DSM 7.2 Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?

[Synchrotron]

In deinem Fall würde ich VPN auch nicht nutzen. Cloud Flare und/oder Reverse Proxy wären wohl die Mittel der Wahl.

Dass die Versuche „hartnäckig“ erfolgen, macht logisch betrachtet wenig Sinn. Jeder Bot ist „hartnäckig“, der Begriff macht bei automatisierten Angriffen keinen Sinn. Die haben sich bei dir festgebissen und probieren stumpf ihr Wörterbuch durch, bis jemand den Stecker zieht.

 

[metalworker]

Aber wie soll da CloudFlare helfen?

Was hast du eigentlich für eine Firewall bei dir vor deiner DS?

 

[maxblank]

Ich verstehe immer noch nicht, warum Kunden sich in DSM an sich anmelden sollen…

Steht das NAS in einer DMZ?

 

[Rotbart]

Setzt du das Script von hier ein ?

 

[Puppetmaster]

Ich habe für DSM einen komplett anderen Port in der Systemsteuerung angegeben. 5000 und 5001 sowie 80 und 81 sind nicht aktiv

Weshalb in der Systemsteuerung?
Dort können es doch diese Ports bleiben. Wichtig ist lediglich, wie es nach aussen hin aussieht. Also ob du z.B. im Router 55001 öffnest und auf die 5001 in deinem Netz weiterleitest.

 

[afranz]

Ich hatte mal die IP Geprüft die du angegeben hast ,die kommt aus Russland,
Hast du Russland freigegeben?

nein, Russland ist definitiv nicht unter den erlaubten Ländern

 

[Rotbart]

Dann funktioniert dein Geoblocking nicht

 

[NSFH]

Alle Firewalleinstellungen gemacht und am Ende nicht den Haken gesetzt bei alles andere blockieren.
Also gar keine Firewall in Betrieb oder in den Regeln eine Freigabe erteilt die alles mögliche erlaubt und nachfolgende Regeln aushebelt.

 

[metalworker]

ja dann geht dein GEoblock nicht. Das war so meine erste Vermutung.

Am besten löst das über deine Firewall vom Netzwerk . Also nicht in der Synology sondern wirklich deinem Gateway.
Das ist die elegantere Lösung.
dann kommt der käse gar nicht erst bis zur Syno durch

 

[maxblank]

Weshalb in der Systemsteuerung?
Dort können es doch diese Ports bleiben. Wichtig ist lediglich, wie es nach aussen hin aussieht. Also ob du z.B. im Router 55001 öffnest und auf die 5001 in deinem Netz weiterleitest.

Was soll das bringen?

 

[metalworker]

Das von außen nicht gerade der Port 5001 ereichbar ist . Der wird eher angegriffen.

 

[Puppetmaster]

Was soll das bringen?

Lies doch mal den gesamten Thread, dann wird es doch klar, oder?

 

[NSFH]

Entweder die Verwendung des ReverseProxy, dafür müsste aber der Zugriff via Subdomainnamen durchgeführt werden und ein LE Zertifikat dafür vorhanden sein sowie 443 im Router auf die Syno weitergeleitet werden.
Alternativ:
Im Router eine Portweiterleitung einrichten von xxxxx auf 5001 in der Syno. Auf gar keinen Fall 5000(HTTP !!!!). In der Syno den 5001 zu verändern ist nicht zielführend, das muss im Router passieren!
Und dann natürlich funktionierende Firewallregeln anwenden, vorzugsweise schon im Router und in der Syno nur additiv.

Was mich aber wirklich interessieren würde: Warum wird DSM nach Aussen freigegeben? Welche Dienste müssen Dritte auf der Syno nutzen?

 

[Synchrotron]

Was soll das bringen?

Nach außen sichtbar ist nur der Port am Router. Es is völlig egal, auf welchen INTERNEN Port vom Router aus weiter geleitet wird.

Wenn der Router-Port auf ..xxx:5001 steht, wird jedem, der den Portscan macht signalisiert „Hier wartet potenziell eine Synology auf Kundschaft“. Und dann wird es eben probiert.

Jetzt kann man natürlich den Router-Port ändern. Dann muss man aber auch allen, die Dienste verwenden, die auf diesen Port zugreifen, beibiegen, dass sie den Port auch auf ihrer Seite ändern müssen. In dem vom OP geschilderten Fall kann das aber schwierig werden, ebenso wie das Einrichten eines VPN bei einer Gruppe von Projektmitgliedern.

Daher entweder auf die 443 gehen und den offenen Port durch einen Reverse Proxy abfangen.

Oder (ich weiß, Sakrileg !) für das Projektteam einen Clouddienst einrichten, und die DS mit diesem über CloudSync synchronisieren. Das nimmt dem Ganzen die sportliche Komponente, sein offenes Netzwerk gegen die anbrandenden Hacker-Horden zu verteidigen. Aber es erlaubt, sich auf seine Projektarbeit zu konzentrieren, statt hier im Forum abzuhängen

Grüße von meinem Freund Prokrastes

 

[ctrlaltdelete]

@afranz Du solltest deine Firewall überprüfen, die von dir genannte IP kommt definitiv aus Russland:
https://ip-address-lookup-v4.com/lookup.php?host=ip-address-lookup-v4.com&ip=88.201.141.27&x=36&y=19
Edit: Und lass das Script automatisiert über den Aufgabenplaner laufen:
https://github.com/geimist/Update_Blocklist

 

[Ulfhednir]

Ich bin jetzt mal etwas forsch: Wer > 3000 EUR für eine RS3621RPxs hat, sollte sich vielleicht Gedanken machen, dass man zur Absicherung derselbigen (?) eine "echte" Hardware-Firewall verwendet. Und wenn man von der ganzen Thematik keinen Dunst hat, sollte man sich zumindest für die Ersteinrichtung jemand dazu holen, der etwas vom Fach versteht, anstelle hier unter uns Hobbyadmins nachzufragen.

 

[metalworker]

ja ganz falsch ist dein einwand da wirklich nicht

 

[maxblank]

Ich finde es absolut nicht zielführend, dass gebetsmühlenartig die Verlegung eines Ports in eine hohe Range etwas bringen soll außer trügerische Sicherheit. Außer vielleicht ein paar Minuten, die der Portscanner länger braucht. Die Scanner erkennen schon, was dahinter erreichbar ist.

@Puppetmaster: Absolut sachlicher Einwand …. nicht.
Hättest du das Thema gelesen, hätte sich dein absolut unnötiger Kommentar von selbst erledigt.

 

[ctrlaltdelete]

Daher entweder auf die 443 gehen und den offenen Port durch einen Reverse Proxy abfangen.

Wenn offene Ports, dann ist das die gangbare Lösung, ich nutze das sogar im privaten Umfeld und habe Null Attacken auf Port 443.

 

[Puppetmaster]

Ich finde es absolut nicht zielführend, dass gebetsmühlenartig die Verlegung eines Ports in eine hohe Range etwas bringen soll außer trügerische Sicherheit

Was ist denn das Ziel?
Das Ziel ist, 90% der Portscans, die wiederum sinnfreie Meldungen nach sich ziehen, zu eliminieren.
Zum Thema Sicherheit hat @Synchrotron bereits ausführlich geschrieben. Es wird mindestens verschleiert, welche Maschine bzw. welcher Dienst hier hinter der Tür wartet.

Und ich habe den Thread gelesen, verstanden und reflektiert. Danke der Nachfrage.