelt sein.
Am besten blocke gleich alles ausser D in der Firewall, indem du damit als Herkunftsland alle anderen ausblendest.

 

[demon cleaner]

Und welchen Dienst probiert der Ungebetene denn aus? Direkt DSM (ports) oder SSH oder anderes?

Keine Ahnung, Log sagt nur dass es geblockt wurde.

Habe Logins nun auf 3 während einer Minute eingestellt.

Benutze den 5000er Port oder DDNS.

 

[laserdesign]

welche Ports hast du denn forwarded, wenn Port 22 (ssh) dabei ist mach den nur auf wenn es nötig ist.

 

[NSFH]

Ich hoffe du hast den 5000 (HTTP) nicht nach Aussen offen! Wenn dann nur HTTPS verwenden und den Port auch nicht Original 1:1 nach Aussen stellen!!!
Auch 22 (SSH) unbedingt auf einen anderen Aussenport redirecten!

 

[frankyst72]

Du kannst in der DSM Firewall explizit alle Zugriffe von russischen IPs blocken lassen.

 

[docschelm]

Ja, den kenne ich auch, versucht bei mir immer als Admin im Webinterface einzuloggen.
Ich hab alle IP von Rostelecom in der Firewall blockiert und mich bei diesem Provider über
Facebook beklagt. Man prüft zur Zeit.
Den Admin Account hab ich vorerst mal deaktiviert. Jetzt such ich mal funktionierende Ausweichports.

 

[peterhoffmann]

Um solche Zugriffsversuche zu minimieren, muss man sich abseits der Masse bewegen.

Hier wäre es z.B. die Ports in der DS zu ändern bzw. die Weiterleitung der Ports vom Router so zu gestalten.

Beispiel DS Oberfläche:
http deaktivieren, https aktivieren
Port von 5001 auf einen Port im höheren fünfstelligen Bereich (z.B. 37618) legen

Auch gilt es sowenig Ports wie möglich offen zu halten, sprich nur das, was man wirklich braucht. Alternativ ist es auch möglich keine Ports an der DS nach außen zu öffnen und dafür von außen per VPN ins eigene Netzwerk zu gehen. So hat man vollen Zugriff auf die DS und bis auf den VPN-Port keinen Port offen.

 

[NSFH]

Du kannst in der DSM Firewall explizit alle Zugriffe von russischen IPs blocken lassen.

Warum nur von Russischen?
Wenn man selbst nicht aus dem Ausland auf die Syno zugreift alle nach Aussen offenen Ports nur für Deutschland zulassen. Fertig! Das ist zwar kein endgültiger Schutz, denn über deutsche Proxies kommt man doch wieder an eine deutsche IP, aber es hilft schon mal.
Wer es dann immer noch nicht kapiert hat, dass man Syno-Ports nicht 1:1 an den Router übergibt und damit nach Aussen signalisiert: "Huhu, hier ist eine Syno, hack mich", dem ist dann halt gar nicht mehr zu helfen.

 

[docschelm]

Kurioserweise hatte ich in der Firewall alle Zugriffe außerhalb Deutschlands gesperrt und trotzdem bekam ich Besuch aus Russland.
Anmeldeversuche 3 innerhalb 5 Minuten und ab auf die Blockierlsite, gottseidank sind meine PW sehr stark.
Ports auch nochmal geändert und nun sollte Ruhe sein.

Seh ich das richtig, wenn ich den root Zugriff per SCP und SFTP mit einer Schlüsseldatei (incl Passphrase) auf meinem PC gesichert habe, dass ohne
diese Datei niemand Zugriff bekommen kann oder gibt's da auch noch ein Hintertürchen?

 

[uetzel]

Hallo zusammen,
habe die Infos hier sehr aufmerksam verfolgt. Kann mir jemand sagen, wie man z. B. den Port 5001 auf einen Port im fünfstelligen Bereich legt? Was muss man hierfür einstellen? Danke vorab.

 

[peterhoffmann]

Entweder du änderst den Port im DSM (Systemeinstellungen) oder du machst eine Portweiterleitung in deinem Router (von Port 34827 zu 5001).

Hinweis: 34827 ist nur ein Beispiel.

 

[uetzel]

Alles klar, danke!

 

[docschelm]

https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

Hier findest Du eine Liste der möglichen Ports

 

[chrsch]

> Bei mir funktioniert eben dieses "Länderblockieren nicht!
> Mein Land, die Nachbarländer plus 3 Länder auf anderen Kontinenten werden durchgelassen, alles andere wird (sollte) blockiert.
> Nun, fast auf die Stunde genau nach einem Monat, ein weiterer Versuch aus .ru.
> Hat das jemand von Euch auch schon beobachtet?
> Ich brauche meinen Zugang via SSH, verwende aber nicht den Standartport. ;-)
> Mein Default-Admin ist dekativiert (Mercie an "Dominix").
> Sind das Zugriffe via meine xxx.i234.me Adresse oder direkt via IP des Providers?
> Kennt jemand von Euch eine Firewall welche zuviele Portscan's blockieren kann.

Gruss und Dank für Tipps und Tricks
Christof

 

[NSFH]

Was die Firewall angeht gibt's da nur höherpreisige Geräte, die die unterschiedlichsten Angriffscenarien erkennen und speziell reagieren können.
Mein Favorit Vigor 2960. Da stimmt das Preis-/Leistungsverhältnis, aber ob das für den Privatanwender interessant ist.....
Von Netgear lass ich inzwischen die Finger, unterirdischer Support, mangelhafte Fehlerbeseitigung usw.
Was deine Länderblockaden angeht, damit hatte ich bisher keine Probleme, obwohl das auch kein 100% Schutz ist, schliesslich nutzen Hacker auch Proxies und VPNs.
Du hast in der Syno Firewall ganz unten auch angeklickt: restlichen Verkehr blockieren?

 

[c0smo]

Poste mal einen Screenshot deiner Firewall Regeln.
Wie der Zugriff erfolgt, ob IP oder Domain, kann nicht festgestellt werden.