DSM 6.x und darunter geblockte Hacker

[prologos]

Hallo zusammen
meine Disk Station hat bisher einige Möchtegernhacker erfolgreich verbannt. Soweit so gut.
Einer dieser "Hacker" hatte aber eine auffällige Adresse 10.0.1.1. Frage: Wie kann das sein? Bin da etwas verunsichert, da ich von hacken wenig (offenbar 0) Ahnung habe. Die anderen IP waren alle im üblichen Rahmen und (asiatischen) Raum angesiedelt.
Ich danke Euch für etwas Licht in meinem Dunkel
prologos

 

[jahlives]

kommt drauf an ob über ein UDP oder TCP Protokoll. Bei UDP kann man den Absender relativ einfach fälschen und dann würde ich darauf tippen jemand hat versucht, dass deine DS eine lokale IP blockt (eigentlich eine DOS-Attacke). Bei einem TCP Protokoll wird es mit dem Adressen fälschen schwieriger.

 

[raymond]

10.x.x.x ist eine private IP-Adresse oder eine VPN Verbindung. Also eigentlich was du sehr beeinflussen kannst.
http://de.wikipedia.org/wiki/Private_IP-Adresse

 

[jahlives]

Also eigentlich was du sehr beeinflussen kannst.

du kannst es nur bei TCP beinflussen. Bei UDP kann es jeder in der Welt sein

 

[raymond]

Was ich meine mit beeinflussen ist, wenn es aus dem internen Netzwerk kommt musst du ja schnell herausfinden können, welcher Rechner da sich ständig ungültig einloggen möchte. Wenn es über VPN kommt: VPN deaktivieren.

Hast du mal kritisch die Benutzer, die auf der NAS registriert sind, durchgeschaut? Also im Log der DSM?

 

[jahlives]

Wenn es über VPN kommt: VPN deaktivieren.

und wenns von aussen kommt? Und was wenn der böse Hacker das nächste Mal eine IP erwischt die wirklich existiert im LAN? Ganz nett wäre es die LAN IP des Routers in den Block zu bringen :-D
Es ist wirklich entscheidend über welches Protokoll das passiert ist

 

[ubuntulinux]

Blockieren das normale Router nicht? Bei meinem pfSense kann ich einstellen, dass RFC1918-IPs blocked werden.

 

[CaptainKrunch]

und wenns von aussen kommt? Und was wenn der böse Hacker das nächste Mal eine IP erwischt die wirklich existiert im LAN? Ganz nett wäre es die LAN IP des Routers in den Block zu bringen :-D
Es ist wirklich entscheidend über welches Protokoll das passiert ist

Selbst jeder handelsübliche Billigrouter blockt mittlerweile RFC 1918-Adressen, die (ungetunnelt) über das externe Interface kommen. Grundsätzlich würde ich hier also erstmal ein VPN-Setup vermuten...

 

[jahlives]

Blockieren das normale Router nicht? Bei meinem pfSense kann ich einstellen, dass RFC1918-IPs blocked werden.

Homerouter nicht per default. Die sollen ja auch out-of-the-box funzen d.h. ggf hinter einem weiteren Router auch laufen und dessen Pakete nicht verwerfen

 

[CaptainKrunch]

Ganz vom Homerouter abgesehen: ich kenne keinen ISP, der RFC 1918-Adressen weder In-, noch Egressmäßig nicht filtern würde...

 

[jahlives]

stimmt wenns der Router/Provider verwirft dann ist es nicht so tragisch und kommt eher von innen. Wäre aber trotzdem wichtig welcher Dienst den Block verursacht hat. Weil was hindert einen bösen Zeitgenossen bei UDP auch mal die externe Adresse des Routers als Absender (Angreifer) zu probieren

 

[ubuntulinux]

Er kann ja mal mit arp schauen, welche MAC das Problem verursacht hat. Muss man aber per IPKG nachinstallieren.

 

[raymond]

und wenns von aussen kommt? Und was wenn der böse Hacker das nächste Mal eine IP erwischt die wirklich existiert im LAN? Ganz nett wäre es die LAN IP des Routers in den Block zu bringen :-D
Es ist wirklich entscheidend über welches Protokoll das passiert ist

Das ist jetzt ein Witz, oder? Private IP-Adressen werden im Internet nicht geroutet, deswegen ja die Unterteilung in private und öffentliche IP-Adressen. Wenn er seine IP-Range des DHCP Servers des Routers (oder ist es manuell eingestellt?) auf die 10.x.x.x eingestellt hat, kommt es von intern. Wenn dieser VPN aktiviert hat, kann es auch von daher kommen.

Ob TCP oder UDP spielt da überhaupt keine Rolle.

Also das sollte der Betroffene erstmal beantworten.

 

[jahlives]

Habe das mit den Router/Provider ned beachtet, Asche auf mein Haupt. Aber dadurch dass es von intern kommt, wird es eigentlich nur noch dringlicher zu wissen welches Protokoll "angegriffen" wurde. Denn aus dem VPN heraus kann man bei einem UDP Protokoll die LAN-IP des Router problemlos faken. Je nachdem was für ein Blockdienst eingesetzt wird, ist der Router dann gesperrt.

 

[Matthieu]

Sowohl das Blocking als auch die VPN-Verbindungen lassen sich über die Protokolle des DSM (IPs stehen im System-Log und VPN-Verbindungen im VPN Center) problemlos nachvollziehen ...

MfG Matthieu

 

[itari]

Er kann ja mal mit arp schauen, welche MAC das Problem verursacht hat. Muss man aber per IPKG nachinstallieren.

cat /proc/net/arp

Itari

 

[prologos]

Vielen Dank erstmal für die vielen, zT mir unverständlichen Tips. Also ich bin sicher dass ich keine weiteren Benutzer zugelassen habe. Und meine anderen Macs liefen in dieser Zeit nicht.

- VPN wo kann ich das nachschauen? Ist mir aber nicht bewusst, dass ich mal was mit VPN gemacht habe.
- Meine offenen Zugänge sind ftp und der Browser. FTP (über Port 21) allerdings auch übers Internet.
- Anonymius ftp ist aus.
- SNMP ist aus.
- WebDAV ist aus.
- Kein Windows Dateidienst.
- NFS ist ausgeschaltet.
- Mac Dateidienst ist an.

Bitte nochmals konkret,- was muss ich noch nachschauen (verändern) Werde unterdessen die Antworten nochmals gründlich durchlesen.
vielen Dank für Eure Mühe Prologos

 

[prologos]

1.ter Nachtrag

Habe soeben festgestellt dass ein Update für "AirPort Dienstprogramm" bereit war. Das könnte ja auch eine Ursache sein. (Zugriff auf alle Anschlüsse darauf). Eventuelle hat ja "Airport" versucht mit der NAS Kontakt aufzunehmen !?
Und noch was,- ich habe nur Macintosh und keine Windows Computer.

 

[jahlives]

Hast du allenfalls noch einen WLAN-Zugang im LAN? Falls ja könnte es auch sein, dass sich dort jemand verbunden hat.
Kannst du denn sagen ob diese verwendete IP irgendwo bei dir im LAN gütig wäre? sprich hast du denn in deinem LAN IPs aus diesem Subnetz? Im Log für den Block steht nicht welcher Port oder Dienst betroffen war? Hast du die Portweiterleitungen am Router manuell erstellt oder im DSM das ez-Internet-Gedöns verwendet? Und du bist auch ganz sicher, dass OpenVPN auf deiner DS nicht aktiviert ist?

 

[prologos]

@jahlives

Die verwendete LAN ist nicht in meinem Netzwerk vorhanden. Soweit ich mich erinnere, war da auch der Name "Administrator", was ja nur von aussen kommen kann. Und nein ich habe die Portweiterleitungen nicht mit dem "ez-Internet-Gedöns verwendet" (Nur DDNS).
Hier meine Systemsteuerung - Netzwerk

Allgemein:
Servername: Diskxxxxx
DNS-Server: 10.x.x.x
Standart-Gateway: 10.x.x.x


Netzwerk-Schnittstelle:
LAN (verbunden)
manuelle Konfiguration: IP-Adresse 10.x.x.x (habe diese Manuel eingestellt, weil ich sonst bei jedem Reboot alle IP neu einstellen muss)
Subnetz-Maske: 255.xxx.xxx.x
Jumbo Frame: aktiv
Netzwerkstatus: 1000,Full duplex,MTU 2000


Tunnel: ist nicht aktiviert

Keine Routerkonifugation (die Portumleitung machte ich über Airport extrem)

Hoffe die Angaben machen ein wenig Sinn. Gruss und Dank von prologos (Bitte einfach löschen wenn ich zu viel preisgebe!)