FTP Penetrationsattacke: ...failed to log in the server

[mjf85]

Hallo Leute!

Ich hatte jetzt schon zweimal eine richtige Penetrationsattacke via FTP auf meine DS 408: Innert weniger Minuten über 100 fehlerhafte Login-Versuche. Ich nehme mal an, es handelt sich um ein Programm, denn kein Mensch kann durch einfaches Klicken pro Sekunde einen Login-Versuch unternehmen.

Beim ersten Mal konnte ich für einen Tag nicht mehr auf die DS zugreifen, da sie total überlastet war. Beim zweiten Mal ist's glimpflicher ausgegangen und nicht zu einer Überlatung gekommen.

Dass jemand versucht, die DS zu penetrieren und sich einzuhacken oder einfach nur zu überlasten, lässt sich wohl kaum verhindern. Ich habe aber ein paar Einstellungen unter der Rubrik "FTP" vorgenommen und wollte mal fragen, ob das mein Problem einigermassen löst:

• Verbindungen pro IP beschränken: 2
• Anonymus FTP aktivieren: NEIN
• Automatische IP-Blockierung aktivieren: JA

Zum letzten Punkt: Habe die drei IPs, die ich im FTP-Log nachlesen konnte, mal manuell eingetragen. Neue IPs sollten aber automatisch nach 5 fehlerhaften Login-Versuch auf die Block-Liste kommen, das habe ich zumindest hier nachgelesen:
http://www.synology-forum.de/showthread.html?t=5374

Was haltet Ihr von meinem Vorgehen?

Gruss mjf85

 

[Mexx]

würde sagen passt so !

 

[mjf85]

Das heisst, ich muss beim Router nichts Spezielles konfigurieren, die Einstellungen auf der DS reichen?

 

[itari]

Das heisst, ich muss beim Router nichts Spezielles konfigurieren, die Einstellungen auf der DS reichen?

Was würdest du denn gerne auf dem Router konfigurieren?

Itari

 

[mjf85]

Nun ja, eigentlich ist das ein bisschen doppelt gemoppelt, aber ich hatte im Sinn, auch auf dem Router einzustellen, dass ab einer gewissen Anzahl Anfragen in einer bestimmten Zeit von ein und derselben IP diese IP blockiert wird... Aber das erledigt jetzt ja die DS für mich... Und eine Blacklist gibt's ja auch... War mehr so psychologisch: Eine doppelte Sicherung ist eine bessere Sicherung

Die Einstellungen am Router würden allerdings nicht nur FTP umfassen, sondern auch TCP/IP schützen, oder?


PS: Habe übrigens einen Siemens Gigaset SE366 Wireless Router. Dort gibt's 'ne Option, um gewisse IP's oder IP Ranges zu blocken. Aber ich kann immer nur den letzten Zahlenblock auswählen, die ersten drei sind vorgegeben und entsprechen dem Gateway meines Routers, es können also - so weit ich das bis jetzt überblicke - nur netzwerkinterne IP's geblockt werden. Und das wäre für mich ja widersinnig, da mir in meinem kleinen Netzwerk bislang noch niemand aufgefallen wäre, der es nötig hätte, meinen Server via FTP mit Login-Versuchen zu attackieren. Vielleicht waren das ja die Heinzelmännchen, wer weiss...

 

[itari]

Nun ja, eigentlich ist das ein bisschen doppelt gemoppelt, aber ich hatte im Sinn, auch auf dem Router einzustellen, dass ab einer gewissen Anzahl Anfragen in einer bestimmten Zeit von ein und derselben IP diese IP blockiert wird... Aber das erledigt jetzt ja die DS für mich... Und eine Blacklist gibt's ja auch... War mehr so psychologisch: Eine doppelte Sicherung ist eine bessere Sicherung

Die Einstellungen am Router würden allerdings nicht nur FTP umfassen, sondern auch TCP/IP schützen, oder?

Richtig gedacht ... nur zur Klarstellung: der Router ist nur das Programm, welches die Verbindung zwischen zwei Teilnetzen herstellt und ist in einem Kästchen, welches wir vereinfachend den "Router" nennen. In dem Kästchen können noch mehr Programme arbeiten: DHCP-Server, DNS-Server und .... eventuelle eine Firewall. Eine Firewall ist auch nur ein Programm ... und diese könnte auch die Aufgabe des Blockierens übernehmen ... allerdings gibt es Firewalls wie Fahrräder und auch welche wie Formel-1-Boliden. Entsprechend ist der Preis und die Leistung sehr unterschiedlich. Deswegen kann es gut sein, dass die Firewall in dem Kästchen nicht allzu viel kann, wenn es überhaupt eine gibt und daher ist es gut zu wissen, dass die DS sich auch ein wenig selbst schützen kann, oder?

Itari

 

[jahlives]

Das heisst, ich muss beim Router nichts Spezielles konfigurieren, die Einstellungen auf der DS reichen?

Ich würde zusätzlich solche IPs auch direkt auf dem Router (IP Blacklist) zu blocken (musst halt jedesmal "Hand anlegen")

 

[mjf85]

Ich würde zusätzlich solche IPs auch direkt auf dem Router (IP Blacklist) zu blocken (musst halt jedesmal "Hand anlegen")

Also, ich hab's mir nochmals angeschaut auf dem Router. Unter der Option Firewall > Zugangskontrolle gibt es zwei Möglichkeiten:

• Zugangsregel festlegen: Man könnte hier einen gewissen IP-Bereich blocken. Das Problem eben: Man kann nur den vierten Zahlenblock definieren, bezieht sich also nach meinem Verständnis aufs "interne" Netzwerk bzw. die internen IPs, bei denen der Router ja als Gateway dient.
• URL-Filter: Hier kann man URLs in eine Liste einfügen und nachher wählen, ob die eingefügten gesperrt oder (nur diese) zugelassen werden sollen. Wahrscheinlich wäre das der Schlüssel...

Ich probier's mal aus, bin aber auch auf Eure Antwort gespannt

 

[Pusche]

• Verbindungen pro IP beschränken: 2
• Anonymus FTP aktivieren: NEIN
• Automatische IP-Blockierung aktivieren: JA

hab ich auch so. Ab und an kommt einer auf die Blacklist aber nur selten.

 

[mjf85]

Noch eine kleine Ergänzung:
Habe jetzt den Wert bei "Verbindungen pro IP" auf 5 hochgesetzt, denn mein FTP-Client FileZilla wirft mich hin und wieder mal raus... und dann ist es äusserst unangenehm, wenn man von seinem eigenen Server geblockt wird

 

[bfpears]

Hallo zusammen,
was ich bisher gelesen habe,
kann es sehr sinnvoll sein den Port für FTP (auch andere Standard Ports) zu wechseln.
Entweder nur für Extern auf dem Router oder direkt auf der DS.
Angriffsprogramme oder Script Kiddis machen sich angeblich nur die Mühe die Standard Ports zuscannen und auf "Sicherheitslücken" zu testen.

Wenn man jetzt zB Port 24021 für FTP verwendet dürfte man selterner "Angriffen" ausgesetzt werden.

bf

 

[jahlives]

Jein
Hat den Nachteil, dass solche Dienste normalerweise auf default Ports laufen und damit z.B. den Firewalls oder Proxy Servern bekannt sind. Wenn du den Port änderst, dann funzt u.U. der Zugriff von einem bestimmten Punkt aus nicht mehr (z.B. hinter einer FW wo du keinen Einfluss drauf hast)
Und ein "echter" Einbrecher hat den Port u.U. sehr schnell raus, auch ohne Portscan
Scriptkiddies wird es aber wohl davon abhalten einfach auf dem Default Port die Applikation anzugreifen