Hacking-Angriff mit wechselnden IPs

[MDieth]

Sorry, diese Frage wurde bestimmt schonmal gestellt. Ich habe auf die schnelle leider keine Antwort gefunden.

Ich habe aktuell folgendes Problem:

Es wird versucht, sich mit wechselnden IPs Zugang zum Admin-Konto auf meiner DiskStation zu verschaffen. Das Standard-Admin-Konto habe ich gleich zu Beginn deaktiviert und einen eigentlich recht kreativen Admin-Namen mit starkem Passwort gewählt.

Trotzdem erhalte ich seit heute Nacht extrem viele Anmeldeversuche auf diesem Konto mit wechselnden IPs (vermutlich VPN, um die IP-Sperre zu umgehen).

Was kann ich in so einem Fall tun? Ich habe jetzt sicherheitshalber am Router erst einmal alle Portfreigaben gelöscht, möchte das natürlich nicht dauerhaft so lassen.

 

[NSFH]

Der ganz normale Wahnsinn, wenn man 5001 / 5006 offen per Portweiterletzung ins WAN stellt. Das sind wellknown Ports die durch Bots gescannt werden.
Mit VPN hat das gar nichts zu tun.
Abhilfe schafft man zB ganz schnell indem man zur Portweiterletung im Router einen hohen 5-stelligen Port nutzt, der dann intern auf die zB 5001 verweist.
Die Syno Firewall sollte natürlich aktiv sein und Geoblocking genauso!

 

[MDieth]

Danke, das hilft mir schon!

 

[heavy]

Ich muss sagen vielleicht hatte ich Glück aber in den 10 Jahren seit dem meine Synos online sind hatte ich nur 2 solche "Angriffs" Versuche beim letzten aber dann aus der selben Region somit habe ich dann einfach die IP-Range Gesperrt (die ersten drei Blöcke blieben gleich). Was aber schon mal viel hilft bei mir ist die Tatsache dass der Webserver nur über die Domain erreichbar ist. Alle anderen Anfragen werden zu Google umgeleitet also wenn jemand meine externe IP aufruft dann bekommt er Google ausgeliefert. Wer dann keinen weiteren Portscan auf die IP macht schaut sich wo anders um.

 

[harley765]

Der ganz normale Wahnsinn, wenn man 5001 / 5006 offen per Portweiterletzung ins WAN stellt. Das sind wellknown Ports die durch Bots gescannt werden.
Mit VPN hat das gar nichts zu tun.
Abhilfe schafft man zB ganz schnell indem man zur Portweiterletung im Router einen hohen 5-stelligen Port nutzt, der dann intern auf die zB 5001 verweist.
Die Syno Firewall sollte natürlich aktiv sein und Geoblocking genauso!

ich habe dazu eine Verständnisfrage.
Ich habe zwar Port 5001 durchgereicht aber bei der Syno Geoblocking so eingestellt das nur IP's aus der CH zugelassen werden. dennoch erhalte ich ein Bombardement von allen möglichen und unmöglichen Regionen der Welt auf mein (deaktiviertes) Admin Konto. Sollte da nicht das Geoblocking den Riegel schieben. (sitzt in der Firewall an oberster Stelle)

 

[the other]

Moinsen,
wie ist den in deinem Firewall Setting die allgemeine Regel:
DENY wenn keine Regel zutrifft
oder
ALLOW wenn keine Regel zutrifft
(zu finden in den Firewall Einstellungen ganz unten)
?

 

[harley765]

@the other
Ports: alle
Quell-IP: Ort (Haken nur bei CH)
Aktion: zulassen

 

[Lucky85]

@harley765
was steht denn unterhalb der Regeln, also hier:

 

[the other]

Moinsen,
ich meinte diese beiden Möglichkeiten:

 

[the other]

...verdammt, zu langsam...

 

[harley765]

ach so.. Sorry....
also da steht nichts weil ich oben "alle Schnittstellen" ausgewählt hatte.
Wenn ich auf "LAN1, LAN2, PPPoE, VPN" stelle so steht da "Zugriff erlauben.
Ich denke mal da muss dann wie bei euch beiden "Zugriff verweigern" stehen. Dies bei allen Einstellungen?

 

[Lucky85]

Ja genau. Sonst erlaubst du ja immer alles

 

[the other]

Moinsen,
genau.
Also mal abändern, dann mal beobachten und bitte hier dann Feedback, denn diese Frage taucht immer wieder auf.
Und die Anklopfversuche scheinen gerade ebenfalls gehäuft aufzutauchen.

Genereller Tip dazu: wenn nicht UNBEDINGT nötig, dann keine PWL im Router setzen. WENN dein NAS von extern erreichbar sein muss (muss es wirklich???), dann nach Möglichkeit immer via VPN. Dabei aber den VPN Server NICHT aufs NAS legen, sondern entweder im Router (wenn der das kann) oder ggf. mit einem RaspberryPi den eigenen VPN Server aufsetzen...

 

[harley765]

@the other
@Lucky85
Danke für die Hilfe.
Nun VPN geht über den Router und ist so schon einige Zeit in Gebrauch.
Daher.. ja wieso brauche ich denn den Zugriff auf die Syno so noch? Aktuell habe ich den Port auch ganz ans Ende der Portliste verschoben. Und den Haken bei Zugriff verweigern gesetzt. Schlagartig war Ruhe.. lasse es noch eine Weile so um hier zu Berichten und werde dann aber wohl den Versuch starten den Zugriff ganz aus zu schalten.

 

[the other]

Moinsen,
wenn VPN geht, und dies auf dem Router als VPN Server terminiert ist, dann brauchst du eigentlich keine anderen PWLs mehr zum NAS. Mach die alle weg.
Dann benötigst du jedesmal beim Zugriff von extern aufs NAS den VPN Tunnel. Ist sicherer und bietet diverse andere Vorteile...

 

[the other]

Moinsen,
ergänzend:
1. du musst im VPN Server natürlich sicher stellen, dass Zugriff auf andere Clients im Heimnetz möglich ist (die meisten haben da ne Konfigurationsmöglichkeit) und
2. du kannst (imho solltest) auch einstellen, ob der GESAMTE traffic durch den VPN Tunnel geht: also...du sitzt im Cafe und hast freies WLAN dort. Wählst dich per VPN daheim ein. Wenn du jetzt im Cafe (und virtuell im VPN) im Netz surfst oder Mails abrufst, dann geht alles durch den Tunnel. Dauert zwar etwas länger, aber dafür ist dann (weil im Tunnel) auch alles verschlüsselt. Es sollte dann ohne weiteres keiner der Kiddies am Nebentisch deine Kommunikation mitschneiden und auswerten können. Also ein zusätzliches Plus an Sicherheit für dich.
3. da du dich ja via VPN zu Hause einwählst, kannst du alle Clients im Heimnetz über ihre normale IP (wenn fest vergeben) ansprechen. Das ist praktisch, weil du dann zB in den Synology Apps für Android immer nur ein und dieselbe Anmeldeinformation benötigst. Ein weiteres Argument für VPN...

 

[himitsu]

Jupp, mein privates NAS, da ist noch nichts aufgefallen.
Hier ist es aktuell auch nicht möglich einen Port freizugeben, da über WLAN-Netzwerk vom Vermieter, und noch ein eigener Router dazwischen, um mich selbst abzugrenzen und außerdem LAN zwischen PC/NAS/VU+/RPi/... über den Router und ein eigenes WLAN, auch als Empfangsverstärker. (hey, ich könnte hier SmartTV und WiFi-Drucker von Nachbarn fernsteunern, wenn ich mich direkt ins Haus-WLAN einlogge)
Aber über QuickConnect wäre es eigentlich erreichbar, aber vielleicht hat da Synology auch noch ein paar Schutzmaßnahmen dort dazwischen.


Auf Arbeit, dagegen schon, denn auch das ist öffentlich erreichbar. Hier bemerkt es unser Support nur öfters mal, wenn er mal die Mails über IP-/Kontosperren sieht.
Nja, nach paar Versuchen wird die IP dann geblockt, die "system default user" sind eh deaktiviert und einige IP-Bereiche blockiert (die wo es zu oft passierte).
Aber der Default-"admin" lässt sich notfalls noch über den Resetknopf reaktivieren und dessen Passwort zurücksetzen, falls wir uns selbst mal ausgesperrt haben.

Systemsteuerung > Sicherheit > Sicherheit/Firewall/Schutz/Konto

 

[harley765]

@the other
ev. stelle ich mich schon sehr doof an.. Wenn ich bei den allgemeinen Einstellungen den Button "wenn keine Regel zutrifft" auf "Zugriff verweigern" stelle (im Custom wie auch im default Profil) so komme ich im Netz Zuhause mit 192.168.1.xxx:5001 nicht mehr auf die Syno. :-( Auch der Syno Assistent findet nichts.

 

[synfor]

Ist doch klar, du hast den privaten IP-Bereich deines lokalen Netzwerkes nicht erlaubt.

 

[the other]

Moinsen,
naja. Ich hatte (vermutlich dummerweise) vorausgesetzt, dass du dein Regelwerk auch anpasst.
Soll heißen: wenn du unten sagst "Keine Regel für erlaubt vorhanden, also alles andere verbieten", dann muss natürlich eine Regel vorhanden sein (etwa Allow--------Alle Ports/ggf. nur einige--------IP deines PC)

Sonst sperrst du dich natürlich aus.

Kommst du denn aktuell an die Oberfläche noch dran?