DSM 7.3 Fragwürdige Verbindungen ins Ausland

[olafw]

Hallo zusammen,
ich habe mich in diesem Forum registriert nachdem ich bei meinem NAS durch die neue Firewall auffällige Entdeckungen gemacht habe. Kurz zu mir, ich nutze zwei NAS von Synology, eine DS216+ schon seit Jahren, vor kurzem kam eine DS925+ dazu.
Im Weihnachtsurlaub habe ich nun meine neue Firewall in Betrieb genommen, ein UniFi UCG Ultra. Hier habe ich einige Länderblockierungen eingestellt, u.a. Russland, China, Nord Korea usw.

Was mich nun sehr stuzig macht ist die Tatsache, dass mir die Firwall ständig blockierte ausgehende Verbindungen vom NAS in Richtung China, Russland, Ukraine und dergleichen anzeigt.
Es ist ein frisch aufgesetztes DSM 7.3.1. Außer den Standardpaketen sind keine weiteren installiert, Dienste sind noch alle deaktivert.

Habt ihr auch schonmal solche Datenpakete in ferne Länder beobachten können, bzw. könnt euch erklären, woher diese stammen? Keines meiner anderen Geräte verursacht solchen Datentraffic.
Insgesamt trübt derartiges Verhalten mein Vertrauen gerade sehr stark ein.

Bin gespannt auf eure Meinung!

Schönen Abend!

 

[maxblank]

Servus @olafw und Willkommen im Forum!
Das sind in meinen Augen keine besorgniserregenden IP-Anfragen, sondern öffentliche Cloud-, CDN- oder ISP-Netze, die von Synology (oder deren Dienstleistern) mitverwendet werden.

DSM spricht regelmäßig mit externen Servern für:

• QuickConnect
• Push-Benachrichtigungen
• Lizenz- & Paketprüfung
• DDNS
• Zentralisierte Update-Infrastruktur
• Paket-Repositorys
• Signaturen
• Versionsstände
• Zeitserver (NTP)
• Zertifikatsprüfung
• Fehler- & Statistikdaten
• Download von Antiviren-Signaturen

Synology nutzt weltweit verteilte Server, u. a. auch:

• Alibaba Cloud (China)
• Internationale CDNs
• Huawei Cloud, ist in dem Fall nur der Infrastruktur-Provider (vergleichbar mit AWS oder Azure)

Deshalb tauchen asiatische & osteuropäische IPs auf.

Viele Grüße
maxblank

Edit: Sind die IPs auf deinem Screenshot aus Sicht des NAS ankommende Anfragen aus dem Internet? Falls ja, dann kann Synology nix für. Das ist das normale Grundrauschen im Internet, wenn deine IP gescannt wird.

 

[olafw]

Hallo maxblank,

danke für deine Antwort.
Deine genannten Dienste kann ich absolut nachvollziehen, die völlig wirre Verteilung der IP Adressen jedoch nicht.
Ich bin selbst als Netzwerker in einem großen Unternehmen tätig, daher kenne ich es vor allem bei CDN's so, dass die jeweils nächsten Edge-Server angesprochen werden.
Was mich auch sehr wundert, es finden nahezu keine DNS Abfragen an meinem DNS Server statt. Somit müssten die IP's fest einprogrammiert sein in der Firmware.
Externe DNS Server kann das NAS in meinem DMZ Netz nicht nutzen, hier wird alles über ein Destination NAT auf meinen internen Server umgeleitet.

Ich lasse diese "dubiosen" Länder ab sofort jedenfalls blockiert und bin gespannt, wie das NAS reagiert bzw. welche Auswirkungen es hat.

Eventuell kann jemand anderes mit einer entsprechenden Firewall das mal nachstellen. Gibt genug Unternehmen, die ebenfalls Synology im Einsatz haben und solch gesprächige Netzteilnehmer nicht mögen, geschweige denn die Ziele der Datenpakete.

Schönen Abend noch

 

[maxblank]

In meinen Augen sind das ankommende Anfragen aus dem Internet. Daher auch keine Anfragen an deinem DNS-Server. Prüfe das mal bitte.

 

[olafw]

Nein, hierbei handelt es sich um ausgehende Verbindungen vom NAS ins Internet.

 

[plang.pl]

Hm. Port 6882 ist schon komisch. Gab es hier nich kürzlich einen Thread dazu?

 

[olafw]

Hier noch ein weiteres Beispiel. Wie gesagt, es sind hunderte Verbindungen pro Stunde.
Falls es einen Threas dazu gibt, hast du den kurzerhand als Link zur Verfügung?

 

[plang.pl]

Der war's: https://www.synology-forum.de/threa...tion-pingt-nach-draussen.140632/#post-1267549


Das hier sieht auch nicht vertrauenserweckend aus

 

[plang.pl]

Bei mir ist nach extern ein GeoBlock aktiv (inkl. China, Taiwan, Russland, usw) und auch nur die "Standard-Ports" dürfen raus. Alles wird an der Firewall geloggt und gedroppt. Ich sehe von meinen beiden DSen keine Anfragen dieser Art

 

[olafw]

Okay, krass. Danke Dir für den Tipp und den Link!! Download Station gestoppt, seitdem ist Ruhe.
Geoblocking ist bei mir auch sehr restriktiv eingerichtet.
Welche Ports hast du denn als Standardports zugelassen nach außen?
Alle anderen Geräte in meiner DMZ sind nahezu komplett geblockt, stellen aber auch kaum Anfragen außer die, die eben sein sollen.

Etwas offtopic: ich mache mir wirklich sorgen um jeden, der einen normalen "dummen" Router nutzt. Da kann ja alles überall hin kommunizieren...

 

[plang.pl]

Im "normalen" Client Netz ist bei mir 80, 443 (http+https); 500, 4500, 3478-3481, 10000-20000 (WLAN-Call / VoIP); 9339 (Supercell Games); 5228 (Android / Chromecast Gedöns) offen.
In meinen anderen Netzen ist das eher noch restriktiver. Es gibt aber Ausnahmen: Chromecast brauchen Port 53 zu Google DNS, IoT Geräte brauchen oft MQTT und andere Dienste.
Dazu kommt noch AdGuard Home / DNS-Filter und Geoblocking + IPS auf der Firewall.

Bis vor einigen Wochen war ich noch mit FritzBox ohne Firewall unterwegs. Auch da kann man aber Ports nach extern sperren. Allerdings nach dem umgedrehten Prinzip (ich muss alles schließen, was nicht erlaubt sein soll). GeoBlocking geht bedingt, IPS gar nicht. Da hatte ich meine IoT Geräte halt noch im Gast-WLAN. Ich denke, wenn man sich nicht alle China-Böller ins normale WLAN holt, AdGuard nutzt und ein wenig aufpasst, ist man mit ner FritzBox auch relativ safe. Natürlich erhält man aber bei einer gescheiten Firewall deutlich mehr Möglichkeiten und einem fallen Unregelmäßigkeiten auf, die sonst im Verborgenen bleiben

 

[maxblank]

Es ist ein frisch aufgesetztes DSM 7.3.1. Außer den Standardpaketen sind keine weiteren installiert, Dienste sind noch alle deaktivert.

Download Station gestoppt, seitdem ist Ruhe.

Für mein Verständnis. Wie passt das zusammen? Download Station ist standardmäßig installiert gewesen…

 

[synfor]

Ich habe die Download Station vor längerer Zeit mal getestet und dann wieder in die Tonne getreten. Einer von mehreren Gründen dafür war, dass sich Bittorrent nicht deaktivieren und auch nicht auf einzelne Benutzer beschränken lies.

 

[ebusynsyn]

Etwas offtopic: ich mache mir wirklich sorgen um jeden, der einen normalen "dummen" Router nutzt. Da kann ja alles überall hin kommunizieren...

Es ist nicht so, dass ich jetzt gleich in Panik ausbreche, dennoch möchte ich mich diesem Thema mal etwas annähern. Nach einer ersten kurzen Recherche in den tiefen den Internets gibt es offenbar diverse Tools - meist auf Software-Basis - um herauszufinden, welches Gerät im LAN wohin funkt.

Sehr oft wird Wireshark erwähnt. Kennen die Profis dieses Tool? Ist es vertrauenswürdig?

Sehe ich das richtig, wenn ich denke, dass dieses - oder auch andere Tools - mir zwar den Traffic im LAN aufzeigen, diesen jedoch NICHT blockieren können und dafür - also um blocken zu können - dann entsprechende Hardware (Firewall) notwendig ist?

 

[Ronny1978]

mir zwar den Traffic im LAN aufzeigen, diesen jedoch NICHT blockieren können und dafür - also um blocken zu können - dann entsprechende Hardware (Firewall) notwendig ist?

Ich denke ja. Sich mit dem Thema OpnSense/pfSense/Unifi/Adguard/piHole zu beschäftigen, kann kein Fehler sein. Dort lassen sich die Regeln definieren und man sieht erst einmal überhaupt, von wo was "gefunkt" wird und vor allem wohin.

Ich habe die Download Station noch nie genutzt, aber sollte dort so ein "Fehler" drin sein, dass hier wirklich die gesamte restliche Welt "angefunkt" wird, halte ich das schon für bedenklich.

Ich habe gleich noch einmal meine Firewallregeln der OpnSense geprüft und auch die Blocklisten von Unbound und Adguard. Hier kann ich im Moment nicht "komisches" feststellen.