Attacken auf Synology NAS???

[Ronny1978]

Hallo Zusammen,

seit heute Nacht versuchen sich diverse "Eindringlinge" von unterschiedlichsten IP Adressen auf meiner Synology einzuloggen. Könnt ihr das auch feststellen?

 

[Benares]

Portfreigaben entfernen - Schluss im Schacht
Und schau mal nach deiner Haustür, ob die nicht auch noch offen steht

 

[Ronny1978]

Und schau mal nach deiner Haustür, ob die nicht auch noch offen steht

Hallo Benares,

die ist zu . Ich hatte die Portfreigabe für meinen Onkel eingerichtet. Den bekomme ich so schlecht zu VPN. Admin Account ist aber deaktiviert, Kontoschutz auf 3 Fails innerhalb 1 Minute und Sperrung von 960 Minuten eingestellt. 2FA mittels Yubikey ist auch an.

Aber vielen Dank für deine Mühe und Rückinfo.

Ronny

P.S. Der nutzt halt Photos und die Videostation am TV von sich aus. Da war für mich die Portfreigabe der richtige Weg. Mal sehen, wie ich hier eine gescheite Alternative finde, ohne IHN technisch zu überfordern.

 

[Kurt-oe1kyw]

diverse "Eindringlinge"

Daher "admin" deaktivieren, wird zu 99% nicht gebraucht im Alltagsbetrieb, für die verbleibenden 1% notwendigkeit für diese Zeit kurz aktivieren.
Portweiterleitung deaktivieren, oder zumindest umbiegen und vor allem weg vom Standardport.
Langes PW und mit 2 FA sichern.
Dann laufen die Angriffe ins leere.

ah, wir hatten zeitgleich geschrieben. Ja, wenn admin deaktiviert ist, dann Laufen die Versuche auch ins Leere.

 

[ctrlaltdelete]

Welche Ports hast du den offen TCP UDP?
Edit: Welchen Port hattest du denn offen fürs DSM und die Frequenz ist schon heftig. Komisch, ich habe trotz fester IP gar keine Probleme.

 

[Ronny1978]

Muss ich zu Hause mal schauen: DSM und Drive. DSM HTTPS Standard Port 5001. Ich muss mal schauen, dass ich den geändert bekomme, sodass DS Video am TV dann dennoch geht. Aber auch dir danke für die Rückmeldung.

 

[heavy]

Komisch, ich habe trotz fester IP gar keine Probleme.

Ich habe es auch hin und wieder dass so kleine Wellen kommen. Bei mir sogar aus dem selben IP Raum sprich es ändert sich nur die Letzte Zahl 192.168.1.xxx (Beispiel) Dann mache ich meistens einen Router Neustart damit ich eine neue externe IP bekomme und setze dann die IP Range auf die Blockliste. Denn in 99,99999999999% der fälle haben sie nur meine IP und nicht eine meiner vielen Domains.

 

[Ronny1978]

Hallo heavy,

auch dir vielen Dank. Ich schaue, wo ich hier die Schraube ansetze. Bei der Synology oder meiner OpnSense. Aber danke für eure Hilfe.

 

[maxblank]

Ich habe es auch hin und wieder dass so kleine Wellen kommen. Bei mir sogar aus dem selben IP Raum sprich es ändert sich nur die Letzte Zahl 192.168.1.xxx (Beispiel) Dann mache ich meistens einen Router Neustart damit ich eine neue externe IP bekomme und setze dann die IP Range auf die Blockliste.

Das würde aber bedeuten, dass du aus dem eigenen internen Netzwerk „attackiert“ werden würdest. Neustart des Routers ändert dann nur evtl. die bezogene IP per DHCP.

 

[Kurt-oe1kyw]

Standard Port 5001. Ich muss mal schauen, dass ich den geändert bekomme,

Ähm, nur zur Sicherheit du hast ja sowieso schon eine Portweiterleitung drinn, also kannst du ja den Standardport lassen, aber den "von Aussen" kannst du ja verbiegen.
Ich meine damit für deinen Onkel:
xyz.com:69999
Deine Portweiterleitung sollte dann definiert sein auf "von Aussen" :69999 auf "intern" IP_Diskstation:5001
Dein Onkel wählt sich über :69999 ein und deine Portweiterleitung bringt die :69999 auf die interne IP deiner DS wie gewohnt auf :5001.
Von Aussen 5001 ist gar nicht "direkt" offen, dh diese Anfragen laufen ins leere.
Das Problem hast du nur wenn du 5001 extern (von Aussen) auf 5001 intern DSM leitest.

siehe auch:
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

 

[ctrlaltdelete]

Kann man das denn in der externen Videostation ändern?

 

[Stationary]

P.S. Der nutzt halt Photos und die Videostation am TV von sich aus. Da war für mich die Portfreigabe der richtige Weg. Mal sehen, wie ich hier eine gescheite Alternative finde, ohne IHN technisch zu überfordern.

Habt Ihr beide eine Fritzbox? Dann richte eine LAN-LAN-Kopplung ein. Da muß er dann nichts machen, um bei Dir zugreifen zu können. So lasse ich das mit meinen Eltern auch laufen.

 

[Ronny1978]

Deine Portweiterleitung sollte dann definiert sein auf "von Aussen" :69999 auf "intern" IP_Diskstation:5001
Dein Onkel wählt sich über :69999 ein und deine Portweiterleitung bringt die :69999 auf die interne IP deiner DS wie gewohnt auf :5001.
Von Aussen 5001 ist gar nicht "direkt" offen, dh diese Anfragen laufen ins leere.

Klingt interessant, damit muss ich mich mal beschäftigen und schauen, ob dann die Video Station noch geht bzw. ob man da auch einen Port einstellen kann.

 

[Ronny1978]

Habt Ihr beide eine Fritzbox? Dann richte eine LAN-LAN-Kopplung ein. Da muß er dann nichts machen, um bei Dir zugreifen zu können. So lasse ich das mit meinen Eltern auch laufen.

Nein: Onkel (Fritzbox) - ich (OpnSense). Ich muss mal schauen, ob die von meinem Onkel Wireguard hat/kann. Das wäre evtl. eine Option.

 

[Ronny1978]

Ich danke euch, für die vielen Ratschläge und das gute Diskutieren. So macht FORUM spaß.

ZWISCHENSTAND: Die Attacken habe seit 14.00 Uhr aufgehört. Dennoch werde ich mich intensiver mit den externen Zugängen und der Security bzw. den Security-Möglichkeiten der DS und der OpnSense beschäftigen.

 

[Ronny1978]

Welche Ports hast du den offen TCP UDP?

NUR TCP (5001 und 6690)

 

[weyon]

Attacken klingen vielleicht etwas hart, es sind nur die „normalen“ versuche sich mit dem Admin Account anzumelden sofern passende Ports offen sind. Wie hier schon gesagt, alternativen admin mit anderem Namen anlegen und admin sperren, Kontoschutz bei fehlerhaften Logins aktivieren und Firewall so einstellen das nur deutsche Zugriffe erlaubt sind.

 

[the other]

Moinsen,
Bin da bei @Stationary...
Hier ein paar Infos aus einem anderen Forum mit Tips zum Einrichten...Und opnsense ist der pfsense ähnlich genug, um das hinzubiegen, denke ich.
Viel Erfolg...
https://administrator.de/forum/fritzbox-7590-x-opnsense-667254.html

 

[plang.pl]

Der VideoStation einen Port aus dem hohen fünfstelligen Bereich geben. Das geht in der Systemsteuerung unter Anmeldeportal Somit ist DSM von extern gar nicht erreichbar

 

[Ronny1978]

Hallo plang.pl,

das werde ich probieren. ;-)

Danke dir.