Geblockte "Angriffe" von außen (FTP?), wie vermeiden?

[synfor]

Ach so, Du meinst, dass es mit der IP auch ohne offenen Port gehen soll? Das wiederum kann ich nicht bestätigen.

Du musst da natürlich die IP im internen Netz nehmen und nicht die öffentliche.

 

[HSV-Steph]

Schon klar

 

[HSV-Steph]

Hm, ich habe den Port gar nicht freigegeben im Router. Ich habe überhaupt keine Ports im Router freigegeben ... :-(

Außer 2 Portweiterleitungen (443 und 5001) habe ich gar nix im Router eingestellt... Von außen greife ich auf mein NAS über eine Selfhost-Subdomain zu, ich glaube, dass die Portweiterleitungen damit zu tun haben, weiß es aber gar nicht mehr so genau, ist schon zu lange her :-(

Bedeutet wohl: Per FTP passieren die Hackerangriffe nicht. Aber woher könnten diese dann kommen?

 

[c0smo]

Dann findet der Login Versuch wohl direkt über http/https auf DSM statt. Das kann schonmal vorkommen, gerade wenn die Standard Ports verwendet werden. Oft sind russische oder asiatische IP 's dahinter.

 

[HSV-Steph]

HTTP hab ich im WebDAV Server nicht aktiviert, dann kann es ja nur über https sein, oder? Was kann ich noch dagegen tun? Sorry für die event.etwas blöde Frage, aber so richtig Ahnung hab ich da keine...

 

[peterhoffmann]

Was kann ich noch dagegen tun?

Im zweiten Posting hast du vom User Puppetmaster schon eine qualifizierte Antwort bekommen:

Sicherheit können schaffen:
- starke Passwörter
- Verwendung eines VPN
- genutzen Port in einen hohen Bereich legen (ändert grundsätzlich nichts an der Sicherheit, vermindert aber das Grundrauschen)

Starkes PW sollte klar sein und VPN ist auch eine schöne Möglichkeit um den Ports aus dem Weg zu gehen. Falls doch ein Port offen sein muss, sollte man diesen in einen hohen Bereich (z.B. 38294) legen.

Das heißt für dich als EInstellung im Router:
Port 38294 => 5001
Von außen ruft du also nicht mehr Port 5001, sondern 38294 auf.
(38294 ist beliebig)

 

[c0smo]

Hab deinen Port oben falsch gelesen, ist im Endeffekt aber auch egal ob http oder https. Der Login erfolgt ja eh mit falschen Daten (hoffentlich). Also könnte auch nichts vernünftiges über http abgefangen werden..

Wie schon erwähnt, für ungebetene Gäste gibt es kein Allerheilmittel. VPN wäre die beste Wahl. Ansonsten alles an Sicherheit ausschöpfen was in der DS / Router möglich ist. Dazu gehören auch andere, am besten 5-stellige Ports. Geo- und IP Blocking in der Firewall. 2 Stufen Authentifizierung. Starke Passwörter.


Tzzz.. Was schreib ich hier eigentlich, wenn heut alle schneller sind..

 

[HSV-Steph]

Ok, danke Euch! Aber ich hab noch Fragen dazu, sorry.

Wie gesagt, im Router sind keine Ports auf. Fragen:

- Was ist mit den Ports 5000 und 5001? Wieso kann ich über diese von außen auf die DS zugreifen? Sind diese "immer auf"?

- In der DS habe ich unter "Netzwerk / DSM Einstellungen" bei den DSM Ports: HTTP = 5000 / HTTPS = 5001 eingestellt, also die Standardports. Wenn ich das richtig verstehe ändere ich hier den HTTPS Port um in zB 38294 und richte die entsprechende Umleitung im Router ein, korrekt? Und beim HTTP Port brauche ich doch eigentlich gar nix eintragen, oder? Wenn ich nur per https zugreife...

- Weiterhin sind die Haken gesetzt bei "HTTP zu HTTPS umleiten" und "HTTP/2". Ist das korrekt? Der erste Haken sagt doch, dass http "deaktiviert" ist, oder? Was macht der 2. Haken eigentlich (HTTP/2)?

- Im WebDAV Server habe ich einen Haken bei HTTPS, Port 5006. Wofür brauche ich den eigentlich? Oder kommt das noch von früher, als zB DS File über 5006 erreichbar war?

- Was genau machen meine aktuellen Portweiterleitungen im Router? TCP 443 => 443 und TCP 5001 => 5001 ???

So, das wären erstmal meine Fragen, danke fürs Zeit nehmen!

 

[Puppetmaster]

Natürlich hast du Ports geöffnet. Umleitung im Router = offene Ports.
Wie man sieht sind als 443 und 5001 geöffnet.
Im Router kannst du dann auch z.B. 5001 auf einen anderen, höheren Port umleiten, "verbiegen".

Und wo genau hast du jetzt den Port für FTP öffnen müssen, damit die Cam funktioniert?

 

[HSV-Steph]

@ Puppetmaster: Gar nirgends , wie schon in Post 23 geschrieben. Scheinbar hab ich bei dem letzten Router Wechsel vor einem Jahr den Port für FTP vergessen oder extra nicht mehr freigegeben, ich weiß es nicht mehr. Jedenfalls funktioniert der FTP-Upload der Cam ja dann auch, ohne das der Port frei ist. Ich hab das gedanklich wohl verwechselt weil ich dachte, in der DS hab ich ja FTP freigegeben...
Danke auch für Deine Erklärung, dass Portweiterleitung auch gleichzeitig Portfreigabe bedeutet. Ist für mich als Ahnungsloser halt etwas verwirrend, weil ich im Router neben den Portweiterleitungen auch die Möglichkeit hätte, reine Portfreigaben vorzunehmen...

@ All: Mal zurück zu den Portfreigaben:

- Wenn ich in der DS unter "Netzwerk / DSM Einstellungen" den HTTPS-Port auf zB 38294 einstelle, muss ich doch im Router keine Weiterleitung 5001 => 38294 einstellen, sondern lediglich den Port 38294 freigeben, oder?

- Was mache ich dann mit dem HTTP Port in der DS? Kann ich den auf 5000 lassen, wenn der Haken gesetzt ist "HTTP zu HTTPS weiterleiten"?

- Zu meinen beiden aktuell freigegebenen Ports: 5001 brauche ich für den Browserzugriff auf die DS, für DS-File, DS-Audio und DS-Video. Port 443 brauche ich für DS-Photo. Ist das soweit korrekt? (Andere Anwendungen nutze ich nicht von außen).

- Wofür braucht man dann dieses WebDAV und den Port 5006 (HTTPS)?

Danke Euch! Und entschuldigt bitte die für Euch vielleicht lapidaren Fragen, aber ich bin wie gesagt nicht so wirklich fit in diesem Netzwerk-Krams...

Viele Grüße
Stephan

 

[Puppetmaster]

- Wenn ich in der DS unter "Netzwerk / DSM Einstellungen" den HTTPS-Port auf zB 38294 einstelle, muss ich doch im Router keine Weiterleitung 5001 => 38294 einstellen, sondern lediglich den Port 38294 freigeben, oder?

Nein, im DSM änderst du gar nichts. Wie schon weiter oben angedeutet verbiegst du im Router den Port 38294 auf den Zielport 5001. That's it.

- Wofür braucht man dann dieses WebDAV und den Port 5006 (HTTPS)?

Über WebDAV laufen so einige Dienste. Web-Kalender, Zugriff auf Freigaben (von Extern), ...

 

[c0smo]

Nein, im DSM änderst du gar nichts. Wie schon weiter oben angedeutet verbiegst du im Router den Port 38294 auf den Zielport 5001. That's it.

Dann muss dieser gesonderte Port aber auch in den Apps hinter der Domain eingetragen werden. Das nur zur Info.

 

[HSV-Steph]

Dann muss dieser gesonderte Port aber auch in den Apps hinter der Domain eingetragen werden. Das nur zur Info.

Exakt das war meine Denke. Macht es dann nicht mehr Sinn, den Port direkt in der DS einzutragen und nur diesen im Router freizugeben?

 

[c0smo]

@ All: Mal zurück zu den Portfreigaben:

- Wenn ich in der DS unter "Netzwerk / DSM Einstellungen" den HTTPS-Port auf zB 38294 einstelle, muss ich doch im Router keine Weiterleitung 5001 => 38294 einstellen, sondern lediglich den Port 38294 freigeben, oder?
2 Möglichkeiten. 1. Du änderst den Port in DSM und gibst diesen im Router frei. 2. Du belässt den DSM Port auf 5001 und greifst zukünftig mit 38294 auf DSM zu. Dazu muss der Port 38294 im Router auf 5001 umgeleitet werden.

- Was mache ich dann mit dem HTTP Port in der DS? Kann ich den auf 5000 lassen, wenn der Haken gesetzt ist "HTTP zu HTTPS weiterleiten"?
Http kanns du komplett deaktivieren. Dann ist auch die Umleitung nicht notwendig. Die zudem immer noch durch die Anfrage der Domain unverschlüsselt wäre. Die Umleitung greift erst wenn die Anfrage im Heimnetz bzw deiner DS ist!

- Zu meinen beiden aktuell freigegebenen Ports: 5001 brauche ich für den Browserzugriff auf die DS, für DS-File, DS-Audio und DS-Video. Port 443 brauche ich für DS-Photo. Ist das soweit korrekt? (Andere Anwendungen nutze ich nicht von außen).
Das ist korrekt. Bedenke aber wenn du jetzt Port 38294 umleitest, dann muss du zukünftig diesen Ports bei allen Apps oder sonstigen Logins mit angeben. Der 5001 funktioniert dann nicht mehr, wird aber von den Apps als Standard verwendet.

- Wofür braucht man dann dieses WebDAV und den Port 5006 (HTTPS)?
WebDAV ist ein weiterer Dienst der zum Zugriff von ausserhalb genutzt werden kann.

Danke Euch! Und entschuldigt bitte die für Euch vielleicht lapidaren Fragen, aber ich bin wie gesagt nicht so wirklich fit in diesem Netzwerk-Krams...

Viele Grüße
Stephan

Hoffe das hilft!

 

[Puppetmaster]

Kommt halt immer drauf an, was man so alles mit seiner DS macht.
Wenn man z.B. öfter mal Links teilt bzw. versendet ist es sinnvoller es im DSM einzurichten.

Die Pflege im DSM ist allerdings aufwändiger als mal schnell den Port im Router zu ändern.

 

[c0smo]

Exakt das war meine Denke. Macht es dann nicht mehr Sinn, den Port direkt in der DS einzutragen und nur diesen im Router freizugeben?

Was letztendlich mehr Sinn ergibt, darfst du für dich selbst beantworten. Alle Wege führen nach Rom, der eine fährt über München, der andere über Basel.
Ich für meinen Teil verwede nur einen Port nach aussen und regle alles intern über den Reverse Proxy und seperaten Domains für jeden Dienst.

 

[HSV-Steph]

Danke Euch Beiden!!

@ c0smo: HTTP kann man ja in der DS nicht mehr komplett deaktivieren, scheint mir jedenfalls so:

 

[c0smo]

Damit meinte ich, den Port nach aussen erst gar nicht aufmachen. Den Eintrag kannst du belassen, entweder original oder verändert. Es geht ja hauptsächlich nur darum, dass du nach aussen nicht alles und nur das freigegeben sollst, was auch wirklich benötigt wird. Intern kann alles offen sein in der Firewall.
Wobei hier jetzt gleich ein entsprechender Hinweis von anderen Kollegen kommen wird!

 

[HSV-Steph]

Danke! 5000 hab ich ja eh nicht auf

So, ich denke, nun weiß ich mal wieder einiges mehr und werd das heute Abend mal umsetzen

Danke!