DSM 6.x und darunter Angriff aus dem Internet

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Jo_Ke

Benutzer
Mitglied seit
19. Jul 2016
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

habe mal ne doofe frage. Ich lese hier im Forum immer mal wieder, dass Anwender jeden tag ein paar Login-Versuche abwehren müssen, die vornehmlich aus China oder sonst wo aus der Ecke kommen.

Ich habe jetzt seit 3 Jahren auch eine Synology NAS mit ein paar offenen Ports (HTTP /HTTPS; OpenVPN, WebDAV, lange Zeit auch DSM Port), im LAN selbst war auch alles offen. Einige Zeit habe ich mit Geo-IP gearbeitet und nur 80/443 für LetsEncrypt offen gelassen.aktuell nur HTTP/HTTPS und OpenVPN offen (IP Range stark eingegrenzt).

Passwörter waren immer sehr stark (> 15 Zeichen mit Sonderzeichen, Zahlen etc.), die 2FA habe ich seit Anfang des Jahres aktiv, da es lange Zeit mit der Verwendung bei mir Probleme gab. admin-Konto von Anfang an direkt deaktiviert. DSM-Updates werden automatisch jeden Tag eingespielt. Meine DS 916 ist über xx.familyds.net via DDNS eingebunden. Eine "richtige" Domain habe ich auch, die mittels CNAME-Eintrag darauf verweist.

Jetzt resümiere ich nach 3 Jahren im Protokoll genau 1 IP aus Hongkong in der Sperrliste(mehrmaliger Versuch des Zugriffs aufs deaktivierte admin-Konto gescheitert [IP ist ein VPN-Server in Hongkong]). Auch das Protokoll gibt nichts auffälliges in den 3 Jahren her.

Meine Frage hört sich bescheuert an, aber dennoch brennt sie mir, da ich kein ITler bin, aber IT interessiert und einige Experimente mit meiner NAS hinter mir habe: Kann es sein, dass ich Angriffsversuche übersehe, weil ein großer Teil nicht dokumentiert wird oder ist es durchaus normal, dass nur "so wenige Angriffsversuche" stattfinden? Ich dachte, dass Synology NAS Server beliebte Angriffsziele sind, da häufig eingesetzt. Was würde man als "normale Zahl" an Angriffsversuche erwarten? Werden häufiger Sicherheitslücken in der Software ausgenutzt oder ist es eher die Ausnahme, weil Synology da sehr hinterher ist? Was sind die häufigsten Angriffsversuche? Schwache Passwörter? oder doch schon Backdoor-Angriffe?

Vielen Dank für eure Antworten auf meine bescheuerte Frage

Gruß

Jo
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Wenn dein setup so ist wie beschrieben, „sieht“ man die Synology von außen nicht.

Selbst wenn jemand einen Portscan macht, läuft er bei ordentlicher Konfiguration gegen eine Wand, weil es Standardports sind, die nichts darüber aussagen, was dahinter als Ziel wartet.

Hast du dich gelegentlich selbst gescannt ? Da bekommst du eine ganz gute Rückmeldung, wie sichtbar du von außen bist.

Der typische Einfallsweg ist nach wie vor, dass du dir etwas einfängst, entweder über eine Sicherheitslücke beim Surfen, einen dummen Download, einen geschenkten USB-Stick (!) oder über eine gespickte E-Mail. Das bringst du selbst hinter deine Firewall, es bohrt dann von innen ein Loch hinein, und holt seine Freunde für eine ausgedehnte LAN-Party auf deinem Netzwerk hinterher.

Diese Infektion fällt dir - zunächst - nicht auf, weil es alles wie normaler, von deinen Geräten selbst angeforderter Traffic aussieht. Da gibt es kein toc-toc von außen.

Also nicht gram sein, wenn keiner anklopft. Wir „Normaluser“ sind eh wenig attraktiv, wer es drauf hat, richtet sich eher gegen zahlungskräftige Zielsysteme. Die sind vielleicht besser gesichert, aber auch viel offener, weil mehr Dienste angeboten werden, und durch die Vielzahl an Benutzern angreifbarer für Social Engineering.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Auch ich habe einige Ports geöffnet (Standardports) und in den letzten Jahren kaum eine gesperrte IP verzeichnet. Da war früher definitiv mehr. Insbesondere, wenn man Ports für ftp oder gar ssh öffnet, dann rappelts ganz schön.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ich vermute mal du hast einen SoHo Router an der WAN Schnittstelle in Betrieb. Dieses Ding und auch die Syno registrieren bzw. melden und merken auch nichts von Eindringversuchen.
Diese Angriffe per bruteforce sind doch nur die wirklich für den Anwender sichtbaren, versuchten Zugriffe. Was auf Protokollebene alles abläuft, wo dann die Firewall zwischen fehlerhaftem Datenpaket und Eindringversuch nicht unterscheiden kann, bekommt Otto Normalverbraucher gar nicht mit.
Eine einigermassen gut abgesicherte Schnittstelle zum WAN reicht schon um den tatsächlichen Eindringversuch besser über modifizierte Dateien per eingeschleuster Mail zu probieren. Der Faktor Mensch ist die Schwachstelle.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Ich kann mich den Vorpostern nur anschließen.

Auf der DS habe ich keinerlei Versuche. Meine wenigen offenen Ports liegen im oberen fünfstelligen Bereich, wo keiner sich die Mühe macht zu scannen. Ich denke auch, dass die meisten Angriffe von innen kommen, weil der User sich falsch verhalten hat.

Ganz anders sieht das mit den Versuchen auf einem Webserver aus, der sich in einem Serverpool eines großen Anbieters befindet. Dort rappelt es unentwegt an den Ports (meist SSH). Die Sperrliste ist oft mehrere Hundert IPs lang (fail2ban).
 

Jo_Ke

Benutzer
Mitglied seit
19. Jul 2016
Beiträge
18
Punkte für Reaktionen
0
Punkte
1
Vielen Dank.

Also kann man davon ausgehen, dass wenn man die typischen Spielregeln des Internets/Umgang mit einem PC beherzigt, man auch die NAS indirekt gut schützt. Habe auch auf der NAS ein AV-Scanner (den Essential) und auf den Laptops Kaspersky, die vollständigen Scans sind immer einwandfrei durchgelaufen.

Da bin ich beruhigt. Bin schon etwas paranoid geworden, da der NAS 24/7 in Betrieb ist. Habe 2 ITler in der Familie, die mich kirre machen, von wegen dass da keine sensiblen Daten drauf gespeichert werden dürfen, da der NAS eine Gefahrenquelle darstellt. War zwischenzeitlich am überlegen, ob meine Daten bei Google/Dropbox und Co nicht besser aufgehoben sind, weil da "Experten" sitzen, die den Traffic überwachen und ggf. intervenieren.

Gruß

Jo.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Das größte Problem jeder IT-Sicherheit sitzt 80cm vor der Kiste.

Insofern ist die Syno fein raus - oder schon mal jemanden davor sitzen sehen ?

Grüße an die Familien-ITler, aber das mit den vertraulichen Daten, die da nicht hin gehören sollen, klingt doch alles eher „unreflektiert“ (möchte ja jetzt nicht gegen den guten Ton hier im Forum verstoßen).

P.S. Warum auch immer, die üblichen Sicherheitspakete tun sich mit der aktuellen Pest der Erpressungstrojaner offenbar schwer. Dagegen hilft nur etwas klassisches: Regelmäßige Backups auf körperlich ein- und auszusteckende Laufwerke. Daher nicht zu sehr auf die Sicherheitssoftware verlassen. Lieber etwas Handarbeit ...
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Hallo,
für solche "persönlichen Unsicherheiten" oder "Gefühle" gibt es den Sicherheitsberater im DSM. Schon mal ausprobiert?
Die Virenscanner betrachten ein NAS als das was es ist, nämlich als Dateiablage. Daher ist Hauptaugenmerk der Scan der dort abgelegten Daten. Wie auf einem klassischen PC das zu scannen was gerade an Prozessen läuft usw. ist dort noch nicht ganz angekommen.

MfG Matthieu
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Virenscanner sind per se nutzlos!
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Das ist eine Meinung, würde ich so nicht unterschreiben.

Es ist eher wie Hase und Igel. Es werden laufend neue Angriffsmethoden entwickelt. Der klassische Scanner (mit Signaturfiles) gegen klassische Viren bzw. Würmer ist sicher zunehmend unwirksam geworden, wobei auch diese Tierchen noch immer mal anzutreffen sind.

Die Scanner reagieren darauf mit selbstlernenden bzw. auffällige Systemaktionen überwachenden Ansätzen. Wenn man die einschlägigen neutralen Tests dazu liest, durchaus mit Erfolg, allerdings eher bei ca. 90% der testweise verwendeten Angriffsprogramme.

Schlußfolgerungen:

1) Noch stärker als früher kommt es darauf an, wie gut die Konfiguration aufgesetzt ist und wie sich der Benutzer verhält
2) Die kostenlosen Programme haben ziemlich aufgeschlossen zu den käuflichen (aktuell sehr gelobt wird der Windows-Defender)
3) Je weniger Dienste man aufsetzt, und je weniger Löcher in der Firewall sind, um so besser. Also nicht jedes Paket auf der Syno ausprobieren, nur weil es für Ömme dabei ist, und dann vergessen, es wieder abzuschalten !
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Virenscanner sind per se nutzlos!

Richtig, und Firewalls braucht kein Mensch! Das sind alles Fakenews, die über Virenbefall und Hackerangriffe berichten. Lanciert von der IT-Industrie, die damit Geld scheffeln will.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Nein - die Firewall schützt Dich vor Infektion und Verbreitung von Schadsoftware und ist unentbehrlich, möglichst sogar kaskadiert. Der Virenscanner bringt nur weitere Angriffsfläche!
P.S. Ich rede hier nicht vom Firmen-Netzwerk; hier hat ein Virenscanner noch eine Berechtigung, wenn ein unbedarfter Mitarbeiter mal wieder den falschen Anhang geöffnet oder falschen Link geklickt hat. Die Firewall schützt jedoch auch hier mehr als der Virenscanner.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Genau!!! Die Firewall blockt ja alles ab was von Aussen kommt. Was dahinter passiert ist der ja egal, da kann ja nichts mehr schief laufen. Oder doch? Hab da mal was von Viren und Trojanern gelesen, die angeblich per mail eingeschleppt werden. Aber das macht ja nix, die Firewall blockt ja alles......oder doch nicht das von von Innen nach Aussen will?
Du bist der "Fachmann", sag du es mir.
 

BigRonin

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
1.156
Punkte für Reaktionen
129
Punkte
89

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Wird langsam ein bisschen sehr abstrus hier...
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ist nix für Normalos. Ja - Virenscanner können gefährlich sein. Wer sich nicht auskennt, soll Sie weiter nutzen und muss damit leben.
Wer sein Nutzungsverhalten im LAN im Griff hat (somit keiner Anhänge öffnet oder Links klickt), sollte seine Firewalls scharf auslegen; dann ist man ohne Virenscanner sicher(er?) unterwegs. Dazu gehört aber eben auch das Filtern ausgehenden Traffics!
P.S. Bei mir hat auch zu Zeiten aktiv genutzter Virenscanner dieser nie angeschlagen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Langsam frage ich mich, ob du hier provozieren willst, verarschen oder einfach nur kognnitiv zu früh rechts abgebogen bist.
Kleine Denkaufgabe für dich: Was machst du, wenn du beim ganz normalen Surfen auf eine Seite kommst, die dir per injection einen Trojaner einpflanzt?
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.127
Punkte für Reaktionen
276
Punkte
109
Ist nix für Normalos. Ja - Virenscanner können gefährlich sein. Wer sich nicht auskennt, soll Sie weiter nutzen und muss damit leben.

Genau und die Erde ist eine Scheibe .... mei mei mei.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
ob du hier provozieren willst, verarschen oder einfach nur kognnitiv zu früh rechts abgebogen bist.
Ohne persönliche Angriffe bist du nicht zufrieden.

Genau und die Erde ist eine Scheibe
Hast du auch was konstruktiv beizutragen?

aktiv genutzter Virenscanner dieser nie angeschlagen.
Rückblickend auf rund 25 Jahre PC-Dasein kann ich das nur bestätigen. Angeschlagen hat der Virenscanner noch nie.
Danke für den Querdenkergedanken. ;)
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ihr müsst ja nicht meiner Meinung sein, aber wer ein wenig aufgehellt werden will, möge mal hier lesen: https://blog.fefe.de/?q=Schlangenöl
In meinem Szenario und nach meiner Einschätzung ist AV-Software nunmal ein zusätzliches Programm, das ebenso fehlerhaft sein kann wie Betriebssystem oder Browser.
Ich komme beim normalen Surfen auf keine infizierte Seite - die sind bei mir gesperrt! Ausserdem ist mein Browser so gehärtet, dass die Wahrscheinlichkeit, dass ich mir da beim normalen Surfen etwas einfange, kleiner ist als mit einer AV-Software, die zusätzliche Angriffsmöglichkeiten eröffnet.
Vielleicht bin ich nur naiv und hatte Glück, vielleicht ist es aber für den einen oder anderen ein Alternative, über die man mal nachdenken sollte. Ist wie beim Thema Verbrenner vs. Elektro - die Wahrheit bringt nur die Zukunft und vergleichbare Nutzungsverhalten gibt es nur bedingt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat