Gerade läuft ein Angriff auf meine Diskstation...

[Datensammler]

Innerhalb der letzten Stunde habe ich 12 Mail bzgl. blockierter IP-Adressen erhalten (IP-Adressen aus USA, Uganda, Russland, China, Tunesien, u.a..) die versuchen eine Verbindung via SSH aufzubauen. Sind irgendwelche Sicherheitslücken bekannt, gibt es irgendwelche Empfohlenen Massnahmen ausser der IP-Adressen-Blockierung (5 Versuche innerhalb von 180 Min.)?

 

[Puppetmaster]

Das liegt wohl an den geöffneten Ports, die du höchstwahrscheinlich hast.
Prüfe, ob du diese wirklich benötigst. Im Zweifel: schließen.

 

[Datensammler]

Das war noch nicht einmal der Standardport. Aber ich habe SSH jetzt mal abgeschaltet.

 

[the other]

Moinsen,
wie lange sich die Mähr von security by obscurity nach hält weiß auch nur der große Spaghetti-Monster-Gott...
Ob du ssh auf 22 oder sonstwo laufen lässt...ist etwa so, als ob deine Brieftasche nen Reißverschluss statt Knopfverschluss hat...

 

[Puppetmaster]

Hier geht's doch nicht um Sicherheit. Es ist einfach lästig.
Ein treffenderer Vergleich wäre eher: du möchtest keine Werbeprospekte bekommen und hast deswegen keinen sichtbaren Briefschlitz an der Tür.
Ne, besser noch: Du hast keine Klingel an der Tür und alle, die was von dir wollen müssen dich zunächst anrufen (und die Rufnummer kennen).
Die Tür ist dennoch geschlossen, nur brauchst du nicht so oft vom Sofa aufstehen, weil wieder ein Zeuge Jehovas vor der Tür steht.

 

[blurrrr]

Vielleicht einfach mal damit abfinden, dass es ist wie es ist. Mehr als ein Rütteln an der Haustür ist es ja auch nicht. Könnte man die realen Rüttler an der eigenen Haustür nicht sofort verkloppen, wenn sie rütteln, würde die Haustür vermutlich auch einfach dauergerüttelt (Leute stehen dann quasi schon Schlange). Heisst in Kurzform: Grundrauschen und das ist völlig "normal" (hört sich komisch an, ist aber so). Solche "Login"-Versuche (ganz egal wo) sind also schnöder Alltag. Bester Schutz dagegen ist natürlich solche Ports garnicht nach aussen auf zu haben (VPN wäre da so eine Sache), bei anderen Dingen geht es halt nicht anders (je nachdem, was man eben machen möchte), aber solange man um die Tatsache weiss, ist das ja auch schon mal etwas

 

[Datensammler]

Heisst in Kurzform: Grundrauschen und das ist völlig "normal"

Also wenn irgendwelche fremden Typen mehrfach versuchen mit nachgemachten oder gestohlenen Schlüsseln meine Haus-/Wohnungstür zu öffnen, wäre das eine Anzeige wegen versuchten Einbruchs/Hausfriedensbruch. Nur weil es das Internet ist, nennt man es Grundrauschen.

 

[Wollfuchs]

jetzt mal ne naive frage ..

ist das bei vpn denn anders?
man hat dann ja auch nen port nach aussen offen .. also fuer das vpn selber.
ruettelt da keiner an der tuer?

 

[blurrrr]

Also wenn irgendwelche fremden Typen mehrfach versuchen mit nachgemachten oder gestohlenen Schlüsseln meine Haus-/Wohnungstür zu öffnen, wäre das eine Anzeige wegen versuchten Einbruchs/Hausfriedensbruch. Nur weil es das Internet ist, nennt man es Grundrauschen.

Wenn Du die Typen erwischt, klar. Stink halt mal gegen div. Botnetze und gekaperte Server an, dann reden wir weiter

 

[blurrrr]

ist das bei vpn denn anders?

Klar, wird da auch gerüttelt, allerdings fehlen entweder die Zertifikate, oder der Preshared Key, womit das ganze um Längen problematischer ist (nebst ggf. noch den IP-Adressen der Gegenstellen bei S2S-Verbindungen). Einfacher ist dann schon via User/Passwort irgendwelche Angriffe mittels Wörterbuch zu fahren (was es zu 99,9% auch immer ist). Nebst den Klassikern (admin/admin, admin/password, etc.) kommen halt auch die bisherigen geknackten Konten dazu. Was mitunter auch ein Grund ist, warum - wenn erstmal ein Konto komprimitiert ist - meist auch noch weitere folgen, da viele Leute gern immer die gleichen Daten für alles mögliche nutzen. VPN ist halt ein weitaus weniger bevorzugtes Ziel, weil es eben nicht so "einfach" ist (mal abgesehen von PPTP, was heutzutage noch immer von Synology angeboten wird und eigentlich schon seit - wie lange jetzt eigentlich? - 10 Jahren absolet ist). Ist halt die Frage, ob man das Auto lieber in einer dunklen Gasse klaut, oder direkt auf dem riesigen Parkplatz des Herstellers mit Videoüberwachung, Alarmanlage, etc. (oder so ähnlich)...

Allerdings muss man dazu auch sagen, dass es durchaus schon vorgekommen ist, dass bei irgendwelchen Roadwarrior-Configs die Daten abgezogen wurden und sowas dann auch erfolgreich sein kann (grade wenn Dinge wie Login-Daten auf dem Endgerät gespeichert werden). Der leichteste Weg führt halt immer über die User selbst, weswegen Social Engineering auch heute noch immer DAS Thema schlechthin ist... Einfallstor ist i.d.R. nämlich nie "direkt" das System, sondern meistens immer das "dahinter".

EDIT: Wenn das "Ziel" feststeht (und es somit nicht mehr zum "Grundrauschen" gehört), wird unter Garantie auch am VPN gerüttelt

EDIT2: Ich bin mir sicher, es hier schon ein paar mal hinterlassen zu haben, aber ich schreib es gern auch nochmal: Es dreht sich tendentiell 2 Varianten:

a) das Ziel ist "egal", man will nur irgendwo rein, das sind dann die breitflächigen Scans und "Angriffe" mit 0815-Logindaten (oder alternative halt die Suche nach verwundbaren ungepatchten Diensten), wer das Ziel ist, ist dabei völlig egal, man braucht nur etwas, wo man auf die schnelle "rein" kommt (z.B. eine veraltete Nextcloud-Version oder dergleichen mit bekannten Fehlern, welche man ausnutzen kann). Variante b) wäre zielgerichtet, dort wird alles vom oben nach unten abgesucht, weil man - egal auf welchem Wege - irgendwie genau dorthin will/muss. Vergleichbar mit einem Einbruch... Variante a) Diese Strasse (IP-Adressbereich) irgendein offenes Fenster im Erdgeschoss, welches Haus spielt keine Rolle. Variante b) Dieses Haus, egal welche Etage, irgendwo muss ein ungesichertes/offenes Fenster sein, zur Not versuchen wir die Haustür aufzubrechen, oder geben uns als Vertreter für Staubsauger aus, hauptsache wir kommen rein.

 

[Odhrean666]

Ich habe auf der Diskstation die Firewall aktiviert und erlaube Zugriffe aus dem Web auf offene Ports nur aus Deutschland.
Seitdem hat sich das Grundrauschen von versuchten Logins drastisch reduziert, weil sie von der DS direkt abgewiesen werden wenn die IP nicht aus dem erlaubten Land kommt. Man darf nur nicht vergessen das Land in dem man in Urlaub fährt temporär freizuschalten wenn man von dort auf die DS zugreifen will

EDIT: Port 80 und ich glaube auch 443 müssen aus USA erreichbar sein damit Let's Enrypt funktioniert! Hab etwas länger gebraucht herraus zu finden das meine Firewall-Einstellung daran schuld war

 

[faxxe]

Ich sperr die IP jeder "Kontaktaufnahme" an einem nicht geöffneten Port (nur die 3 VPN Ports und https sind offen) für 24 Stunden in meinem Router.
Gezielte Portsscans für immer. Diese Liste beinhaltet täglich ca 2000 - 2500 IP. Damit gibts gar keine Anmeldeversuche mehr in der Synology.
Aber ich denke das ist halt das normale Hintergrundrauschen im Netz.

-faxxe

 

[whitbread]

Genauso faxxe! Portscans blocken, dann hilft auch ein SSH-Highport gegen Eindringlinge, die auf Verdacht mal vorbeischauen.
Gegen wirklich geplante Angriffe auf Dich kann man sich als Normalo gar nicht wirklich schützen, imho.
Zusätzlich oder alternativ kann man sich hinter Port-Knocking ganz gut verstecken.

 

[blurrrr]

Najo, simma doch ma ehrlich, das meiste kommt sowieso über die User rein und nicht, weil irgendwo ein Port nach aussen offen ist... Was das Portknocking angeht... sag doch mal einer den Synologen, dass die den knockd implementieren sollen, dann nutzt es vielleicht auch mal wer... denke aber, dass das eher nix wird, weil schon beim Thema VLAN alle panisch im Kreis gerannt sind

 

[blurrrr]

Gegen wirklich geplante Angriffe auf Dich kann man sich als Normalo gar nicht wirklich schützen, imho.

Genau so sieht das nämlich aus... Das gilt ja nichtmals nur für den 0815-Normalo... Gibt ja heutzutage kaum noch einen Tag, wo es nicht heisst "Firma XY wurde gehackt" (und meist sind es keine kleinen Butzen, die lohnen sich ja auch nicht) oder "wieder fünfunddrölfzig gehackte Accounts irgendwo aufgetaucht"... Hab mittlerweile eher den Eindruck, als gehöre es schon zum "guten Ton", dass man von sich behaupten kann, sowas schon mal gehabt zu haben ?

 

[Speicherriese]

Na ja, das sehe in meinen Logs auch ab und zu, das hier jemand versucht rein zukommen. Dann versucht er es 3X mit irgendwelchen Namen und Pw und schwups wird er automatisch gesperrt. Selbst wenn er dies in 5000 Jahren mal knacken soll, wie soll er bitteschön auch noch durch die 2 Wege Verschlüsselung durchkommen? Viel zu aufwendig für diese Standard Möchtegern Hacker.
Wer bitteschön würde sich Wochenlang hinsetzen nur um mit extrem viel Aufwand und wahnsinnig viel Zeitaufwand in irgendeine Diskstation einzubrechen?

 

[blurrrr]

Sowas passiert nur, wenn ein Angriff auf ein fest definiertes Ziel läuft und selbst dann knackt man die 2-Wege-Authentifizierung nicht, sondern sucht sich lieber andere Einfallstore (oder "besorgt" sich das shared Secret für die 2-Wege-Authentifzierung (wie auch immer)). Im "üblichen" Konstrukt wäre es vermutlich einfacher, sofern extern erreichbar, einmal durchzuscannen und nach entsprechenden Exploits zu suchen. Alternativ halt das "einfachste" Einfalltor... der User (bissken Social-Engineering, Rechner/Mailkonto von Mutti komprimitiert und dann einfach von dem Konto ans Kind eine Mail mit Link und schon läuft's) - ist natürlich nur eine gestellte Konstellation, aber so um den Dreh kann es ganz gut laufen... Intern via z.B. SSH oder SMB wird ja wohl keine 2-Wege-Authentifizierung geschaltet sein. Aber das ufert jetzt ein wenig aus hier...

Das, was das "Grundrauschen" bezeichnet, sind sowieso nur breitflächige Scans/Angriffe... wenn es aus Botnetzen kommt, steigt natürlich die Gefahr, dass es "durch" geht... Klassisches Beispiel sind halt die Wörterbuchattacken...

admin/admin
admin/password
admin/1234
admin/123456
usw...

Und/oder halt bereits Kombis von Konten, welche bereits komprimitiert wurden (max.mustermann@gmx.de / mustermann123), womit dann bestimmt auch noch "max.mustermann"/"mustermann123" in der Liste auftaucht. Da die meisten Systeme nach 3-5 fehlerhaften Logins dicht machen (für besagte IP), wird es in Botnetzen halt einfach aufgeteilt bzw. werden die Anfragen limitiert... jeder Host des Botnetzes nur 3 Versuche (oder bis zur Sperre, danach rückt der nächste nach und versucht es weiter), weswegen so ein fail2ban ja ganz nett ist, aber auch nicht der ultimative Schutz, wenn auf einmal ein Botnetz mit Millionen von Hosts anrückt. Viele dieser Attacken beschränken sich aber eher auf ein kleineres Volumen an Möglichkeiten... alles andere kostet nämlich auch entsprechend viel Geld (die machen das auch nicht umsonst ). In diesem Sinn macht die 2-Wege-Authentifizierung schon einen gewissen Sinn, aber einen vollständigen Schutz kann nicht bieten können.

Wenn man teilweise so die Sachen liest, werden da halt eh nur "bereits komprimitierte" Dinge verhöckert (irgendwelche Konten, Smartphone-Zugriffe, etc. pp). Jemandem zu sagen: Hier ist ein Ziel und von diesem Ziel brauchen wir ggf. die und die Daten... Das ist mal eine ganz andere Hausnummer. Da liegt aber auch schon der Knackpunkt: Zum einen sind solche "Auftragsarbeiten" wirklich SCHWEINEteuer (da kann man schon mindestens mit einem guten 6-stelligen Bereich rechnen, wenn es nicht grade irgendwelche Scriptkiddies sind) und es kann halt recht lange dauern bis Ergebnisse vorliegen (manche ausnutzbaren Sicherheitslücken tauchen halt auch erst später auf und ggf. muss man sich auf jeden 0day-Exploit stürzen, den man finden/kaufen kann).

Unter Betrachtung all dessen... WIE hoch ist die Wahrscheinlichkeit, dass man was mit seinen NAS aus "dieser" Kategorie abbekommt (sofern man keine Daten von irgendwelchen hochrangigen Firmen/Politikkram) darauf lagert?

Im Grunde genommen geht es aber (auch hier bei der ganzen Schreiberei) nur darum, ggf. falsche Vorstellungen von "Sicherheit" auszumerzen, denn einen 100%igen Schutz gibt es nicht und wird es niemals geben. Man bedenke allein die Musikindustrie mit Ihren Schutzmechanismen für die Lieder... Milliarden für Kopierschutz ausgegeben... wofür? Achja, nur damit einer hingeht und am Ende der Leitung keine Box, sondern einfach nur ein Aufnahmegerät angeschlossen hat. Jepp... läuft!

Ich denke, es ist am wichtigsten, dass man sich a) der Sache bewusst ist und b) für sich selbst entscheidet, welches Maß man für sich selbst ansetzt. Den meisten ist schlussendlich schon damit geholfen, dass die Verbindung zum NAS einfach via VPN realisiert wird. Wenig Einrichtungsaufwand, funktioniert, fertig. Wenn man dann doch Dinge nach aussen freigeben will, überlegt man halt im Vorfeld, welche Schutzmaßnahmen man für sich umsetzen will (die für einen selbst auch praktikabel sind) und muss (im Zweifelsfall) auch mit der Entscheidung leben können.

Eigentlich ganz einfach - macht man mit anderen Dingen im Leben ja ebenso

~ Roman-Ende ~ ?

 

[Racing65]

EDIT: Port 80 und ich glaube auch 443 müssen aus USA erreichbar sein damit Let's Enrypt funktioniert! Hab etwas länger gebraucht herraus zu finden das meine Firewall-Einstellung daran schuld war

Stimmt so nicht. Hab bei mir USA geblockt und Let's Enrypt funktioniert trotzdem und das schon seit 2 Jahren.

 

[Odhrean666]

Hmm, für die Let's Enrypt HTTP-01 challenge muss der Port offen sein und von dem Let's Encrypt Server erreichbar. Der steht meines wissens in USA. Evtl. hast du ne andere Challenge oder alternative Server in Verwendung?

 

[NSFH]

wenn ich sowas lese klingelt es gleich! Firewall falsch konfiguriert. Anders ist das einfach nicht erklärbar!
Entweder fehlt das Block all oder vorher ist schon so eine falsche Regel definiert, dass trotzdem noch alles durchkommt.