Brute Force Attacke läuft seit 5 Tagen

[afranz]

Hallo miteinander

Ich erlebe gerade eine Brute Force Attacke auf unser Firmen NAS. Selbiges wird für dei Zusammenarbeit verschiedener Teams mit externen Partnern, sowie als Datenserver für Dokumente, auf welche unsere Kunden über Freigaben zugreifen können.

Die Attacke begann am vergangenen Mittwoch. Jede Minute wird ein Benutzername von einer neuen IP Adresse abgefragt und durch die DSM abgelehnt. Der Intervall liegt recht regelmässig bei 1 Minute.
Die IPs liegen überall auf der Welt verteilt.
Die ersten zwei Tage wurde das admin Konto abgefragt, dann folgten fiktive Benutzernamen beginnend bei A und endend bei koreanischen Usern.
Wenn die Abfragen einmal durch sind, startet nach ca. 2 Stunden eine neue mit einem neuen Set von Benutzer- und Dienstnamen.

Folgendes Setting habe ich bei unserem NAS eingestellt:
- User Admin ist deaktiviert, hat ein über 50 Zeichen langes PW und 2FA
- Benutzer verwenden starke Passworte, jdeoch keine 2FA
- nach aussen offene Portnummer im 5 stelligen Bereich (ohne Systematik)
- Bei drei aufeinanderfolgenden, fehlerhaften Loginversuchen wird die IP für 188 Tage gesperrt
- Zugriff ist in der Firewall auf mein Land begrenzt, alle anderen sollten somit geblockt werden (die Angriffe laufen dennoch weiter, Trace-Route verortet sie in allen möglichen Ländern)
- Per Skript wird zudem eine IP Blocklist geführt, welche bekannte IPs der dunklen Seite automatisch sperrt.

Grundsätzlich befürchte ich kaum, dass über die gewählte Methode ein User und Passwort errraten werden kann, dennoch möchte ich mich vergewissern, dass ich nicht etwas übersehen oder falsch eingerichtet habe.

Feedback?
Anregungen?
Korrekturen?

Vielen Dank,
Andreas

 

[Benares]

Zugriff ist in der Firewall auf mein Land begrenzt, alle anderen sollten somit geblockt werden

"sollten" aber werden sie scheinbar nicht. Hier würde ich als erstes mal nachschauen, ob bei der Konfiguration noch etwas nicht stimmt, beispielsweise die Blockregel am Ende fehlt (Bsp z.B. hier, aber das eigene Netz nicht vergessen)

 

[Janüscht]

Du schriebst leider nicht, um welche Dienste und Anwendungen es sich genau handelt. Auch wäre eine Verbindung via VPN für die Mitarbeiter zumutbar. Generell sollte man keine Synology-Standardport (außer 443) verwenden, aber auch andere Ports bringen keinen Sicherheitseffekt, weil sie genauso einfach mit einem Portscanner ausspioniert werden können. Dazu kommt, dass Firmen meist eine feste IP haben. Geänderte Ports haben nur einen positiven Effekt: Der Angreifer/Bot geht erst einmal nicht von einer DiskStation wie bei Port 5000/5001 aus.

Dazu kommt, dass seit etlichen Wochen das HPPT/2-Protokoll aktiv ausgenutzt wird. Betroffen sind alle großen Unternehmen wie Microsoft, Google, Cloudflare etc. Das Problem wurde seit ca. 7 Jahren beschrieben und es ist ein Wunder, warum es nicht früher ausgenutzt worden ist. Ester Fixe gibt es bereits und es ist auch nicht jede Software betroffen. Synology schreibt in der CVE, dass die DiskStation nicht betroffen ist. Das liegt natürlich an der "immer aktuellen Software" und nicht an dem steinalten HTTP/2 Protokoll [ironieoff]. Da ich der Sache noch nicht ganz traue, habe ich es sicherheitshalber einfach deaktiviert. Wenn selbst große Unternehmen massive Probleme haben, ist das Problem anscheinend größer als zugegeben. In meinen Blocklisten-Script sind die Einträge seit dieser Zeit verdoppelt, beschränkt auf 7 Tagen, weil diese IPs dynamisch sind und man selbst eine gesperrte IP zugewiesen bekommen könnte und somit der Zugriff blockiert ist.

Du schreibst von einem Blocklist-Script. Ist dieses zufällig von @geminst? Ist dieses aktuell und wie oft lässt du dieses laufen?

Grundsätzlich ist es eh gefährlich, kommerziell eine Enduserlösung laufen zu lassen. Besser wäre es, sich den richtigen Rat einzuholen, welcher natürlich kostet. Alles andere ist doch nur eine Bastellösung, auch wenn dir das jetzt nicht gefällt. Alles, was ein Enduser machen kann, sollte man jedoch nicht in einem Unternehmen betreiben. Problematisch wird es, wenn wirklich Daten verschlüsselt werden oder noch schlimmere Daten abfließen und verkauft werden. Den Ärger möchte deine Firma bestimmt nicht haben. Dann ist guter Rat sehr teuer und Geiz auf einmal nicht mehr geil.

Auch kann man weiter Maßnahmen ergreifen wie fail2ban, worauf die Blocklisten aufbauen, jedoch mit etwas Verzögerung. Eine andere Möglichkeit wäre, einen Dienst wie Cloudflare etc. zu nutzen, welcher solche Angriffe von Bots blockiert. Einen 100 % Schutz wird es aber nicht geben.

Ich habe noch einen Zugriffsversuch auf mehrere DiskStationen verzeichnen können. Alle eingerichtet über eine Domain, Port 443, Synology Reverse Proxy + Subdomain je Anwendung, Blocklist (@geimist) und bei einigen fail2ban für Docker-Anwendungen. Natürlich ist der Admin und SSH deaktiviert, starkes Passwort und 2FA. Zur Sicherheit ist HTTP/2 seit Bekanntwerden der Sicherheitslücke deaktiviert.

 

[maxblank]

Nimm den blanken Arsch vom NAS aus dem Internet, anständigen VPN mit 2FA für die User ausrollen und schon hat der „Spuk“ ein Ende.

 

[afranz]

Danke an Euch alle für die Ratschläge.
Ich habe jetzt die Regel für die Länder IP in der Firewall an die erste Stelle verschoben und nun ist Ruhe.
Von Unterwegs werde ich sowieso nur per VPN auf das Nas zugreifen, dei Mitarbeiter ebenso. Alle externen Projektteams hingegen greifen direkt zu. Jedem einen VPN zuzumuten scheint mir nicht praktikabel, denn es handelt sich um viele Leute in den Teams.
Cloudflare werde ich in Bälde einmal genauer studieren und mit einem zweiten NAS vor dem operativen Einsatz auf Herz und Nieren checken...

Danke erstmal an euch alle
Gruss, Andreas

 

[afranz]

Du schreibst von einem Blocklist-Script. Ist dieses zufällig von @geminst? Ist dieses aktuell und wie oft lässt du dieses laufen?

@geminst, das script ist aktuell und ich lasse es im 5 Minuten Takt laufen

 

[Janüscht]

Natürlich hat die eine Firewallregel und deren Position eine Bedeutung. Hast du neben deinem Netzwerk und Freigaben die restlichen Sachen gesperrt?

Bei mir sieht das so aus:

1. (Heim)Netzwerk
2. Docker-Netzwerk (optional) ggf. auch anderes VPN-Netzwerk
3. erlaubte Freigaben incl. Anwendungen und Geolocation (mehrere Anwendungen in einer Regel möglich)
4. alles andere verboten

Das Ganze musst du jetzt von unten nach oben sehen. Also es ist alles verboten außer den bestimmten Anwendungen und Ländern, außer das Docker-Netzwerk und außer das (Heim)Netzwerk. Du musst auch noch darauf aufpassen, für welche Netzwerkkarte du diese Regeln eingerichtet hast, sofern mehrere verbaut sind. Es gibt aber auch die Möglichkeit, die Regeln für alle NICs anwenden zu lassen.

Was das Script angeht, nutze ich es nicht so oft, bei mir reicht 1x die Stunde vollkommen aus. Die aktuellste Version des Scripts findest du auf Github. Technisch gesehen könnte man auch eine automatische Aktivierung direkt in der Aufgabe ausführen.