DSM 6.x und darunter Angriff von außen - statische vs. dynamische IP

[mario73]

Hallo,

auf unser NAS erfolgen seit ein paar Tagen zunehmend mehr Anmeldeversuche mit dem User admin (deaktiviert) auf DSM und vielen anderen Anmeldeversuche auf den MailPlus-Server. Konkrete Auswirkungen abseits der erhöhten Auslastung hat das noch nicht und wir sind sicher nur ein Zufallsfund eines Hackers. Doch wir fragen uns, wie wir es weiter eindämmen können.
Wir haben eine statische IP-Nummer, erreichen das NAS aber auch über eine Domain, die entsprechend weiterleitet. Würde uns eine dynamische IP mit DynDNS weiterhelfen? Sprich: Erfolgen die Angriffe eher via IP oder via Domain? Wenn ersteres, dann könnte eine wechselnde Domain Abhilfe schaffen, richtig?

Wie geht ihr mit Angriffen um?

 

[MattCB]

Meine DS hat gestern auch knapp 30 IPs geblockt. Da scheinen mal wieder Leute Langeweile zu haben. Ich habe erstmal den DSM-Port von 5001 auf einen anderen Port geändert, das sollte erstmal für Ruhe sorgen. Sorgen mache ich mir keine, da meine DSM mit sicheren Passwörtern und 2-Faktor-Authentifizierung abgesichert ist. Das admin-Konto ist selbstverständlich auch deaktiviert.

Auch auf meiner Nextcloud-Test-Instanz, die auf einem VServer läuft, werden dank fail2ban momentan massenhaft IPs geblockt. Seit gestern knapp 25 IPs.

 

[Thorfinn]

Nein, weder eine DynDNS oder eine dynamische IP hilft.
Da draussen sind Maschinen die rappeln zufällig erstellte IP und alle im DNS registrierten Namen ab und klopfen auf die üblich verdächtigen Türchen.


Als Angriff wird das normal nicht kategorisiert. Das ist eher so als wenn da jemand bei dir an der Haustür klingelt und keiner aufmacht.
Bei mir kommt das in Wellen.
Ein Angriff wäre wenn da jemand versucht Code einzuschleusen.

 

[geimist]

Doch wir fragen uns, wie wir es weiter eindämmen können.

Z.B. viele böse IPs blocken, bevor sie bei euch anklopfen

 

[Thorfinn]

Z.B. viele böse IPs blocken, bevor sie bei euch anklopfen

Das aber bitte am Eingangstor des eigenen Netzes - am Router.
Wenn die pöhsen Puben schon im Lan sind haben sie es sehr viel einfacher.

 

[geimist]

Nicht jeder hat die Möglichkeit dazu. Ich würde die Firewall und Blocklist der DS nicht als überflüssig ansehen.

 

[EDvonSchleck]

Es wird in den letzten Tagen viel hier gemeldet das Logins abgefragt werden.
Es gibt mehrere Herangehensweise um das ganze zu beschränken:

• Script von geimist (war schneller)
• Firewall mit Geoblocking und nur verwendeten Dienste
• Ports ändern auf höher gelegene
• fail2ban bei Dockeranwendungen wo der Synologyfilter nicht anschlägt

ein sicheres Passwort oder 2FA sollte aber unbedingt sein

Das aber bitte am Eingangstor des eigenen Netzes - am Router.

Das geht leider nicht immer oder die listen sind sehr begrenzt.

Wenn die pöhsen Puben schon im Lan sind haben sie es sehr viel einfacher.

Das ist so auch nicht richtig, der Port wird 1:! weitergeleitet. Ein abbiegen auf ein anderes Gerät ist nicht vorgesehen.

 

[Thorfinn]

Das geht leider nicht immer oder die listen sind sehr begrenzt.

Full ACK, Blacklistsupport können viele SoHo Router nicht.
besser spät als nie.

Das ist so auch nicht richtig, der Port wird 1:! weitergeleitet. Ein abbiegen auf ein anderes Gerät ist nicht vorgesehen.

ACK
Das fiese ist: Wenn ein Angreifer auf einem Klienten im LAN ein Ei gelegt hat dann kann die Henne von diesem Klient aus sich in aller Ruhe umsehen - halt auch mittels all der anderen Wege die im LAN bereitstehen.

 

[heavy]

Sprich: Erfolgen die Angriffe eher via IP oder via Domain

Bei mir ist es definitiv die IP. Ich hatte in den letzten 12 Jahren nur 2 wirkliche Angriffe (da konnte man sehen dass bewusst die IP geändert wird nach der Blockade und verschieden Benutzer durchprobiert wurden) Und nur 3 mal so eine Welle wie hier aktuell beschrieben wird und beides konnte ich "erstmal" abwehren wenn ich einen DSL Reconnect durchgeführt habe und somit eine neue externe IP bekommen habe. Und bei mir laufen mehrere Domains von unterschiedlichen Anbietern.