Toggle sidebar

Sichtbarkeit der Synology im Lan/Wlan deaktivieren

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
M

muedejoe

Benutzer
Registriert
10. Okt. 2016
Beiträge
21
Reaktionspunkte
0
Punkte
1
Hallo zusammen,

kann man die Sichtbarkeit der Synology DS216j im Lan/Wlan deaktivieren. Hintergrund wir haben ein Gästewlan, wo es hin und wieder zu versuchten Anmeldungen kommt. Die IP wird dann (aktuell nach 2 Falscheingaben) gesperrt.
Hoffe Ihr könnt mir weiter helfen, oder evtl. andere wichtige Sicherheitseinstellungen nennen.

Vielen Dank und Grüße
Joe
 
Wieso hat das Gäste-WLAN überhaupt Zugriff auf euer privates LAN/WLAN?
 
Hallo,

muss wohl automatisch über die Fritzbox laufen, hier ist das Gästelan aktiv. Ich kann mir sonst nicht vorstellen wo die Anmeldeversuche sonst her kommen.
Bei der Syn ist DYNDNS aktiviert, aber woher sollte jemand die Dyn kennen.

MFG
 
Aus dem Gäste-WLAN kann man nicht auf die Syno (LAN) zugreifen. Es sei denn, die Einrichtung des Netzwerkes ist "völlig" daneben, dann geht das bestimmt ;) Wenn die Syno von "extern" erreichbar ist, wird es "immer" zu irgendwelchen Login-Versuchen kommen, das ist aber auch ganz normal, von daher kein Grund zur Panik. Wichtig wäre nur auszumachen, woher die Logins "wirklich" kommen... 192.168.179.0/24 ist das Standard-Gastnetz der Fritzbox, 192.168.178.0/24 das normale Standard-Netz der Fritzbox.

178.x = Versuche aus dem LAN
179.x = Versuche aus dem Gastnetz
Etwas völlig anderes = Versuche aus dem Internet

Mitunter hilft es auch die Firewall auf dem NAS zu aktivieren:

Alles erlauben von 192.168.178.0/24
Alles andere verbieten

Alles andere verbieten. Damit ist auch kein Zugriff mehr aus sonstigen Netzwerken ausser dem LAN möglich.
 
Hallo blurrr,

Wenn die Syno von "extern" erreichbar ist, wird es "immer" zu irgendwelchen Login-Versuchen kommen, das ist aber auch ganz normal, von daher kein Grund zur Panik

Warum ist dies ganz normal, wie kommt man auf die Dyn oder wie werden die gesucht?

Habe nochmal nachgesehen, die Anfragen kommen immer aus dem selben IP-Pool 185.189.112.xxx also nur extern.


MFG
Joe
 
Zuletzt bearbeitet:
Die gehen nicht über die DDNS-Adresse, sondern scannen plump IP-Bereiche nach "offenen Türen" ab.
 
Bei einem nach Außen ins Internet geöffneten Gerät übernimmt in Idealfall die Firewall die Funktion des Torwächters - und hier meine ich nicht die Firewall der DS. Dies geht aber nur, wenn die Verbindung von Außen nicht direkt auf das NAS sondern auf die Firewall, z.B. per VPN gemacht wird. Vorteil bei einer VPN-Verbindung: Dein Gerät von Außen verhält sich nahezu so wie von Innen.
Deine Fritzbox besitzt eine solche Firewall. Ist zwar nur eine einfache Firewall, sollte aber ausreichen.
 
muedejoe schrieb:
Warum ist dies ganz normal, wie kommt man auf die Dyn oder wie werden die gesucht?
Zum Vergrößern anklicken....

Im Grunde ganz einfach... Ich vergleich das mal mit einem Einbruch in ein Haus - 2 Varianten:

a) Uns ist egal, in welches Haus wir einbrechen, nur "einfach" sollte es doch bitte sein, also suchen wir uns ein Haus (IP) mit offenes Fenster (Port) im Erdgeschoss irgendwo auf einer bestimmten Strasse (IP-Bereich).
Übersetzt: Wir suchen uns eine anfällige z.B. Apache-Version. Danach scannen wir einen bestimmten IP-Bereich (z.B. 80.90.x.x) nach HTTP-Ports (80) ab und filtern diese nach der angreifbaren Apache-Versionsnummer.

b) Wir haben ein "festes" Ziel und wollen "irgendwie" dort rein. Strasse bzw. Haus (IP) steht also fest, nun suchen wir ein offenes Fenster (Port) egal in welcher Etage.
Übersetzt: IP oder Hostname ist klar, wir suchen die gesamte IP von oben nach unten ("alle" Ports) ab, damit wir irgendwas offenes finden, wozu es ggf. einen entsprechenden Exploit gibt.

Was da bei Dir aufläuft ist Variante "a". Das sind gross angelegte automatisierte Vorgänge. Bei mir auf der Firewall werden wöchentlich hunderttausende von Paketen verworfen. Ebenso gibt es zahllose Einbruchs-/Loginversuche. Der Punkt dabei ist allerdings, dass es weniger wild ist, als es sich anhört... Angenommen diese automatisierten Scans finden z.B. einen offenen Port mit Anmeldemöglichkeit, werden i.d.R. Standard-Logins ausprobiert, wie z.B.: admin/admin, admin/password, admin/123456, usw. Da es beim DSM die "automatische Blockierung" gibt (fail2ban unter Linux), ist da sowieso nach kürzester Zeit Schluss.

muedejoe schrieb:
Habe nochmal nachgesehen, die Anfragen kommen immer aus dem selben IP-Pool 185.189.112.xxx also nur extern.
Zum Vergrößern anklicken....

Allerdings können diese automatisierten Geschichten auch zwischendurch mal eigenen Host wechseln, da meist immer ein paar Hosts mehr dahinter stecken (wie Du bei Dir schon festgestellt hast, kommen die Anfragen öfters gerne mal aus einem bestimmten Netz). Das liegt dann meist daran, dass der Anbieter dort irgendwo Sicherheitslücken auf den Hosts hat, welche dann eben aktiv ausgenutzt und die Systeme übernommen werden (da war dann so ein "Strassen"-Scan recht erfolgreich :o). Alles in allem aber "ganz normal" und daher kein Grund zur Sorge. Nur vernünftige Passwörter sollte man haben ;)

Was Du allerdings noch tun könntest: Schau nach, zu welchen Netzen die besagten IP-Adressen gehören und wie gross diese Netze sind. Sind es z.B. irgendwelche russischen Provider (o.ä.) ist eigentlich relativ sicher, dass Du (oder ein Freund/Kunde/wieauchimmer) nicht davon auf Dein Gerät zugreifen wird. Somit kannst Du das komplette Netz auch in der Firewall der Syno sperren.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten