Automatische Blockierung, Grund der Blockade?

[sesc]

Hallo zusammen.

Ich habe die Automatische Blockierung aktiviert. Wenn ich mir mein Log so ansehe, sind da immer mal wieder einige IPs drin, die blockiert wurden.
Gibt es eine Möglichkeit zu erkennen, auf welchen Dienst bzw. welche Dienste diese versucht haben zuzugreifen, bevor sie blockiert wurden?
Ich setze DSM 4.0 auf einer DS411slim ein.

Vielen Dank für alle Hinweise.

 

[Matthieu]

Wenn es viele sind und keine Einzelfälle mit ziemlicher Sicherheit FTP. Ist bekannt, sind die Skript-Kiddies. Gibts auch schon einige Diskussionen zu falls du ein wenig mehr lesen möchtest.

MfG Matthieu

 

[sesc]

Im Wesentlichen können es nur ftp, ssh oder vpn sein, für alles andere gibts im Router keine Weiterleitung. Ich geh eigentlich auch von ftp aus, aber wäre halt schön, wenn man da irgendwie sicher gehen könnte, ob es das wirklich ist.
Naja, werde wohl einfach mal eine Weile ftp abschalten und beobachten, ob es weiter so gehäuft auftritt.

 

[Holtor]

Das wüsste ich auch gerne...ich kriege ca. 5 Blockaden pro Tag, und ich leite durch den Router (NAT-firewall) nur ssh auf die DS. Jetzt würde ich mich gerne vergewissern, welcher Port angegriffen wird. Könnte ja sein, dass im Router irgendwas schief läuft/ schon gehackt ist usw.

 

[raymond]

Die Idee finde ich sehr interessant, kann ich nur unterstützen. Hoffe, dass Synology das zukünftig einbaut.

 

[Matthieu]

Das wüsste ich auch gerne...ich kriege ca. 5 Blockaden pro Tag, und ich leite durch den Router (NAT-firewall) nur ssh auf die DS. Jetzt würde ich mich gerne vergewissern, welcher Port angegriffen wird. Könnte ja sein, dass im Router irgendwas schief läuft/ schon gehackt ist usw.

Es ist immer nur das von außen "angreifbar" was du auch im Router frei gemacht hast. Beliebte Ziele für solche Tätigkeiten sind immer SSH und FTP weil diese relativ einfach scan- und ausnutzbar sind.

MfG Matthieu

 

[Holtor]

Es ist immer nur das von außen "angreifbar" was du auch im Router frei gemacht hast. Beliebte Ziele für solche Tätigkeiten sind immer SSH und FTP weil diese relativ einfach scan- und ausnutzbar sind.

Das ist doch klar, aber ich schrieb ja

Könnte ja sein, dass im Router irgendwas schief läuft/ schon gehackt ist usw.

Und ich hatte den ssh-Port im Router auf eine Zufallszahl gelegt, die dann zur DS als 22 weitergeleitet wird. Deswegen überrascht mich die hohe Zahl der Angriffe schon.

 

[raymond]

Zufallszahl? Wie soll das funktionieren? Sofern du ein langes alphanumerisches Passwort (mindestens 8 Zeichen) und automatische Blockierung aktiviert hast (und dies relativ restriktiv), wird niemand in deine NAS sich erfolgreich anmelden können, der es nicht darf.

 

[Holtor]

Mit "Zufallszahl" meine ich, dass ich einmal einen unbesetzten Port zufällig gewählt habe.

Sofern du ein langes alphanumerisches Passwort (mindestens 8 Zeichen) und automatische Blockierung aktiviert hast (und dies relativ restriktiv), wird niemand in deine NAS sich erfolgreich anmelden können, der es nicht darf.

Davon gehe ich ja bisher als treudoofer Konsument auch aus, ich hätte halt nur gerne noch ein winziges bisschen mehr Informationen von der DS darüber, was vorgeht. Schon alleine um das Funktionieren des Routers zu kontrollieren, der bedauerlicherweise quasi nichts protokolliert. Irgendwo muss sie doch ein Protokoll über die Zugriffe anfertigen.

 

[jahlives]

Und ich hatte den ssh-Port im Router auf eine Zufallszahl gelegt, die dann zur DS als 22 weitergeleitet wird. Deswegen überrascht mich die hohe Zahl der Angriffe schon.

das nennt sich "Security by Obscurity" und die meisten Leute hier werden sagen "is not security at all" Das Verstecken der Ports bringt nicht v.a. dann nicht wenn du einen der default Ports (< 1024) verwendest. Es ist relativ leicht auf einem beliebigen Port zu ermitteln welcher Dienst darauf läuft

 

[Herbert_Testmann]

Ich kann jetzt (wegen dem nicht funktionierenden VPN in der letzten Version) nicht nachsehen, aber ich glaube, man kann im Systemlog sehen, wer mit welchem User (meist ADMINISTRATOR) versucht hat zuzugreifen. Ich bekomme eine Mail, wenn eine IP blockiert wurde. Wenn ich dann zu der Zeit, wo die mail versendet wure ins Systemlog der DS schaue, sind da entsprechende Einträge.
Wie gesagt, ich kann im Momnet niocht nachsehen, glaube mich aber zu erinnern ;-) ;-)

 

[Holtor]

das nennt sich "Security by Obscurity" und die meisten Leute hier werden sagen "is not security at all" Das Verstecken der Ports bringt nicht v.a. dann nicht wenn du einen der default Ports (< 1024) verwendest.[/COLOR]

Es ist mir schon bewusst, dass es keine Wunder bewirkt, aber es doch einen winzigen Tick besser, als es nicht zu tuen, oder? Ich denke halt, viele Bots werden stur die Ports 21,22 abklappern, weil es bei größeren fast immer Zeitverschwendung ist. Die Port-Nummer meines ssh ist auch 5-stellig. Die Wahrscheinlichkeit, dass meine Zufallszahl im Bereich <1024 gelandet wäre, ist ja schließlich nur 1/64=1,6 %.

ich glaube, man kann im Systemlog sehen, wer mit welchem User (meist ADMINISTRATOR) versucht hat zuzugreifen.

So ist es, aber der Port steht da eben nicht.

 

[jahlives]

@Holtor
um das vergleichen zu können, müsstest du mal den default Port (22) für ssh öffnen und dann gucken ob du unterschiedliche Anzahl von Blocks hast

 

[Holtor]

um das vergleichen zu können, müsstest du mal den default Port (22) für ssh öffnen und dann gucken ob du unterschiedliche Anzahl von Blocks hast

Ja, das werde ich mal machen. Mir ist sowieso gerade aufgefallen, dass mein Zufallsport neuerdings auch der Port eines illegalen Fernwartungstools für Windows ist.

 

[jahlives]

Mir ist sowieso gerade aufgefallen, dass mein Zufallsport neuerdings auch der Port eines illegalen Fernwartungstools für Windows ist.

sehr gute Portwahl ;-)

 

[raymond]

Und auch hier habe es an Synology weitergegeben und Antwort bekommen:

Hallo Herr xxxx,

vielen Dank für Ihren Verbesserungsvorschlag. Gerne gebe ich diesen weiter.