DSM 7.2 Brute Force (again) - Möglichkeit zur Erkennung, über welchen Port der Angriff erfolgt?

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
In deinem Fall würde ich VPN auch nicht nutzen. Cloud Flare und/oder Reverse Proxy wären wohl die Mittel der Wahl.

Dass die Versuche „hartnäckig“ erfolgen, macht logisch betrachtet wenig Sinn. Jeder Bot ist „hartnäckig“, der Begriff macht bei automatisierten Angriffen keinen Sinn. Die haben sich bei dir festgebissen und probieren stumpf ihr Wörterbuch durch, bis jemand den Stecker zieht.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.170
Punkte für Reaktionen
1.133
Punkte
194
Aber wie soll da CloudFlare helfen?

Was hast du eigentlich für eine Firewall bei dir vor deiner DS?
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.110
Punkte für Reaktionen
2.154
Punkte
289
Ich verstehe immer noch nicht, warum Kunden sich in DSM an sich anmelden sollen…

Steht das NAS in einer DMZ?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Ich habe für DSM einen komplett anderen Port in der Systemsteuerung angegeben. 5000 und 5001 sowie 80 und 81 sind nicht aktiv
Weshalb in der Systemsteuerung? :unsure:
Dort können es doch diese Ports bleiben. Wichtig ist lediglich, wie es nach aussen hin aussieht. Also ob du z.B. im Router 55001 öffnest und auf die 5001 in deinem Netz weiterleitest.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
617
Punkte
134
Dann funktioniert dein Geoblocking nicht
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Alle Firewalleinstellungen gemacht und am Ende nicht den Haken gesetzt bei alles andere blockieren.
Also gar keine Firewall in Betrieb oder in den Regeln eine Freigabe erteilt die alles mögliche erlaubt und nachfolgende Regeln aushebelt.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.170
Punkte für Reaktionen
1.133
Punkte
194
ja dann geht dein GEoblock nicht. Das war so meine erste Vermutung.

Am besten löst das über deine Firewall vom Netzwerk . Also nicht in der Synology sondern wirklich deinem Gateway.
Das ist die elegantere Lösung.
dann kommt der käse gar nicht erst bis zur Syno durch
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.110
Punkte für Reaktionen
2.154
Punkte
289
Weshalb in der Systemsteuerung? :unsure:
Dort können es doch diese Ports bleiben. Wichtig ist lediglich, wie es nach aussen hin aussieht. Also ob du z.B. im Router 55001 öffnest und auf die 5001 in deinem Netz weiterleitest.
Was soll das bringen?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.170
Punkte für Reaktionen
1.133
Punkte
194
Das von außen nicht gerade der Port 5001 ereichbar ist . Der wird eher angegriffen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Entweder die Verwendung des ReverseProxy, dafür müsste aber der Zugriff via Subdomainnamen durchgeführt werden und ein LE Zertifikat dafür vorhanden sein sowie 443 im Router auf die Syno weitergeleitet werden.
Alternativ:
Im Router eine Portweiterleitung einrichten von xxxxx auf 5001 in der Syno. Auf gar keinen Fall 5000(HTTP !!!!). In der Syno den 5001 zu verändern ist nicht zielführend, das muss im Router passieren!
Und dann natürlich funktionierende Firewallregeln anwenden, vorzugsweise schon im Router und in der Syno nur additiv.

Was mich aber wirklich interessieren würde: Warum wird DSM nach Aussen freigegeben? Welche Dienste müssen Dritte auf der Syno nutzen?
 
  • Like
Reaktionen: Benie

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Was soll das bringen?
Nach außen sichtbar ist nur der Port am Router. Es is völlig egal, auf welchen INTERNEN Port vom Router aus weiter geleitet wird.

Wenn der Router-Port auf ..xxx:5001 steht, wird jedem, der den Portscan macht signalisiert „Hier wartet potenziell eine Synology auf Kundschaft“. Und dann wird es eben probiert.

Jetzt kann man natürlich den Router-Port ändern. Dann muss man aber auch allen, die Dienste verwenden, die auf diesen Port zugreifen, beibiegen, dass sie den Port auch auf ihrer Seite ändern müssen. In dem vom OP geschilderten Fall kann das aber schwierig werden, ebenso wie das Einrichten eines VPN bei einer Gruppe von Projektmitgliedern.

Daher entweder auf die 443 gehen und den offenen Port durch einen Reverse Proxy abfangen.

Oder (ich weiß, Sakrileg !) für das Projektteam einen Clouddienst einrichten, und die DS mit diesem über CloudSync synchronisieren. Das nimmt dem Ganzen die sportliche Komponente, sein offenes Netzwerk gegen die anbrandenden Hacker-Horden zu verteidigen. Aber es erlaubt, sich auf seine Projektarbeit zu konzentrieren, statt hier im Forum abzuhängen :ROFLMAO:

Grüße von meinem Freund Prokrastes :cool:
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Ich bin jetzt mal etwas forsch: Wer > 3000 EUR für eine RS3621RPxs hat, sollte sich vielleicht Gedanken machen, dass man zur Absicherung derselbigen (?) eine "echte" Hardware-Firewall verwendet. Und wenn man von der ganzen Thematik keinen Dunst hat, sollte man sich zumindest für die Ersteinrichtung jemand dazu holen, der etwas vom Fach versteht, anstelle hier unter uns Hobbyadmins nachzufragen.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.170
Punkte für Reaktionen
1.133
Punkte
194
ja ganz falsch ist dein einwand da wirklich nicht
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.110
Punkte für Reaktionen
2.154
Punkte
289
Ich finde es absolut nicht zielführend, dass gebetsmühlenartig die Verlegung eines Ports in eine hohe Range etwas bringen soll außer trügerische Sicherheit. Außer vielleicht ein paar Minuten, die der Portscanner länger braucht. Die Scanner erkennen schon, was dahinter erreichbar ist.

@Puppetmaster: Absolut sachlicher Einwand …. nicht.
Hättest du das Thema gelesen, hätte sich dein absolut unnötiger Kommentar von selbst erledigt.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Daher entweder auf die 443 gehen und den offenen Port durch einen Reverse Proxy abfangen.
Wenn offene Ports, dann ist das die gangbare Lösung, ich nutze das sogar im privaten Umfeld und habe Null Attacken auf Port 443.
 
  • Like
Reaktionen: Benie und Synchrotron

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Ich finde es absolut nicht zielführend, dass gebetsmühlenartig die Verlegung eines Ports in eine hohe Range etwas bringen soll außer trügerische Sicherheit

Was ist denn das Ziel?
Das Ziel ist, 90% der Portscans, die wiederum sinnfreie Meldungen nach sich ziehen, zu eliminieren.
Zum Thema Sicherheit hat @Synchrotron bereits ausführlich geschrieben. Es wird mindestens verschleiert, welche Maschine bzw. welcher Dienst hier hinter der Tür wartet.

Und ich habe den Thread gelesen, verstanden und reflektiert. Danke der Nachfrage.
 
  • Like
Reaktionen: Synchrotron


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat