Blockierte Zugriffe

JoGi65

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
651
Punkte für Reaktionen
7
Punkte
44
Hallo,
hab jetzt "Photo" seit 2 Tagen in einem VDSM laufen und schon 7 Blockierte IPs.
Ist das normal oder ist meine DS ein besonderes Ziel?

Blockierliste.jpg
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wieso hast du kein GeoBlocking drin?
Und welche Ports hast du freigegeben?
Wenn der DSM Port im Netz hängt, werden das noch deutlich mehr werden
 
  • Like
Reaktionen: JoGi65

JoGi65

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
651
Punkte für Reaktionen
7
Punkte
44
1. Hab einige Besuche aus dem Ausland, aber normal nicht aus den bisher geblocketen Staaten. Somit muß ich mir Geoblocking anschauen.
2. 80/433/5001

Danke.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Der Port 80 gehört definitiv nicht ins Netz. Der 5001 in den allermeisten Fällen auch nicht.
 
  • Like
Reaktionen: Kachelkaiser

JoGi65

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
651
Punkte für Reaktionen
7
Punkte
44
Sorry für meine naive Frage, aber was macht das aus, wenn man ohne Zertifikat zugreift, solange ich mich nicht anmelde?
Kann ich die Anmeldungsmöglichkeit bei Photo in Photo selbst irgendwie abdrehen (brauch ich nicht) oder soll ich nur den Port sperren? Vermutlich am sinnvollsten schon im Router sperren oder umleiten?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Die Frage ist doch: Wieso hängt bei dir der Admin Port im Netz?
Du könntest auch jeder Anwendung einen eigenen Port geben (im Anmeldeportal) und nur den freigeben. Oder mit Port 443 https + Subdomains + Reverse Proxy arbeiten.
 
  • Like
Reaktionen: Ronny1978 und JoGi65

JoGi65

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
651
Punkte für Reaktionen
7
Punkte
44
Hallo, hab gerade einen Portscan gemacht. War ein Irrtum mit dem 5001. Der ist gar nicht offen. Die externe Anmeldung übers Internet geht offensichtlich anders. Wollte alles was Sicherheit betrifft im Router abbilden. Aber werd mich da mal einlesen. Danke fürs Erste!
 

JoGi65

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
651
Punkte für Reaktionen
7
Punkte
44
So, alles Dicht bis auf 443 - das mit dem Reverse Proxy werd ich später einmal anschauen, da noch planlos und weitere Baustellen.

Der Syno Sicherheitsberater ist scheinbar nicht auf VDSM ausgelegt, da er die offenen Ports 3060-3065 nicht bemängelt hat.
Diese sind bei normaler Installation von Photo nicht offen. Dafür ist bei normaler Installation 5001 offen, was beim VDSM nicht ist, aber bemängelt wird.
Bin beim herum Experimentieren offensichtlich ein bisschen durcheinander gekommen, da ich zwischen den zwei Installationen gewechselt habe.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.880
Punkte für Reaktionen
771
Punkte
128
Ich hoffe, du hast 2FA im Einsatz, wenn dein DSM / VDSM im Netz hängt. Wie schon @plang.pl gesagt hat: 80 schließen und definitiv 5001 wechseln - besser noch von allen Anwendungen weg von den Standard Ports oder RP benutzen oder VPN.

Zusätzlich kann man zur GeoIP in der Synology Firewall auch festlegen, welche Dienst von wo aus erreichbar sind/sein sollen.
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Hinweise dazu gibt es hier.
 
  • Like
Reaktionen: JoGi65

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.880
Punkte für Reaktionen
771
Punkte
128
wozu so was wenn es auch ohne geht? Muss heute unbedingt alles nur kompliziert sein?
Weil es von außen erreichbar ist und doch sicher sein soll, oder nicht??? "kompliziert" -> ich hatte schon einmal in einem anderen Thread gesagt: "Einfach und sicher" passt nie zusammen. Klar geht es OHNE 2FA. Aber das muss jeder selbst entscheiden, wie viele Stolpersteine du "bösen Buben" in den Weg legst, bevor die ans NAS kommen. ;) Ich kann nur 2FA mittels Yubikey empfehlen. Musst du es einsetzen? Natürlich nicht. Jedem das seine.
 

JoGi65

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
651
Punkte für Reaktionen
7
Punkte
44
Danke Euch für alle zusätzlichen Infos!

Hab noch mal alles etwas umgestellt, und statt einer DMZ, nur eine Portweiterleitung von 80 und 443 auf den Reverse Proxy im VDSM (sofern ich das richtig verstehe) und natürlich ein eigener IP Range. Somit landen alle anderen hoffentlich bei der Router Firewall.

Was ich nicht verstehe ist, dass die Portweiterleitung vom Router für Photo, nur beim VDSM funktioniert.
Bei der RS422+ hab ich schon alles versucht, bekomme es aber nicht hin (ohne und mit Reverse Proxy), trotz komplett identischer Installation.
Im DMZ Host von meinem Router, ist mit der RS422+ kein Problem, aber dann muss ich halt diverse Ports mit der Firewall in der RS422+ sperren.

Somit noch zwei Fragen:
Ist es grundsätzlich besser eine Portweiterleitung zu machen, oder einen DMZ Host?
Was könnte das sein, dass die Portweiterleitung auf die RS422+ nicht geht?


P.S.:
F2A war mir bewusst und verstehe ich auch, aber da die Adressen bei mehrfachen (5) Anmeldeversuchen geblockt werden und bleiben, erspar ich mir das. Sehe das wie ottosykora, da mich das täglich mehrfache Handybestätigen bei der Arbeit schon genug nerft. Da sehe ich es aber ein.

Sowohl mit der Portweiterleitung auf den VDSM der RS1221+, als auch mit Reverse Proxy und richtig eingestellter Firewall bei der RS422+ hab ich momentan keine geblockten Zugriffe mehr.
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Der Port 80 gehört definitiv nicht ins Netz

Der Port ist im Zusammenhang mit Let´s Encrypt ein Thema. Man kann die Verfügbarkeit des Port 80 an der DS abpassen für Neuanlegungen oder für Zertifikatupdates, jedoch generell muss dafür der Port verfügbar sein. Bezüglich Lösungen dazu, sowas dauerhaft zu umgehen, lasse ich mich gerne überraschen.

Dasselbe gilt im Grunde für den Port 443, wenn z.B. mit Wordpress eine Webpage betrieben wird, ohne nun komplizierte Umleitungskonstrukte erstellen zu müssen, deren Einrichtung auch nicht gerade jedermans Sache ist.

Am einfachsten ist es mit den "Arbeitsports", mit welchen wir selbst zugreifen, z.B. Port 5001 wird z.B. 50815 usw.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat