DSM 7.2 Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?

afranz

Benutzer
Mitglied seit
20. Nov 2016
Beiträge
83
Punkte für Reaktionen
13
Punkte
8
Ihr Helden

Und schon wieder geht es los mit einer nicht endend wollenden brute force attack

Ich habe die Portweiterleitung bereits mehrfach geändert, was für etwas 2 Minuten Ruhe sorgt. Da hängt sich jemand wirklich hartnäckig an unser NAS.
Habt ihr eine Idee, ob man herausfinden kann, über welchen Port der Angriff erfolgt? Dann wäre es erheblich einfacher, das Loch dicht zu machen.

Im Portokoll erhalte ich nur die nichtssagende Info: "User [alicia] from [88.201.141.27] failed to sign in to [DSM] via [password] due to authorization failure."

Folgende Vorkehrungen sind bereits implementiert:
- Strenge Passwörter
- 2FA
- Firewall (erlaubt nur den Zugriff aus zwei Ländern)
- Portweiterleitung im fünfstelligen Bereich


Und um den "nimm den blanken Arsch aus dem Netz" Kommentaren zuvorzukommen: Ja, wir benötigen den direkten Zugang aus dem Internet, VPN kann leider nicht allen Projektteilnehmern zugemutet werden, sonst müssten wir eine eigen IT-Supportabteilung damit beschäftigen.

Ich frage mich, ob ich mich mit Cloude Flare auseinandersetzen soll, weiss aber aktuell zu wenig über die Implementierung oder die Folgen

Danke euch allen für die tatkräftige Unterstützung,

LG, Andreas
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
618
Punkte
134
Welche Ports hast du den offen? Die Firewall sollte alle Ports sperren ausser die welche du wirklich brauchst.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Meiner Meinung nach den Port vom DSM Webinterface an sich.
5000 http und 5001 https ist das.
Hast du die per Portweiterleitung freigegeben?

Ansonsten glaube ich nicht, dass sich dort jemand hartnäckig ans NAS hängt, das wird ein Bot sein, ist fast normal geworden.
 

afranz

Benutzer
Mitglied seit
20. Nov 2016
Beiträge
83
Punkte für Reaktionen
13
Punkte
8
5000 und 5001 sind nicht offen noch weitergeleitet. Den 500er würde ich sowieso nicht öffen wollen (http).
Und ja, das ist sicher ein Bot
 
Zuletzt bearbeitet von einem Moderator:

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Das sind die Standardports. Hast du die in DSM umgebogen?
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
618
Punkte
134
Eventuell kannst du noch eine Reverse-Proxy davorschalten
 
  • Like
Reaktionen: maxblank

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Sehr guter Hinweis mit dem Reverse Proxy.

Wobei das mit dem Verwaltungsaufwand bei VPN für mich nach einer Ausrede klingt.
In der Zeit, in der für Kunden 2FA konfiguriert ist, wird auch eine VPN-Kennung erzeugt sein.
Würde per LDAP und anständiger VPN-Ausstattung auch automatisiert gehen.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Ich hab sie nicht offen und verwende ein direktes Portforwarding vom Router zu DSM mit einer 5 stelligen Portnummer

Da widerspricht du dir selbst. Entweder nicht offen oder ein Portforwarding. Beides zusammen kann nicht sein.
 

afranz

Benutzer
Mitglied seit
20. Nov 2016
Beiträge
83
Punkte für Reaktionen
13
Punkte
8
Ich habe für DSM einen komplett anderen Port in der Systemsteuerung angegeben. 5000 und 5001 sowie 80 und 81 sind nicht aktiv
 
Zuletzt bearbeitet von einem Moderator:

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Sag ich doch. Und den Port, den du vergeben hast, hast du per Portforwarding erreichbar gemacht?
 

its

Benutzer
Mitglied seit
27. Aug 2016
Beiträge
177
Punkte für Reaktionen
63
Punkte
78
Folgende Vorkehrungen sind bereits implementiert:
- Strenge Passwörter
- 2FA
- Firewall (erlaubt nur den Zugriff aus zwei Ländern)
- Portweiterleitung im fünfstelligen Bereich
Zu deinen Vorkehrungen würde ich auch noch die automatische Blockierung (ohne verfall nach Zeit) aktivieren.

Des Weiteren kannst du auch über den Aufgabenplaner Dienste zu Uhrzeiten beenden lassen, wo sie nicht gebraucht werden (z.B. ab 22 Uhr) und wieder starten lassen bevor sie gebraucht werden (z.B. um 7 Uhr).
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Geo-IP-Blocking wäre noch eine Maßnahme.
 

afranz

Benutzer
Mitglied seit
20. Nov 2016
Beiträge
83
Punkte für Reaktionen
13
Punkte
8
"- Firewall (erlaubt nur den Zugriff aus zwei Ländern)"
Gibt es noch eine andere Art von Geo-Blocking
 
Zuletzt bearbeitet von einem Moderator:

afranz

Benutzer
Mitglied seit
20. Nov 2016
Beiträge
83
Punkte für Reaktionen
13
Punkte
8
Zu deinen Vorkehrungen würde ich auch noch die automatische Blockierung (ohne verfall nach Zeit) aktivieren.

Des Weiteren kannst du auch über den Aufgabenplaner Dienste zu Uhrzeiten beenden lassen, wo sie nicht gebraucht werden (z.B. ab 22 Uhr) und wieder starten lassen bevor sie gebraucht werden (z.B. um 7 Uhr).
Automatische Blockierung ist seit jeher aktiv. Doch der Angriff erfolgt im Minutentakt mit jeweils unterschiedlicher IP Adresse. Nützt als nichts.
Die Dienste per Aufgabenplaner abzuschalten, hmmm, das schliesst ja keinen Port sondern nur den Dienst. Der Angriff erfolgt auf den Dienst DSM, was bedeutet, ich müsste das NAS herunterfahren und automatisch wieder starten lassen
 

afranz

Benutzer
Mitglied seit
20. Nov 2016
Beiträge
83
Punkte für Reaktionen
13
Punkte
8
Sag ich doch. Und den Port, den du vergeben hast, hast du per Portforwarding erreichbar gemacht?
Das stimmt natürlich. Habe aber den Port seither drei Mal gewechselt, was ie Attacke jeweils um 2 Minuten verzögert hat, danach gings ungebremst weiter
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Ich habe es bei mir mal getestet und es ist definitiv der Loginversuch zu DSM an sich. Protokolleintrag identisch zu deinem - siehe Anhang

Das Verlegen des Ports wird immer wieder empfohlen und wiegt User in trügerische Sicherheit. Das ist absolut gefährlich, da sich User darauf verlassen. Ein Portscanner ist da in ein paar Minuten durch, den interessiert das nicht, ob Port 443 oder Port 65127 - es dauert minimal länger.

Auf der anderen Seite hast du gut vorgesorgt mit langen und kompletten Kennwörtern zusätzlich zu 2FA, sollte also klar gehen.

Trotzdem würde ich das an deiner Stelle überdenken mit dem VPN - auch wenn du es nicht hören magst.

Ansonsten auf jeden Fall Reverse Proxy
 

Anhänge

  • DSM Login Protokoll.png
    DSM Login Protokoll.png
    19,6 KB · Aufrufe: 19
Zuletzt bearbeitet:

its

Benutzer
Mitglied seit
27. Aug 2016
Beiträge
177
Punkte für Reaktionen
63
Punkte
78
- Firewall (erlaubt nur den Zugriff aus zwei Ländern)
Sind das nur Angriffe auf DSM-Port? Aus welchen Länder kommen denn die Angriffe? Sind das die Länder, für die du auch den Zugriff erlaubt hast? Oder stimmen die Firewall-Einstellungen doch nicht!
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Ich hatte mal die IP Geprüft die du angegeben hast ,die kommt aus Russland,
Hast du Russland freigegeben?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat