DiskStation absichern - Zugriffsversuche von außen über das Internet

[Arpke]

Hallo,

ich habe mehrere DiskStations und stelle seit 4 Wochen einen verstärkten - unerwünschten - Zugriff aus dem Internet auf meine DiskStations fest:
Bislang gab es so etwas ca. alle 5-8 Wochen einmal - jetzt etwas 10 mal pro Tag !!!

Die Diskstations melden sich dann per E-Mail bei mir und teilten mir folgendes mit:

Von: "DiskStation DS-114" <xxxxxxxx@t-online.de>
Datum: 5. August 2018 um 17:40:26 MESZ
An: <xxxxxxx@t-online.de>
Betreff: DS-1 IP-Adresse [112.85.42.151] von DS-1 wurde von SSH blockiert

Sehr geehrter Benutzer,

Die IP-Adresse [112.85.42.151] hatte 10 Fehlversuche beim Versuch, sich bei SSH auf DS-1 innerhalb von 5 Minuten anzumelden, und wurde um Sun Aug 5 17:40:22 2018 blockiert.

Mit freundlichen Grüßen
Synology DiskStation​

Die IP ist eine IP aus China, die bereits in der ABUSE-Datenbank für so etwas gekennzeichnet ist.

Frage: Kann man die DiskStation noch besser absichern (zum Beispiel durch eine IP-White-List) oder ist der Zugriff in jedem Fall offen, wenn der Angreifer User-ID und Passwort "errät"?

Für jeden Tip bin ich dankbar

Gruß
Norbert

 

[NSFH]

Schalte in der Firewall Geoblocking ein.
Als weiteres nutze niemals die originalen, jedem bekannten Ports sondern mache ein redirect vom Router auf die Syno mit gänzlich anderen ports.
Das die bekannten Ports laufend gescanned werden ist ja nicht neues. Gerade SSH, FTP und Webdav sind da im Fokus, genauso wie alle unverschlüsselten Ports wie zB 80.

 

[Arpke]

Hinweis:

ich kenne den folgenden Artikel bzgl. Freigabe- und Blockierungslisten: https://www.synology.com/de-de/knowledgebase/SRM/help/SRM/RouterApp/security_autoblock

Ich greife selber über einen Provider von außen auf meine DiskStations zu. Dieser Provider hat mehrere IP-Adressen. Kann ich in einer WhiteList nur diese freigeben und alle anderen mir nicht bekannten IPs sperren ?


Wie machen das andere Nutzer ????

Gruß
Norbert

 

[Puppetmaster]

Ist denn der SSH Zugang von aussen wirklich notwendig? Wenn ja, dann verfahre doch zunächst so, wie @NSFH schon schrieb: nutze abweichende, höhere Ports (5stellig) um auf die betroffenen Dienste zuzugreifen, das reduziert auf jeden Fall das Rauschen.

Ansonsten ist immer alles offen, wenn man Benutzername oder/und Passwort kennt oder errät. Aus diesem Grund sollten die Passworte auch immer stark gewählt werden.

 

[Kurt-oe1kyw]

HKann ich in einer WhiteList nur diese freigeben und alle anderen mir nicht bekannten IPs sperren ?

Kannst du machen.
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Konto" > Schaltfläche Freigabe-/Blockierungsliste anklicken > neues Fenster > Register Freigabe-Liste (=WhiteList) > Erstellen > rechtes schwarzes Dreieck > Entweder spielst du hier gleich eine bestehene Liste durch "importieren" ein, oder du trägst vorerst die berechtigten IPs ein.
Register "Liste blockierter IPs" (=Blacklist) wie oben nur eben für Jene IPs die du gerne blocken möchtest.

Wie machen das andere Nutzer?

siehe Antworten weiter oben, keine Standardports verwenden, wenn möglich viel weiter oben, hoch oben bei den 5 stelligen Ports.
Nur Dienste/Ports freigeben weiterleiten die du tatsächlich umbedingt für den Zutritt von Aussen brauchst.
UND 2 FA einrichten, dann sollte (fast) Ruhe sein.

 

[NSFH]

@Arpke: Zur Firewall und ihren Einstellungen schreibst du gar nichts? Damit fängt man erst mal an.

 

[laserdesign]

Hallo,

DS-1 IP-Adresse [112.85.42.151] von DS-1 wurde von SSH blockiert
Die IP-Adresse [112.85.42.151] hatte 10 Fehlversuche beim Versuch, sich bei SSH auf DS-1 innerhalb von 5 Minuten anzumelden, und wurde um Sun Aug 5 17:40:22 2018 blockiert.

mach Port: 22 für den ssh-Dienst wieder zu, oder verbiege ihn auf einen unprivilegierten Port.

 

[NSFH]

echo?

 

[blurrrr]

@NSFH: soll ich auch nochmal?

Aber um da nochmal ein paar andere Möglichkeiten zu nennen:

Ganz generell könnte man das fail2ban aber noch straffen... 3 Anmeldeversuche innerhalb von 5 Minuten und dann direkt eine Sperre für eine Woche oder so. Eventuell schaust Du auch einfach mal aus welchen Netzen das kommt, die kann man teilweise auch komplett sperren (also alles was nicht eh schon via Countryblocking draussen ist), als Beispiel seien da mal die Netze von großen deutschen Hosting-Anbietern genannt, welche Server vermieten (Hetzner und so). Als normaler SOHO-User wird man da bestimmt nicht von einem vServer/Root-Server/Hostingpaket auf sein NAS zugreifen.

Was z.B. SSH angeht, könnte man ggf. auch noch auf Portknocking setzen, das wäre aber schon ziemlich speziell (aber wirksam), hab allerdings keine Ahnung, ob sich das mit einer Syno überhaupt so umsetzen liesse. Müsste man ggf. also mal ausprobieren

 

[Arpke]

Lieber NSFH, laserdesign, Puppetmaster und Kurt-OE1-kyw,

Danke für Eure Antworten.

Im DSL-Router hatte ich vor einigen Jahren je 2 Ports auf die beiden Diskstations umgeleitet (80 und 5000).
Zusätzlich 2 weitere Ports eines LAN Schalters.

Vor 3 Wochen habe ich versucht, per FTP auf die DiskStation zu kommen und habe im Router die Ports 20-22 und 10 weitere Daten-Ports auf die DiskStation umgeleitet.
Da ich das nicht zum Laufen bringen konnte - auch mangelder externer Zugriffmöglichkeit von außen - ist das dann liegen geblieben.
Und die Ports wurden weiterhin auf die DiskStation umgeleitet.

Ich gehe nach der heutigen Diskussion mit Euch davon aus, dass ich damit den Port 22 über den Router auf die DiskStation von außen aufgemacht habe.

Die Portumleitung auf 20-22, ... und die Weiterleitung auf die weiteren Ports für FTP habe ich heute deaktiviert.

Ich habe bislang keine Firewall-Regeln in den DiskStations installiert.
Damit werde ich mich jetzt mal beschäftigen (müssen) und auch mit Geoblocking, ... und andere User-Namen und sichere Passworte.


Danke und Gruß

Norbert

 

[ottosykora]

bei meinr alten 212j habe ich keine besonderen Schutzmassnahmen eingerichtet.
Wenn ich Port 22 öffne, habe ich die ersten 'Hits' nach ca 10-15 Minuten.

Schliesse ich 22, habe ich keinen Logeintrag für Monate und das obwohl ich kein Geoblocking oder verschleierte Ports oder sonst was habe.

 

[blurrrr]

Macht Sinn, wenn der Port zu ist... Hab da auch ein paar Sachen im Netz und ja, "ab und zu" (alle paar Monate mal) kommt was bzgl. fehlgeschlagener DSM-Anmeldungen, aber das ist wirklich selten.

 

[NSFH]

@ottosykara: Wenn ich mich nicht irre logged die Syno nur die offenen Ports. Von daher ist deine Aussage nicht wirklich treffend. Du musst schon mit einer anderen Hard- und Software am Übergabepunkt nach draussen lauschen, was so rein kommt.
Kann ich auch nur jedem empfehlen das mal 1-2 Stunden zu beobachten, am besten mit einem offenen Testsystem und IP Verfolgung.

 

[ottosykora]

ja richtig, ich meine wenn es nicht 22 ist, gibt es etwa 3-4 Versuche pro Jahr. Irgendein Versuch war bei im Januar18, jetzt ist August. Also sehr selten.
Mit 22 offen schaffe ich so um die 200 pro Tag.

 

[blurrrr]

Gehört halt mit zu den Top10-Ports was Angriffe angeht...

 

[Arpke]

Ich habe seit 16 Stunden keinen Zugriff extern von außen mehr im Protokoll der DiskStation finden können.
Daher gehe ich davon aus, dass ich das aktuelle Problem - mit Eurer Hilfe - gelöst habe.

Mit der Firewall der Synology und Geoblocking werde ich mich trotzdem jetzt mal intensiv beschäftigen.

Gruß
Norbert

 

[Puppetmaster]

Das "Problem" ist nicht der Zugriff von extern, der war ja von dir gewollt.

Als Problem solltest du grundsätzlich verstehen:

i) Dienste bzw. Ports die von extern nicht benötigt werden auch nicht anzubieten
ii) starke Zugangsdaten (Passwörter) zu nutzen

Es ist normal, dass wenn im Netz Türen offen stehen, an diesen auch geklopft wird. Hier nutzen dann nur sichere Schlösser.

 

[blurrrr]

Najo, man kann ja schon durchaus weiter einschränken durch Geoblocking (die bösen Russen und Chinesen! ), fail2ban, usw. aber wenn es denn so ungemein stört, einfach von den "üblichen Verdächtigen" fernhalten. Alternativ die Benachrichtigungen für die IP-Sperren von fail2ban abschalten

 

[Ramihyn]

Ich auch noch;
wozu überhaupt etwas anderes von aussen erreichbar machen als die Ports, die für einen VPN-Tunnel notwendig sind? Ist ja nicht so, dass auf der Syno kein leistungsfähiger VPN-Server zur Verfügung stünde, gell.
Bei uns hängt das gesamte LAN inkl. Diskstation hinter ner DMZ bestehend aus Kabelrouter des ISP und Fritzbox, und die einzige von "aussen" mögliche Verbindung ist der VPN-Tunnel zur DS916+.
Wenn ich von unterwegs irgendwas aus dem LAN brauche, bau ich den Tunnel auf, fertig. Ist nun wirklich kein Hexenwerk und erfordert auch kein Netzwerkadmin-Ausbildung,

Weitere Vorteile:
+ der Spuk mit direkten Zugriffsversuchen auf die NASsen hat ein Ende und man kann sich Geoblocking und Co. schenken
+ im VPN-Tunnel ist gleich auch noch unser eigener DNS inkl. Werbeblocking vertreten
+ wir umgehen vom Ausland aus z.B. das Geoblocking von UPC

 

[blurrrr]

Cool, fragt man sich nur wofür die DMZ sein soll, wenn das NAS im LAN steht (ansonsten gibts nix was in der DMZ stehen sollte lt. Deiner Signatur) und... freu Dich schon mal drauf, wenn das erste IP-Telefon ins Haus wandert und im LAN stehen soll mit eurem Doppel-NAT