ftp-anmeldeversuche

zwiebackman

Benutzer
Mitglied seit
25. Aug 2012
Beiträge
261
Punkte für Reaktionen
1
Punkte
18
Hallo zusammen,
ich hoffe, ich bin in dieser Sparte richtig - ich bekomme ständig Warnmails von der DS:

"Die IP-Adresse [xxxxxxx] hat innerhalb von 5 Minuten 10 Mal vergeblich versucht, sich bei FTP auf DS-214play anzumelden und wurde um "Datum und Uhrzeit" blockiert.

Von DS-214play"

Ich weiß nicht, ob da irgendwelche hacker am Werk sind, oder was da los ist.
Hat sowas schonmal jemand von Euch erlebt?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
ja, das ist ziemlich normal, das erleben alle immer wieder

Man kann zum Bsp die Ports die nach aussen offen sind durch solche mit höheren 5 stelligen Zahlen zu ersetzen, dann ist in der Regel für längere Zeit Ruhe
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Ja normal! Da draußen lungern ne Menge Monster und Drachen rum, die alle versuchen, irgendwo, wo es offene Ports zu finden gibt, einzubrechen. Da (S)FTP-S ja bekannte Protokolle sind, bei denen die Ports ebenso weltweit bekannt sind (21,22,etc), wird natürlich nach offenen Ports gescannt und dann versucht sich irgendwie einzuloggen.
Bekannt ist meisst auch, was für ein Gerät sich da meldet und wenn die z.B. wissen, dass es sich bei der IP mit einem offenen Port 21 um ein Fabrikat Synology handelt, dann wissen die auch dass der Standard Administrator-User 'admin' heisst und dann wird halt auch versucht sich mit diesem User und irgendwelchen (irgendwo abgefangenen) Passwörtern und Kombinationen anzumelden.

Die Syno startet dann nur ihre Schutzfunktionen und sperrt IPs, welche sich innerhalb einer Zeit X Y-mal versucht haben anzumelden.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Warum auch immer man glaubt FTP nach aussen freigeben zu müssen.

gruss,
sky
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
1. FTP ist unverxchlüsselt und sollte man NIE nach Aussen freigeben
2. Nutzt du überhaupt FTP und wenn nein überlege mal wie falsch deine Weiterleitungs- und Firewallregeln wohl sein könnten.
Lese und lerne!
 

CasiVR

Benutzer
Mitglied seit
04. Apr 2022
Beiträge
45
Punkte für Reaktionen
4
Punkte
14
Entweder FTP abschalten oder von aussen eine Portumleitung einrichten, das der Port 22 nur intern funktioniert
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
FTP abschalten muss ja nicht sein, möglicherweise braucht er das ja. Aber die Freigabe nach außen sollte es nicht geben.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
VPN wurde noch nicht genannt
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Also ich bin da irgendwie bei @NSFH : Vermutlich enthusiastisch alles eingerichtet, was das Paketzentrum hergab, schön mit UPnP, damit man sich keinen Kopf machen muss. Begeisterung - die Marketingleute von Synology haben nicht zu viel versprochen, geht ja kinderleicht ! Ja super, "kinderleicht" sollte in jedem Fall zu Denken geben.

Sorry für die Kritik, vielleicht tue ich dir da ganz unrecht. Vielleicht aber auch nicht, und dann ist es nur noch eine Frage der Zeit ...

Also dann: Auf dem Router einwählen, alle offenen Ports löschen/deaktivieren und in dem Zuge gleich auch UPnP deaktivieren. Dann ist die DS zwar erst mal in Heimnetz-Quarantäne, aber das ist vielleicht auch ganz gut so.
 
  • Like
Reaktionen: Rotbart und Monacum

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
Aber die Freigabe nach außen sollte es nicht geben.
wozu dann FTP?

das habe ich natürlich von aussen erreichbar, halt mit nicht üblichen Ports
Wozu soll ich sonst eine Syno kaufen wenn ich es nur zu hause verwenden darf?
 
  • Like
Reaktionen: CasiVR

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Ich werde ganz sicher niemandem erklären wozu er sich eine Syno kaufen soll. Bei mir wird genauso ganz sicher kein FTP-Server der von aussen erreichbar ist(egal auf welchem Port) im gleichen Netzwerksegment, geschweige denn auf dem gleichen Blech laufen auf dem irgendwas liegt was mir wichtig ist. Und wenn ich mir anschaue was Syonology manchmal so verzapft sollte man sich bei ALLEM was man mit der Syno macht genau Gedanken machen darüber. Nur ein Beispiel ist Synology Calender mit einer Abhängigkeit zu einer uralten PHP-Version. Aber jede wie sie will.

gruss,
sky
 

zwiebackman

Benutzer
Mitglied seit
25. Aug 2012
Beiträge
261
Punkte für Reaktionen
1
Punkte
18
ja, das ist ziemlich normal, das erleben alle immer wieder

Man kann zum Bsp die Ports die nach aussen offen sind durch solche mit höheren 5 stelligen Zahlen zu ersetzen, dann ist in der Regel für längere Zeit Ruhe
ich habe testweise auf der:

- Fritzbox 6660 unter Internet - Freigaben - Portfreigaben
- DS-218Plus unter Systemsteuerung - Dateidienste - FTP - Portnummer Einstellung des FTP-Service
- auf der Android App Dateimanager+

den Port auf eine 5-stellige Zahl umbenannt.
Danach kein Zugang mehr per FTP.

Was muß ich da beachten?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Meine Vorgehensweise ist diese:

1) Eingabe von IP/DDNS-Adresse : Portnummer (ohne Leerzeichen) auf dem abrufenden Endgerät

2) Weiterleitung des (hohen) externen Ports auf den normalen (niedrigen) für die interne Nutzung, auf der FB

3) Auf der DS bleibt an sich alles wie gehabt, zusätzlich Firewall aktivieren. Erst alle positiven Regeln (zulassen), möglichst spezifisch definiert, dann als letzte Regel (Häkchen) alle anderen Zugriffe blockieren.

Nur noch mal: Der höhere Port schützt nicht wirklich, das ist Vergangenheit. Und FTP nach außen ist eine schlechte Idee, immer.

Mein Heimnetzwerk ist dicht, nur erreichbar über 2 eigene VPN-Server, und als Rückfallebene QuickConnect. Über QC läuft auch die 2FA-Feigabe per App.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Natürlich soll man seine Syno nach Aussen zu machen!
HTTP, FTP oder 5000 und 5005 sind absolut tabu wie alles andere was unverschlüsselt ist.
Für alles, auch FTP, gibt es eine verschlüsselte Variante, welche sich sogar mit Zertifikat absichern lässt und dann genau so sicher ist wie VPN.
VPN ist halt die universellste Lösung, weil ich damit sogar Protokolle nutzen kann, die man niemals für das Internet freigeben sollte wie AFP oder SMB.
VPN ist nur nicht die schnellste Option, das ist der einzige Haken.
Und nein, das verlegen des FTP Ports in einen anderen Bereich verhindert nur die Alarmmeldungen durch Standard Scans im Web, für mehr taugt das nicht, Das ist keine Verbesserung der Sicherheit!
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
ich habe testweise auf der:

- Fritzbox 6660 unter Internet - Freigaben - Portfreigaben
- DS-218Plus unter Systemsteuerung - Dateidienste - FTP - Portnummer Einstellung des FTP-Service
- auf der Android App Dateimanager+

den Port auf eine 5-stellige Zahl umbenannt.
Danach kein Zugang mehr per FTP.

Was muß ich da beachten?
Niemals etwas an der Syno ändern. Der Einfachheit halber lieber alles so lassen, wie es dort angeboten wird. Nur am Router halt die Änderung durchführen. Also als Beispiel mal, wie Du beim FTP verfahren solltest:

Syno hat nach wie vor den Port 21 (und die passiven Ports - z.B. 55036 - 55063) eingeschaltet. Dann änderst Du in der Fritzbox > Internet > Freigaben > Portfreigaben > Gerät für Freigaben hinzufügen > Neue Freigabe > Portfreigabe > Port von: 21 bis: 21 - Port extern: 55021 und abspeichern...

und must den Benutzern draußen, die auf den FTP zugreifen sollen dann sagen, dass sie neben Deinem Servernamen auch den Port 55021 explizit in ihren FTP Programmen hinterlegen müssen.

Noch paar Sachen die heute in der Realität ne Rolle spielen:
- praktisch macht es nichts beim Service "FTP" weiterhin den Port 21 zu benutzen, da Du dort ja Benutzer/Passwort Kombinationen benötigtst/benutzt, WENN du 1) ausreichend gute Passwörter bei den Benutzern benutzt und 2) den nomalen FTP ausschaltest und dafür die sicheren Services FTPS und SFTP benutzt (dazu gleich noch paar Infos) und 3) Dich die evt. auftretenden Warnmeldungen über fehlgeschlagene Verbindungsversuche nicht stören

Obige Verschleierung würde ich nur bei speziellen Ports durchführen, wie zum Beispiel den Port 22 (z.B. vielleicht 65022 nehmen) oder die DSM Ports 5000/5001, falls Du so wahnsinnig (wie ich) bist und diese nach außen hin öffnen willst/musst. Gern gesehen wird das hier im Forum nicht und viele schütteln auch mit dem Kopf, bei Benutzern, welche das machen und ggf. hier darüber berichten.

Jetzt noch ein paar Worte zu SFTP und FTPS: Letzteres mal zuerst, weil es sich vom normalen FTP nur darin unterscheidet, dass die User/Pass Übermittlung halt verschlüsselt stattfindet.
Bei diesen Dateiübertragungsservices muss man verstehen, dass diese im Netz von Dritten mitgelesen werden können, wenn diese Dritten sich irgendwie Zugang zu dem entsprechenden Netz verschaffen können. Nutzt man dann also das normale FTP, dann können die sehen wie sich User mit ihren Benutzer "User1234" und ihrem Passwort "12345678" bei Dir anmelden und haben dadurch die Zugangskombi, ohne irgendwen gefragt zu haben... Bei FTPS ist das dann nicht der Fall, da der Benutzer "93urjfq2ü+" und das Passwort "dgahrgpqgbnAOR2" für Sie nicht mehr lesbar sind.
SFTP ist dann im Gegensatz zu FTPS komplett verschlüsselt, d.h. es wird nicht nur die Login Prozedur verschlüsselt, sondern auch sämtlicher Datenverkehr, also z.B. der Dateiaustausch, der nach dem Login stattfindet.
Für Dritte sehe der Mitschnitt der Daten dann etwa so aus:

"hufnciurewgcewlhgojwh r owrcxcxlcrewhetxhcljxwhcwxgkreäpxx3p3pjtgüpti ciit4ctüe4p6oh pü gpz6hz,z64"
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
also da bin ich nicht ganz einverstanden mit der Erklärung
SFTP und FTPS sind zwei verschiedene Verfahren, aber verschlüsselt, nicht nur Login, auch der Traffic
Wesentlich ist dass bei SFTP halt SSH als Transportmittel dient, bei FTPS ist es ein normales FTP jedoch mit SSL (TLS halt heute) verschlüsselt
 
  • Like
Reaktionen: Benie


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat