DSM 6.x und darunter geblockte Hacker

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

prologos

Benutzer
Mitglied seit
20. Feb 2011
Beiträge
130
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen
meine Disk Station hat bisher einige Möchtegernhacker erfolgreich verbannt. Soweit so gut.
Einer dieser "Hacker" hatte aber eine auffällige Adresse 10.0.1.1. Frage: Wie kann das sein? Bin da etwas verunsichert, da ich von hacken wenig (offenbar 0) Ahnung habe. Die anderen IP waren alle im üblichen Rahmen und (asiatischen) Raum angesiedelt.
Ich danke Euch für etwas Licht in meinem Dunkel
prologos
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
kommt drauf an ob über ein UDP oder TCP Protokoll. Bei UDP kann man den Absender relativ einfach fälschen und dann würde ich darauf tippen jemand hat versucht, dass deine DS eine lokale IP blockt (eigentlich eine DOS-Attacke). Bei einem TCP Protokoll wird es mit dem Adressen fälschen schwieriger.
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Was ich meine mit beeinflussen ist, wenn es aus dem internen Netzwerk kommt musst du ja schnell herausfinden können, welcher Rechner da sich ständig ungültig einloggen möchte. Wenn es über VPN kommt: VPN deaktivieren.

Hast du mal kritisch die Benutzer, die auf der NAS registriert sind, durchgeschaut? Also im Log der DSM?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wenn es über VPN kommt: VPN deaktivieren.
und wenns von aussen kommt? Und was wenn der böse Hacker das nächste Mal eine IP erwischt die wirklich existiert im LAN? Ganz nett wäre es die LAN IP des Routers in den Block zu bringen :-D
Es ist wirklich entscheidend über welches Protokoll das passiert ist
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Blockieren das normale Router nicht? Bei meinem pfSense kann ich einstellen, dass RFC1918-IPs blocked werden.
 

CaptainKrunch

Benutzer
Mitglied seit
08. Jan 2012
Beiträge
226
Punkte für Reaktionen
0
Punkte
0
und wenns von aussen kommt? Und was wenn der böse Hacker das nächste Mal eine IP erwischt die wirklich existiert im LAN? Ganz nett wäre es die LAN IP des Routers in den Block zu bringen :-D
Es ist wirklich entscheidend über welches Protokoll das passiert ist
Selbst jeder handelsübliche Billigrouter blockt mittlerweile RFC 1918-Adressen, die (ungetunnelt) über das externe Interface kommen. Grundsätzlich würde ich hier also erstmal ein VPN-Setup vermuten...
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Blockieren das normale Router nicht? Bei meinem pfSense kann ich einstellen, dass RFC1918-IPs blocked werden.
Homerouter nicht per default. Die sollen ja auch out-of-the-box funzen d.h. ggf hinter einem weiteren Router auch laufen und dessen Pakete nicht verwerfen
 

CaptainKrunch

Benutzer
Mitglied seit
08. Jan 2012
Beiträge
226
Punkte für Reaktionen
0
Punkte
0
Ganz vom Homerouter abgesehen: ich kenne keinen ISP, der RFC 1918-Adressen weder In-, noch Egressmäßig nicht filtern würde...
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
stimmt wenns der Router/Provider verwirft dann ist es nicht so tragisch und kommt eher von innen. Wäre aber trotzdem wichtig welcher Dienst den Block verursacht hat. Weil was hindert einen bösen Zeitgenossen bei UDP auch mal die externe Adresse des Routers als Absender (Angreifer) zu probieren
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Er kann ja mal mit arp schauen, welche MAC das Problem verursacht hat. Muss man aber per IPKG nachinstallieren.
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
und wenns von aussen kommt? Und was wenn der böse Hacker das nächste Mal eine IP erwischt die wirklich existiert im LAN? Ganz nett wäre es die LAN IP des Routers in den Block zu bringen :-D
Es ist wirklich entscheidend über welches Protokoll das passiert ist

Das ist jetzt ein Witz, oder? Private IP-Adressen werden im Internet nicht geroutet, deswegen ja die Unterteilung in private und öffentliche IP-Adressen. Wenn er seine IP-Range des DHCP Servers des Routers (oder ist es manuell eingestellt?) auf die 10.x.x.x eingestellt hat, kommt es von intern. Wenn dieser VPN aktiviert hat, kann es auch von daher kommen.

Ob TCP oder UDP spielt da überhaupt keine Rolle.

Also das sollte der Betroffene erstmal beantworten.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Habe das mit den Router/Provider ned beachtet, Asche auf mein Haupt. Aber dadurch dass es von intern kommt, wird es eigentlich nur noch dringlicher zu wissen welches Protokoll "angegriffen" wurde. Denn aus dem VPN heraus kann man bei einem UDP Protokoll die LAN-IP des Router problemlos faken. Je nachdem was für ein Blockdienst eingesetzt wird, ist der Router dann gesperrt.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Sowohl das Blocking als auch die VPN-Verbindungen lassen sich über die Protokolle des DSM (IPs stehen im System-Log und VPN-Verbindungen im VPN Center) problemlos nachvollziehen ...

MfG Matthieu
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0

prologos

Benutzer
Mitglied seit
20. Feb 2011
Beiträge
130
Punkte für Reaktionen
0
Punkte
0
Vielen Dank erstmal für die vielen, zT mir unverständlichen Tips. Also ich bin sicher dass ich keine weiteren Benutzer zugelassen habe. Und meine anderen Macs liefen in dieser Zeit nicht.

- VPN wo kann ich das nachschauen? Ist mir aber nicht bewusst, dass ich mal was mit VPN gemacht habe.
- Meine offenen Zugänge sind ftp und der Browser. FTP (über Port 21) allerdings auch übers Internet.
- Anonymius ftp ist aus.
- SNMP ist aus.
- WebDAV ist aus.
- Kein Windows Dateidienst.
- NFS ist ausgeschaltet.
- Mac Dateidienst ist an.

Bitte nochmals konkret,- was muss ich noch nachschauen (verändern) Werde unterdessen die Antworten nochmals gründlich durchlesen.
vielen Dank für Eure Mühe Prologos
 

prologos

Benutzer
Mitglied seit
20. Feb 2011
Beiträge
130
Punkte für Reaktionen
0
Punkte
0
1.ter Nachtrag

Habe soeben festgestellt dass ein Update für "AirPort Dienstprogramm" bereit war. Das könnte ja auch eine Ursache sein. (Zugriff auf alle Anschlüsse darauf). Eventuelle hat ja "Airport" versucht mit der NAS Kontakt aufzunehmen !?
Und noch was,- ich habe nur Macintosh und keine Windows Computer.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hast du allenfalls noch einen WLAN-Zugang im LAN? Falls ja könnte es auch sein, dass sich dort jemand verbunden hat.
Kannst du denn sagen ob diese verwendete IP irgendwo bei dir im LAN gütig wäre? sprich hast du denn in deinem LAN IPs aus diesem Subnetz? Im Log für den Block steht nicht welcher Port oder Dienst betroffen war? Hast du die Portweiterleitungen am Router manuell erstellt oder im DSM das ez-Internet-Gedöns verwendet? Und du bist auch ganz sicher, dass OpenVPN auf deiner DS nicht aktiviert ist?
 

prologos

Benutzer
Mitglied seit
20. Feb 2011
Beiträge
130
Punkte für Reaktionen
0
Punkte
0
@jahlives

Die verwendete LAN ist nicht in meinem Netzwerk vorhanden. Soweit ich mich erinnere, war da auch der Name "Administrator", was ja nur von aussen kommen kann. Und nein ich habe die Portweiterleitungen nicht mit dem "ez-Internet-Gedöns verwendet" (Nur DDNS).
Hier meine Systemsteuerung - Netzwerk

Allgemein:

Servername: Diskxxxxx
DNS-Server: 10.x.x.x
Standart-Gateway: 10.x.x.x


Netzwerk-Schnittstelle:
LAN (verbunden)
manuelle Konfiguration: IP-Adresse 10.x.x.x (habe diese Manuel eingestellt, weil ich sonst bei jedem Reboot alle IP neu einstellen muss)
Subnetz-Maske: 255.xxx.xxx.x
Jumbo Frame: aktiv
Netzwerkstatus: 1000,Full duplex,MTU 2000


Tunnel: ist nicht aktiviert

Keine Routerkonifugation (die Portumleitung machte ich über Airport extrem)

Hoffe die Angaben machen ein wenig Sinn. Gruss und Dank von prologos (Bitte einfach löschen wenn ich zu viel preisgebe!)
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat