Angriffe über SSH

[jek_la]

Hi,
ich verwende die Funktion "Syncronisieren Gemeinsame Ordner" um Ordner auf zwei exterern DS zu spiegelen (als Sicherung).

Ich habe jeden Tag im Schnit 2-3 Angriffe über den SSH Port (ist der einzige Port der offen ist).
Die Meldung lautet:
"User [root] from [IP-Adresse] failed to log in via [SSH] due to authorization failure"

Ich verwende die Einstellung die IP Adresse bei fünf Versuchen innerhalb fünf Minuten zu blocken.

Die SSH Übertragungsverschlüsselung ist aktiviert.

Ich verwende einen eigenen User nur für diese Sicherung mit sehr sehr sicherem Kennwort der nur die nötigsten Berechtigungen hat.

Die Angriffe gehen auf [root]. Entspricht das dem admin User? Das Admin Passwort ist natürlich auch extrem lang und sicher.

Sind meine Einstellungen und das Vorgehen sicher genug? Oder kann ich ohne viel Aufwand noch was verbessern?

Die Angriffe kommen übrigends fast immer aus China (tracert).

Danke euch,
Jens

 

[dwight66]

Das sieht alles sehr Ordnungsgemäß aus. Kein wirklichen Grund zum Aufregung wegen die Fehlversuche. (D.h. das betreiben von einen Dienst am Internet hat immer Risiken in sich. Absoluten Sicherheit gibt es nicht.) Das einzige das noch zu machen ist, ist die Zugriff auf dem NAS aus China zu verweigern über die Firewall vom DiskStation. Zumindest wenn du nicht selbst einer der zwei DiskStations in China betreibst. Und vielleicht hilft es die Blockaden nach 5 Fehlversuche innerhalb 5 Minuten permanent zu machen.

 

[jek_la]

Danke für den Hinweis mit der Firewall China-Sperre. Sehr praktisch!

Viele Grüße
Jens

 

[ottosykora]

erstaunlich, normalerweise sind so um die 3-4 pro Stunde und nicht pro Tag

BTW man kann SSH auch auf andren Port legen

 

[jek_la]

Hi,
wie kann ich in der Firewall am einfachsten alle Zugriffe auf Port 22 aus Deutschland erlauben und alle Zugriffe aus dem Rest der Welt auf Port 22 verweigern.
Da die Reihenfolge der Regeln eine Rolle spielt:
1. Port 22 aus Region DE zulassen
2. Port 22 alle verweigern

Richtig?

Danke,
Jens

 

[ottosykora]

die Logik ist wohl eher wenn du sagst nur aus D zulassen, dann sind eben die aus D zugelassen und alle anderen nicht ;-)

Aber meistens wird der 22 nicht direkt angeboten, sondern wenn es überhaupt jemand braucht dann wird es 'umgebogen' oder SSH gar auf einen anderen Port gestetzt. Wozu genau braucht man den Port 22 dauernd anbieten wäre vielleicht auch noch die Frage.

 

[Tommes]

Ich hab die Einrichtung der DS-Firewall bezüglich GeoIP hier mal beschrieben...
http://www.synology-forum.de/showth...bitte-um-Hilfe&p=428388&viewfull=1#post428388

Meines Erachtens werden die Angriffsversuche dadurch erstmal auf ein Minimum reduziert, anderseits sollte dir klar sein, das dieses Verfahren nur das Hintergrundrauschen des Internets eindämmt, die Gefahr eines Angriffes aber immer noch besteht. Den Sport 22 auf einen hohen, unbekannten Port zu verlegen halte ich auch für einen sehr Sinnvollen Schritt um die Angriffe weiter zu reduzieren. Ganz elemenieren wirst du sie aber wohl nie...

Tommes

 

[ldvs]

Guten Tag,

ich werde gerade massiv im bekannten 3-4-Stundenrythmus mit Zugriffversuchen auf ssh bombardiert. Dazu hab ich mal ein paar Verständnisfragen zum Thema:

Meine DS hängt an einer Fritzbox als Router.
Dort sind nur ein paar Ports für benötigte Dienste an die DS geöffnet, Port 22 als Standard für ssh ist aber geschlossen.
Auf der DS ist eine IP-Blockade bei falschen Logindaten eingerichtet, 5 falsche Versuche in 10 Minuten, Klappe zu.
Sehe ich es richtig, dass es der Angreifer auf allen Ports von 1-x mit ssh versucht, die Anfrage dann nur über die offenen Ports in der FB an die DS weitergeleitet werden und dort aufgrund falscher Benutzerdaten die dort eingerichtete IP-Blockade auslösen?

In der DS ist der ssh-Dienst über die Systemeinstellungen ausgeschaltet, weil ich den so im normalen Leben gar nicht brauche.
Wieso kommt es denn dann überhaupt zu einer Bereitstellung der Loginabfrage und Überprüfung von Logindaten und dann in der Folge bei falschen Daten zur IP-Blockade?
Wenn der Dienst ausgeschaltet ist, müsste der Angreifer doch eigentlich im besten Fall eine Fehlermeldung à la „Dienst nicht gefunden“ oä. bzw. müsste meine DS doch überhaupt keine Reaktion zeigen?

Wenn ich GeoIP-Blocking in der Firewall einschalte, wirkt sich das dann auf alle Dienste aus?
Beispiel: Ich habe in der Filestation eine Dateianforderung laufen, damit externe Menschen, die keine DS-User sind, Dateien auf meine DS hochladen können. Wenn ich jetzt China-IPs blocke, bedeutet das, dass Menschen aus China dann auch nichts mehr hochladen können?

Viele Dank!

 

[Synchrotron]

Geoblocking heißt, Anfragen aus dem IP-Bereich der blockierten Länder werden ohne jede weitere Prüfung abgewiesen.

Das hat die von dir bereits aufgezeigte Konsequenz. Kommt etwas aus so einem Land, wird es sofort gestoppt.

Ob es generell sinnvoll ist, seine DS derart als „öffentliches“ Uploadziel zu exponieren, lasse ich mal dahingestellt sein. Du wirst deine Gründe haben - dann sind die Loginversuche eben unvermeidliches Grundrauschen dieses Betriebsfalls.

 

[luddi]

Wenn ich GeoIP-Blocking in der Firewall einschalte, wirkt sich das dann auf alle Dienste aus?

Nein, man kann hierfür auch explizite Dienste bzw. Ports und auch das Protokoll definieren, wenn das gewünscht ist.
Ich mache mal ein Beispiel, falls man alle Anfragen an Port 22 aus China verweigern möchte.

Da die Reihenfolge der Regeln eine Rolle spielt:
1. Port 22 aus Region DE zulassen
2. Port 22 alle verweigern

Richtig?

Das ist richtig und wird genau so funktionieren wie gewünscht.