IP-Bereich sperren/Hacker aussperren

[floho]

Hi,

meine DS bekommt regelmäßig ungebetenen Besuch, vor allem aus Asien und Afrika. Die Blockierliste füllst sich stetig, täglich kommen z.Z. gut 20 neue Einträge dazu.

Über die Firewall habe ich inzwischen einige IP-Bereiche gesperrt. z.B. IP 222.1.1.1/Sub 255.0.0.0 (bin mir aber nicht 100%ig sicher, ob das so überhaupt funktioniert...)

Allerdings ist das recht mühsam. Gibts da nicht einfachere Wege? Wie löst Ihr dieses Problem? Es ist wirklich nervig. Meine Platten gehen schon nicht mehr in den Ruhezustand, wegen der ständigen Systemaktivität aufgrund der Login-Versuche...

Grüße Flo

 

[thedude]

Dem Problem wirst Du nur Herr werden können wenn Du den Zugriff auf die DS auf bestimmte Quell IPs beschränkst. Das geht über die FW der DS. Am besten macht man das aber auf dem Router davor. Leider können das nicht alle Consumer Modelle.

Also im prinzip alles zu und nur das auf von wo du zugreifen willst. Das geht freilich nur wenn das keine dynamischen IPs sind.

gruss
dude

 

[itari]

Vielleicht macht deine DS zu viel im Internet und ist bekannt wie ein bunter Hund, dann darfst nicht klagen über Besuch.

Ansonsten, wie ist denn dein DDNS-Name. Vielleicht ist der reizvoll?

Itari

 

[randfee]

...Die Blockierliste füllst sich stetig, täglich kommen z.Z. gut 20 neue Einträge dazu.

was hast du denn da offen? Webserver auf der DS, oder FTP, oder das webinterface, oder ssh?

 

[jahlives]

@floho
Es gibt mehrer Möglichkeiten dein Vorhaben zu erreichen. Allen ist gemeinsam, dass sie entweder sehr aufwändig sind (Sperren von IP Blöcken auf der FW) oder, dass sie nur auf eine eingeschränkte Anzahl Protokolle anwendbar sind. So sperrt die Auto-Block Funktion afaik nur bestimmte Anwendungen auf der DS, andere Ports bleiben offen.
Wenn du jedoch ganze IP Bereiche (Länder) auf der Firewall sperrst, dann wirst du kaum mehr mit der DS arbeiten, sondern nur noch diese Liste anpassen/ergänzen/bearbeiten.
Zudem hätte dieser Schutz den Pferdefuss, dass es kaum gegen einen gezielten Angriff schützen würde. Gegen ScriptKiddies, die mit ihren Bots Netzwerkbereiche nach offenen Ports scannen würde es noch helfen. Aber wenn dir der Hacker Lin Chi übel mitspielen will, dann nimmt er einfach einen Proxyserver in einem anderen Land und deine IP-Sperren laufen voll ins Leere.

Ich finde den Ansatz mit dem AutoBlock von Synology gar nicht schlecht. Ist auf jeden Fall flexibler, als eine statische Liste mit Länder-IP-Blöcken in der Firewall.
Es gibt auch viele sogenannte Logwatcher Programme für die verschiedensten Logs. Ich glaub es war janus, der mir mal sshguard vorgechlagen hat. Das lässt sich für die DS installieren. sshguard lässt sich auch für andere Protokolle (Logs) einrichten, ist also sehr flexibel. Nach einer definierten Anzahl gescheiterter Logins wird die IP für eine bestimmte Zeit gesperrt. Erfolgen innerhalb der Sperrzeit weitere Zugriffsversuche, dann verlängert sich die Sperre automatisch. Nach Ablauf des Timers wird die Regel in der Firewall gelöscht.

 

[floho]

Die Gäste kommen immer über Port 22 und klopfen per SSH an. Leider nutze ich z.Z. regelmäßig die Shell und SSH ist somit immer aktiviert.

Ich habe jetzt mal den Standart-Port für SSH umgebogen und komme über einen anderen Port rein. Vielleicht hilft das ein bisschen. Port-Scannern wirds natürlich trotzdem auffallen...

Ansonsten ist alles dicht, nur die Ports 21,22,5001 und der Portbereich für verschlüsselten FTP sind offen...

SSHguard muss ich mir mal anschauen. Lohn sich das? Macht ja auch nicht so viel mehr als das AutoBlock der Syno.

 

[jahlives]

SSHguard muss ich mir mal anschauen. Lohn sich das?

Ich habe es bei mir auf der DS installiert die den externen Port 22 abbekommt. Funzt soweit wunderbar.
Allerdings wenn du den Login gleich auf nur-Zertifikate umstellst, dann brauchst du eigentlich auch gleich kein sshguard mehr. Dabei klatscht alles ohne korrekten Schlüssel am ssh ab. Und bei 4096bit langen Schlüsseln kannst du ziemlich sicher sein, dass bei dir niemals jemand via ssh einsteigen wird

 

[floho]

Allerdings wenn du den Login gleich auf nur-Zertifikate umstellst, dann brauchst du eigentlich auch gleich kein sshguard mehr.

Was meinst du genau damit [bin kein Linux-Pro]?

 

[jahlives]

Was meinst du genau damit [bin kein Linux-Pro]?

Guckst du in unser Wiki

 

[floho]

danke! Hatte es grade gefunden...

 

[floho]

Zur Info für all jene, die evtl. das gleiche Problem haben:

Ich habe das Problem durch Umleiten des Standart-Ports für SSH gelöst. Komme jetzt über einen anderen freien Port rein. Keine Login-Versuche mehr. Meine DS kann nun Nachts wieder schlafen...