DSM 6.x und darunter Brute-Force Attacken auf Login seit DSM4.0

[false]

Hallo,

ich hab seit einem Jahr ein Synlogy DS1511+ NAS im Einsatz, welches auch von außen her über einen DDNS Dienst erreichbar ist.

Gestern habe ich auf DSM4.0 aktualisiert und seit heute kriege ich auf einmal Brute-Force Attacken auf das NAS Login.
Meistens von asiatischen IPs, auf denen auch Webserver laufen (Ich nehme an kompromittierte Server).

Ich werde vom DSM benachrichtigt sobald sich jemand wiederholt versucht sich mit ungültigen Daten anzumelden.

Nach dem die erste Mail kam habe ich folgendes gemacht:

1. DDNS deaktiviert und einen Reconnect meiner DSL Verbindung gemacht (Um eine neue IP zu kriegen, die erstmal niemand kennen sollte und die dann auch nicht mehr über DDNS bekannt gegeben wird)
2. Default-Port des NAS von 5000 auf einen andere geändert.

So war ich mir eigentlich recht sicher, dass nun keine Angriffe mehr erfolgen können. Ich habe mich getäuscht.
Bereits 20 Minuten später ging es weiter.

Was kann ich tun? Wie kann ich dem besser vorbeugen? Ließe sich die Synology-Login URL anders erreichbar machen? z.B. über eine URL, die man nicht erraten kann?


Ich hatte heute jetzt schon Login-Versuche von 18 unterschiedlichen IPs.
Ich sperre jetzt bereits schon nach dem 2. fehlerhaften Versuch dauerhaft, da mir fehlerhafte Logins eigentlich nie passieren...


Das komische ist, dass das alles mir zum aller ersten Mal passiert und auch jetzt erst nachdem ich DSM4.0 installiert habe.
Das lässt mich vermuten, dass es einen Bug gibt oder ist es purer Zufall?
Bin für jeden Tipp dankbar.

 

[laserdesign]

ich denke mal das du alles richtig gemacht hast und das es dich erwischt hat, ist purer Zufall.

Was ich dir noch raten würde, ist, das du https aktivierst, das macht die Portfreigabe nach aussen sicherer.

Nachtrag:

Welche Ports hast du denn noch freigegeben????

 

[false]

HTTPS habe ich auch gemacht. Welche Möglichkeiten gibt es noch?

Und wie finden die Attacker überhaupt meine IP samt Port?

 

[laserdesign]

Und wie finden die Attacker überhaupt meine IP samt Port?

da läuft eine Software die scannt das Internet ab.

Wichtig ist ein starkes Passwort festzulegen und nur Ports weiterleiten die auch benötigt werden.

Und vielleicht mal an die Installation von VPN denken.

 

[false]

Danke für den Tipp. Mit VPN hab ich mich noch nicht beschäftigt.
Hast du vllt einen Link für mich?

Hätte VPN auch Nachteile für mich? z.B. wenn ich die Synology Apps auf dem iPhone nutze um mich per Remote auf mein NAS zu verbinden?

 

[laserdesign]

Hast du vllt einen Link für mich?

Bemühe mal die SuFu hier im Forum, da gibt es viele Einträge zu VPN.
Habe im Wiki den Link gefunden, so habe ich es auch eingerichtet.
Es gibt aber auch ein VPN in der Paketverwaltung.

Hätte VPN auch Nachteile für mich? z.B. wenn ich die Synology Apps auf dem iPhone nutze um mich per Remote auf mein NAS zu verbinden?

Nee, da haste keine Nachteile, schickst die Anfragen einfach durch den VPN-Tunnel

 

[CaptainKrunch]

Hätte VPN auch Nachteile für mich? z.B. wenn ich die Synology Apps auf dem iPhone nutze um mich per Remote auf mein NAS zu verbinden?

Ein Nachteil wäre eine leicht erhöhte CPU-Last. Wobei der Nutzen im Hinblick auf die Sicherheit diesen "Nachteil" locker verschmerzen lassen sollte.

 

[Pino72]

Hi,

kann da nur VPN über den ROuter empfehlen, dann musst du auf der Synology keinerlei Ports freigeben oder forwarden und hast über VPN den kompletten Zugriff wie wenn du zu Hause im Netz bist. Braucht halt einen Router der VPN unterstützt, so wie die 7390 Fritzbox. Geht tadellos und dann kannst du auch https ausschalten...braucht man Intern dann eher weniger.

Tschööö

 

[jahlives]

Braucht halt einen Router der VPN unterstützt, so wie die 7390 Fritzbox.

er könnte OpenVPN aber auch auf der DS selber laufen lassen. Damit würde man keinen speziellen Router benötigen. zudem ned vergessen: SSL geht auf den Prozessor und da hat die DS sicher mehr als eine Fritzbox ;-)

 

[Pino72]

Schon, aber da muss er ja wieder Ports am Router öffnen um auf das VPN der Synology zu kommen, oder? Braucht man da nicht einen Router der explizit VPN Passthrough oder so ähnlich unterstützt?

 

[jahlives]

Schon, aber da muss er ja wieder Ports am Router öffnen um auf das VPN der Synology zu kommen, oder?

jein Ja weil man Port 1194 am Router öffnen muss und nein weil man bei OpenVPN via UDP einen Port so verstecken kann, dass der bei Portscanns nicht als offen erkannt wird. Das geht aber nur bei UDP, wenn du OpenVPN und TCP einsetzt geht das ned

 nmap -sU -p 1194 homeserver.brain-force.ch


Starting Nmap 5.00 ( http://nmap.org ) at 2012-03-12 17:24 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.33 seconds

dabei ist der Host oben mein OpenVPN Server mit offenem Port 1194 UDP. Trotzdem wird der Port nicht als offen erkannt

 

[Pino72]

Interessant, und das geht mit jedem Router der udp port forwarding unterstützt? Dann würde Ich das evtl. auch auf die Synology legen über UDP...

 

[jahlives]

Ne OpenVPN braucht afaik kein VPN-Passthru. Das brauchen wenn es mir recht ist nur IPSec basierte VPN-Protokolle. Für den Router sind das alles UDP/TCP Pakete die auf Port 1194 und mit externen IPs reinkommen. Die kann er einfach "natten" und weiterleiten. Erst der OpenVPN Server entpackt das UDP Paket und ermittelt das nötige Applikationsprotokoll (z.B. http oder ssh oder smb oder was auch immer). IPSec Protokolle verwenden jedoch effektiv interne LAN Adressen für die Adressierung und solche Pakete darf der Router (wenn er selber nicht die IPSec Endstation ist) keinesfalls verändern. Darum braucht es dort VPN-Passthru

 

[jahlives]

Interessant, und das geht mit jedem Router der udp port forwarding unterstützt? Dann würde Ich das evtl. auch auf die Synology legen über UDP...

jap das sollte mit jedem Router gehen der Portforwarding explizit auf UDP unterstützt

 

[Pino72]

Ok, läuft über pptp mit dem IPhone prima...leider ist ja hier der sichtbare TCP Port offen am Router. Wenn Ich das jetzt auf die Schnelle richtig gelesen habe geht das OpenVPN über IPhone ohne Jailbreak nicht...d.h. Ich kann die UDP Geschichte leider mit dem IPHone nicht nutzen, richtig?

 

[jahlives]

Man kann leider nicht grundätzlich sagen das jedes UDP Protokoll diesen Schutz bietet. OpenVPN hat aber diesen Sicherheitsmechanismus (bei entsprechender Konfig) und das Prinzip dahinter funzt nur bei UDP d.h. diesen Schutz muss die Applikation leisten. Andere UDP Protokolle müssen diesen Schutz nicht unbedingt bieten. Und ein TCP Protokoll kann diesen Schutz prinzipiell nicht bieten
Und OpenVPN geht scheinbar bei Droid und eiPhone nur indem man sie "hackt"

 

[CaptainKrunch]

jein Ja weil man Port 1194 am Router öffnen muss und nein weil man bei OpenVPN via UDP einen Port so verstecken kann, dass der bei Portscanns nicht als offen erkannt wird. Das geht aber nur bei UDP, wenn du OpenVPN und TCP einsetzt geht das ned

 nmap -sU -p 1194 homeserver.brain-force.ch


Starting Nmap 5.00 ( http://nmap.org ) at 2012-03-12 17:24 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.33 seconds

dabei ist der Host oben mein OpenVPN Server mit offenem Port 1194 UDP. Trotzdem wird der Port nicht als offen erkannt

Mach das mal mit nem aktuellen nmap. Da sieht die Lage schon wieder ganz anders aus

 

[jahlives]

Mach das mal mit nem aktuellen nmap. Da sieht die Lage schon wieder ganz anders aus

darfst es gerne probieren Ich habe keine aktuellere Version im apt

 

[CaptainKrunch]

darfst es gerne probieren Ich habe keine aktuellere Version im apt

bash-3.2# nmap -sU -p 1194 homeserver.brain-force.ch

Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-13 07:28 CET
Nmap scan report for homeserver.brain-force.ch (84.73.19.132)
Host is up (0.0016s latency).
rDNS record for 84.73.19.132: 84-73-19-132.dclient.hispeed.ch
PORT STATE SERVICE
1194/udp open|filtered openvpn

Dieser "Schutz" durch OpenVPN ist ja ganz nett, aber zum größten Teil eben doch nur security by obscurity...

 

[jahlives]

Wenn ich dein Resultat richtig interpretiere, dann hat dein nmap keinen Plan ob der Port offen oder gefiltert ist. Mich wundert zwar dass du eine andere Antwort bekommst als der nmap bei mir, aber der Schutz wirkt: sonst müsste der Port ganz sicher als Open gelistet werden. nmap kommt wahrscheinlich zur Aussage open|filtered weil keinerlei Antwortpaket kommt. Die werden von der Anwendung komplett blockiert, weil sie keine gültige Signatur haben. Dein nmap hat nie auch nur ein Paket von der Anwendung zurückerhalten
Das ist kein Security by Obscurity, denn die Verbindung ist für dich (ohne den korrekten Schlüssel) komplett unmöglich. Die wirst nie eine Antwort von meinem OpenVPN erhalten, wenn du nicht den korrekten Schlüssel hast. Und das ist der eigentliche Schutz: OpenVPN kann alles ohne Signatur sofort wegschmeissen. Erst wenn due diesen Schlüssel hast kommst du in einem weiteren Schritt überhaupt bis zur Auth von OpenVPN

Ich könnte deinen nmap sogar noch mehr an der Nase rumführen und openvpn dazu bringen bei fehlender Signatur ein icmp Port unreachable Paket zu senden. Dann geht nmap sogar von einem closed Port aus