Toggle sidebar

Synology Nicht schliessbarer Port 21

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

C

chaep

Benutzer
Registriert
08. Apr. 2020
Beiträge
14
Reaktionspunkte
3
Punkte
3
Hallo

Ich verwende in meinem Heimnetz einen Synology Router RT2600. Nun habe ich mal Portscans von aussen gemacht, um die Sicherheit zu analysieren bzw. um zu schauen, welche Ports mein Netz in Richtung Internet offen hat. Dabei habe ich auf dem Router die Firewall so eingestellt, dass alles zu ist. Trotzdem zeigt mir der Portscanner an, dass ein Port offen ist und zwar Port 21. Wobei der Portscanner vermerkt: "ftp ?". Ich habe in der Firewall dann zusätzlich eine Regel erstellt, die alle Anfragen von aussen auf Port 21 explizit verweigert. Trotzdem gleiche Meldung...

Merkwürdige Sache. Ist das bei euch auch so?

Zum Testen habe ich dann in den Routereinstellungen den ftp-Dienst aktiviert und in den Firewall-Einstellungen Port 21 geöffnet. Der Portscanner erkennt (natürlich) wieder, dass dieser Port offen ist, schreibt aber nun "ftp" und nicht mehr "ftp ?".


Habt ihr eine Erklärung? Welche (vertrauenswürdigen!) Tools benutzt ihr, um eure Netzwerksicherheit zu prüfen?

Vielen Dank
Peter
 
Ich weiss nicht wie die Syno da funktioniert, nur grundsätzlich heisst geblocked nicht geblocked. Je nach Hersteller werden Antworten nur rejected, weil im System ein Dienst für diesen Port läuft. Der Router lauscht also ob was kommt. Normal wäre ein silent drop der Anfrage, die Syno liefert dagegen anscheinend ein Reject (ICMP unreachable).
Dadurch kommt es zu unvollständigen Antworten im FTP oder TCP Fingerprinting die der Scanner mit einem ? markiert, also meint das wahrscheinlich FTP dahinter steht.
Für mich ist dieses Firewall Verhalten immer eine mit Risiko behaftete Schwachstelle, die dann gerne weiter ausgetestet wird.

Es ist natürlich schwer in der Firewall alle Risiken auszuschalten. Selbst bei Nutzung von VPN (ausser bei SSL-VPN) muss ja irgendwo ein Port offen sein. Draytek hat sich dafür etwas einfallen lassen. Nennt sich Port Knocking. Alle Ports die nach aussen lauschen wie zB VPN antworten auf Anfragen mit einem silent drop, sind also nicht zu erkennen. Für einen frei definierten Port in der Firewall ist ein extrem langer Schlüssel hinterlegt. Diesen Schlüssel muss der anrufende Client erst mal an die Firewall schicken. Passt der key öffnet sich zB der VPN Port und man kann sich jetzt erst einloggen.
Aber auch hier hat man einen Port der nach Aussen lauscht der auch garantiert bei einem intensiven Scan gefunden wird.

Ich nutze Nmap für die Port Scans und bin damit bisher sehr gut gefahren.
 
Moin, prüfe bitte auf deinem NAS, ob du dort unter den Systemeinstellungen UPnP (Universal Plug and Play) aktiviert hast.
Brauchst du FTP auf dem NAS? Falls nein, deaktivieren.

Sollte dies nicht der Fall sein, musst du das Gerät in deinem Netzwerk suchen, bei welchem das aktiviert ist. Ansonsten generell von FTP auf SFTP umstellen, falls du es brauchst - mindestens allerdings auf FTPs umstellen. FTP an sich nutzt nicht verschlüsselten Datenverkehr.

Grüße
maxblank
 
Vielen Dank!

@maxblank UPnP ist auf jeden Fall deaktiviert. FTP auch, da ich kein ftp brauche. (Übrigens: Es geht um meinen Synology Router...) Habe ich Dich richtig verstanden? Du vermutest ggf., dass vielleicht auf irgendeinem Gerät in meinem Netz eine Malware einen Port 21 geöffnet hat und dank einer Sicherheitslücke irgendwie durch meinen Router hindurch nach aussen geöffnet hält?

@NSFH Was wäre aus Deiner Sicht das sicherste Setup? VPN besser als Reverse Proxy (wegen 2FA-Möglichkeit bei VPN)? Falls VPN, dann bevorzugt SSL-VPN? Und falls ja, müsste da der SSL-Port 443 nicht explizit geöffnet werden?
 
Das Problem der billigen SoHo Router/Firewall ist, dass nur die ankommenden Ports abgesichert werden. Bei besseren Geräten werden auch die abgehenden Ports und Ziele abgesichert. Daher würdest du bei deinem Router nicht merken, wenn sich eine Malware von Innen nach Aussen verbindet. Das dürfte bei dir aber nicht der Fall sein, sondern nur ganz simpel, dass dein Router bei FTP keinen silent drop macht. Das heisst ja nicht, dass er offen ist.
Bei aktiviertem upnp passiert auch erst mal nichts. Nur wenn sich dann tatsächlich eine (Schad-)Software in deinem LAN befindet und FTP anfordert würde könnte upnp die Tür nach Aussen öffnen. Daher sollte der Port1900 in beide Richtungen immer zu sein.

SSL-VPN hat zwei grosse Vorteile: Es ist schneller als z.B. Wireguard und funktioniert immer, egal wo du dich befindest, weil SSL=443=HTTPS. Das ist immer offen.
Ist die Frage ob die Syno SSL-VPN unterstützt. Ich verbaue seit Jahren ausnahmslos nur noch Draytek Router, weil hier die Firewall alles bietet was es gibt und es kostenfreie VPN Clients für alle Betriebssysteme und Mobiles gibt.
Aber so hat halt jeder seine eigenen Favoriten.

Ich glaube also nicht, dass du dir wirklich Gedanken machen musst, erst mal ist dein System zu wenn dein Scan stimmt, auch wenn ich das oben beschriebene Verhalten des Routers grenzwertig finde.
 
Der Synology Rpouter unterstützt SSL-VPN: https://kb.synology.com/de-de/SRM/help/VPNPlusServer/vpnplus_server_sslvpn?version=1_3

Ich habs gleich mal aktiviert. Der Dienst verlangt dann aber, dass in der Firewall 443 geöffnet wird...

Ja, diese Sache mit dem Port 21 bei meinem Netz ist schon merkwürdig; auch, weil sich im Internet keine ähnliche Berichte finden lassen. Vielleicht wird aber auch generell viel zu wenig getestet, welche Ports nach aussen sichtbar sind, keine Ahnung...

Danke für den Draytek-Tipp. Werde ich mir merken. Ich hatte damals schon etwas recherchiert, ob der Synology Router was taugt; aber nicht intensiv Routers verglichen...
 
chaep schrieb:
Du vermutest ggf., dass vielleicht auf irgendeinem Gerät in meinem Netz eine Malware einen Port 21 geöffnet hat
Zum Vergrößern anklicken....
Nein, vermute ich nicht. Sorry, falls ich das vermittelt haben sollte. Aber irgendein Dienst lauscht ja scheinbar an dem Port 21 laut deinen Angaben. Prüfe das mal manuell mit Telnet, ob der Port tatsächlich offen ist. Anleitung dazu findest du bei Google.
 
443 ist immer offen, denn darüber läuft dein gesamtes surfen via HTTPS! Das bedeutet nur, dass du den 443 im Router explizit für VPN öffnest was ok ist.

Du könntest mir aber mal einen Gefallen tun, nur aus Neugierde.
Wenn SSL VPN bei dir läuft lade dir mal von hier den Draytek VPN Client runter für dein Smartphone oder PC und teste mal ob der läuft.
Einstellungen im VPN Client sind easy:
Typ=SSL, Port: 443, Authent-Typ: Benutzername und Pw
Erweiterte Einstellungen: Netbios über TCP an und vermutlich auch Fast SSL an. Das war es schon.
 
Um Port 21 auf einem Synology Router zu schließen, müssen Sie in der Router-Weboberfläche eine Regel in der Firewall erstellen, die den Datenverkehr für diesen Port blockiert oder eine Portweiterleitung für diesen Port löschen. Melden Sie sich dazu bei der Weboberfläche Ihres Routers an, navigieren Sie zu den Sicherheitseinstellungen (Firewall) und erstellen oder ändern Sie eine Regel, die den eingehenden Port 21 blockiert. Stellen Sie sicher, dass Sie die Änderungen speichern, damit sie wirksam werden.
  • Das Schließen des Ports 21 schaltet den FTP-Dienst ab, der standardmäßig auf diesem Port läuft. Wenn Sie den FTP-Dienst weiterhin nutzen möchten, sollten Sie eine andere Port-Weiterleitungsregel erstellen, die nur für bestimmte IP-Adressen oder Geräte freigegeben ist.
  • Sollten Sie einen Synology NAS haben, der über diesen Router verbunden ist, müssen Sie sicherstellen, dass die Firewall des NAS ebenfalls so konfiguriert ist, dass sie eingehenden Datenverkehr auf Port 21 blockiert, sofern er nicht benötigt wird.
 
maxblank schrieb:
Nein, vermute ich nicht. Sorry, falls ich das vermittelt haben sollte. Aber irgendein Dienst lauscht ja scheinbar an dem Port 21 laut deinen Angaben. Prüfe das mal manuell mit Telnet, ob der Port tatsächlich offen ist. Anleitung dazu findest du bei Google.
Zum Vergrößern anklicken....
Ich habe mal folgendes in der Powershell ausgeführt (entsprechend):
Test-NetConnection -ComputerName example.com -Port 21 -InformationLevel Detailed

Antwort: TcpTestSucceeded: True

Ein ausführlicheres Powershell-Scipt unter Verwendung von System.Net.Sockets.TCPClient gibt auch zurück, dass Port 21 offen ist. Dieses Script soll scheinbar auch anzeigen, falls DROP oder RECEJECT wäre... (unter Berücksichtigung, ob eine Verbindung möglich war und falls nicht, ob ein timeout stattfand.)

Merkwürdige Sache mit diesem Port. Was ich noch beiläufig gesehen habe. Ggf. ist ein router-interner ftp-server für den usb-stick aktiviert. Jedenfalls können für den USB-Stick Standardberechtigungen eingestellt werden und dort ist ein "Interner Systembenutzer" ersichtlich, der "Anonymous FTP/WebDav" heisst. Ich habe dort mal explizit auf "kein Zugriff" gestellt, aber Port 21 ist immer noch offen. Gut, der Zugriff für diesen anonymen FTPler wird vielleicht auf anderer Ebene geblockt.
 
Lambrone schrieb:
Um Port 21 auf einem Synology Router zu schließen, müssen Sie in der Router-Weboberfläche eine Regel in der Firewall erstellen, die den Datenverkehr für diesen Port blockiert oder eine Portweiterleitung für diesen Port löschen...
Zum Vergrößern anklicken....
Vielen Dank. Das habe ich bereits alles gemacht. FTP ist an keinem Ort aktiviert und in der Firewall habe ich sogar explizit eine Regel erstellt, die Port 21 blockt.
 
Zuletzt bearbeitet von einem Moderator:
Das ist in meinen Augen von einem Hersteller von Routern unverantwortlich, wenn das Standard sein sollte und es nicht vom Benutzer geändert wurde. Mach ein Ticket bei Synology auf!
 
NSFH schrieb:
Du könntest mir aber mal einen Gefallen tun, nur aus Neugierde.
Wenn SSL VPN bei dir läuft lade dir mal von hier den Draytek VPN Client runter für dein Smartphone oder PC und teste mal ob der läuft.
Einstellungen im VPN Client sind easy:
Typ=SSL, Port: 443, Authent-Typ: Benutzername und Pw
Erweiterte Einstellungen: Netbios über TCP an und vermutlich auch Fast SSL an. Das war es schon.
Zum Vergrößern anklicken....
Das will nicht... Hab einen Test-Account erstellt, der kein 2FA besitzt, da ich dachte, dass es damit wohl sowieso nicht gehen würde. Aber auch mit diesem Test-Account, ich krieg keine VPN-Verbindung. Wird sofort abgeblockt. Mit der VPN-App von Syno geht es...

Allerdings habe ich die Einstellungen Netbios over TCP und FastSSL jetzt nicht gefunden. Wo sollen die sein?
 
Zuletzt bearbeitet von einem Moderator:
@Lambrone Es ist nicht hilfreich KI Texte 1:1 hier zu posten! Das kann der TE auch alleine ohne deine Hilfe!
 
NSFH, ich habe Dir hier übrigens schon vor einem Weilchen geantwortet wegen Draytek VPN Client. Aber diese Nachricht muss scheinbar aus irgendeinem Grund von den Moderatoren noch freigegeben werden... Keine Ahnung warum...

Jedenfalls. Es ging nicht mit diesem Client... Aber Netbios über TCP an und Fast SSL hatte ich nirgend gefunden...
 
Zuletzt bearbeitet von einem Moderator:
1763923577982.png
Screenshot VPN Client
 
IMG_1738.jpg
App "Smart VPN" von Draytek sieht auf iOS so aus...

Aber wäre jetzt ja schon eher überraschend gewesen, wenn es auch mit einer Fremd-App ginge...
 
Zuletzt bearbeitet von einem Moderator:
NSFH schrieb:
443 ist immer offen, denn darüber läuft dein gesamtes surfen via HTTPS! Das bedeutet nur, dass du den 443 im Router explizit für VPN öffnest was ok ist.
Zum Vergrößern anklicken....
Diesen Beitrag verstehe ich nicht. In dem Thread geht es um eingehende Firewallregel auf Port 21, oder habe ich etwas überlesen?
Was hat der ausgehende 443 zum surfen mit einem eingehenden 443 SSL zu tun.
Bitte klär' mich auf.
 
Da ging es nicht um 21 sondern um SSL-VPN. Ist thematisch etwas abgedriftet.
Wenn du surfst ist dein 443 eingehend zu? Kannst du ja mal probieren was da noch bei dir ankommt.
 
Es tut mir leid. Ich kann deinen Gedankengängen nicht folgen.
Wenn du surfst schickst du ein Anfrage Paket zum Webserver. Der schickt ein Antwortpaket zurück. Dieses Antwortpaket ist niemals von eingehenden Frewallregeln betroffen, weil eingehende Firrewallregeln Anfragepakete filtern.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten