Extrem viele unerwünschte externe Versuche auf meine DS zuzugreifen

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
Hallo!

Ich habe meine DS für einen externen Zugriff (sowohl für DSM und auch für FTP) freigeschalten. Nun ist mir in den Protokollen aufgefallen, dass seit einigen Wochen oft jede Minute versucht wird, hauptsächlich mit dem User "admin" sich via DSM mit meiner DS zu verbinden, was bis jetzt fehlgeschlagen ist. Natürlich habe ich den User "admin" überhaupt nie aktiviert. Weiters habe ich auch keine Standard Ports in Verwendung. Ich verwende für DSM die Port 5010 und 5011 und für FTP auch andere.
Was auffällt ist, dass nur über DSM versucht wird, sich einzuloggen und über FTP nicht.
1, Das wäre schon meinen 1. Frage, warum über DSM schon aber über FTP nicht?
Ich habe meine DS deswegen extern freigeschalten, weil ich täglich von der Ferne mittels der Android App "DS File" auf meine DS zugreifen muss um Dateien zu verschicken, zu löschen usw..
2. Meine 2. Frage wäre nun, kann man nur Ports für die App "DS File" freischalten oder geht das immer nur in Kombination mit einem Zugriff auf DSM?
3. Sollte ich vielleicht zusätzlich für alle meine User eine 2-Faktor-Authentifizierung einrichten?
4. Ich habe darauf hin nun die Ports 5010 und 5011 einmal für 3 Stunden in meinem Router deaktiviert und dann für 2 Stunden wieder aktiviert und daweil gibt es keine weiteren Zugriffe. Ist das nicht komisch?

Ich hoffe, dass mir jemand helfen kann.

LG
Thomas
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Zu deiner 2. Frage: Ja, das kann man und sollte man auch. In der Systemsteuerung unter Anwendungsportal kannst du der FileStation einen separaten Port geben.
Zu deiner 3. Frage: Wenn die DS im Internet steht, würd ich das auf jeden Fall machen.
Generell: Wenn nur du das nutzt, wäre vielleicht ein VPN Zugang besser geeignet. Eventuell sogar auf dem Router möglich. Außerdem in der Firewall Geoblocking aktivieren. Wenn du noch weniger Anmeldeversuche willst, kannst du die Ports noch höher legen.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
Hallo!

Danke sehr für eure Hilfe.
@plan.pl: Wie weit kann ich mit den Ports in die Höhe gehen?
Wo aktiviere ich in der Firewall Geoblocking? Auf meiner DS oder bei meinem Router?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Auf dem Router nicht. Die Firewall des Routers ist für den Port aus. Sonst würdest du die DS nicht erreichen.
In der DS Firewall kannst du gewisse IP-Bereiche sperren. Am besten aber nur Deutschland zulassen und zusätzlich die erwähnte Blocklist einrichten.
Der höchste Port ist 65535
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Auch ein hoher Port nützt dir nicht viel. Oft sind es nur einfache Bots, welche bestimmte Ports anfragen. Mit einem Portscanner kann man auch einfach den entsprechenden Port herausbekommen. Somit ist ein anderer Port nur ein bedingter Schutz,

Stele die Firewall richtig ein und installiere das Block-List Script. Dazu solltest du es die Freigaben lieber über einen Port (443) mit Subdomains laufen lassen anstatt unterschiedliche Ports auf eine Domain.

https://www.synology-forum.de/threa...-windows-explorer-zugriff.126399/post-1070547

Danach wird auch bei dir Ruhe eintreten.
 

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
Hallo!

Danke sehr für eure Infos.
Ich hätte noch eine Frage zur File Station. Ich finde unter DSM 7 in der Systemsteuerung den Punkt "Anwendungsportal" nicht, sondern nur "Anwendungsberechtigungen". Dort sehe ich zwar die File Station, aber Ports kann ich da auch nicht ändern, sondern nur auf User beschränken.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Unter DSM 7 heißt es Anmeldeportal
 

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
danke sehr, jetzt hab ichs gefunden
dort kann ich dann auch bis zum Port 65535 eintragen und dann auch im Router die Portweiterleitungs Regel einrichten?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
1681297167770.png
Systemsteruerng > Anmeldeportal > Anwendung > Filstation > Bearbeiten.

Wie bereits erwähnt würde ich dort eine Subdomains mit HSTS hinterlegen.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
dort kann ich dann auch bis zum Port 65535 eintragen und dann auch im Router die Portweiterleitungs Regel einrichten?
Du musst kein Ports auf der DS ändern. Das kannst du auch einfach bei deinem Router, sofern du IPv4 hast. Dort kannst du einfach die Ports auf einen anderen weiterleiten.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
kann ich dann auch bis zum Port 65535 eintragen
Theoretisch schon. Den höchsten brauchst du aber nicht unbedingt nehmen. Und es reicht, den Port am Router zu ändern. Intern brauchst du keine hohen Ports nutzen. Und wenn du mehrere Dienste brauchst, wäre die Lösung mit Subdomains und Port 443 zu bevorzugen
 
  • Like
Reaktionen: RichardB

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
Ich habe nämlich immer auch auf der DS die Ports gleich vergeben wie bei der Portweiterleitung auf m einem Router.
Das heißt, bei der DS könnte ich die Standardports alle lassen und beim Router müsste ich z.B. bei "Öffentlicher Port" "5200" und bei "Privater Port" "5000" für DSM eingeben?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ja, könntest du. Aber du sollst ja DSM nicht freigeben.
 

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
ja, danke, war nur ein Beispiel
Was ich noch nicht herausgefunden ist, was mit Port 443 und Subdomains gemeint ist. Was muss ich wo genau machen?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Du musst nur eine Subdomain in den Dienst deiner Wahl hinterlegen. In der DSM, Synology App gibt es immer den Eintrag "Domain" Für alle restlichen Anwendungen wie z.B. Docker kann man den Reverse Proxy nutzen. Anschließend musst du nur noch den Port 443 freigeben und die Subdomain aufrufen
 

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
Guten Morgen!

Ich hätte noch eine Frage zu den Firewall Regeln bezüglich Geoblocking. Ich habe nun einigen Länder (jeweils ein Land pro Regel, da man pro Regel ja nur 15 Länder hinzufügen kann) den Zugriff auf meine DS verweigert. Nun ist mir aufgefallen, dass trotzdem IP-Adresse aus diesen Ländern versuchen auf meine DS zuzugreifen. Ich sehe das nämlich in der Blockierungliste der DS. Meine Frage wäre nun, wie kann das sein? Oder stimmt der Standort nicht, welcher ganz rechts in der Liste steht?
Nachdem ich 2 DS habe und einen Synology Router habe, würde ich gerne wissen, ob ich nicht diese Firewall Regeln bei meinem Router definieren kann, damit ich nicht alles doppelt für jede DS eintragen muss? Oder beziehen sich dann diese Geoblocking Regeln nur für den Router und nicht für die DSs?
 

roben

Benutzer
Mitglied seit
02. Feb 2019
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Hallo,

bin mir nicht sicher, ob das auf deine Frage passt. Hilft aber vielleicht nochmal die Firewall zu verstehen.

Die Regeln der Firewall werden von oben nach unten bewertet. wichtig ist dann auch der Radiobutten, ganz unten "Wenn keine Regel zutrifft", dann verwerfen.

Das folgende Beispiel würde alles aus dem lokalen Netz durchlassen, dann alles das aus DE und ES zugreift. Und alle weiteren Zugriffe von anderen Orten verwerfen.

1681451829922.png

Hier noch eine nette Anleitung, die ich gefunden habe:
https://www.heimnetz.de/anleitungen...torage/synology/synology-firewall-einrichten/

Liebe Grüße Roben
 

w00dcu11er

Benutzer
Sehr erfahren
Mitglied seit
16. Sep 2022
Beiträge
864
Punkte für Reaktionen
300
Punkte
89
Ist doch richtig, dass du dies in BLOCKIERUNGSliste sehen kannst, d.h. diese IPs wurden blockiert, weil du so eingerichtet hast.

Aber wieso machst du 15 Ländern (1 Land pro Regel und das max. 15) so. Es wäre glaub ich einfacher, umgekehrt anzustoßen --> Alle Länder verbieten außer eben zb 15 Länder wie DE, AT, und jene, wo du oft dort bist.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat