Ports

[Bigi8]

Thema: Ports

Es dürfte wohl jedermann bekannt sein, dass die Ports 5000 rsp. 5001 ein Sicherheitsrisiko darstellen.
Es wird deshalb allgemein empfohlen diese durch sogenanntes Umbiegen auf andere Portnummern zu legen.
Habe Mühe damit, weil diverse externe Apps wie DS calendar oder DS note die beiden Ports (5000, 5001) ebenfalls belegen.

Gibt es dazu eine Lösung oder ist dies der Status Quo ?

Mit feudlichen Grüssen
Richard

 

[casnoff]

Risiko ist immer so eine Ansichtssache.


Egal auf welchem Port du die Dienste legst, sie sind ohne Probleme mit einem Portscan zu finden. Einfach bei Google eingeben und du findest entsprechende Suchmaschinen.
Für mich ist das Deaktivieren von den üblichen Verdächtigen Benutzern wie admin usw. der bessere Weg. Also einfach einen neuen admin anlegen der nicht admin heißt und ein entsprechend sicheres Passwort. Das halte ich für den besseren Weg. Einloggversuche werden so oder so stattfinden.

Gruß

Casnoff

 

[NSFH]

Du verbiegst die Ports nicht in der Syno sondern im Router! Dadurch ändert sich innerhalb des LAN gar nichts.

Was die Anmerkung im vorigen Beitrag angeht: Jeder nach Aussen zeigende Port ist ein Sicherheitsrisiko. Das fängt bei Port 80 an.
Diese Standardports werden vom Rputer Firewalltechnisch mehr oder weniger gut abgesichert.
Anders sieht das bei den einfachen SoHo Geräten aus, wenn man mit den "verbogenen" Ports arbeitet. Die werden 1:1 direkt auf die Syno weitergeleitet.
Man sollte sich also überlegen, ob es nicht doch ein paar Euro mehr für einen guten Router sein sollen, wo diese Ports ebenfalls durch die Firewall abgesichert werden.

 

[Puppetmaster]

Port 5000 sollte nicht genutzt werden, weil hier alle Kommunikation über - ungesichertes - http läuft. Gegen Port 5001 (https) ist erst einmal nichts einzuwenden, ausser der allgemeinen Hysterie bei geöffneten Ports.

 

[Bigi8]

Danke NSFH

Wie beurteilst Du aus Deiner Sicht FB 7590 ?
Besondere Einstellungen ?

Gruss Richard

 

[Bigi8]

Hallo Puppetmaster

Freut mich für den guten Tipp

Den Hacken habe ich bis heute nie vergessen.
Trotzdem wurde ich in den letzten Tagen gehackt !

Gruss Richard

 

[Puppetmaster]

Trotzdem wurde ich in den letzten Tagen gehackt !

Was soll das heißen? Hat sich jemand Zugriff zu deinem Netz oder deiner DS verschafft?

Dass es Loginversuche, auf eine öffentlich erreichbare Seite (DSM Anmeldung z.B.) gibt, ist ganz normal. Jedoch beschränkt sich das in der Regel auf das Ausprobieren von Standardzugängen mit schwachen Passworten.
Hier hilft die automatische Blockierung und, natürlich, starke Passwörter.

 

[Bigi8]

Hallo Puppetmaster

Die DS wurde gehackt !

Verwende starke PWD's 16 Stellen (alle Kombinationen)
Blockierung eingeschaltet.
Admin ausser Betrieb.

Der Security Check bestätigte den oder die Eindringlinge.
Einige Versuche aus der Russischen Förderation waren zum Glück abgeblitzt.
Hier handelte es sich um Versuche Passwörter zu knacken.

Heute bin ich sehr skeptisch, möchte aber das Zeug nicht einfach hinschmeissen...

Richard

 

[Puppetmaster]

Klingt jetzt nicht so, als wäre jemand auf deine DS gekommen.

Was sagt der Security Check denn genau?

 

[Bigi8]

Hallo Puppetmaster

Antwort vom Security Checker
1.) (harmlos)
Jemand hat versucht, sich als admin durch Auprobieren von Kennwörtern anzumelden,
blieb jedoch erfolglos (Brute Force Angriffe). 10 fehlgeschlagene Anmeldungen wurden
inerhalb von 5 Minuten aus der Russische Förderation unter folgender IP erkannt 95.70.27.95.
Angegriffene Dienste DSM.


2.) Kritisch

Wenn 178.63.171.161 nicht zu Ihnen gehört, sind Ihre Kontoinformationen evtl. in falsche Hände gelangt.

Hinweis Synology:

- Ersetzen des Kennwortes
- 2- Stufen
- Beschränken auf bestimmte IP-Bereiche

Grus Richard

 

[NSFH]

Ob nun die DS gehackt wurde wage ich zu bezweifeln. War dann mehr ein untauglicher Versuch über BruteForce.

Meine Überwachung von Ports zeigt eindeutig, dass es keine Hystrerie ist die well known ports auf andere ports im 5-stelligen Bereich umzulenken. Ich habe zeitweise den 5001 über redirekt auf einen 5-stelligen Port im Web liegen. Der ist noch nicht ein mal gescannt worden. Lege ich den 5001 direkt nach Aussen dauert es nicht lange bis es losgeht. Redirect ist also schon sinnig!

zur Frage nach der Fritz 7590. Eine schöne Blackbox für Leute, die sich mit nichts wirklich beschäftigen wollen. Die Dinger laufen stabil und lassen sich einfach konfigurieren.
Auf Anhieb würde ich aber jedem, der etwas Ahnung von der Materie hat was anders empfehlen, wo die Einstellungen der Firewall und Dienste transparent sind und individuell einstellen lassen. Da sind die Fritz mehr Blackbox, man weiss nicht genau was da im Inneren passiert bzw kann da auch nichts anpassen.
Aber vorsicht, richtige Router sind schon komplizierter zu konfigurieren. da muss man wissen was man macht.
Ich hatte zB zu Hause wegen Unitymedia eine Fritz laufen. Sie hat gemacht was sie soll. Port redirect ist ruckzuck eingerichtet.
Wenn möglich würde ich aber von aussen immer nur VPN zulassen, was auch mit der Fritz einfach einzurichten ist. Allerdings ist der ZUgriff nicht sehr performant via VPN. Auch da müsste man auf einen anderen Router ausweichen.

Ich habe mich hardwaremässig inzwischen auf Geräte von Draytek eingeschossen. Die Einstellmöglichkeiten sind vielfältig und die Performance liegt über der Fritz, vor allem im VPN Bereich. Fritz nutze ich nur noch als nachgeschaltete VOIP Telefonanlage, das macht sie gut.

 

[Puppetmaster]

Habe nichts zu redirect geschrieben, bitte genau lesen.
Nutze es selbst und empfehle es ja auch.

Die Hysterie bezog sich darauf, Ports überhaupt geöffnet zu haben.

 

[NSFH]

............ Gegen Port 5001 (https) ist erst einmal nichts einzuwenden, ausser der allgemeinen Hysterie bei geöffneten Ports.

Hast du, auch ein Redirect ist ein geöffneter Port.

 

[Puppetmaster]

s.o.

PS: falls das nicht offensichtlich scheint: Hysterie ist etwas was ich nicht teile.

 

[NSFH]

das habe ich auch nicht angenommen

 

[blurrrr]

aber.. aber.. aber...!!! *panisch im Kreis renn*

Redirect kann man sicherlich machen, hilft bei der eigentlichen Problematik aber auch nur "bedingt" (sorry NSFH, ich habe da einfach andere Erfahrungen gemacht, aber ein guter Mix ist ja auch nicht verkehrt ). Wie schon gesagt wurde, wäre VPN wohl das Mittel der Wahl, da so erstmal garnichts vom NAS nach aussen offen ist. Das Problem an der ganzen Geschichte ist eigentlich nur die Software... die von Menschen gestrickt wird... Menschen machen Fehler... (mehr muss man dazu auch schon garnicht sagen). Sicherlich gibt es entsprechende Lösungen wie fail2ban (X Anmeldeversuche, dann Sperre für Zeit Y), nur hilft sowas auch nicht immer, da mitunter schon Exploits im Webserver ausreichen. Hier läuft auch eine etwas grössere Kiste 24/7 mit statischer externer IP und "pro Jahr" kommen hier vielleicht 10 gesperrte IP-Adressen bei rum. Man muss dazu aber auch sagen, dass die Ports 5000/5001 bei "weitem" nicht zu interessiert sind wie andere... Schaue ich mir die Firewall-Logs von mir mal an, kommen da im Monat ungefähr 2 Millionen verworfene Pakete bei rum. Interessant wird es dann bei den verworfenenen Diensten. Unschwer zu erraten, weil es schon seit Jahren so ist, der ungeschlagene Platz 1: "telnet" (Port 23). Auch immer wieder ganz oben dabei: Microsoft-DS (Port 445), direkt gefolgt von SSH (22)... irgendwann später auch mal HTTP/HTTP-ALT (80/8080), MS-SQL via Port 1433 und SIP darf heutzutage mit Port 5060 natürlich auch nicht fehlen, etc. ... und natürlich immer wieder zwischendurch irgendwelche Botnet C&C-Ports (div. Highports). Allerdings kann man u.U. schon durchaus davon ausgehen, dass - wenn ein Exploit für Synology DSM veröffentlicht wird - dass auch ein entsprechender Hype ausgelöst wird und die Ports 5000/5001 auch mal verstärkt abgeklopft werden (je nachdem wie interessant so private Daten oder Daten kleinerer Firmen halt so sind).

Man muss dazu auch sagen, dass es tendentiell sowieso nur 2 Arten von Angriffen gibt: a) Man kennt das Ziel nicht, hat aber grade einen Exploit parat, also sucht man komplette Netze nach möglichen Systemen durch (da hilft der redirect), b) man kennt das Ziel und will "irgendwie" eindringen, dann hilft auch ein redirect in keinster Weise mehr. Allerdings ist faktisch letzteres nur bei wirklich interessanten Zielen (oder Auftragsarbeiten) zu erwarten. Das Grundrauschen im Internet ist eher durch "a" bedingt.....Schlussendlich wird immer heisser gekocht, als gegessen wird. Sollte man evtl. auch nicht vergessen. Von daher - um da einfach ein bisschen "Ruhe" reinzubringen - frag Dich einfach mal, ob das mit dem Remotezugriff so ohne VPN wirklich alles sein muss und ob Du nicht ggf. mit dem ein oder anderen zusätzlichen Schritt - vor dem direkten Zugriff von unterwegs aus - leben kannst. Selbst wenn Dein Handy z.B. von Schadsoftware befallen ist und die DS-Login-Daten in fremde Hände gelangen... User+Passwort sind weg, jut... aber wohin wollen die sich denn dann damit verbinden? Zu Deiner "internen" NAS-IP und das ohne VPN? Dürfte wohl nur schwerlich möglich sein, von daher ist selbst im Falle einer Infektion noch alles halbwegs im trockenen. Sollte der Rechner im gleichen Netz befallen werden, kann man darüber natürlich wieder auf das NAS zugreifen, aber sowas steht dann doch noch auf einem anderen Blatt.

Einfach alles auf die externe Erreichbarkeit der DS zu schieben finde ich in diesem Fall übrigens weniger sinnig. Sicherlich mag sowas vorkommen, aber tendentiell liegt es a) an mangelnder Sicherheit der Logininformationen (Komplexität/Aufbewahrung), oder b) an einem anderen komprimitierten Gerät (gutes Beispiel hier für: im z.B. Browser gespeicherte Logindaten (s. a) Aufbewahrung)). Auch Mailkonten werden vorzugsweise durch das abgreifen gespeicherter Logindaten gekapert. Die Keule von wegen "komplexe Passwörter verwenden, regelmässige Änderung der Logindaten, keine Passwörter speichern, etc." pack ich jetzt hier mal nicht aus Will damit nur sagen, dass man i.d.R. doch immer eine gewisse Mitschuld trägt...

 

[NSFH]

Nur zur Klarstellung: Ich habe nichts gegen redirect, empfehle es jedem mit einem SoHo Router.
Was deine Erfahrungen mit den Port Scans angeht sieht das bei mir ähnlich aus, allerdings ist 5000/5001 doch erheblich stärker betroffen als scheinbar bei dir.
Was auffällig am Scanverhalten im Web ist: Früher wurden komplette Portscans durchgeführt, das hat sich massiv verlagert auf nur scannen der interssantesten well known ports, da gehören die Standard Ports der Syno dazu.
Wer sein Netz wirklich schützen will braucht auch nur folgende Ports: HTTP, HTTPS, DNS, IMAP und SMTP sowie bedarfsweise noch den abgesicherten Zugang zum VOIP. Alles andere geht über SSL-VPN.
Dann noch ein guter Router, der auch abgehenden Verkehr filtern kann damit man evtl eingeschleppten Trojanern auf die Spur kommt, mehr kann man nicht tun als kleiner Mann.

 

[whitbread]

Also ein guter Router ist schonmal essentiell. Der blockiert dann bitte auch die Port Scans.
Das ‚Umbiegen‘ der Standardports halte ich für ebenso wichtig - warum? In dem Moment, wo Synology einen bekannten exploit hat, werden massenweise IP‘s mit den Syno-Standardports gescannt und Du wirst auch erwischt. Solange keine exploits existieren reichen theoretisch gute Passwörter und die Blockierung bei Fehleingabe.

 

[blurrrr]

Das muss garnicht mal Synology sein, auch andere Hersteller nutzen u.a. die Ports 5000/5001. Wenn es nur für einen selbst ist, kann man natürlich auch etliche Dinge umbiegen, keine Frage, sobald es aber in Richtung Öffentlichkeit geht, ist da ziemlich schnell schluss mit solchen Spässen und dann muss man sich - wohl oder übel - der harten Realität des Grundrauschens stellen. Was die Exploits angeht, darf man aber auch nicht vergessen, dass es a) remote sein möglich muss und b) "ohne" authentifizierten Benutzer. Die meisten Exploits gelten doch zumindestens noch für authentifizierte Benutzer (wo man dann meist die Rechte ausgeweiteten werden). Das Problem mit den Portscans ist schon ein bisschen mehr als ein einfaches blocken. Je nachdem wie gescannt wird (z.B. auch nur 1 Port pro Host, wird u.a. auch gern bei der telnet-Suche gemacht) fällt sowas auf oder eben nicht. Meist wird nur nach einer bestimmten Anzahl von Portabklopfereien dicht gemacht, oder die Kommunikation ist fehlerhaft und darauf wird reagiert. Wenn man aber einen vermeintlichen realen Zugriff vortäuscht (was zugegebenermaßen dann eben auch für den Angreifer länger dauert) und das bei einem einzelnen Port (oder zwei, wie im Falle von 5000/50001) wird da einfach garnichts blockiert. Alternativ kann man sich aber auch die Zeit nehmen und einen Port pro "Minute" scannen (ggf. auch etwas flotter), aber dann fällt da mit Sicherheit auch nichts weiter auf.

Wenn wir mal ganz ehrlich sind: Nimmt man die Anzahl der gesamten Komprimitierungen, ist meist das "vor" dem Rechner Schuld (E-Mail-Anhang geöffnet, falsche Website besucht, China-Cam inkl. PnP ins Netz gehängt, etc.), das mit den Exploits ist - im Gegensatz zu früher - schon massiv in der Gesamtzahl gesunken. Was vielmehr nach dem "User" das Problem ist, sind irgendwelche - ewig lange - ungepatchen Systemen, grade bei Webseiten sieht man sowas immer wieder (die IP-Cams buddel ich hier mal nicht aus, das ist eh katrastrophal...). Ich persönlich z.B. halte überhaupt nicht wirklich was von diesen ganzen Umbiegereien. Entweder nutzt man etwas rein privat, dann ist halt VPN-Pflicht und von aussen ist dann eh nichts anderes zu erreichen, oder es ist öffentlich Zugänglich, dann kann man die Öffentlichkeit aber auch nicht mit solchen Dingen belästigen und muss entsprechende Vorkehrungen treffen. Was ich hier "immer wieder" sehe, sind irgendwelche Wordpress-Installationen die im Netz veröffentlicht werden... da noch groß wegen den DSM-Ports rumhampeln? Tür nicht abschliessen, aber alle Fenster mit Gittern versehen? Sorry... Ebenso werden hier hunderte und tausende von Euros für die dicksten und dollsten Kisten ausgegeben, die dann doch wieder im öffentlichen Netz landen. Statt dessen könnte man auch einfach mit VLANs arbeiten, eine "kleine" Kiste für den Austausch mit der Aussenwelt nutzen (z.B. zwecks Filesharing/Websites) und das Hauptgerät schön im LAN lassen wo niemand von aussen dran kann (ausser man selbst via VPN z.B.). Sowas wäre meiner Meinung nach sinnig, aber da mit zig Ports durch die Gegend hampeln, wo dann ggf. wieder so Scherereien hat wie, dass ein Syno-eigener Dienst vom Handy aus nicht erreichbar ist (da hardcoded in der App) oder sonstiges. Es bleibt halt wie es ist: IT macht Arbeit, auch wenn das nie einer gerne hört und die Gefahr vorschnell ein Update installiert zu haben (aus Angst vor der gefixten Sicherheitslücke) bleibt auch nach wie vor bestehen (Microsoft ist da ja in diesem Jahr ein wirklich glänzendes Beispiel gewesen).

Ich persönlich habe übrigens nicht "einen" Port umgebogen - nirgendwo - alles nach dem o.g. Rezept gekocht ("intern" nur via VPN und extern alles nur in VLANs) und bisher nicht ein Problem gehabt (und das bei etlichen Standorten und zig IP-Adressen). Falls dann doch noch alle Stricke reissen: das Stichwort heisst "offline Backup" (oder einfach: von den öffentlich zugänglichen Geräten "nicht erreichbar"). Im der Syno-Welt sieht es dann eher so aus, dass nicht das öffentlich erreichbare Gerät das Backup auf ein anderes Gerät sichert, sondern eher, dass sich ein anderes Gerät das Backup "holt" und somit hat das öffentlich erreichbare Gerät da überhaupt nichts mehr zu melden. So hätte man zumindestens gewisse Sicherheiten (die natürlich wieder nicht vor dem Fehler vor dem System schützen *hust* ).

Also meiner Meinung nach: Kirche im Dorf lassen. Kann man sicherlich machen, wenn man sich die Umbiegerei antun will, aber ob das wirklich zwingend nötig ist (nach Systemhärtung)... Naja... sicherlich nix für Webseitenbetreiber. Was die DSM-Ports angeht, die sollten - im besten Falle - erst garnicht von aussen erreichbar sein (das "Haupt"-System, versteht sich ).