Toggle sidebar

HILFE! Mein NAS wird attackiert!

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
K

kespk

Benutzer
Registriert
20. Okt. 2011
Beiträge
23
Reaktionspunkte
0
Punkte
0
Hallo Leute!

Ich bekomme tonnenweise Emails über Fehlversuche auf mein NAS zu kommen, sodaß ich schon überlegt habe, die Meldungen abzuschalten.

Früher oder später werden die Angreifer es schaffen ein Passwort meiner Familie zu knacken!

Gibt es eine Möglichkeit erfolgreiches Einloggen per Email oder SMS zu signalisieren, dann könnte ich die 20-30 Fehlversuchsmeldungen pro Tag unterdrücken?

Ich habe meine NAS per Dynamischer DNS nach draußen offen, weil meine Familie weit verstreut ist.
Dazu habe ich auch noch eine andere Frage! Meine Familie bekommt immer noch Warnungen der Browser, obwohl ich ein Zertifikat nach Vorlage des WIKI erstellt habe!

Mein NAS ist ein DS212+

Kurt
 
Zuletzt bearbeitet:
Welche Ports werden denn am Router auf die DS weitergeleitet?
Hast Du die automatische Blockfunktion in der DS aktiviert?
Welche Dienste auf der DS nutzt Du?

Das Zertifikat muss noch bei den Client-Rechnern installiert werden. Welche Browser werden dort genutzt?
 
Hallo Trolli, danke für die schnelle Antwort.

Dienste: Automatische Blockierung, Webdienste, WebDAV, WebDAV (HTTPS), File Station, File Station (HTPPS), Audio Station, Photo Station

Automatische Blockierung ist aktiv mit 5 Versuchen innerhalb von 5 Minuten und OHNE automatischer Freigabe, und Email-Benachrichtigung

Ports im Router weitergeleitet: 20-23, 80, 443, 5000, 5001, 5005, 5006, 55536-55663, 7000, 7001 (Alle TCP)

Ganz unterscheidliche Browser: Firefox, Google Chrome, Android Standard Browser und Dolphin Browser HD und irgendwelche Browser auf diversen Apple Produkten!
 
@ raymond:

Das scheint mir eine gute Idee zu sein, aber mit dem normalen Login kann man auch alle Daten herunterladen, also Fotos, Videos, Musik, Hörbücher, Ebooks und manche Dokumente!

Habe ich soeben vorgeschlagen für eine zukünftige Version von DSM!
 
Zuletzt bearbeitet:
Noch etwas: Mein Verbindungs-Protokollfenster ist immer leer und unter aktueller Verbindung sehe ich nur mein Login!
Außerdem finde ich nur meine Aktivitäten protokolliert im File Station und im WebDAV Protokoll!

Das ist doch komisch, oder?
 
Telnet (Port 23) solltest Du auf jeden Fall sperren. Ganz grundsätzlich solltest Du wirklich nur die Ports freigeben, die Du auch zwingend vom Internet aus nutzen musst. Sicherer als eine Portweiterleitung ist generell eine VPN-Verbindung. Für Dienste, die nur Du benutzt (z.B. SSH) würde ich empfehlen, ausschliesslich über VPN zuzugreifen und die entsprechende Portweiterleitung zu löschen. Die meisten Angriffe wirst Du sicher über FTP reinkriegen...

Die beste Stratgie ist: so wenig Ports wie notwendig weiterleiten, sichere Kennwörter verwenden, Autoblock aktivieren.
-> http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet#Liste_der_verwendeten_Ports

Bei jedem Browser hast Du die Möglichkeit, Zertifikate selbst zu importieren. Die im Wiki beschriebene Methode deckt nur den IE ab. Für andere Browser musst Du die ca.crt im Zweifelsfall irgendwo über die Browsereinstelungen importieren. Wichtig ist, dass Deine DS hinterher in der Liste der vertrauenswürdigen Zertifizierungsstellen auftaucht...
 
@ygg_de:

Eigentlich hast Du Recht! Bin ein Idiot! Werde das sofort korrigieren!

Danke für den Hinweis!
 
Vielen Dank für Deine Mühe Trolli!

Ich habe soeben, die Ports 20-23 und 55536-55663 aus der Portforwarding-Liste im Router gelöscht!
Da ich kein FTP Dienst aktiv habe und ohnehin lieber die File Station verwende, benötige ich die o.a. Ports doch garnicht!
 
Prima. Das macht sicher schon einen großen Unterschied.
 
Die meisten probieren eh admin, root, administrator als username. Wenn das über öffentliche IP nicht mehr möglich ist, fällt ein großer Teil, wenn nicht sogar alle Angriffe weg.
Ich würde die NAS auch nicht so benennen, wie ein Familienmitglied oder eine Kombination daraus (da der Name der NAS ja auf der Loginseite bei DSM angezeigt wird).
Bei DDNS halt auch kein Benutzername, wie kurt.dyndns.org
Dann sollte alles sicher sein (restriktive Einstellungen bisher bei Auto Block vorausgesetzt). Ein mindestens 8-stelliges alphanumerisches Passwort soll man erstmal mit restriktiver Auto Block Einstellung überwinden.
 
Leute ich danke Euch, das war es! Es hat schlagartig aufgehört mit den Angriffen, nachdem ich die Ports geschlossen habe!

Der Thread kann geschlossen werden! Vielen Dank!
 
kespk schrieb:
Leute ich danke Euch, das war es! Es hat schlagartig aufgehört mit den Angriffen, nachdem ich die Ports geschlossen habe!

Der Thread kann geschlossen werden! Vielen Dank!
Zum Vergrößern anklicken....

Ich bedanke mich auch, dass du meine Idee auch an Synology gerichtet hast. Schön, dass jemand auch die Idee unterstützt und eine paar Minuten aufbringen kann dies auch an Synology zu richten.
 
raymond schrieb:
Ich bedanke mich auch, dass du meine Idee auch an Synology gerichtet hast. Schön, dass jemand auch die Idee unterstützt und eine paar Minuten aufbringen kann dies auch an Synology zu richten.
Zum Vergrößern anklicken....
Für mich fällt das in den typischen Anwendungsbereich für eine Firewall? Einfach eine Regel für alle Ports erstellen.

MfG Matthieu
 
...ihr redet aneinander vorbei. :p
 
Darf ich mich hier einmischen?

Meine DS hängt an einem Router. Da sind folgende Ports offen 443,7007 und 5006.
Über welche Ports redet ihr hier? Über die im Router freigegebene? Oder sollte man
noch zusätzlich auf der DS Ports sperren?

Gruß
 
Wenn bei Dir keine Gefahren im internen Netz lauern, musst Du an der DS nix zusätzlich sperren.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten