Extrem viele unerwünschte externe Versuche auf meine DS zuzugreifen

[tommytom79]

Hallo!

Ich habe meine DS für einen externen Zugriff (sowohl für DSM und auch für FTP) freigeschalten. Nun ist mir in den Protokollen aufgefallen, dass seit einigen Wochen oft jede Minute versucht wird, hauptsächlich mit dem User "admin" sich via DSM mit meiner DS zu verbinden, was bis jetzt fehlgeschlagen ist. Natürlich habe ich den User "admin" überhaupt nie aktiviert. Weiters habe ich auch keine Standard Ports in Verwendung. Ich verwende für DSM die Port 5010 und 5011 und für FTP auch andere.
Was auffällt ist, dass nur über DSM versucht wird, sich einzuloggen und über FTP nicht.
1, Das wäre schon meinen 1. Frage, warum über DSM schon aber über FTP nicht?
Ich habe meine DS deswegen extern freigeschalten, weil ich täglich von der Ferne mittels der Android App "DS File" auf meine DS zugreifen muss um Dateien zu verschicken, zu löschen usw..
2. Meine 2. Frage wäre nun, kann man nur Ports für die App "DS File" freischalten oder geht das immer nur in Kombination mit einem Zugriff auf DSM?
3. Sollte ich vielleicht zusätzlich für alle meine User eine 2-Faktor-Authentifizierung einrichten?
4. Ich habe darauf hin nun die Ports 5010 und 5011 einmal für 3 Stunden in meinem Router deaktiviert und dann für 2 Stunden wieder aktiviert und daweil gibt es keine weiteren Zugriffe. Ist das nicht komisch?

Ich hoffe, dass mir jemand helfen kann.

LG
Thomas

 

[ottosykora]

Ist das nicht komisch?

nein, alles normal

 

[plang.pl]

Zu deiner 2. Frage: Ja, das kann man und sollte man auch. In der Systemsteuerung unter Anwendungsportal kannst du der FileStation einen separaten Port geben.
Zu deiner 3. Frage: Wenn die DS im Internet steht, würd ich das auf jeden Fall machen.
Generell: Wenn nur du das nutzt, wäre vielleicht ein VPN Zugang besser geeignet. Eventuell sogar auf dem Router möglich. Außerdem in der Firewall Geoblocking aktivieren. Wenn du noch weniger Anmeldeversuche willst, kannst du die Ports noch höher legen.

 

[Benie]

Du kannst auch zusätzlich die Blocklist von @geimist verwenden klick hier

 

[tommytom79]

Hallo!

Danke sehr für eure Hilfe.
@plan.pl: Wie weit kann ich mit den Ports in die Höhe gehen?
Wo aktiviere ich in der Firewall Geoblocking? Auf meiner DS oder bei meinem Router?

 

[plang.pl]

Auf dem Router nicht. Die Firewall des Routers ist für den Port aus. Sonst würdest du die DS nicht erreichen.
In der DS Firewall kannst du gewisse IP-Bereiche sperren. Am besten aber nur Deutschland zulassen und zusätzlich die erwähnte Blocklist einrichten.
Der höchste Port ist 65535

 

[EDvonSchleck]

Auch ein hoher Port nützt dir nicht viel. Oft sind es nur einfache Bots, welche bestimmte Ports anfragen. Mit einem Portscanner kann man auch einfach den entsprechenden Port herausbekommen. Somit ist ein anderer Port nur ein bedingter Schutz,

Stele die Firewall richtig ein und installiere das Block-List Script. Dazu solltest du es die Freigaben lieber über einen Port (443) mit Subdomains laufen lassen anstatt unterschiedliche Ports auf eine Domain.

https://www.synology-forum.de/threa...-windows-explorer-zugriff.126399/post-1070547

Danach wird auch bei dir Ruhe eintreten.

 

[tommytom79]

Hallo!

Danke sehr für eure Infos.
Ich hätte noch eine Frage zur File Station. Ich finde unter DSM 7 in der Systemsteuerung den Punkt "Anwendungsportal" nicht, sondern nur "Anwendungsberechtigungen". Dort sehe ich zwar die File Station, aber Ports kann ich da auch nicht ändern, sondern nur auf User beschränken.

 

[plang.pl]

Unter DSM 7 heißt es Anmeldeportal

 

[tommytom79]

danke sehr, jetzt hab ichs gefunden
dort kann ich dann auch bis zum Port 65535 eintragen und dann auch im Router die Portweiterleitungs Regel einrichten?

 

[EDvonSchleck]

Systemsteruerng > Anmeldeportal > Anwendung > Filstation > Bearbeiten.

Wie bereits erwähnt würde ich dort eine Subdomains mit HSTS hinterlegen.

 

[EDvonSchleck]

dort kann ich dann auch bis zum Port 65535 eintragen und dann auch im Router die Portweiterleitungs Regel einrichten?

Du musst kein Ports auf der DS ändern. Das kannst du auch einfach bei deinem Router, sofern du IPv4 hast. Dort kannst du einfach die Ports auf einen anderen weiterleiten.

 

[plang.pl]

kann ich dann auch bis zum Port 65535 eintragen

Theoretisch schon. Den höchsten brauchst du aber nicht unbedingt nehmen. Und es reicht, den Port am Router zu ändern. Intern brauchst du keine hohen Ports nutzen. Und wenn du mehrere Dienste brauchst, wäre die Lösung mit Subdomains und Port 443 zu bevorzugen

 

[tommytom79]

Ich habe nämlich immer auch auf der DS die Ports gleich vergeben wie bei der Portweiterleitung auf m einem Router.
Das heißt, bei der DS könnte ich die Standardports alle lassen und beim Router müsste ich z.B. bei "Öffentlicher Port" "5200" und bei "Privater Port" "5000" für DSM eingeben?

 

[plang.pl]

Ja, könntest du. Aber du sollst ja DSM nicht freigeben.

 

[tommytom79]

ja, danke, war nur ein Beispiel
Was ich noch nicht herausgefunden ist, was mit Port 443 und Subdomains gemeint ist. Was muss ich wo genau machen?

 

[EDvonSchleck]

Du musst nur eine Subdomain in den Dienst deiner Wahl hinterlegen. In der DSM, Synology App gibt es immer den Eintrag "Domain" Für alle restlichen Anwendungen wie z.B. Docker kann man den Reverse Proxy nutzen. Anschließend musst du nur noch den Port 443 freigeben und die Subdomain aufrufen

 

[tommytom79]

Guten Morgen!

Ich hätte noch eine Frage zu den Firewall Regeln bezüglich Geoblocking. Ich habe nun einigen Länder (jeweils ein Land pro Regel, da man pro Regel ja nur 15 Länder hinzufügen kann) den Zugriff auf meine DS verweigert. Nun ist mir aufgefallen, dass trotzdem IP-Adresse aus diesen Ländern versuchen auf meine DS zuzugreifen. Ich sehe das nämlich in der Blockierungliste der DS. Meine Frage wäre nun, wie kann das sein? Oder stimmt der Standort nicht, welcher ganz rechts in der Liste steht?
Nachdem ich 2 DS habe und einen Synology Router habe, würde ich gerne wissen, ob ich nicht diese Firewall Regeln bei meinem Router definieren kann, damit ich nicht alles doppelt für jede DS eintragen muss? Oder beziehen sich dann diese Geoblocking Regeln nur für den Router und nicht für die DSs?

 

[roben]

Hallo,

bin mir nicht sicher, ob das auf deine Frage passt. Hilft aber vielleicht nochmal die Firewall zu verstehen.

Die Regeln der Firewall werden von oben nach unten bewertet. wichtig ist dann auch der Radiobutten, ganz unten "Wenn keine Regel zutrifft", dann verwerfen.

Das folgende Beispiel würde alles aus dem lokalen Netz durchlassen, dann alles das aus DE und ES zugreift. Und alle weiteren Zugriffe von anderen Orten verwerfen.



Hier noch eine nette Anleitung, die ich gefunden habe:
https://www.heimnetz.de/anleitungen...torage/synology/synology-firewall-einrichten/

Liebe Grüße Roben

 

[w00dcu11er]

Ist doch richtig, dass du dies in BLOCKIERUNGSliste sehen kannst, d.h. diese IPs wurden blockiert, weil du so eingerichtet hast.

Aber wieso machst du 15 Ländern (1 Land pro Regel und das max. 15) so. Es wäre glaub ich einfacher, umgekehrt anzustoßen --> Alle Länder verbieten außer eben zb 15 Länder wie DE, AT, und jene, wo du oft dort bist.