Angriffe über das Internet - User [root]

[Freakhouse]

Habe meine Diskstation gestern mit mit dem Internet verbunden und daher auch eine Portweiterleitung aktiviert. Klappt alles wunderbar. Heute morgen sehe ich im Verbindungsprotokoll über 500 Zugriffsversuche von fremden IPs auf die Diskstation. Insgesamt waren es vier unterschiedliche IPs, von denen die Angriffe kamen. Die IPs stammen alle aus Südkorea. Vermutlich hat dort irgendein pubertierendes Kind mit Zahnspange und vielen Pickeln aufgrund der Freude über sein erstes Sackhaar zuviel Testosteron im Blut und versucht sich jetzt als kleiner Hacker

Habe meine Diskstation nun so so eingestellt, dass mehrfache fehlerhafte Einloggversuche zu einer dauerhaften Blockade der entsprechenden IP führt. Besagtes asiatisches Kind befindet sich also zwischenzeitlich auf der Blacklist.

Mir ist aufgefallen, dass für die Einwahlversuche teilweise unterschiedliche Usernamen probiert wurden, was aber mathematisch gesehen recht wenig Sinn macht. Aus diesem Grund erfolgen die meisten Versuche dann auch mit dem Usernamen "admin" oder "root". Dies ist ja auch der Hauptgrund, weshalb man den User "admin" umgehend in der Diskstation deaktivieren sollte, nachdem man einen anderen User mit Adminrechten eingerichtet hat. Denn nur so muss ein Angreifer mittels Bruteforce nicht nur das Passwort erraten, sondern eben auch den Usernamen.

Da User "admin" ja identisch ist mit dem User "root", habe ich folgende Frage: ist mit der Deaktivierung des Users "admin" auch der User "root" deaktiviert? Falls nein: wie kann ich auch Zugriffsversuche, die mit dem Usernamen "root" erfolgen, von vorneherein blockieren?

 

[jahlives]

schau mal wie gut ein Linux noch läuft wenn du root deaktivierst Du kannst den SSH Login für root verbieten, aber den Account komplett zu deaktivieren/entfernen dürfte darin enden, dass auf der DS nicht mehr viel läuft

Dies ist ja auch der Hauptgrund, weshalb man den User "admin" umgehend in der Diskstation deaktivieren sollte, nachdem man einen anderen User mit Adminrechten eingerichtet hat

mag sein, aber aus Sicht der Sicherheit wäre es viel besser den Zugriff auf den DSM von aussen gar nicht zu erlauben Für irgendwas wurde ja VPN erfunden

 

[raymond]

Bringt alles nicht. Deswegen habe ich schon vorgeschlagen einfach eine Option einzufügen, dass aus öffentlichen IP-Adressen man admin/root Zugang komplett ausschließen kann. Alternative, die auch vorgeschlagen habe, ist es einfach nur Logins aus bestimmten Ländern zuzulassen. Also für mich dann nur aus Deutschland. Kann man ja schön unter https://www.countryipblocks.net/country_selection.php in Erfahrung bringen.

Beides kam jedoch noch nicht durch. Sowas kannst du jedoch gerne auch bei denen mal vorschlagen.

Bei Automatische Blockierung kannst du seit 4.2 nun einzelne IP-Adressen einstellen, die erlaubt oder verboten sind, aber keine Ranges/Subnetze, also auch nur sehr halbgar.

Ja Port 22 extern geöffnet lassen, ist immer so ne Sache. Stimme da jahlives zu: VPN nutzen.

Du kannst den SSH Login für root verbieten, aber den Account komplett zu deaktivieren/entfernen dürfte darin enden, dass auf der DS nicht mehr viel läuft

Aber leider nicht direkt im DSM einstellbar. Bei sowas würden sich sicherlich viele ihre NAS zerschießen, sollte sicherlich dann noch telnet geöffnet (aber nicht extern erreichbar) sein, falls da was schiefläuft.

 

[Freakhouse]

Wenn man den Zugriff via "root" nicht blockieren kann, sollte man dem User "admin" - bevor man diesen deaktiviert - dann vermutlich ein ewig langes und kompliziertes Passwort verpassen. Grund dafür ist, dass das Passwort des Users "admin" ja identisch ist mit dem Passwort des Users "root".

Ich habe mich mit dem Thema VPN noch nicht besonders vertieft auseinandergesetzt. Daher nur eine kurze Frage vorweg: lässt VPN auch mit dynamischen IP-Adressen nutzen, ohne dass man jedes Mal die aktuellen IP-Adressen von Hand eintragen muss?

 

[jahlives]

der root Zugriff wird nur dann zum Problem wenn auch telnet und/oder ssh zum Netz hin offen sind. Denn root darf sich eh nicht am DSM anmelden. Auch alle anderen Dienste z.B. ftp oder samba verweigern root die Anmeldung. Das Deaktivieren des admins ist so eine Glaubensfrage: denn eigentlich könnte man das als Security by Obscurity bezeichnen. Und bei diesem Ansatz ist höchst umstritten inwiefern das ein Mehr an echter Sicherheit bietet. Wenn man z.B. den admin/root umbenennt und sich dann denkt: "Ach den Loginnamen kennt man ja nicht, also nehme ich ein einfaches Passwort" dann hat man genaugenommen sogar weniger echte Sicherheit als zuvor. Bei der Beurteilung der Sicherheit kannst du nicht die Skriptkiddies mit den ersten Sackhaaren als Referenz nehmen (finde diese Formulierung von dir oben einfach Endgeil ). Die schiesst du mit einem strengen Autoblock problemlos ab (genügend komplexes PW vorausgesetzt)

Echte Sicherheit kannst du erst beurteilen, wenn man dich persönlich bzw deine IP als Angriffziel auserkoren hat und ein "Hacker" mit mindestens einem grauen Sackhaar kommt ;-) Die können dann meistens wesentlich mehr als nur gerade ein Script bedienen z.B. auch durch Social Engeneering mögliche Loginnamen in Erfahrung bringen oder einen auf dich zugeschnittenen Angriff schreiben.
Wie sich in der letzten Zeit häufiger zeigt finden erfolgreiche Angriffe gegen Server selten direkt am Server statt. Die sind oft gut gesichert, überwacht und es laufen nur die wirklich nötigen Dienste. Da ist es viel einfacher einen admin PC zu kapern, über den der Server verwaltet wird. Denn es ist sehr viel wahrscheinlicher dass auf dem admin PC etwas läuft was man angreifen kann. Veraltete Browserplugins z.B. für Flash oder Java sind die Klassiker. Dafür kann man Exploits von der Stange kaufen (oder selber schreiben).
Zudem neigen admins manchmal dazu, dass sie sich das Tippen ersparen und einen "nützlichen" Befehl in einem Wiki copy und direkt auf die Konsole des Servers pasten. Diese würden dann mit so etwas (http://www.heise.de/security/dienste/Copy-Paste-Tricks-1842691.html) schnell zu Opfern eines Angriffs

Der wichtigste Grundsatz für Sicherheit ist imho: so wenig wie möglich, soviel wie nötig. Bei jedem Port den man am Router öffnet muss man sich die Frage stellen: ist es wirklich nötig. Das gleiche gilt für jeden Dienst den man laufen lassen will. Denn Ports die nicht offen sind bzw Dienste die nicht laufen sind die beste Sicherheit die es gibt.
Wenn man bestimmte Dienste/Ports nutzen können muss, dann muss man sich als nächstes fragen: wie sichere ich das am besten ab? Da helfen z.B. Firewalls mit möglichst restriktiven Regelwerken und Logfile-Monitoring, wie es im DSM mit Autoblock auch gemacht wird.

 

[Freakhouse]

@jalives:

Danke für deine ausführliche Antwort. Leider habe ich SSH zum Internet hin offen, da ich die Backup- und Synchronisierungsfunktion der Diskstation verwende. Für die verschlüsselte Übertragung muss ich den Port 22 offen halten. Folgende Ports habe ich ingesamt auf meine Diskstation weitergeleitet, damit ich via Internet darauf zugreifen bzw. automatische Backups von einer Diskstation auf die andere erstellen kann:

• 22
• 80
• 81
• 5001
• 7001

Kann ich da noch Ports von schließen oder müssen diese Ports alle offen bleiben?

 

[jahlives]

es kommt drauf an wo du die Ports offen hast (Router oder auf der DS) und wie die Backupgeschichte bei dir ausschaut. Wenn sowohl Quelle als auch Ziel des Backups im selben Subnetz sind, dann musst du Port 22 am Router nicht unbedingt offen haben. Da der Zugriff ja lokal im LAN erfolgt. Man kann zudem den SSH Dienst so konfigurieren, dass nur Logins mit Keys zugelassen werden und Passwort Logins komplett verboten sind. Die verwendeten SSH Schlüssel entsprechen dabei Passwortlängen von bis zu 500 Zeichen und die sind wirklich zufällig (hängt davon ab wie lange Schlüssel du generierst). Ich weiss aber leider ned ob die Backupdienste der DS mit Schlüsseln auch können oder ob die nur mit Passwort Auth arbeiten.
Port 80 ist relativ unkritisch wenn dahinter wirklich ein Webserver läuft. Denn der Webserver läuft unter einem eingeschränkten User und nicht als root. Daher ist es nicht so einfach den Webserver so anzugreifen, dass man an root Rechte gelangen könnte. Und das ist immer ein Ziel eines Angriffs: root Rechte erlangen. Zudem ist der eingesetzte Webserver (Apache) eine sehr verbreitete Software d.h. man darf davon ausgehen dass er nicht sehr viele kritische Sicherheitslücken hat.
Was läuft denn bei dir auf Port 81?
Bei 5001 ist es nicht ganz so eindeutig wie bei Port 80. Es ist zwar gut dass du nur https Verbindungen (Port 5001) zulässt, aber das Problem ist hier, dass der Webserver für den DSM (ebenfalls Apache) immer als root!!! läuft d.h. bei einem Angriff müsste man nicht erst irgendwie an root Rechte gelangen.

 

[ubuntulinux]

Hi @Freakhouse

Solche Angriffe sind normal, sobald man Ports geöffnet hat. Eine Möglichkeit wäre, das ganze per VPN zu machen. Oder die Ports nur für gewisse IPs öffnen, falls der Router das kann.


Viele Grüsse aus dem Flugzeug von mitten über dem Atlantik
ubuntulinux

 

[Freakhouse]

Wie kann ich denn eine VPN-Verbindung zu einer Diskstation aufbauen, die hinter einem Router mit dynamischer IP hängt. Geht das mit entsprechendem DynDNS-Dienst?

 

[goetz]

Hallo,
ja selbstverständlich, machen ja auch viele hier.

Gruß Götz