DSM 6.x und darunter Unberechtigte Zugriffsversuche auf NAS, wie gefährlich sind derartige "Angriffe"

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

green1234

Benutzer
Mitglied seit
10. Okt 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Unberechtigte Zugriffsversuche auf NAS, wie gefährlich sind derartige "Angriffe"

Moin alle zusammen,

mir ist heute aufgefallen, dass es mehrere Zugriffsversuche auf mein NAS von unterschiedlichen Adressen gegeben hat.
Es wurde nicht probiert über einen bestimmten Nutzernamen zuzugreifen. Mangels Erfahrung kann ich die Art des "Angriffs" nicht einschätzen.

Kann einer von euch einschätzen wir gefährlich das ganze ist und wie man sich davor schützen kann?

Die NAS ist meiner Meinung nach möglichst sicher konfiguriert. Es werden alle Tests des Sicherheitsberaters grün absolviert.

Vielen Dank für eure Antworten

Im Anhang das Protokoll der NAS Anhang anzeigen Protokoll_NAS.txt
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Ist das Login oder bestimmte Dienste etwa nach außen offen? Ohne Details zu was es offen ist etc kann man nichts sagen.

Wenn man nur Dienste für sich selbst betreibt (und zB keine öffentliche Webseite), würde ich alles abschotten und mich stattdessen per VPN in mein Netzwerk einwählen. Dann wird die DS nur "intern" angesprochen und nur das wird erlaubt.
 

green1234

Benutzer
Mitglied seit
10. Okt 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Vielen Dank für die schnelle Antwort.

Ich habe sehr lange überlegt ob ich nur über VPN gehe oder die NAS nach außen offen mache.
Ich verwende die NAS nur privat und hoste keine Website, etc.
Ich habe mich aber gegen den VPN entschieden, weil es mir deutlich flexibler erscheint.

Der Login ist prinzipiell nach außen offen. Ich habe den zugriff über DDNS geregelt und bin nicht über QuickConnect gegangen.
Es ist generell eine ZweiFaktor Authentisierung aktiviert für alle Benutzer und es geht alles nur über sichere Verbindungen. Als Zertifikat habe ich Lets Encrypt eingerichtet.

Zum Setup an sich hängt die NAS hinter einer FritzBox 7590 in der ich entsprechende Portweiterleitungen eingerichtet habe.
Als Haupt NAS wird eine DS218+ und für das HyperBackUp der NAS eine DS213j eingesetzt. Momentan stehen beide noch bei mir zu Hause, der Plan ist aber die Backup NAS zukünftig örtlich getrennt aufzustellen. Wichtig ist mir das alles möglichst automatisch läuft ohne ständige administrative Eingriffe.
 

green1234

Benutzer
Mitglied seit
10. Okt 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
HTTP wird immer auf HTTPS umgeleitet.
Auf der Haupt NAS sind nach außen offen Ports für HTTP, HTTPS, DSM, Drive, und Syslog
Für die BackUp NAS HTTP, HTTPS, DSM, HyperBUVault
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Das Problem ist, dass auf den "üblichen" Ports fleißig gescannt wird.

Verschiebe über die Fritzbox die Ports in den fünfstelligen Bereich, z.B.:
5001 auf 35001

Das heißt, von außen ist nicht Port 5001 offen, sondern Port 35001. Die Fritzbox leitet alle Aufrufe von Port 35001 auf den Port 5001 vom NAS. Wenn einer von außen 5001 scannt, bekommt er nichts zu sehen.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
903
Punkte für Reaktionen
64
Punkte
54
Es gibt doch unter Security/Account AutoBlock. Hast Du das nicht eingeschaltet?
BTW: Wie hast Du das Log erhalten bzw welches Log ist das?

Und ja, VPN ist etwas umstaendlich - dafuer aber sicher :)
 

green1234

Benutzer
Mitglied seit
10. Okt 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Ich liebe dieses Forum jetzt schon, echt super das ihr so schnell antwortet.

Ich fange mal von hinten an zu beantworten.

Das Log habe ich aus dem Protokollcenter -> Protokolle ->
Hier kann ich dann auswählen anstatt Lokal oder der Backup NAS tauchen zusätzliche Quellen auf. Es wird zum Beispiel
jscan002.ampereinnotech.com
protoscan.ampereinnotech.com
und noch zwei externe IP Adressen.

Die Protokolle darunter sehen alle ähnlich aus, wie die die ich geschickt habe. Wenn ihr interessiert seid kann ich gerne auch die anderen schicken.

Die Security/AutoBlock Funktion habe ich aktiviert. Die hat in einem anderen Fall auch schon mal zugeschlagen bei irgendeiner russischen IP Adresse. In den Fällen von den Quellen oben hat kein AutoBlock stattgefunden, ich vermute das es hier kein Zugriff über die DSM Oberfläche war, sondern Telnet SSH (oder keine Ahnung, ist ja alles nicht freigegeben). Deswegen kann ich mir nicht vorstellen wie der Zugriff probiert wurde. Dafür habe ich zu wenig Ahnung von der Materie.

Die Ports für die Backup NAS habe ich extern anders umgeleitet. Eigentlich hatte ich das nur zum lokalen testen gemacht.
Wenn ich extern einen nicht standard Port verwende kann ich dann trotzdem noch die DDNS Adresse eingeben oder muss immer die Portnummer mit angegeben werden?

VG
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.573
Punkte für Reaktionen
342
Punkte
103
Wie gefährlich ist es wenn jemand an deinem Haus vorbeifährt und die Türen zählt?
Wie gefährlich ist es wenn jemand an deiner Tür klingelt, du aber nicht aufmachst?
Portscanner laufen viele, die rappeln IP adressen und portnummern runter und gucken halt nach wo Türen sind.
Manchmal drücken sie auf die Türklinke (failed log in).

Eine Portweiterleitung im Router hilft nur bedingt. Das Anklopfen wird ja durchgeroutet. Manche Portscanner geben aber schon nach port 993 (IMAP) auf und ziehen zur nächsten IP weiter.
Geofencing im Router hilft ein wenig. z.Z. machen die Portscannner sich wenig Mühe ihre IP zu verschleiern, oder sich benutzen denselben Schleier.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Meine Erfahrung: Ich nutze das integrierte VPN der Fritzbox (6490 Cable). Da ich keine Datenmengen bewege, reicht das aus. Es läuft stabil, und ich habe seltenst mal ein Problem damit, mich zu verbinden. Vorteil: Ich bin dann quasi zu Hause und kann nicht nur auf der Syno nach dem Rechten sehen, sondern ebenso die Switche ansprechen, die Fritzbox selbst etc. Aus meiner Sicht ist das eine sehr gute Lösung, die vermeidet, dass ich überhaupt Ports nach außen öffnen und durchleiten muss.

Die meisten Portscans hören in den niedrigen 4-stelligen Portnummern auf, oder scannen nur ganz gezielt bestimmte Ports in den höheren Regionen ab, hinter denen man anfällige Dienste vermutet (meist so ein IoT-Gedöns). Also wenn, dann weiter oben etwas öffnen, und entsprechend umleiten.

Außerdem gab es einen Hinweis, einen eigenen Admin-User einzurichten und den Standard-Admin-User „admin“ zu deaktivieren. Wenn Brute force attackiert wird, wird meist probiert, für den User „admin“ das Passwort zu knacken, was die Brute-force-Sperre allerdings wirksam abfangen sollte. Trotzdem ist das noch ein Faktor zusätzlich, weil man so 2 Zugangsinformationen erraten müsste.

Wir müssen ja nicht die NSA draußen halten, sondern nur ein schwierigeres Ziel sein als andere(s), was da im Internet so interessantes herumsteht.
 

green1234

Benutzer
Mitglied seit
10. Okt 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Vielen Dank für die Hinweise. Ich were die Ports auf höhere Bereiche umlegen.
Man darf sich wahrscheinlich nicht gleich verrückt machen, nur weil einmal an der Tür geklingelt wurde. Es ist mit meinem Halbwissen nur unheimlich schwer einzuschätzen wer da vor der Tür steht... Die NSA würde ich sowieso immer reinlassen, von daher sind die kein Problem:)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Die dürften eh einen Nachschlüssel haben ...

Ohne dich völlig verunsichern zu wollen: Schau dir mal an, was an der Fritzbox so abläuft, da wird vermutlich häufig mal geklopft und geklingelt.

Wie du selbst von außen für andere aussiehst, kannst du z.B. hier testen:

https://www.grc.com

Wenn du ein „normaler“ User bist, dürfte deine IP sich ohnehin laufend (z.B. alle 24h) ändern, weil der Provider sie dynamisch vergibt. Also bist du eh nur ein Gelegenheitsziel, weil unter deiner Adresse morgen jemand ganz anderes zu erreichen ist. Falls du den IP-Wechsel erzwingen willst, reicht es meistens aus, den Router kurz stromlos zu machen. Oft wird beim Booten eine neue IP zugeteilt, und du bist für den Anklopfer auf einmal weg.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234

green1234

Benutzer
Mitglied seit
10. Okt 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Jetzt muss ich nochmal ganz blöd fragen. Wie kann ich denn bei der FritzBox sehen wer da so anklopft?

Wir haben vor ca 1,5 Jahren den ISP gewechselt zu einem kleinen lokalen Glasfaseranbieter, seitdem hat sich die IP nicht mehr geändert. Hat mich auch schon gewundert, ich dachte immer eine statische IP wäre nur für größere Kunden.

Mit der NSA war eher so gemeint, dass man wahrscheinlich gegen so eine Behörde eh nichts machen kann. Für die währe ich wahrscheinlich eh zu uninteressant. Bei den deutschen Behörden gehe ich davon aus, dass ohne richterliche Anordnung eh nichts läuft...
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
In der Fritz kann man fast gar nichts sehen gegenüber einem Router, der vollständige Log-Dateien erstellt. Von daher merkt kein Nutzer, was wirklich an seiner Fritz so vor sich geht, egal wie IT afin er ist. Ist halt eine kleine Blackbox, die es dem SoHo Nutzer so einfach wie möglich macht.
Bei Portweiterleitungen im Router spielt die Firewall der Fritz und auch alle deren Sicherheitseinstellungen keine Rolle mehr. Ankommender Traffic wird 1:1 an das Zielgerät, hier die Syno, weiter geleitet. Heisst im Klartext, jeder kann versuchen direkt an deinem Fileserver anzuklopfen. Wer mit Portweiterleitungen arbeitet sollte die Firewall der Syno zu dicht wie nur irgendwie möglich machen.
Leider zeigt auch die Syno nur einen Bruchteil der anfallenden Log-Daten an.
Gute Router lassen auch Portweiterleitungen durch die Firewallfilter laufen. Es hat schon einen Grund warum diese Geräte teurer sind.
 
Zuletzt bearbeitet:

Matis

Benutzer
Mitglied seit
28. Mai 2015
Beiträge
735
Punkte für Reaktionen
9
Punkte
44
Ich kann nur immer wieder zwei Dinge raten:

a) alle Zugänge per sub-domain und reverse proxy über 443, dann müsst Ihr egal für welche Anwendung nur 443 offen halten.
b) wer andere Länder nicht braucht, alles außer Deutschland ausschließen. Die meisten Angreifen kommen nicht von deutschen IPs, da hierzulande Verfolgung droht.
Und vor dem Urlaub mache ich das Land auf, in das die Reise geht.

Seitdem schaut bei mir gar keiner mehr vorbei!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Wenn der reverse proxy nicht mit dem Fileserver, also der Syno, realisiert wird, ja!
Wer stellt schon einen Fileserver direkt ins Web, auch wenn er "nur" proxy machen soll?
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
903
Punkte für Reaktionen
64
Punkte
54
Wenn der reverse proxy nicht mit dem Fileserver, also der Syno, realisiert wird, ja!
Fuer den Hausgebrauch reicht da auch eine kleine Raspberry mit nginx als Reverse Proxy.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ein Rasp dürfte die billigste, einfachste und effektivste Lösung sein.
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.573
Punkte für Reaktionen
342
Punkte
103
Wir haben vor ca 1,5 Jahren den ISP gewechselt zu einem kleinen lokalen Glasfaseranbieter, seitdem hat sich die IP nicht mehr geändert. Hat mich auch schon gewundert, ich dachte immer eine statische IP wäre nur für größere Kunden.
Nein. Das kommt darauf an wie der ISP seinen IP Adressenraum verwaltet und IP adressen an seine Kunden verteilt. Hat man nicht ganz so viele Kunden konnte man schon seit vielen Jahren selber NAT machen.
Mein ISP (ca 30.000 Kunden) garantiert mir für einmalig 15 EUR eine statische IP.
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.070
Punkte für Reaktionen
83
Punkte
68
Im Kabel behält man die IP auch teilweise Monatelang. Das mit täglichem Wechsel ist nur bei DSL so.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat