Toggle sidebar

Unbefugter Zugriff auf NAS

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
D

demon cleaner

Benutzer
Registriert
11. Sep. 2013
Beiträge
111
Reaktionspunkte
5
Punkte
18
Seit kurzem gibt es Versuche von auswärts auf meine Synology (2413+) zuzugreifen, immer von der fast gleichen IP aus. Zugriff wird zwar erfolgreich geblockt, trotzdem gibt’s die Versuche fast täglich. Was kann ich tun?

Dear user,

The IP address [95.70.26.60] experienced 10 failed attempts when attempting to log into DSM running on Synology2413 within 5 minutes, and was blocked at Wed Mar 28 14:23:55 2018.

Sincerely,
Synology DiskStation
 
demon cleaner schrieb:
Zugriff wird zwar erfolgreich geblockt, trotzdem gibt’s die Versuche fast täglich. Was kann ich tun?
Zum Vergrößern anklicken....

Das ist das normale Hintergrundrauschen des Internets. Da du die automatische Blockierung bereits eingeschaltet hast, bist du schon mal gut aufgestellt. Sicherlich gehört noch mehr dazu als sich auf die automatische Blockierung zu verlassen... Firewall, GeoIP, starke Passwörter, zwei Faktor Authorisierung, nur benötigte Ports weiterleiten, nur https oder nur VPN verwenden etc. fließen, neben einigen anderen Dingen, ebenfalls mit ein. Hier auf alle Möglichkeiten einzugehen würde wohl den Rahmen sprengen, auch kommt es immer auf deine eigene Paranoia an, wie weit du dein System absichern möchtest.

Tommes
 
Ok, wie erwähnt, wird einwandfrei blockiert, nur habe ich mich gefragt wie lange dies andauern wird? IP ist immer die 95.70... Könnte ich diese komplett blockieren?
 
Kannst auch fest in die Blockliste schreiben. Ob du dir damit andere gewollte Anfragen gleich mitblockst ist die andere Frage.

Die Anzahl der Versuche kann man auch noch runter setzen.

Und welchen Dienst probiert der Ungebetene denn aus? Direkt DSM (ports) oder SSH oder anderes?
 
lookup zeigt Chabarowsk in Russland als Herkunft.
Meine Frage, welche Ports zeigen auf deinem Router nach draussen? Es ist nie gut die überall bekannten Syno Ports oder die Standardports für HTTPS, Webdav oder FTP zu benutzen. Die sollten eher im hohen 5-stelligen Bereich angesiedelt sein.
Am besten blocke gleich alles ausser D in der Firewall, indem du damit als Herkunftsland alle anderen ausblendest.
 
Fusion schrieb:
Und welchen Dienst probiert der Ungebetene denn aus? Direkt DSM (ports) oder SSH oder anderes?
Zum Vergrößern anklicken....
Keine Ahnung, Log sagt nur dass es geblockt wurde.

Habe Logins nun auf 3 während einer Minute eingestellt.

Benutze den 5000er Port oder DDNS.
 
Zuletzt bearbeitet:
welche Ports hast du denn forwarded, wenn Port 22 (ssh) dabei ist mach den nur auf wenn es nötig ist.
 
Ich hoffe du hast den 5000 (HTTP) nicht nach Aussen offen! Wenn dann nur HTTPS verwenden und den Port auch nicht Original 1:1 nach Aussen stellen!!!
Auch 22 (SSH) unbedingt auf einen anderen Aussenport redirecten!
 
Du kannst in der DSM Firewall explizit alle Zugriffe von russischen IPs blocken lassen.
 
Ja, den kenne ich auch, versucht bei mir immer als Admin im Webinterface einzuloggen.
Ich hab alle IP von Rostelecom in der Firewall blockiert und mich bei diesem Provider über
Facebook beklagt. Man prüft zur Zeit.
Den Admin Account hab ich vorerst mal deaktiviert. Jetzt such ich mal funktionierende Ausweichports.
 
Um solche Zugriffsversuche zu minimieren, muss man sich abseits der Masse bewegen.

Hier wäre es z.B. die Ports in der DS zu ändern bzw. die Weiterleitung der Ports vom Router so zu gestalten.

Beispiel DS Oberfläche:
http deaktivieren, https aktivieren
Port von 5001 auf einen Port im höheren fünfstelligen Bereich (z.B. 37618) legen

Auch gilt es sowenig Ports wie möglich offen zu halten, sprich nur das, was man wirklich braucht. Alternativ ist es auch möglich keine Ports an der DS nach außen zu öffnen und dafür von außen per VPN ins eigene Netzwerk zu gehen. So hat man vollen Zugriff auf die DS und bis auf den VPN-Port keinen Port offen.
 
frankyst72 schrieb:
Du kannst in der DSM Firewall explizit alle Zugriffe von russischen IPs blocken lassen.
Zum Vergrößern anklicken....

Warum nur von Russischen?
Wenn man selbst nicht aus dem Ausland auf die Syno zugreift alle nach Aussen offenen Ports nur für Deutschland zulassen. Fertig! Das ist zwar kein endgültiger Schutz, denn über deutsche Proxies kommt man doch wieder an eine deutsche IP, aber es hilft schon mal.
Wer es dann immer noch nicht kapiert hat, dass man Syno-Ports nicht 1:1 an den Router übergibt und damit nach Aussen signalisiert: "Huhu, hier ist eine Syno, hack mich", dem ist dann halt gar nicht mehr zu helfen.
 
Kurioserweise hatte ich in der Firewall alle Zugriffe außerhalb Deutschlands gesperrt und trotzdem bekam ich Besuch aus Russland.
Anmeldeversuche 3 innerhalb 5 Minuten und ab auf die Blockierlsite, gottseidank sind meine PW sehr stark.
Ports auch nochmal geändert und nun sollte Ruhe sein.

Seh ich das richtig, wenn ich den root Zugriff per SCP und SFTP mit einer Schlüsseldatei (incl Passphrase) auf meinem PC gesichert habe, dass ohne
diese Datei niemand Zugriff bekommen kann oder gibt's da auch noch ein Hintertürchen?
 
Hallo zusammen,
habe die Infos hier sehr aufmerksam verfolgt. Kann mir jemand sagen, wie man z. B. den Port 5001 auf einen Port im fünfstelligen Bereich legt? Was muss man hierfür einstellen? Danke vorab.
 
Entweder du änderst den Port im DSM (Systemeinstellungen) oder du machst eine Portweiterleitung in deinem Router (von Port 34827 zu 5001).

Hinweis: 34827 ist nur ein Beispiel.
 
> Bei mir funktioniert eben dieses "Länderblockieren nicht!
> Mein Land, die Nachbarländer plus 3 Länder auf anderen Kontinenten werden durchgelassen, alles andere wird (sollte) blockiert.
> Nun, fast auf die Stunde genau nach einem Monat, ein weiterer Versuch aus .ru.
> Hat das jemand von Euch auch schon beobachtet?
> Ich brauche meinen Zugang via SSH, verwende aber nicht den Standartport. ;-)
> Mein Default-Admin ist dekativiert (Mercie an "Dominix").
> Sind das Zugriffe via meine xxx.i234.me Adresse oder direkt via IP des Providers?
> Kennt jemand von Euch eine Firewall welche zuviele Portscan's blockieren kann.

Gruss und Dank für Tipps und Tricks
Christof
 
Was die Firewall angeht gibt's da nur höherpreisige Geräte, die die unterschiedlichsten Angriffscenarien erkennen und speziell reagieren können.
Mein Favorit Vigor 2960. Da stimmt das Preis-/Leistungsverhältnis, aber ob das für den Privatanwender interessant ist.....
Von Netgear lass ich inzwischen die Finger, unterirdischer Support, mangelhafte Fehlerbeseitigung usw.
Was deine Länderblockaden angeht, damit hatte ich bisher keine Probleme, obwohl das auch kein 100% Schutz ist, schliesslich nutzen Hacker auch Proxies und VPNs.
Du hast in der Syno Firewall ganz unten auch angeklickt: restlichen Verkehr blockieren?
 
Poste mal einen Screenshot deiner Firewall Regeln.
Wie der Zugriff erfolgt, ob IP oder Domain, kann nicht festgestellt werden.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten