DSM 7.2 Zahlreiche fehlgeschlagene Anmeldungen

[Chryser]

Hallo,
heute zwischen 14:27 und 14:32 fanden auf meinen beiden örtlich getrennten Diskstations jeweils 10 Anmeldeversuche aus aller Welt statt. Alle versuchten über den (bei mir deaktivierten) Admin auf die Diskstation zu kommen.
Hat jemand von Euch das auch beobachtet (strategisches Szenario)?

VG
Christoph

 

[Ronny1978]

Welche Ports hast du aktiv? Ich bin weg von den Standard-Ports und konnte keine Angriffe feststellen. Gleichfalls läuft auf meiner DS auch die Firewall und die "Geo-Blockierung", sowie VOR der DS eine OpnSense mit ebenfalls einem GeoIP Filter und Crowdsec.

 

[Chryser]

Port 5001, 443, 5566 und 6690.
Danke für den Tipp, Ronny, mit dem Geo-Blocking. OpnSense sagt mir leider nichts. Werde mich mal schlau machen.
Ich hatte öfters schon mal solche Anmeldeversuche, jedoch nicht so koordiniert..... Jetzt sind es schon 180 an der einen und 1800 Versuche an der anderen Diskstation. Habe beide runtergefahren.

 

[plang.pl]

Gib nicht den Port 5001 frei!

 

[metalworker]

Darum nur freigeben wenn du genau weißt was du tust und es gar nicht anders geht .

Und ja ist relativ normal

 

[w00dcu11er]

Wenn du die eine Port unbedingt nach außen freigeben willst, dann mit einer anderen Portnummer (zb im hohen 5stelligen Bereich).

Aber etliche Attacken auf DS ist in der Regel zu erwarten. Dafür gibt es wie oben einige Maßnahmen, um das zu minimieren (ganz verhindern lässt sich das eh nicht immer).

 

[Chryser]

Aber ohne Portfreigabe kann ich doch gar nicht auf DSM/Photos zugreifen?! Außerdem braucht Hyperbackup auch eine Portfreigabe für das Backup auf meine Backup-DS.
Ok. Werde auf 5-stellige Ports umleiten. Dankeschön.

 

[plang.pl]

Von extern nicht, nein. Die Frage ist halt, ob das überhaupt sein muss. Wenn ich auf gewisse Anwendungen zugreifen möchte, muss ich dann immer noch nicht den DSM Admin Port ins Netz stellen, sondern kann der Anwendung im Anmeldeportal der Systemsteuerung einen eigenen Port geben. Zusätzlich muss man sich fragen, ob es für einen nicht die bessere Option ist, sich per VPN mit dem heimischen Router zu verbinden. Dann brauche ich gar keine Portweiterleitungen und kann mich auf der ganzen Welt mittels VPN so verhalten, wie ich es von daheim gewohnt bin. Je nach Router ist das Aufsetzen einer VPN-Verbindung deutlich einfacher, als die Einrichtung von DynDNS in Verbindung mit Portfreigaben auf der DS.
Und Hyper Backup braucht den DSM-Port nur zur initialen Authentifizierung. Ist die durch, reicht es, wenn der Hyper Backup Port offen ist und nicht DSM.

 

[Rotbart]

Man kann auch für Hyperbackup einen anderen Port nutzen, z.b. 7000.Eine Fritzbox z.b. kann dann den äußeren Port 7000 auf den internen Standardport für HyperBackupvault umleiten.
Aber allgemein bin ich auch für VPN

 

[plang.pl]

Soweit ich weiß geht das leider nicht. Der Port ist in Hyper Backup hardcoded. Also kann ich zwar nen anderen Port exposen. Der Hyper Backup Client kann aber nur den Standard-Port nutzen. So ist das zum Beispiel auch beim Drive Desktop Client. Dort lässt sich der Port auch nicht umbiegen.

 

[Rotbart]

Doch, so wie ich das beschrieben habe geht das, hatte ich selbst schon so.Es braucht hat halt nur ein Router (z.b.Fritzbox) der den äußeren Port auf den inneren (6281 auf den Vault lauscht) weiterleitet.

 

[plang.pl]

Stimmt! Früher konnte man den Port in Hyper Backup nicht angeben. Das haben die anscheinend mittlerweile geändert:


Bleibt nur noch die Umstellung von Drive.

 

[Benjamin83]

Hat jemand von Euch das auch beobachtet (strategisches Szenario)?

Jep, ebenfalls in dem Zeitraum. Hab die DS seit > 13 Jahren auf dem Port erreichbar. So eine Warnungen hab ich in der Zeit höchstens ein paar Handvoll bekommen.

Aber vielleicht wird's trotzdem mal Zeit den Port um eine Potenz nach oben zu verlegen.

 

[plang.pl]

Oder sich mal mit dem Reverse Proxy zu beschäftigen. Wäre wohl die bessere Option.

 

[Chryser]

Reicht es, wenn ich in der FB extern den Port 50001 (z.B.) an den Port 5001 am Gerät (DS) weiterleite oder sollte der Standardport DSM 5001 in der DS auch noch gerändert werden?

 

[Benares]

Extern reicht, nur das zählt.

 

[Chryser]

Leider funktionieren somit sämtliche Freigaben über Photos und Drive somit nicht mehr . Gibt es vielleicht eine Alternative zum Ändern des externen Ports?

 

[Benares]

Die Links werden i.d.R. so erzeugt bzw. angezeigt wie du gerade selbst verbunden bist. Du musst dich also genau so verbinden, wie es ein Externer tun würde, um korrekte Links zu erhalten.

 

[metalworker]

die Alternative ist nur ein Reversproxy , da fängt der schon was ab.

Dann noch ein Geoblock , die meisten angreifer kommen eher aus Russland und China .
Ist kein direkter Schutz , aber fängt auch was ab und hält dir die logs frei

 

[Ronny1978]

Leider funktionieren somit sämtliche Freigaben über Photos und Drive somit nicht mehr

Die Besitzer des Link , müssen den neuen Port im Link ergänzen/ersetzen. Dann könnte es wieder gehen.