Toggle sidebar

DSM 7.2 Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

In deinem Fall würde ich VPN auch nicht nutzen. Cloud Flare und/oder Reverse Proxy wären wohl die Mittel der Wahl.

Dass die Versuche „hartnäckig“ erfolgen, macht logisch betrachtet wenig Sinn. Jeder Bot ist „hartnäckig“, der Begriff macht bei automatisierten Angriffen keinen Sinn. Die haben sich bei dir festgebissen und probieren stumpf ihr Wörterbuch durch, bis jemand den Stecker zieht.
 
Aber wie soll da CloudFlare helfen?

Was hast du eigentlich für eine Firewall bei dir vor deiner DS?
 
Ich verstehe immer noch nicht, warum Kunden sich in DSM an sich anmelden sollen…

Steht das NAS in einer DMZ?
 
afranz schrieb:
Ich habe für DSM einen komplett anderen Port in der Systemsteuerung angegeben. 5000 und 5001 sowie 80 und 81 sind nicht aktiv
Zum Vergrößern anklicken....
Weshalb in der Systemsteuerung? :unsure:
Dort können es doch diese Ports bleiben. Wichtig ist lediglich, wie es nach aussen hin aussieht. Also ob du z.B. im Router 55001 öffnest und auf die 5001 in deinem Netz weiterleitest.
 
Dann funktioniert dein Geoblocking nicht
 
Alle Firewalleinstellungen gemacht und am Ende nicht den Haken gesetzt bei alles andere blockieren.
Also gar keine Firewall in Betrieb oder in den Regeln eine Freigabe erteilt die alles mögliche erlaubt und nachfolgende Regeln aushebelt.
 
ja dann geht dein GEoblock nicht. Das war so meine erste Vermutung.

Am besten löst das über deine Firewall vom Netzwerk . Also nicht in der Synology sondern wirklich deinem Gateway.
Das ist die elegantere Lösung.
dann kommt der käse gar nicht erst bis zur Syno durch
 
Puppetmaster schrieb:
Weshalb in der Systemsteuerung? :unsure:
Dort können es doch diese Ports bleiben. Wichtig ist lediglich, wie es nach aussen hin aussieht. Also ob du z.B. im Router 55001 öffnest und auf die 5001 in deinem Netz weiterleitest.
Zum Vergrößern anklicken....
Was soll das bringen?
 
Das von außen nicht gerade der Port 5001 ereichbar ist . Der wird eher angegriffen.
 
Entweder die Verwendung des ReverseProxy, dafür müsste aber der Zugriff via Subdomainnamen durchgeführt werden und ein LE Zertifikat dafür vorhanden sein sowie 443 im Router auf die Syno weitergeleitet werden.
Alternativ:
Im Router eine Portweiterleitung einrichten von xxxxx auf 5001 in der Syno. Auf gar keinen Fall 5000(HTTP !!!!). In der Syno den 5001 zu verändern ist nicht zielführend, das muss im Router passieren!
Und dann natürlich funktionierende Firewallregeln anwenden, vorzugsweise schon im Router und in der Syno nur additiv.

Was mich aber wirklich interessieren würde: Warum wird DSM nach Aussen freigegeben? Welche Dienste müssen Dritte auf der Syno nutzen?
 
  • Like
Reaktionen: Benie
maxblank schrieb:
Was soll das bringen?
Zum Vergrößern anklicken....
Nach außen sichtbar ist nur der Port am Router. Es is völlig egal, auf welchen INTERNEN Port vom Router aus weiter geleitet wird.

Wenn der Router-Port auf ..xxx:5001 steht, wird jedem, der den Portscan macht signalisiert „Hier wartet potenziell eine Synology auf Kundschaft“. Und dann wird es eben probiert.

Jetzt kann man natürlich den Router-Port ändern. Dann muss man aber auch allen, die Dienste verwenden, die auf diesen Port zugreifen, beibiegen, dass sie den Port auch auf ihrer Seite ändern müssen. In dem vom OP geschilderten Fall kann das aber schwierig werden, ebenso wie das Einrichten eines VPN bei einer Gruppe von Projektmitgliedern.

Daher entweder auf die 443 gehen und den offenen Port durch einen Reverse Proxy abfangen.

Oder (ich weiß, Sakrileg !) für das Projektteam einen Clouddienst einrichten, und die DS mit diesem über CloudSync synchronisieren. Das nimmt dem Ganzen die sportliche Komponente, sein offenes Netzwerk gegen die anbrandenden Hacker-Horden zu verteidigen. Aber es erlaubt, sich auf seine Projektarbeit zu konzentrieren, statt hier im Forum abzuhängen :ROFLMAO:

Grüße von meinem Freund Prokrastes :cool:
 
  • Like
Reaktionen: Puppetmaster und Benie
  • Like
Reaktionen: T1m3w1LLt3LL und Benie
Ich bin jetzt mal etwas forsch: Wer > 3000 EUR für eine RS3621RPxs hat, sollte sich vielleicht Gedanken machen, dass man zur Absicherung derselbigen (?) eine "echte" Hardware-Firewall verwendet. Und wenn man von der ganzen Thematik keinen Dunst hat, sollte man sich zumindest für die Ersteinrichtung jemand dazu holen, der etwas vom Fach versteht, anstelle hier unter uns Hobbyadmins nachzufragen.
 
  • Like
  • Haha
Reaktionen: BirdofPrey, mayo007, Benie und 3 andere
ja ganz falsch ist dein einwand da wirklich nicht
 
Ich finde es absolut nicht zielführend, dass gebetsmühlenartig die Verlegung eines Ports in eine hohe Range etwas bringen soll außer trügerische Sicherheit. Außer vielleicht ein paar Minuten, die der Portscanner länger braucht. Die Scanner erkennen schon, was dahinter erreichbar ist.

@Puppetmaster: Absolut sachlicher Einwand …. nicht.
Hättest du das Thema gelesen, hätte sich dein absolut unnötiger Kommentar von selbst erledigt.
 
Synchrotron schrieb:
Daher entweder auf die 443 gehen und den offenen Port durch einen Reverse Proxy abfangen.
Zum Vergrößern anklicken....
Wenn offene Ports, dann ist das die gangbare Lösung, ich nutze das sogar im privaten Umfeld und habe Null Attacken auf Port 443.
 
  • Like
Reaktionen: Benie und Synchrotron
maxblank schrieb:
Ich finde es absolut nicht zielführend, dass gebetsmühlenartig die Verlegung eines Ports in eine hohe Range etwas bringen soll außer trügerische Sicherheit
Zum Vergrößern anklicken....

Was ist denn das Ziel?
Das Ziel ist, 90% der Portscans, die wiederum sinnfreie Meldungen nach sich ziehen, zu eliminieren.
Zum Thema Sicherheit hat @Synchrotron bereits ausführlich geschrieben. Es wird mindestens verschleiert, welche Maschine bzw. welcher Dienst hier hinter der Tür wartet.

Und ich habe den Thread gelesen, verstanden und reflektiert. Danke der Nachfrage.
 
  • Like
Reaktionen: Synchrotron

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten