DSM 6.x und darunter Unberechtigte Zugriffsversuche auf NAS, wie gefährlich sind derartige "Angriffe"

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Mit einer statischen IP geht manches besser, z.B. ist die externe Erreichbarkeit viel einfacher als über DynDNS.

Nachteil ist allerdings, dass böse Buben damit auch ein festes Ziel haben. Also so wenig wie möglich aufmachen.

Der Empfehlung, die Zugangskontrolle unabhängig von der Syno (= Webserver) zu realisieren, stimme ich voll zu. So hat man über die Firewall der Syno noch eine Ebene im Zugriffsschutz für den Netzwerkserver.

Für die, die sich das zutrauen, ist ein Raspi erste Wahl. Am besten auch gleich Pi-Hole, OpenVPN u.ä. drauf laden, dann ist das die Schaltstelle für jeden Zugang von außen.

Wer es einfacher haben will, kann bei jedem seriösen Router-Anbieter eine Stand-Alone Firewall incl. VPN, DDOS-Kontrolle, IP-Sperrung etc. kaufen. Die muss auch sorgfältig parametriert werden, erspart aber einen Raspi-Kurs.

Wem die Leistung reicht (wie mir privat), ist auch mit dem VPN-Zugang einer Fritzbox gut aufgestellt. Maximalen Durchsatz sollte man dabei nicht erwarten.
 

est1958

Benutzer
Mitglied seit
04. Sep 2015
Beiträge
361
Punkte für Reaktionen
0
Punkte
22
hmmmmmm..... der tread hat heute morgen ein paar Aktivitäten bei mir gestartet.

Hab den Port der 216 fünfstellig gemacht. In der Fritzbox angepasst. Die Fritzbox selbst hat nach der DNS-Adresse auch einen 4 stelligen Port (nicht Standard 443, der ist für die Photostation)
Einige Onlinescanner genutzt und den Routertest von der ersten Antwort mal gemacht.
Der vierstellige für die Fritzbox wird als geschlossen interpretiert.
Der fünfstellige 216+II als offen ohne Deklaration, was dahinter stecken könnte. LOGIN ohne Admin.
Der 443 / Webserver ist für die Photostation, da hab ich noch keine Alternative gefunden. Aber das Login ist nicht admin und ein recht langes PW

Zusätzlich Admin deaktiviert, zu viele Loginfehlversuche = Sperrung der IP, alles, was man halt in der DS dazu tun kann.

Ich denk mal für meinen Fall reicht es. 2 offene - DS und PHotostr. Alle anderen Ports sind dicht laut Heise PortScanner

Hat jemand eine Idee für die Photostation 443 außer offlline stellen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wer einen höheren Durchsatz bei VPN möchte und auch mehr Einstellmöglichkeiten der Firewall sucht sollte sich mal die Router von Draytek ansehen. Fritz VPN ist wirklich sehr langsam und leider auch nur sehr rudimentär implementiert.
https://www.draytek.de/produktuebersicht.html
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
903
Punkte für Reaktionen
64
Punkte
54

est1958

Benutzer
Mitglied seit
04. Sep 2015
Beiträge
361
Punkte für Reaktionen
0
Punkte
22
Geht das nicht bei Photo Station/Einstellungen/Allgemein/Router Port ?

Danke für den Hinweis, das war der Weg in die richtige Richtung.

Hat nach langen Fehlversuchen nun im Endergebniss, dass alle drei offenen Ports - Fritzbox - DS - Photo, nun fünfstellige Werte haben.

Bei der Photostation war noch die Krux, dass das Eintragen eines Ports alleine nicht ging.

Musste in der Fritzbox den fünfstellingen als EXTERN eintragen mit Weiterleitung zum Gerät auf 443.

Jetzt läuft es endlich im internen Netz und der Zugriff von außen per Notebook und per DS Photo.

In der Fritzbox musste ich den 443 stehen lassen und er zeigt die grüne LED, obwohl der Port in der Einstellung deaktiviert ist. Nur in der Kombination klappt der Zugriff auf die Photostation von außen nach innen.

Im Endergebnis bin ich jetzt zufrieden:

Der Test von Heise = Komplett-Check (Standard-Ports + Router-Tests) zeigt gar nichts.

Suche ich gezielt nach 80,8080,443 und den 3 neuen 5-Stellingen, dann werden die neuen als offen angezeigt mit "kein Standardport" und die anderen sind mit Status gefiltert, aber grün.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
@NSFH: machst Du schon wieder Draytek-Werbung? :eek: :p ;)
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
In der Fritzbox musste ich den 443 stehen lassen und er zeigt die grüne LED, obwohl der Port in der Einstellung deaktiviert ist.

damit ich auf die Fritz komme, stelle ich dort einfach einen anderen Port ein als 443. Egal was, etwas was frei ist. Dann kommt man in Not auch noch auf die Fritzbox.
 

est1958

Benutzer
Mitglied seit
04. Sep 2015
Beiträge
361
Punkte für Reaktionen
0
Punkte
22
damit ich auf die Fritz komme, stelle ich dort einfach einen anderen Port ein als 443. Egal was, etwas was frei ist. Dann kommt man in Not auch noch auf die Fritzbox.

Hi, Missverständnis, für die Fritzbox hatte ich schon immer einen anderen Port als 443, den hab ich heute sogar fünfstellig gemacht.

Ich schriebe................ Hat nach langen Fehlversuchen nun im Endergebniss, dass alle drei offenen Ports - Fritzbox - DS - Photo, nun fünfstellige Werte haben.

siehe weiter oben.

Den 443 habe ich nicht gelöscht, weil ich den auch für let´s encrypt brauche. Den Port für Photo St. habe ich intern auf 443 geroutet, vielleicht ist das der Grund für die grüne LED in der Fritze
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat