DSM 6.x und darunter externe IP greift immer beim einloggen auf meine DS216 PLAY zu

[Board-Raider]

Hallo Zusammen,

nach dem einloggen auf der DSM oberfläche wird eine externe IP Adresse bei den verbunden Benutzern aufgeführt:

http://www.hostsearch.cc/66.135.214.176



US IP-Adressen habe ich über die Firewall geblockt, wiso kommt diese trotzdem auf meine NAS
Die externe IP logt sich zeitgleich mit meinem Admin account "Matthias" ein.

Bin ich selbst diese IP Adresse? irgendwie ist mir das schleierhaft!

In meinem Router habe ich folgende Ports weitergeleitet:



Die DSM Firewall ist auch mit folgenden Einstellungen aktiv:




DDNS anbieter ist no-ip.com

was ist da los?


Gruß

 

[Frogman]

In der Reihenfolge der Regeln gilt, dass solange Regeln abgearbeitet werden, bis eine zutrifft - in Deinem Fall hilft die Blockierung einer IP aus den USA nicht als dritte Regel, wenn der Zugriff auf Port 5000/5001 in das DSM oder 5006/443 erfolgt, den diesen Zugriff hast Du mit der zweiten Regel für alle IP-Adressen freigegeben. Wenn, dann musst Du die Reihenfolge der Regeln tauschen.

Eine amerikanische IP-Adresse kannst Du erhalten, wenn Du mit T-Mobil unterwegs bist - hatte dazu hier schon mal einen Hinweis gegeben.

 

[heavy]

Frage 1 über welche IP/adresse rufst du die DS auf?
Frage 2 Hast du die zwei Faktor Autorisation?
Frage 3 Angeblich gehört die IP zu Ebay, hast du irgendwo deine DS/Email/Händynummer mit Ebay verknüpft?

 

[Board-Raider]

Die Firewall Einstellungen habe ich ensprechend angepasst, so dass die GeoIP Blockierung an erster Stelle steht. Das macht aber keinen Unterschied.
Mein Provider ist Kabel Deutschland/Vodafone. Meine IP, laut http://www.wieistmeineip.de: 88.134.133.***

Das admin Passwort habe ich auch schon geändert. Immer wenn ich mich neu auf der DSM oberfläche anmelde wird diese externe IP (66.135.214.176) sofort mit meinem adminkonto verbunden

@ heavy

zu 1: https://192.168.1.50:5001/webman/index.cgi
in den DSM Einstellungen habe ich aktivert, dass HTTP automatisch zu HTTPs umgleitet wird.

zu 2: nein habe ich noch nicht gemacht

zu 3: meine DS ist erst seit einer Woche "online" (ich habe das Teil erst gekauft)
- keine ebay Verknüpfung
- email adresse ja: ******.gmx.net
- Jdownloader2 läuft auch auf der DS mit einem myJD account auch von extern zu erreichen
myJD account: ******@gmail.com

 

[Frogman]

Wie genau greifst Du denn zu? Von welchem Gerät in welchem Netz?

 

[Board-Raider]

Ich greife aktuell nur über meinen PC auf die DSM Oberfläche ZU

im Netzwerke hängen noch eine Reihe weiter Clients:



Damit ich über die HTTPs Verbindungen keine Zertifikatwarnung bekomme, habe ich auf der DS noch ein Zertifikat von https://ssl-trust.com/ hinterlegt.

von extern lässt sich nur über den Port 5973 den ich intern auf den Port 5001 der DS weitergeleitet habe zugreifen:

https://meinds.ddns.net:5973

Vielen Dank schon mal für eure Hilfe!



Was könnte ich noch überprüfen?

 

[heavy]

Und du bist dir sicher dass nicht noch ein Mobiltelefon mit einer App auf die DS Zugreift? Was passiert wenn du den User rausschmeißt?
OK von außen komme ich nichtmal auf deine DSM Oberfläche also ist es unwarscheinlich dass es wirklich ein externer User ist. Trenne doch mal die Internetverbindung und logge dich dann auf die DS ein. Irgendwie gibt sich dein Rechner der DS über mit dieser IP aus.

 

[Frogman]

Mach doch bitte Deine DDNS im Zertifikatsmenü unkenntlich - es sei denn, Du stehst auf Leute, die bei Dir anklopfen

Wenn Du keine Zertifikatswarnung bekommst, musst Du aber über die DDNS zugreifen - also nicht im LAN?

 

[Board-Raider]

Ich bin baff. Ich hab die Internetverbindung am Router gekappt und mich dann wieder ganz normal im lokalen Netzwerk auf der DS als admin angemeldet.

Ratet mal was da wieder für eine IP steht!? Richtig: 66.135.214.176 wtf
Warum verpasst mir meine Nas diese IP adresse?

Meine Android Geräte können auch die DS dienste nutzen, tutndies derzeit aber nicht. Ich habe alle mobilen DS anwendungen welche über ddns zugreifen ausgeloggt.
Ich habe auch kein mobiles endgerät welches die Telekom als provider hat.

 

[heavy]

Ich glaube nicht dass das deine NAS ist sondern dass du irgendwas auf deinem Rechner hast was der DS diese IP mitteilt. Ich hätte da jetzt mal die Ebay Smart Leiste im IE in verdacht. Hast du einen Browser ohne irgendwelche Plugins oder Addons /Leisete?

 

[Board-Raider]

Du hattest recht, es ist tatsächlich ein Add On im Browser FF dafür verantwortlich gewesen. Möglicherweise habe ich von einiger Zeit (Jahren) diese IP adresse selbst eingetragen.



Damit hat sich mein Problem erledigt.
Sind DS und Router, so wie ich sie derzeit konfiguriert habe bestmöglich von äußeren Angriffen geschütz? Oder seht ihr noch Verbesserungspotential?

Vielen Dank für eure Unterstützung!

 

[Frogman]

Sind DS und Router, so wie ich sie derzeit konfiguriert habe bestmöglich von äußeren Angriffen geschütz? Oder seht ihr noch Verbesserungspotential?

Das DSM extern verfügbar zu machen, ist in den allermeisten Fällen unnötig und damit unnötig riskant - erst recht über den unverschlüsselten Port 5000! Besser ist es, notwendige Dienste wie File Station usw. per eigenem (verschlüsselten) Port bereitzustellen, siehe Anwendungsportal in der Systemsteuerung.

 

[Board-Raider]

die DS ist nicht über port 5000 ereichbar. wo hast du das denn gesehen?

die Filestation ist von extern nur über port 5001 erreichbar.

es werden lediglich ports auf dem router erlaubt welche https erlauben.

 

[Frogman]

die DS ist nicht über port 5000 ereichbar. wo hast du das denn gesehen?

Deine Screenshots aus dem Router nahm ich nicht unbedingt als vollständig an, und mir fiel auf, dass Du in der DS-Firewall Port 5000 für alle externen IP-Adressen offen hast. Nun gut, würde ich nicht machen - bspw. deswegen nicht, weil Du so sehr schnell eine Lücke reißen kannst, wenn Du per IPv6 erreichbar wirst und hier keine weitere Firewall im Router IPv6 explizit sperrt.

 

[Board-Raider]

In der DS Firewall habe ich nun auch den Port 5000 für alle externe IP Adressen gesperrt. Dieser war aber ohnehin nicht erreichbar da dieser Port im Router nicht weitergeleitet wird.

Im ASUS RT66U ist die Firewall für IPv6 aktiv. Muss in der DS Oberfläche hierfür auch noch etwas konfiguriet werden?
Folgenden einstellungen sind aktiv:



sollte ich das IPv6 Setup auf "aus" stellen?

 

[Frogman]

Nein, für eine Blockierung von IPv6-Verkehr ohnehin nicht. Dort in dem DSM-Menü musst Du nur aktiv werden, wenn es um die konkrete IPv6-Anbindung geht. Entweder hast Du ja einen nativen IPv6-Anschluss (bspw. einen Voll-VoIP-Anschluss der Telekom) oder einen Dual Stack. Alternativ kannst Du auch einen Tunnel-Broker nutzen (SixXS o.ä.). Dann geht es darum, ob Du IPv6 aus dem Subnet bspw. vom Router verteilen lassen willst oder der DS eine feste IPv6 zuteilen willst (hat Vorteile, weil Du darüber eben Deine DS immer von externen IPv6-fähigen Clients erreichen kannst - direkt über die IP oder eine Domain, die Du per AAAA-Record festlegst.
Wenn Du keine besonderen Anforderungen hast, kannst Du im wesentlichen den DHCPv6 des Routers nutzen, den er üblicherweise hat.

 

[Board-Raider]

Danke für die Hilfe. Ich muss mich erst mal in die IPv6 Thematik einlesen, das sind mir zu viele Bömische Dörfer.

Für meiner derzeitige IPv4 Verbindung sollten meine Sicherheitseinstellungen aber ausreichend sein?

 

[Frogman]

Das sah soweit gut aus, ja. Beim Port 80 für die Web Station würde ich noch per Rewrite in einer .htaccess auf Port 443 umleiten oder die automatische Umleitung auf https im DSM aktivieren, wenn Du das noch nicht gemacht hast.
Wenn Du Dich vertiefen willst, kannst Du perspektivisch auch noch mal VPN ins Auge fassen.