DSM 6.x und darunter Admin-Konto deaktiviert und trotzdem Angriffe

[NSFH]

...........Und nicht zu vergessen: die "Fritte" ist in aller Regel eben mehr als nur ein Router. DECT Station, Smart-Home Zentrale Kinder- und Jugendschutz-Filter etc.
Mit einem anderen Router ist es damit also nicht getan, wenn du die o.g. Funktionalitäten weiter nutzen möchtest.

Da gibt es auch nichts zu diskutieren, denn das was du da schreibst ist schlicht falsch!
Bis auf DECT kann jeder gute Router das, was sich bei der Fritz hinter den vereinfachten Menüs verbirgt, nur besser weil selbst konfigurierbar. Als DECT Tel-Anlage läuft die Fritz hinter dem Router ohne zu klagen.

Die Fritz ist eine Blackbox für unbedarfte homeuser. Wenn man natürlich nichts anderes kennt könnte man erstaunt sein, was sich in Routern so alles konfigurieren lässt ;-)
Und damit ist auch für mich das Thema durch.

 

[Puppetmaster]

Wird mir wieder zu sehr Kindergarten jetzt.
Ja, wir sprechen von der typischen Zielgruppe eines AVM Gerätes und ja, ich wäre erstaunt, wenn du jetzt mit einem Gerät, das auch DECT und die smarten Anbindungen von AVM abdeckt, um die Ecke kämst.

 

[ottosykora]

Die jüngsten Angriffe, von denen hier im Forum berichtet wurde, zielten ja weitestgehend auf diesen Benutzer ab.

bei einer DS die auch FTP Ordner hat und FTP via 'hohen' Portverschleirt ist, läuft seit Tagen auch hier so ein Trommelfeuer. Es wechselt sich 'www' und 'anonymous' ab.

 

[NSFH]

..........
Ja, wir sprechen von der typischen Zielgruppe eines AVM Gerätes .............

Seit wann? Wo steht das?

Kindergarten ist, wenn man immer neue Punkte erfindet ohne auf die vorigen einzugehen weil die Argumente fehlen. Von daher gebe ich dir Recht: Kindergarten!

 

[NSFH]

bei einer DS die auch FTP Ordner hat und FTP via 'hohen' Portverschleirt ist, läuft seit Tagen auch hier so ein Trommelfeuer. Es wechselt sich 'www' und 'anonymous' ab.

Dann stelle mal deine nach Aussen zeigenden Ports auf hohe 5-stellige Ports um. Dadurch ändert sich ja intern nichts. Dann hast du in der Regel Ruhe.
Laut Synology läuft derzeit eine massive Angriffswelle, die aber nur auf unzureichend geschützte wellknown ports und Original Admin Accounts zielt.

 

[Puppetmaster]

Also kommt da jetzt keine Geräteempfehlung mehr? Nix von Draytek was du gerne anpreisen möchtest?

 

[Snyder]

Hier schreibt ein Ahnungsloser und fragt, ob eine 2-Faktor-Authentifizierung (z. B. Microsoft Authenticator aufm iPhone) Schutz bietet? Oder authentifizieren sich die Bots gleich selbst?
Blöde Frage für euch Cracks, aber ich nutze das und weiß jetzt auch nicht obs was bringt.

 

[Puppetmaster]

2FA gilt bis heute als ziemlich sicher, sofern man das Gerät, das die Codes generiert nicht auch gleichzeitig für den Zugriff nutzt.

Aber: die eigentliche Gefahr lauert heutzutage von innen. Die Attacken, wie sie gerade wieder vermehrt zu verzeichnen sind, sind schon viel zu auffällig um gefährlich werden zu können. Die Gefahr heute sind Anhänge oder Links in Mails die du anklickst, oder dubiose Webseiten, die Schadcode enthalten. Wenn du diese Gefahr wahrnimmst, dann ist es meist schon zu spät.

 

[Snyder]

Danke für die schnelle Antwort! Sollte ich dann für den Zugriff per Syno-Apps (Drive meistens) am iPhone ein anderes Handy nehmen zum Authentifizieren?

 

[Synchrotron]

Persönlich empfehle ich inzwischen Authy als Codegenerator für den 2FA Code. Vorteil: Lässt sich gut parallel auf mehreren Endgeräten einrichten, bei mir iPhone, iPad und Apple Watch. Irgendwas hat man ja immer dabei, und das motiviert zur Verwendung von 2FA.

Damit es keinen Zugriff auf den Code geben kann, sollte man grundsätzlich ein anderes Endgerät zum Abrufen des Codes nutzen, als das, auf dem er dann verwendet wird. Der Angriffsvektor beim gleichen Gerät mag noch theoretisch sein, aber solche Dinge gewöhnt man sich besser von Anfang an an.

 

[Gulliver]

oder dem neuen heißen Sch... wireguard.

Hi, was spricht gegen wireguard auf dem pi als Brückenkopf?

 

[the other]

Moinsen,
Da hast du mich falsch verstanden...wireguard ist IMHO kein sche...sondern wird als neuer heißer sche... gehandelt, als Alternative zu openvpn. Ich hab selber keine Erfahrung der praktischen Art mit wireguard, daher Werte ich da nicht...

 

[Gulliver]

Hatte es tatsächlich wertend missverstanden. Ich nutze es (weil es schneller sein soll als zB OpenVPN) und find's sehr einfach. Läuft zudem sehr stabil.

 

[ottosykora]

Dann stelle mal deine nach Aussen zeigenden Ports auf hohe 5-stellige Ports um.

ja, hält so 12h

dann geht es wieder von vorne los, auf dem neuen Port

 

[NSFH]

Im Ernst???? Das habe ich noch nicht erlebt, da dafür ja der gesamte Portbereich gescannt und analysiert werden muss. Um alle Ports eines recht schnellen Anschlusses zu scannen benötige ich bei einem Penetration Test ca 5 Minuten. Das passt so gar nicht zu der gerade laufenden Angriffswelle, da diese sehr zielgerichtet ist hinsichtlich Ports und Admin Account.

 

[roland wyss]

Hallo zusammen,
WOW kann ich da nur sagen heute war der härteste tag bisher, 112 Angriffe auf meine DS419+ an gerade mal einem Tag, sowas hatte ich bisher noch nicht seit ich meine Synology habe.
Hab am Wochenende glücklicher weise noch den Artikel von NSFH über das Geoblocking weiter oben gesehen und das eingerichtet.

PS in der Zeit wo ich das hier geschrieben hab sind wieder 6 angriffe dazu gekommen, alle sind Geblockt worden da ich die fehlversuche auf 1 hab

 

[Snyder]

Entschuldigt die sehr blöde Frage: Wie stelle ich die Angriffe fest?

 

[EveryDayISeeMyDream]

Im Protokoll-Center nachschauen. Dort kannst du auf das Verbindungsprotokoll wechseln und dann zeigt dir die Syno an, welche Nutzer sich von welcher IP aus zu verbinden versuchen.