Toggle sidebar

Angriff per SSH ??

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
ViperRt10

ViperRt10

Benutzer
Registriert
16. Aug. 2009
Beiträge
1.583
Reaktionspunkte
33
Punkte
74
Hi

Ich bekomme diese Mail von meiner DS:

Sehr geehrter Benutzer,
Die IP-Adresse [40.122.120.133] hatte 10 Fehlversuche beim Versuch, sich bei SSH auf DS214 innerhalb von 5 Minuten anzumelden, und wurde um Wed Oct 7 12:36:32 2015 blockiert.
Mit freundlichen Grüßen
Synology DiskStation

Jetzt ist natürlich das große Bammeln auf meiner Seite, ist alles OK, bzw. bin ich so gut wie möglich geschützt ?
Der DS Sicherheitsberater sagt mir dass LAN Dienste über das Netz zugänglich sind.
Mir ist nicht klar was ich da jetzt machen soll, ich möchte ja per Smartphone Apps auf die DS zugreifen, bzw. Quickconnect, openHAB usw.

Im prinzip ist meine Frage auch allgemein zum Sicherheitsthema, was muss im Router aktiviert sein, was auf der DS. Bzw. gibt es die Möglichkeit das zu testen wie weit ich offen bin, bzw. wie einfach ich zu hacken wäre....

Danke für jeden Input!
lg
 

Anhänge

  • 2.jpg
    2.jpg
    37,3 KB · Aufrufe: 114
Hast du uns nicht gestern noch erzählt, dass du keine Porst im Router offen hast? Wie kann dann jemand von ausserhalb per SSH auf deine DS zugreifen?
 
Puppetmaster schrieb:
Hast du uns nicht gestern noch erzählt, dass du keine Porst im Router offen hast? Wie kann dann jemand von ausserhalb per SSH auf deine DS zugreifen?
Zum Vergrößern anklicken....
für Quickconnect und openHAB braucht man keine Portweiterleitung, hatten wir ja besprochen.
für den normalen Zugriff vom Internet natürlich! und so habe ich es auch versucht korrekt einzustellen lt. https://www.synology.com/de-de/knowledgebase/faq/299
siehe Bild, das habe ich dzt. eingestellt (+ DSM auf eigenem Portbereich)
 

Anhänge

  • 3.jpg
    3.jpg
    18 KB · Aufrufe: 116
Von quickconnect und Co. reden wir hier ja auch gar nicht, sondern von SSH.

Verstehe nicht, wie da jemand per SSH auf deine DS kommen sollte. Port 22 ist doch gar nicht geöffnet...!?

Abgesehen davon ist Port 5000 (sofern du dmit per http auf den DSM gehst) auch nicht wirklich empfehlenswert.
 
Dann kann ich mir die Mail von der DS nicht erklären, wenn der Port gar nicht offen war.
5000 ist für die File Station (lt. Wiki)
der DSM hat einen anderen Port - nicht 5000 (das empfiehlt ja der DS Sicherheitsberater)

# gestern bei so manchen Tests war zeitweise alles weitergeleitet, ev. ist da der Zugriff passiert ?
 
Vielleicht kommt ja jemand über dein openHAB hinein? Keine Ahnung, wie sicher das ist...

Wenn du SSH aber nicht benötigst, dann solltest du es wohl besser deaktivieren.
 
SSH (ich weis nicht mal für was das gebraucht wird) ist unter Terminal im DSM nicht aktiviert!

# openHAB fliegt sowiso wieder von der DS, fkt. nicht -> besser, wurde gestern bereits wieder deinstalliert
 

Anhänge

  • 4.jpg
    4.jpg
    19 KB · Aufrufe: 111
Dann ergibt die Mail deiner DS für mich keinen Sinn...
 
zeitweise habe ich gestern alle Ports weitergeleitet um zu sehen obs daran liegt, dass manche Dinge nicht funktionierten
das könnte in diesem Zeitraum passiert sein, sonst ergibt die Mail keinen Sinn wie du schreibst.
Aber was kann SSH blockieren, dass ist doch nur ein Protokoll? bzw. wie wurde da versucht auf die DS zu kommen ?
https://de.wikipedia.org/wiki/Secure_Shell
aber SSH war immer deaktiviert !
 
Richtig, SSH ist ein Protokoll, mit dem du dich an deiner DS anmelden kannst. Wenn du das als root machst, stehst dir *alles* in der DS offen, von daher sollte man den Zugang dazu sehr gut schützen.

Wenn du gestern alle Ports an die DS weitergeleitet hattest, wird es wohl daher rühren. Allerdings frage ich mich nach wie vor, wie das sein kann, wenn der SSH Dienst bei dir gar nicht aktiviert ist.
 
Tja, eine Mail an Syn Support schicken ?

was kann ich denn sonst nocht machen? im #1 wird mir ja vom Sicherheitsberater eine Aufgabe gestellt, die ich nicht zu lösen vermag...

# Jetzt nach erneutem Scan sagt er mir nur dass FTP ohne Verschlüsselung aktiv ist, gut das ist richtig, aber mein Drucker im Intranet benutzt das (habe noch keine Alternative Einstellung gefunden)
könnt zumindest Port 20 schließen (ist das der unverschlüsselte, oder 21?) kann dann das DS App noch zugreifen ?
 
Zuletzt bearbeitet:
SFTP war aktiv auf Port 22, das wars.

Welche Ports/Firewall muss ich weiterleiten, bzw. welche Einstellungen in der DS treffen damit
- jegliche Kommunikation vom Internet verschlüsselt ist
- alle Android Apps & Quickconnect laufen, die photostation per Hostname erreichbar ist

Danke euch!

# steht auch in der Wiki drin was die Apps brauchen, per Hostname ist der Port 80 oder des DSM

## ohne 80 geht der Zugriff auf /photo nicht aus dem Internet
## die Photo APP kann sich nicht per HTTPS verbinden, ohne schon obwohl dazu eigentlich jetzt kein Port freigegeben ist nur die 443/5001/80
## per https://hostname/photo kann nicht zugegriffen werden ? mit http schon.
 
Zuletzt bearbeitet:
Für (S)FTP/S

müssten 21 und ein anderer Port (nicht 22) im Router weitergeleitet werden --> dabei den 21 auf 21 weiterleiten und beispielsweise einen 922 (Router) auf 22 (DS) - dabei dann den Dienst SFTP und/oder FTPS an der DS anschalten, während der normale FTP Dienst abgeschaltet bleibt

Für HTTP/S

müssen 80 und 443 am Router auf eben diese an der DS weitergeleitet werden. 443 funktioniert natürlich nur ordnungsgemäß, wenn ein Zertifikat erstellt worden ist. Klappt das, kann auf Port 80 sogar ganz verzichtet werden bzw. der Haken bei automatische Weiterleitung von 80 auf 443 gesetzt werden (automatisch auf https wechseln)

Für Photostation

wird Port 80 benötigt
 
Ich habs teils schon gelöst, autom. https Weiterleitung in der DS, Port 80 enfernt aus dem Router

- die Photostation ist nun nur per https vom Browser zu erreichen
- von der Android App nur ohne https ... das hängt noch mit dem Zertifikat zusammen, aber kann man Quickconnect auch nur per https zulassen?

dzt. fkt. schon fast alles so wie ich das haben möchte und hoffe dabei auch keine Angriffsfläche zu bieten
am Router wird nur 443/5001/x001(DSM) weitergeleitet
in der DS ist alles auf https umgeleitet, was nicht gebraucht wird auch hoff. alles deaktivert.
per Browser ist der DSM & Photostation per https erreichbar
einzig das Zertifikat muss ich noch neu eingeben (habe dazu ein PDF von Synology bekommen), dann sollts klappen.

für was kann ich DS Cam Android App verwenden ? greift diese auf Surveillance Cams zu, oder einfache IP Cams im Netz (meine upCam habe ich noch immer nicht geschafft in der Surveillance zu integrieren), die App hat keine Verbindung, scheitert an der Anmeldung.
 
Moin,
Also das mit der Email. Ich versuch das mal grob zu umreißen.

Es gibt im Internet ein paar Idioten/Spinner die Scannen nach Port 23 (telnet) und Port 22 (SSH) ist im Grunde das selbe nur telnet unverschlüsselt und SSH versschlüsselt. Finden Sie einen benutzen Sie als "root" eine Brutforce Attacke und in deine DS zu kommen.
SFTP benutzt leider auch port 22 Standard mäßig. da SSH aber nicht aktiviert ist wird jede Anfrage eh abgewiesen auch wenn der Port offen ist.
Standard Ports können geändert werden auf ports über 1024. Egal was nur musst du schauen das die nicht mit nenm anderen Dienst Kollidieren.
Du kannst aber auch in deiner DS irgendwo unter Firewall IP adressen und IP Adress bereiche Sperren bzw. Geo IP blockiere. u´zum Beispiel das niemand aus Asien und/oder Amerika darauf zugreifen darf.
Ip Adress bereiche müssen manuell eingegeben werden oder per excel/editor datei/script. Klingt schlimmer als es ist.
 
Hallo,
für was kann ich DS Cam Android App verwenden ? greift diese auf Surveillance Cams zu, oder einfache IP Cams im Netz
Zum Vergrößern anklicken....
die App funktioniert nur mit der Surveillance-Station.

Gruß Götz
 
Thorndike schrieb:
Sicher, wenn du per Hand die IPTables editieren möchtest. Das gibt aber eine längliche Liste mit all den weit verteilten Adressbereichen.
Zum Vergrößern anklicken....
hättest du etwas besseres um nicht jede IP händisch einzutragen, wie du schon schreibst per excel file?
 
Paulihh1910 schrieb:
Du kannst aber auch in deiner DS irgendwo unter Firewall IP adressen und IP Adress bereiche Sperren bzw. Geo IP blockiere. u´zum Beispiel das niemand aus Asien und/oder Amerika darauf zugreifen darf.
Zum Vergrößern anklicken....

Wie schon in Post #15 Stand gibt es dafür im DSM eine Funktion. Die übernimmt die Konfiguration mit ein paar mausclicks.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten