DSM 7.2 Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?

[afranz]

Ihr Helden

Und schon wieder geht es los mit einer nicht endend wollenden brute force attack

Ich habe die Portweiterleitung bereits mehrfach geändert, was für etwas 2 Minuten Ruhe sorgt. Da hängt sich jemand wirklich hartnäckig an unser NAS.
Habt ihr eine Idee, ob man herausfinden kann, über welchen Port der Angriff erfolgt? Dann wäre es erheblich einfacher, das Loch dicht zu machen.

Im Portokoll erhalte ich nur die nichtssagende Info: "User [alicia] from [88.201.141.27] failed to sign in to [DSM] via [password] due to authorization failure."

Folgende Vorkehrungen sind bereits implementiert:
- Strenge Passwörter
- 2FA
- Firewall (erlaubt nur den Zugriff aus zwei Ländern)
- Portweiterleitung im fünfstelligen Bereich


Und um den "nimm den blanken Arsch aus dem Netz" Kommentaren zuvorzukommen: Ja, wir benötigen den direkten Zugang aus dem Internet, VPN kann leider nicht allen Projektteilnehmern zugemutet werden, sonst müssten wir eine eigen IT-Supportabteilung damit beschäftigen.

Ich frage mich, ob ich mich mit Cloude Flare auseinandersetzen soll, weiss aber aktuell zu wenig über die Implementierung oder die Folgen

Danke euch allen für die tatkräftige Unterstützung,

LG, Andreas

 

[Rotbart]

Welche Ports hast du den offen? Die Firewall sollte alle Ports sperren ausser die welche du wirklich brauchst.

 

[maxblank]

Meiner Meinung nach den Port vom DSM Webinterface an sich.
5000 http und 5001 https ist das.
Hast du die per Portweiterleitung freigegeben?

Ansonsten glaube ich nicht, dass sich dort jemand hartnäckig ans NAS hängt, das wird ein Bot sein, ist fast normal geworden.

 

[afranz]

5000 und 5001 sind nicht offen noch weitergeleitet. Den 500er würde ich sowieso nicht öffen wollen (http).
Und ja, das ist sicher ein Bot

 

[maxblank]

Das sind die Standardports. Hast du die in DSM umgebogen?

 

[Rotbart]

Eventuell kannst du noch eine Reverse-Proxy davorschalten

 

[afranz]

Das sind die Standardports. Hast du die in DSM umgebogen?

Ich hab sie nicht offen und verwende ein direktes Portforwarding vom Router zu DSM mit einer 5 stelligen Portnummer

 

[maxblank]

Sehr guter Hinweis mit dem Reverse Proxy.

Wobei das mit dem Verwaltungsaufwand bei VPN für mich nach einer Ausrede klingt.
In der Zeit, in der für Kunden 2FA konfiguriert ist, wird auch eine VPN-Kennung erzeugt sein.
Würde per LDAP und anständiger VPN-Ausstattung auch automatisiert gehen.

 

[afranz]

Eventuell kannst du noch eine Reverse-Proxy davorschalten

das hab ich auch überlegt, frage mich aber, ob ich dierkt einen Versuch mit Cloud Flare wagen soll.

 

[maxblank]

Ich hab sie nicht offen und verwende ein direktes Portforwarding vom Router zu DSM mit einer 5 stelligen Portnummer

Da widerspricht du dir selbst. Entweder nicht offen oder ein Portforwarding. Beides zusammen kann nicht sein.

 

[afranz]

Ich habe für DSM einen komplett anderen Port in der Systemsteuerung angegeben. 5000 und 5001 sowie 80 und 81 sind nicht aktiv

 

[maxblank]

Sag ich doch. Und den Port, den du vergeben hast, hast du per Portforwarding erreichbar gemacht?

 

[its]

Folgende Vorkehrungen sind bereits implementiert:
- Strenge Passwörter
- 2FA
- Firewall (erlaubt nur den Zugriff aus zwei Ländern)
- Portweiterleitung im fünfstelligen Bereich

Zu deinen Vorkehrungen würde ich auch noch die automatische Blockierung (ohne verfall nach Zeit) aktivieren.

Des Weiteren kannst du auch über den Aufgabenplaner Dienste zu Uhrzeiten beenden lassen, wo sie nicht gebraucht werden (z.B. ab 22 Uhr) und wieder starten lassen bevor sie gebraucht werden (z.B. um 7 Uhr).

 

[Ulfhednir]

Geo-IP-Blocking wäre noch eine Maßnahme.

 

[afranz]

"- Firewall (erlaubt nur den Zugriff aus zwei Ländern)"
Gibt es noch eine andere Art von Geo-Blocking

 

[afranz]

Zu deinen Vorkehrungen würde ich auch noch die automatische Blockierung (ohne verfall nach Zeit) aktivieren.

Des Weiteren kannst du auch über den Aufgabenplaner Dienste zu Uhrzeiten beenden lassen, wo sie nicht gebraucht werden (z.B. ab 22 Uhr) und wieder starten lassen bevor sie gebraucht werden (z.B. um 7 Uhr).

Automatische Blockierung ist seit jeher aktiv. Doch der Angriff erfolgt im Minutentakt mit jeweils unterschiedlicher IP Adresse. Nützt als nichts.
Die Dienste per Aufgabenplaner abzuschalten, hmmm, das schliesst ja keinen Port sondern nur den Dienst. Der Angriff erfolgt auf den Dienst DSM, was bedeutet, ich müsste das NAS herunterfahren und automatisch wieder starten lassen

 

[afranz]

Sag ich doch. Und den Port, den du vergeben hast, hast du per Portforwarding erreichbar gemacht?

Das stimmt natürlich. Habe aber den Port seither drei Mal gewechselt, was ie Attacke jeweils um 2 Minuten verzögert hat, danach gings ungebremst weiter

 

[maxblank]

Ich habe es bei mir mal getestet und es ist definitiv der Loginversuch zu DSM an sich. Protokolleintrag identisch zu deinem - siehe Anhang

Das Verlegen des Ports wird immer wieder empfohlen und wiegt User in trügerische Sicherheit. Das ist absolut gefährlich, da sich User darauf verlassen. Ein Portscanner ist da in ein paar Minuten durch, den interessiert das nicht, ob Port 443 oder Port 65127 - es dauert minimal länger.

Auf der anderen Seite hast du gut vorgesorgt mit langen und kompletten Kennwörtern zusätzlich zu 2FA, sollte also klar gehen.

Trotzdem würde ich das an deiner Stelle überdenken mit dem VPN - auch wenn du es nicht hören magst.

Ansonsten auf jeden Fall Reverse Proxy

 

[its]

- Firewall (erlaubt nur den Zugriff aus zwei Ländern)

Sind das nur Angriffe auf DSM-Port? Aus welchen Länder kommen denn die Angriffe? Sind das die Länder, für die du auch den Zugriff erlaubt hast? Oder stimmen die Firewall-Einstellungen doch nicht!

 

[metalworker]

Ich hatte mal die IP Geprüft die du angegeben hast ,die kommt aus Russland,
Hast du Russland freigegeben?