DSM 6.x und darunter Angriffe auf Diskstation

[Clemens1967]

Hallo zusammen,

ich habe gerade massive Angriffsversuche auf meine privat genutzte Diskstation. Anscheinend von IP Adressen aus China. Dieser Versuchen mit diversen Usernamen (auch Root und guest) Zugriff auf die Diskstation per SSH zu bekommen.

Angriffe sind aufgrund diverser Maßnahmen vorab alle bisher gescheiter.

Zusätzlich habe ich im Bereich Sicherheit alle IP-Adressen ,aus Ländern aus denen ich üblicherweise keinen Zugriff benötige, gesperrt. Leider kann man je Regel immer nur 15 Länder sperren. Ich dnek mann sollte sich diese Mühe machen.
Vielleicht kann ja Synology die möglichkeit schaffen, alle IP-Adressen zu sperren und man definiert nur die zulassigen Länder ?
VG
Clemens

 

[Thorfinn]

Willkommen im Forum.

Wenn eine Maschine 24-7 direkt zugänglich im Internet steht, muss man damit rechnen das da jemand anklopft. IP crawler gibt es genug.
Normal macht man solche Zugriffsbegrenzeungen nach Regionen an erster Stelle im eigenem Netz: in der Firewall am Router.

Das hier ist ein Forum von privat für privat. Feature Requests bitte hier an Synology.

 

[ctrlaltdelete]

Wieso ist SSH nach aussen offen, hast du ein Portforwarding im Router Port 22 auf die DS?
Und richte das mal ein:
https://www.synology-forum.de/threads/staendige-anmeldeversuche-am-dsm.122250/post-1015816

 

[ottosykora]

SSH ist ausgeschaltet bei dir?

du kannst einstellen dass zum Bsp nur aus deinem Land Zugriff möglich ist. Aber da die Automaten beliebige IP vorgeben, ist es oft nicht hilfrecih

 

[NSFH]

.....und eine Firewall erlaubt immer explizit und sperrt per default!
heisst Länderkennung für D explizit erlauben und alle anderen werden dann durch die Abschlussregel block all automatisch blockiert.
Also genau anders herum als du es machst.
Und auch die Firewall des Router sollte so eingestellt sein!

 

[Clemens1967]

Hallo zusammen,

erstmal Danke für eure Reaktionen

Und ja, ich hatte SSH eingeschaltet und ein Portweiterleitung auf dem Router (Fritz Box). Vielleicht sollte ich wirklich meine Firewall Regeln nochmal überdenken .

Da meine Sicherheitsmaßnahem die ich schon hatte alles abgewehrt/abgefangen haben und ich der Meinung war das so ein privater Server nicht so spannend für böse Menschen sein könnte (was ein Trugschluss war)war ich schon erstaunt über die Intensität des Angriffs !!!

Im Ergebnis kann mann nur eindringlich warnen, zieht alle Sicherheitsregister die die Diskstation hergibt und überlegt intensiv welche Portfreigaben ihr wirklich dauerhaft braucht !

VG
Clemens

 

[ctrlaltdelete]

SSH aktivieren für internes LAN ist ja ok und sinnvoll, nur keine Portweiterleitung von aussen drauf.

 

[Clemens1967]

Willkommen im Forum.

Wenn eine Maschine 24-7 direkt zugänglich im Internet steht, muss man damit rechnen das da jemand anklopft. IP crawler gibt es genug.
Normal macht man solche Zugriffsbegrenzeungen nach Regionen an erster Stelle im eigenem Netz: in der Firewall am Router.

Das hier ist ein Forum von privat für privat. Feature Requests bitte hier an Synology.

Hallo Thorfinn,

ja Request wäre sinnvoll, aber der Support für DSM 6.X läuft 2024 aus. Insoweit würde ich dies nochmal nach meinem Wechsel auf DSM 7.X überlegen. Wäre im Augenblick nur „nice to have but not necessary“.
VG
Clemens

 

[Benares]

Typisch. Erst die Haustür aufstellen und dann wundern, dass wer reinkommt
Ich sag da jetzt nichts zu.

 

[kgb]

Hallo in der FB7590 gibt's ja keine so tolle Firewall. Sollte mann da eine gute Hardware Firewall anschaffen . Und Welche ?
Freundlicher Gruß

 

[Benie]

Natürlich gibts da auch eine. Auch auf der FB7590 entscheidest Du doch selbst ob Du einen Port öffnest oder nicht. Der sicherste Zugriff von Außerhalb ist immer noch über VPN.

 

[kgb]

Also ist bei der 7590 erstmal alles zu/dicht ?
Nur wie merke ich das da evtl. ein angriff auf die 7590 ist war ?
Freundlicher Gruß

 

[ottosykora]

Das merkst du nicht

 

[kgb]

Ok danke aber was wäre dann ein sichers setup für die Survuilance Sation in Verbindung mit der Handy App. Von externen?

 

[Benie]

VPN / Wireguard

 

[plang.pl]

Mit der 7590 einfach aktuellste Firmware installieren, alle Ports dicht machen und einen WireGuard Zugang anlegen.
https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-smartphone-oder-tablet-einrichten/

 

[Synchrotron]

Eine gute Alternative ist auch das auf der DS verfügbare Tailscale-Paket (bei den Dritt-Paketen).

Meine Präferenz ist auch der WG-Zugang auf dem Router. Aber wer unbedingt etwas auf der DS will, dem kann ich diesen Weg empfehlen.

 

[plang.pl]

Nicht schlecht. Die CPU in den Ding ist auch schneller als die CPU der 720/920/423/224+. Ist aber auch keine Kunst
EDIT: @Gulliver hatte hier vorhin noch einen Beitrag, in dem er das folgende bei sich verbaute Produkt als Firewall verlinkte: https://www.amazon.de/gp/aw/d/B0BNBSGJXV

 

[Gulliver]

Melde mich später hierzu nochmal, hab Probleme am Handy. Sorry.

 

[Synchrotron]

Ist ja nett, Firewalls sind wichtig.

Die typischen Bedrohungen schlüpfen nach innen durch, und machen von dort die Tür auf. Firewalls sind dafür durchlässig.

Meine Meinung ist, dass man erst mal möglichst wenig nach außen frei geben sollte. Dann hat man weniger abzusichern.