Was geschieht hier

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo,
seit gestern bekommen ich von meinem NAS die folgende Mail zugeschickt.
Leider verstehe ich nicht, was hier abläuft.
Dies ist die Mail:
Sehr geehrter Benutzer,
Es gibt ein Systemprotokoll mit dem Schlüsselwort failure auf DatenPool. Lesen Sie die Details auf dem System.
Der Inhalt des Protokolls ist wie folgt:
User [admin] from [84.194.111.175] failed to log in via [DSM] due to authorization failure.
Von DatenPool

DatenPool ist das NAS
Meldung kommt immer etwa alle 5 Minuten. Jeweils 2 mal
Die IP's kommen aus den verschiedesten Länder.
Der User admin ist im NAS deaktiviert. Das Passwort ist ziemlich stark und es gibt die 2FA.

Muss ich mir sorgen machen?
spatzimatzi
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.617
Punkte für Reaktionen
450
Punkte
459
Offenbar hast du deine DS im Netz offen zugänglich aufgestellt (Port 5000/5001 weitergeleitet). Da darf man dann immer mit rechnen, dass auch jemand mal an der Tür rüttelt.
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo Puppetmaster,
ja, die DS ist offen zugänglich. Das jemand anklopft ist auch normal.
Aber warum in diesen Zyklen und dann aus immer anderen Ländern? Wird hier getestet und evtl. Vorbereitungen getroffen?

spatzimatzi
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.617
Punkte für Reaktionen
450
Punkte
459
Wäre doch eher erstaunlich, wenn es immer dasselbe Land wäre, oder? Die DS steht ja schließlich der ganzen Welt offen.
Was genau dort getestet oder Vorbereitet wird, wird wohl nur der wissen, der den Zugriff bei dir versucht.

Generell solltest du dir einfach mal Gedanken machen, ob du die DS wirklich so "offen" im Netz stehen lassen möchtest. Anzuraten ist das jetzt nicht wirklich. Wenn, dann sollte man so etwas über ein gesichertes VPN bewerkstelligen.
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo Puppetmaster,
nun, dass die DS der ganzen Welt offen steht, kann ich nicht widerlegen. Nach meinem Verständnis hatte ich immer gedacht, dass ein Bösewicht meine IP angreift (evtl. heftig) und dann die Biege macht, wenn er nicht reinkommt.
Sollte ich, um diesen Spuk ein Ende zu setzen, die FritzBox neu starten. Dadurch hätte ich dann eine neue IP?
Ist ein Eindringen überhaupt möglich?
- User admin ist deaktiviert
- Starkes Passwort
- 2FA

spatzimatzi
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.617
Punkte für Reaktionen
450
Punkte
459
Es ist per se nicht zu empfehlen die Oberfläche der DS, also den DSM, im Netz freizugeben. Wenn ein Zugriff erfolgen soll, dann besser auf sichere Mechanismen wir ein VPN zurückgreifen. Die IP ist irrelevant, die werden einfach durchprobiert - automatisiert. Es nutzt auch nichts, deine Hausnummer zu ändern, wenn du einen Einbrecher abhalten willst.
Der user "admin" ist deaktiviert, ok, aber dafür wirst du ja einen anderen Admin haben (mit anderem Namen), also prinzipiell kann auch darüber angegriffen werden.
In der Regel passiert ein Angriff aber heutzutage auch nicht mehr auf diesem Weg (brute force), sondern von Innen, indem du z.B. auf Webseiten surfst, die kompromittiert sind oder durch bösartige Mailanhänge oder -links.
Dennoch sollten nicht alle Türen offen stehen bzw. überhaupt erkennbar sein.
Und sollte überhaupt jemand über diesen Weg in dein System erfolgreich eindringen, dann wirst das in der Regel auch nicht mitbekommen. Das sind dann Profis, die genau wissen, was sie da tun.
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo,
leider kann ich erst jetzt auf die Antworten reagieren.
Zunächst einmal: Habe die FritzBox neu gestartet und eine neue IP erhalten.
Der Spuk ist jetzt vorbei. Sollten die Bösewichte durch einen Mechanismus nochmals auf meine IP kommen, dann ist das eben so.
Ich könnte ja auch eine Programm entwickeln, dass die Fritzbox automatisch neu startet, wenn häufiger die Meldungen auftreten.
Könnte natürlich auch die Firewall so einstellen,dass nur noch Zugriffe aus Deutschland zugelassen werden. aber will ich das.
Was mir eher Sorgen macht ist das eigenartige Verhalten der Zugriffe bzgl. Zeit und Ort der IP.

Welche grundsätzliche Einstellungen könnten den Schutz noch erhöhen. VPN werde ich wohl einrichten.
Ein Zugriff von Innen ist natürlich auch denkbar, aber meine Familie ist von mir schon sensibilisiert worden

Ich habe das Gefühl, schon viel gemacht zu haben. Wie seht ihr das?

spatzimatzi
 

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
5.537
Punkte für Reaktionen
466
Punkte
183
Nimm deine Portweiterleitungen im Router raus, dann ist sicherlich Ruhe ;)
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo,
möchte auch in Zukunft mit dem Handy auf das NAS zugreifen.
Sehe ich es richtig, dass bei VPN eine Portweiterleitung nicht mehr notwendig ist!

spatzimatzi
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.617
Punkte für Reaktionen
450
Punkte
459
Also, ich komme mit der Antwort jetzt nicht wirklich klar. Was ist denn jetzt der Plan?
Völlig unklar ist auch deine Zielsetzung. Was willst du überhaupt erreichen bzw. was muss denn überhaupt gewährleistet sein?
 

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.465
Punkte für Reaktionen
447
Punkte
163
Nur wenn dein Router der VPN-Endpunkt ist, brauchst du keine Portweiterleitung.
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo,
ich greife von außen auf die DS zu. Und dies muss auch so bleiben.
Dazu werden meine Anfrage im Moment in der Fritzbox weitergeleitet. Ich gehe ausschließlich auf Anwendungsprogramme und nicht auf die Oberfläche.
Die Weiterleitung könnte ich in der Zukunft durch VPN ersetzen. Ob ich dann mehr Sicherheit erhalte, möchte ich bezweifeln.

Dies lief ja auch über Jahre unauffällig. Erst der gestrig beginnende Zugriffe durch Fremde hat diese Ruhe gestört!!

spatzimatzi
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.617
Punkte für Reaktionen
450
Punkte
459
Die Weiterleitung könnte ich in der Zukunft durch VPN ersetzen. Ob ich dann mehr Sicherheit erhalte, möchte ich bezweifeln.
Wenn du das bezweifelt, solltest du dich vielleicht einmal mit der Materie etwas eingehender beschäftigen.

"Ich greife auf die DS zu"
Solltest du mal präzisieren. Welche Dienste denn? Und welche Ports hast du genau geöffnet?
Die Warnmeldung aus dem Startpost sagt m.E. deutlich, dass hier auf die GUI des DSM zugegriffen würde.
 

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
5.537
Punkte für Reaktionen
466
Punkte
183
Vorschlag: Konfigurier mal eine VPN-Einwahl auf dem Router, falls es eine Fritzbox ist, ist das recht einfach und gut dokumentiert. Dann konfiguriere das Gegenstück dazu auf dem Handy. Wenn das dann funktioniert, bauchst du immer nur die VPN-Verbindung bei Bedarf aufzubauen und kannst arbeiten, wie wenn du im heimischen WLAN wärst. Portweiterleitungen brauchst du dann nicht mehr.

Das ist wesentlich sicherer als das ganze Portweiterleitungs-Gedöns.
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo,
du hast Recht. Die haben versucht auf den User admin einzusteigen. Aber der ist deaktiviert.
Nutze unter anderem Note und Calendar. Zukünftig könnte ich mir auch ioBroker vorstellen.

Wo liegt denn der Unterschied zwischen VPN und 5001. Ist es nur die Portweiterleitung, die nicht benötigt wird.
Über zusätzliche Infos wäre ich natürlich sehr dankbar!!

spatzimatzi
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.617
Punkte für Reaktionen
450
Punkte
459
Dazu gibt es schon ganz viel Lesestoff hier im Forum und erst recht an anderer Stelle im Netz.
Ich vermisse hier ein wenig die Eigeninitiative.
 
  • Like
Reaktionen: Ramihyn

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
5.537
Punkte für Reaktionen
466
Punkte
183
Leg besser für dein Handy (bzw. jedes Handy/Gerät) unter System, FRITZ!Box-Benutzer einen eigenen Benutzer an und erlaube ihm nur VPN-Zugriff.
Unter "VPN-Einstellungen anzeigen" siehst du dann, was du auf dem Handy konfigurieren musst.
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
68
Punkte für Reaktionen
5
Punkte
8
Hallo,
muss zugeben, dass ich vor langer Zeit den Zugriff über VPN gemacht habe.
Kann mich jetzt aber nicht mehr erinnern, warumich VPN wieder rausgenommen habe.
Evtl. war es das Handling, weil man bei einer dynamischen IP den VPN-Client nicht auf dauerhafte Verbindung einstellen konnte.

spatzimatzi
 

Benares

Benutzer
Mitglied seit
27. Sep 2008
Beiträge
5.537
Punkte für Reaktionen
466
Punkte
183
"Dauerhaft" ist da eher unangebracht - eher Verbindungsaufbau bei Bedarf.
Als DDNS ist MyFritz vollkommend ausreichen, etwas kryptische Namen zwar, aber läuft stabil - und den Namen konfiguriert man ja auch nur einmal am Handy.
 
  • Like
Reaktionen: Ramihyn

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.927
Punkte für Reaktionen
475
Punkte
109
Moinsen,
tja, vielleicht solltest du @spatzimatzi dir doch mal die basics anschauen, da werden dann auch einige Fragen und hier niedergeschriebene Vermutungen /Behauptungen ggf. schnell entkäftet und beantwortet.
Ob du deine IP jetzt alle 50 Minuten per Neustart änderst (was vermutlich eh nix wird, da die FB sich dann die selbe externe IP holt bis der Provider diese neu zuteilt) oder Peng: die bösen Burschen und gemeinen Weiber sitzen ja nicht persönlich an ihrem PC und suchen nach zufälligen IPs, die scannen automatisiert das Netz nach offenen Ports ab. Und da steht dann eben auch deinen Portweiterleitung drin. Je mehr du so weiterleitest, desto mehr Hebelpunkt um was zu versuchen.
Dass es ein kleiner aber feiner Unterschied zwischen https ZUgang und VPN Zugang ist, beweisen tagtäglich kleine, mittlere und große Firmen, die ihren MitarbeiterInnen idR nur Zugang via VPN ins Firmennetz ermöglichen. Das machen die ja nicht aus Spass an der Freude.
Mit einer Fritzbox ist es dermaßen einfach geworden, sich ein eigenes VPN zu stricken, dass es kaum noch Ausreden gibt, dies nicht zu tun. Du bekommst einen DynDNS Dienst (myfritz) kostenlos dazu, es ist alles gut beschrieben und es reicht für den Anfang aus.
Du sicherst damit dein Netzwerk ein gutes Stück besser gegen unerwünschtes Geklopfe von außen. Du sparst dir ggf. doppelte KOnfiguration, da alles eben immer mit den gleichen IPs bzw Adressen zu erreichen ist (kein Unterschied zwischen intern und extern mehr). Du kannst den gesamten Traffic durchs VPN Tunnelnetz jagen, auch um in öffentlichen WLANs sicherer zu surfen, wenn du ggf. auf einer Website die Credentials eingeben musst.
Das ist gerade auch bei Hausautomatisierungssoftware mit Zugriff von extern sicherer. Bedenke: du gibst sonst mit PWL immer den Pfad auf eben diese eine Anwendung frei, kannst aber nicht sicher sein, dass diese Anwendung nicht korrupt ist (bug, Exploit, veraltet, etc).

Bau dir den VPN Server aber nicht auf dein NAS, sondern a) auf den Router oder b) einen anderen separaten Server (Raspi). Zusätzlich kannst du den Zugang dann noch mit User/Password und ggf OTP und Zertifikaten absichern.

So kommst du jederzeit in dein Heimnetz, hast aber maximal eine PWL und den Zugang zum VPN Server doppelt und dreifach abgeschlossen.

Wenn du aber den Nervenkitzel brauchst: gerne dein NAS mit zig PWLs ins Netz stellen, die Firewall möglichst luftig gestalten und dann die Counts der Anmeldeversuche mitzählen. ;)