Fremde wollen rein

vashy · 30. Dez 2009

Guten Tag allerseits,

nachdem ich gestern den DDNS auf meiner DS 209+II angemeldet habe, haben sich im Laufe des Vormittags heute schon zwei Fremde daran zu schaffen gemacht. Ich bekomme soeben die zweite Email, dass wer nach fehlerhaftem Login auf die Blockierliste kam:

Sehr geehrter Benutzer,

Die IP [189.109.33.18] hatte 3 fehlgeschlagene Login-Versuche innerhalb von 5 Minuten und wurde um Wed Dec 30 11:50:02 2009 blockiert.

Mit freundlichen Grüßen
Synology Disk Station

Kann ich hier irgendwie gegenwirken oder anders eingreifen?

Mir würde es reichen, wenn lediglich die Audio- und die Photo-Station von außen aufrufbar sind (natürlich passwortgeschützt).

Lg

Anzeige · 30. Dez 2009

Hallo vashy,

Bücher und Hardware zum Thema gibt es bei Amazon: Fremde wollen rein

thedude · 30. Dez 2009

Ich würde für den Anfang nich Port 5000/5001 von aussen weiterleiten sondern dafür zufällige 5 stellige Portnummern nehmen. Also müsste die Weiterleitung im Router so aussehen:

dyndnsname:52341 -> interneip:5000 (oder eben 5001 für https)

Das ist zwar nicht viel sicherer, aber es bietet sich an nicht die std. Ports zu verwenden. Da ich weder Audio- noch Photostation nutze weiss ich nicht ob man die einzeln freischalten kann.

gruss
dude

itari · 30. Dez 2009

Die DS hat auch eine Firewall ...

Einfach mal benutzen.

Itari

vashy · 30. Dez 2009

Aha. Am Router habe ich vorhin alle Weiterleitungen zur DS gelöscht. Da ich den DDNS Dienst über den DS Manager nutze, scheint das überflüssig zu sein?! Ich verstehe was du meinst, aber ist das wirklich die beste Lösung?

Ja, die Audio- und Photostation müssten dann wohl manuell weitergeleitet werden.

Ich hatte mir sowas vorgestellt wie:
xxxxxx.dyndns.org -> darüber ist mein Desktop erreichbar. Kann man das verhindern? Es reicht, wenn er lokal zu erreichen ist. Quasi 5000 und 5001 sperren? Wenn ja - wie?

king_dingeling · 30. Dez 2009

Das war sicher nur Zufall. Ich hab seit 3 Monaten die gleiche IP und bis jetzt hats noch keiner in die Blockierungsliste geschafft

Ich meine die Sicherheit hat ja gegriffen, sofern kannst du ja schon mal beruhigt sein. Ich würde einfach nur gerade die Ports freigeben, die auch wirklich benötigt werden von extern.

jahlives · 30. Dez 2009

vashy schrieb:
xxxxxx.dyndns.org -> darüber ist mein Desktop erreichbar. Kann man das verhindern? Es reicht, wenn er lokal zu erreichen ist. Quasi 5000 und 5001 sperren? Wenn ja - wie?

Diese Ports am Router nicht weiterleiten könnte hilfreich sein...

vashy · 30. Dez 2009

jahlives schrieb:
Diese Ports am Router nicht weiterleiten könnte hilfreich sein...

Ist passiert. Habe die Ports vorher freigegeben, da ich die DDNS-Dienst des DS-Managers vorher nicht nutzte. Aber okay. Warten wir mal die folgenden Tage ab.

PS: Wo ist denn hier das "Erledigt"-Häkchen?

Stoner · 30. Dez 2009

Hi!

Also ich hab auch ca. 3 Fremde pro Tag auf meiner DS und würde das gerne verhindern.
Wo muss ich denn die Ports ändern (hab eine fixe IP)? Am Router? Auf der DS?
Also ich würde gerne nach außen hin andere Ports verwenden. Ich blicke leider im Moment nicht durch

Vielen Dank!

lg

Stoner

thedude · 30. Dez 2009

Stoner schrieb:
Wo muss ich denn die Ports ändern (hab eine fixe IP)? Am Router? Auf der DS?
Also ich würde gerne nach außen hin andere Ports verwenden. Ich blicke leider im Moment nicht durch

Das stellst Du im Router ein.

gruss
dude

vashy · 30. Dez 2009

Stoner schrieb:
Hi!

Also ich hab auch ca. 3 Fremde pro Tag auf meiner DS und würde das gerne verhindern.
Wo muss ich denn die Ports ändern (hab eine fixe IP)? Am Router? Auf der DS?
Also ich würde gerne nach außen hin andere Ports verwenden. Ich blicke leider im Moment nicht durch

Vielen Dank!

lg

Stoner

Wie thedude schon sagte:

Ich würde für den Anfang nich Port 5000/5001 von aussen weiterleiten sondern dafür zufällige 5 stellige Portnummern nehmen. Also müsste die Weiterleitung im Router so aussehen:

dyndnsname:52341 -> interneip:5000 (oder eben 5001 für https)

Das ist zwar nicht viel sicherer, aber es bietet sich an nicht die std. Ports zu verwenden. Da ich weder Audio- noch Photostation nutze weiss ich nicht ob man die einzeln freischalten kann.

gruss
dude

Du kannst dort ja einfach x-beliebige Ports auf deine DS weiterleiten.

Stoner · 30. Dez 2009

Schonmal Danke für eure Hilfe, aber bei mir sieht das in den Routereinstellungen so aus:

und da kann ich aber leider keinen alternativen Port vergeben, oder seh ich das falsch?

lg

Stoner

king_dingeling · 30. Dez 2009

Stoner schrieb:
Schonmal Danke für eure Hilfe, aber bei mir sieht das in den Routereinstellungen so aus:

und da kann ich aber leider keinen alternativen Port vergeben, oder seh ich das falsch?

lg

Stoner

Dein Router scheint nicht gerade mit Konfigurationsmöglichkeiten zu glänzen

Stoner · 30. Dez 2009

Ja, was soll man machen, wenn man so ein Ding vom ISP bekommt

Also sagen wirs einfach so: es ist mit diesem Teil nicht möglich!?

Gibts noch andere Möglichkeiten?

lg

Stoner

king_dingeling · 30. Dez 2009

Stoner schrieb:
Ja, was soll man machen, wenn man so ein Ding vom ISP bekommt
Also sagen wirs einfach so: es ist mit diesem Teil nicht möglich!?
Gibts noch andere Möglichkeiten?

lg

Stoner

Du könntest sonst einen zusätzlichen Router hinter dein ISP-Router hängen oder einfach in dr Syno-Firewall alle Ports, die nicht benötigt werden vom Internet aus, sperren. Dies wäre sicher besser als der Momentanzustand.

itari · 30. Dez 2009

Stoner schrieb:
Ja, was soll man machen, wenn man so ein Ding vom ISP bekommt

Man muss den aber nicht benutzen, sondern kann sich einen eigenen anschaffen.

Itari

brakeprofi · 06. Jan 2010

Wie sind denn so die Erfahrungswerte einer offen am Netz hängenden DS ?
Wie groß ist denn die Chance dass ein hacker die Kiste rund macht und kennt jemand welche wo das passiert ist ?

Heavymaxx · 07. Jan 2010

Mal dumm reingefragt..
Wenn ich die Firewall für meine DS aktiviere, brauch ich grundsätzlich nur folgende Ports 5001, 23, 80, 443, 55736 - 55863 eintragen - natürlich je nachdem welche "Anwendungen" ich auf der DS ansprechen möchte, right?

Derzeit benutze ich nur die automatische Blockierung nach einer bestimmter Anzahl von fehlgeschlagenen Anmeldeversuchen!

jahlives · 07. Jan 2010

telnet solltest du nur innerhalb des LANs erlauben. Externe Zugriff sollten - wenn unbedingt nötig - via ssh und damit verschlüsselt gemacht werden. Ich würde die Regeln grundsätzlich unterteilen in Regeln für lokale Clients (alles in deinem LAN) und für den "Rest der Welt"

Heavymaxx · 07. Jan 2010

jahlives schrieb:
telnet solltest du nur innerhalb des LANs erlauben. Externe Zugriff sollten - wenn unbedingt nötig - via ssh und damit verschlüsselt gemacht werden. Ich würde die Regeln grundsätzlich unterteilen in Regeln für lokale Clients (alles in deinem LAN) und für den "Rest der Welt"

Yep, thanx! Hab mir die Firewall aus Zeitgründen noch gar nicht näher zu Gemüte geführt.
Vielleicht kann ja wer seine Daten als Bild zur besseren Verständnis posten!

jahlives · 07. Jan 2010

Habe jetzt gerade keinen Screenshot zu Hand. wichtig ist, dass du im Hinterkopf behälst, dass die Regeln in einer Kette von oben nach unten durchlaufen werden. Trifft eine Regel zu wird die Abarbeitung des restlichen Regeln gestoppt.
Es gibt zwei grundsätzlich unterschiedliche Betriebsmodi der Firewall: Einmal "Erlauben wenn keine Regel zutrifft" und einmal "Verwerfen wenn keine Regel zutrifft". Ich verwende immer letzeres