Sicherheitsproblem: Feste Domain/DynDNS - Fremde Anmeldung

[Daedalus]

Hallo zusammen,
würde mich eher als Anfänger bezeichnen, der noch längst nicht alle Möglichkeiten der Synology ausgeschöpft hat. Daher evtl. eine etwas doofe Frage.
Ich nutze meine Synology als automatisches Fotobackup (Moments) sowie für verschiedene Dokumente.
Jetzt habe ich (leider) zum ersten Mal in den Sicherheitsberater reingeschaut und festgestellt, dass sowohl aus China, der Ukraine als auch Russland Versuche unternommen wurden, sich als Admin anzumelden.
Eine Anmeldung scheint auch aus Russland erfolgt zu sein

Bin gerade ziemlich geschockt, da ich eigentlich ein verhältnismäßig sicheres Passwort gewählt habe (zufällige Buchstaben, Groß/Kleinschreibung, Sonderzeichen, Zahlen); leider nur 10stellig.
Ich habe jetzt zuerst das Passwort geändert (20stellig, zufällig generiert). Gibt es noch irgendetwas zu tun? Kann ich nachvollziehen welche Dokumente heruntergeladen bzw. angeschaut wurden?
Kann ich evtl. alle zur Zeit angemeldeten Benutzer rausschmeißen, so dass eine erneute Anmeldung mit Kennwort erfolgen muss?
Freue mich sehr über eure Antworten

 

[luddi]

Wenn du das Protokoll-Center installiert hast und bei den Diensten die du verwendest die Protokollierung aktiviert hast müsstest du sehen welche Dateien verwendet/zugegriffen wurde.

Du kannst über den Ressourcen-Monitor unter "Verbundene Benutzer" explizit trennen. D.h. sie müssen sich auch wieder erneut authentifizieren. Bzw. könntest du auch von allen Usern das Passwort ändern damit sie sich wieder neu über DSM anmelden müssen und gewzungen werden ein neues Passwort zu erstellen (sofern konfiguriert).

Zusätzlich kann ich dir noch empfehlen nur die Ports zu öffnen die tatsächlich benötigt werden und evtl. die Firewall entsprechend einrichten damit z.B. nur Deutschland Zugriff hat, was aber nicht die Gefahr komplett ausschließt.

--luddi

 

[Daedalus]

Danke dir!!
Habe die Firewall entsprechend konfiguriert und zudem sämtliche Passwörter geändert. Zudem habe ich die Domain beim DynDNS Anbieter gelöscht und eine neue erstellt. Die besteht auch nur aus einer Aneinanderreihung verschiedener Zahlen und Buchstaben ohne Sinn.
Hoffe das genügt.

 

[servilianus]

Dazu noch die 2-Faktor-Authentifizierung und unter Sicherheit/Konto, dass eine IP-Adresse mit dreimaliger falscher Anmeldung innerhalb von ein paar Minuten gesperrt wird - und Du bist auf der vergleichsweisen sicheren Seite. Zudem: Du schreibst ja nur von Versuchen des einloggens, die haben ja offenbar nicht funktioniert. Übrigens: Eine neue Domain zu bestellen wg. einer „sinnlosen“ Zeichenkombination bringt unter Sicherheitsgesichtspunkten übrigens nichts.

Und wenn du es noch sicherer haben willst - machst Du Deine Syno überhaupt nicht zum Internet hin auf, sondern greifst nur per VPN auf die Syno zu.

Einloggversuche auf Synologies, die per Web erreichbar sind, gehören leider zum normalen Grundrauschen im Netz, daher also:

- starkes Passwort
- 2-FA
- automatische Blockierung
- Zugriff nur per https
- Standardport der syno für den Webzugriff (5006) auf einen anderen hohen Port ändern

Oder eben nur VPN-Zugriff.

 

[Fusion]

dynDNS und Domain sind auch völlig egal. Die Scans laufen direkt über ganze IP Netze. Ist also völlig egal welche Name zu einem Eintrag existiert, wenn das ganze Telefonbuch "einfach abtelefoniert" wird.

 

[the other]

Moinsen,
da teile ich die Einschätzungen hier: jeder Firmenserver ist idR ausschließlich via VPN Tunnel zu erreichen. Da das heute eigentlich auch für Privatpersonen recht einfach einzurichten ist und es viele guten Anleitungen dazu gibt, fast jeder ne Fritzbox daheim hat oder eben zur Not auch das NAS, sollte eigentlich alles auf Grün stehen.

Ich hatte das hier früher auch, immer wieder mal Einlogversuche. Hatte einige Dienste nach außen gegeben per Portweiterleitung. Erst mal die Firewall konfiguriert, fand ich aber auch nicht wirklich befriedigend. Dann VPN via Fritzbox, dann (weil eben nicht so perforant) via NAS, das fand ich aber aus Gründen der Sicherheit mistig.

Mein Tip:
lass das Ganze entweder via Fritzbox laufen oder hol dir für gerade mal ein paar Euro zB ein Raspi mit darauf zu installierendem VPN Server, Wiregurad zB ist zwar noch nicht 100% etabliert, was Securityaudits angeht, soll aber (für den Privatanwender) schon sehr gut laufen.
Hier habe ich den (open)VPN Server zusätzlich mit RADIUS abgesichert, hier sind dann Zertifikate, 2FA sowie Benutzername und PIN nötig, um sich ins Heimnetz zu wählen.

Ist natürlich anfangs etwas Gefrickel, dafür ist seitdem aber Ruhe. Klar werden die VPN Ports auch mal gescannt, aber da ist eben noch ne Firewall zwischen. AUf das NAS selber ist seitdem nur noch gekommen, wer auch eingeladen war (oder so supercool ist, dass er alle Logs nachher wieder bereinigt hat...)

 

[ottosykora]

Bin gerade ziemlich geschockt, da ich eigentlich ein verhältnismäßig sicheres Passwort gewählt habe (zufällige Buchstaben, Groß/Kleinschreibung, Sonderzeichen, Zahlen); leider nur 10stellig.
Ich habe jetzt zuerst das Passwort geändert (20stellig, zufällig generiert). Gibt es noch irgendetwas zu tun? Kann ich nachvollziehen welche Dokumente heruntergeladen bzw. angeschaut wurden?

warum geschockt?
Habe gerade nachgeschaut, bei einer unseren DS ist die Autoblock Liste momentan bei 5850 Einträgen. Läuft halt auch schon 8 Jahre.
Und? Soll sich da jemand aufregen?

Und der admin muss ja nicht admin heissen sondern etwas anderes und Passwörter können lange sein, so ist es. Und der Besucher, respektive Scanner sperrt sich nach 3 Versuchen selber aus, also rege ich mich doch nicht auf deswegen.