Hackerversuch aus dem Internet auf meine Synology DS 716+

[NSFH]

Äh den Account zu sperren wäre suboptimal. Das würde einem Angreifer ermöglichen den Accountinhaber auszusperren. Es wird ja auch gar nicht der Account, sondern die IP-Adresse gesperrt und dazu ist es eigentlich auch gar nicht nötig, dass dem System der beim fehlgeschlagen Loginversuch benutzte Account bekannt ist.

Der Admin Account wird nicht gesperrt sondern in der Nutzerverwaltung deaktiviert. Das sind 2 unterchiedliche Vorgänge. Niemand sollte den Standard Admin in der Syno aktiviert lassen!

Was Eindringversuche angeht, wo hier einige schreiben es würde ein Land zugelassen obwohl man es gesperrt hat.
Erstens sperrt man keine Länder, nicht sinnvoll, sondern man macht das Gegenteil, man erlaubt die gewünschten Länder und damit ist der Rest der Welt geblocket.
Zweitens ist soetwas bei den von mir betreuten Synos und auch Linux Servern noch NIE passiert. Ich frage mal ins Blaue: Habt ihr in der Firewall am unteren Bildschirmrand auch angeklickt: restliche Ports sperren? Ist das nicht der Fall ist eure Firewall nämlich ausgehebelt!

 

[Puppetmaster]

DNiemand sollte den Standard Admin in der Syno aktiviert lassen!

Völliger Quatsch. Die richtige Botschaft ist, ein starkes Passwort zu vergeben. Die Diskussion kommt ja immer wieder. Was bringt dir ein deaktivierter admin mit PW '12345' wenn der root dann ebenfalls PW '12345' hat? M.E.total kontraproduktiv. Der zusätzliche Gewinn an Sicherheit (im Sinne von 'es dauert länger per brute force das PW zu erraten') ist nichtig, wenn man einfach gute Passwörter verwendet. Den Sicherheitsgewinn durch einen unbekannten Nutzernamen kann man auch ins Passwort verschieben. Denkt dir z.B. den Namen eines fiktiven neuen Admins aus, und hänge diesen an das PW des admins -> gleiche Sicherheit. Im Übrigen ist es bei Synology nunmal immer noch so, dass der Standard Admin im DSM (Photo Station etc.) eine Sonderrolle hat, die kein anderer Admin hat.

 

[Frogman]

...Niemand sollte den Standard Admin in der Syno aktiviert lassen!

Sorry, aber das ist unnötige Panikmache! Niemand muss den Standard-admin deaktivieren - es reicht schlichtweg, ein starkes Passwort zu vergeben (und dazu habe ich hier schon mal einiges geschrieben).

Edit: Puppetmaster war schneller, hab einfach zu lange nach dem Link gesucht...

 

[c0smo]

Sehr schön erklärt und irgendwie habe ich das schonmal gelesen.

Hier der begleitende Artikel dazu, den ich vor Jahren schon abgespeichert hatte um unsere Kunden mal aufzuklären wenn es daran ging einen NVR /Kameras oder PC's abzusichern. Das geht oder will in die Köpfe mancher einfach nicht rein gehen.
Bin seit 10 Jahren im Geschäft und die Angriffe auf private NVR's/Rechner kann ich an einer Hand abzählen. Das soll aber nicht heißen das dieser Artikel unwichtig für private Haushalte wäre!

http://www.1pw.de/brute-force.html

 

[NSFH]

@Puppetmaster: Ausnahmslos JEDE Massnahme, die einen Eindringversuch erschwert ist kein Quatsch! Dazu gehört auch die Standard Adminnamen nicht zu verwenden.
Wenn das selbst die Hersteller der NAS und auch Betriebssystem Hersteller empfehlen bewegt sich deine wie ich finde überhebliche und in meinen Augen falsche Aussage auf sehr dünnem Eis.
Und wenn du so viel Ahnung hast wirst du auch bestätigen können, dass in der Regel nicht der Bruteforce Angriff zum erfolgreichen Hackerangriff gehört sondern das Versagen der Anmeldeprozedur oder Protokollfehlern auf Grund von Systemschwachstellen. Schön, wenn dann die Standard Anmeldenamen auch noch funktionieren.
Mir scheint keiner von euch hat jemals live geshen, wie so ein subtiler Hack funktioniert. Willkommen im Club der Ahnungslosen.

 

[Frogman]

..., dass in der Regel nicht der Bruteforce Angriff zum erfolgreichen Hackerangriff gehört

Da sagen Statistiken etwas anderes. BruteForce-Attacken, oft auch in Kombination mit Social Engineering, stehen regelmäßig auf den Top-Plätzen der häufigsten IT-Risiken.

... sondern das Versagen der Anmeldeprozedur oder Protokollfehlern auf Grund von Systemschwachstellen.

In diesem Fall spielt es wohl eher weniger eine Rolle, welche Benutzer aktiv sind...

 

[Puppetmaster]

Da war kein Wort davon, dass der 'admin' zwingend der einzige admin des Systems sein muss. Lediglich in Hinblick auf die Sicherheit, bringt es keinerlei Vorteil ihn zu deaktivieren, vorrausgesetzt, du hast dich ein wenig mit o.g. Möglichkeiten und Verhältnissen auseinandergesetzt.
Wer meint, der Admin "UnbekannterNr12$§$)(ß027" mit dem PW "admin" sei sicherer als der "admin" mit PW "UnbekannterNr12$§$)(ß027", hat es einfach noch nicht verstanden.

 

[cantor]

[...] und am besten diese Ports auch per Redirection in einen anderen Bereich verlegen!
Die well known Ports der Syno werden nämlich gerne gescanned.

Diese Empfehlung lese ich öfter. Das "funktioniert" aber auch nur dann, wenn das Netz, aus dem man auf den heimischen Server zugreifen möchte, auch "exotische" oder hohe Ports für ausgehenden Verkehr zulässt. Es passiert oft genug, dass selbst ein Port wie 1194 (openVPN) blockiert ist.

 

[c0smo]

Zum Glück gibt es auch Umleitungen im Router oder den Reverse Proxy in DSM.

 

[cantor]

Zum Glück gibt es auch Umleitungen im Router oder den Reverse Proxy in DSM.

Du hast den Punkt nicht verstanden. Wenn in dem Netzwerk, aus welchem ich auf den heimischen Server zugreifen möchte, die meisten Ports gesperrrt sind, bleibt nichts anderes übrig, als z.B. 443 zu nutzen. Und damit haben sich die "guten" Ratschlägee, doch für die "Löcher" im heimischen Router eher untypische Ports zu verwenden, erübrigt.

 

[c0smo]

1. Wenn aus dem Netz A nur Anfragen über 443 rausgehen, dann leite im Router von Netz B 443 auf den von dir gewünschten Port, zb 5001. Somit ist DSM erreichbar.

2. Konfiguriere den Reverse Proxy mit unterschiedlichen Domains, die dann auf deine Ports zeigen.

3. Im Anwendungsportal benutzerdefinierte Domains anlegen.

 

[Puppetmaster]

Sinn war doch, z.B. Port 443 zu maskieren und z.B. über Port 8081 zu gehen. Da nutzt die Umleitung im Router wenig.

 

[c0smo]

Zuviele Ecken um die ich gedacht habe. Jetzt lichtet sich der Nebel!

 

[harley765]

Die Angriffsversuche sind nicht weniger geworden. Ist aber auch logisch so denke ich. Die Syno Firewall kann ja noch so dicht sein. Wenn der Router vorgeschaltet den Port (z.Bsp: 22) weiterleidet, so wird bei einem Scan auf die IP dieser als offen angezeigt. Und die Pappenheimer aus dem Osten versuchen dann halt ihr Glück. Wenn der Router keine Funktion für die Sperrung von Ländern hat, wird das wohl nie verhindert werden können.

 

[peterhoffmann]

Wenn schon SSH nach außen:
Nimm nicht Port 22, da scannen sie alle. Verschiebe den Port, z.B. auf der Synology bleibt es 22, aber im Router ist es 30122.

Besser ist es gleich VPN zu nutzen und keine Ports der Synology nach außen offen zu halten.

 

[himitsu]

Bzw. diese Ports immer deaktiviert lassen und nur öffnen, wenn sie gebracht werden.

Selbst das DSM kann man über QuickConnect.to immer ereichen, selbst wenn Port 5000/5001 nicht nach außen offen ist.
Das ist ja quasi auch ein VPN, wo deine Diskstation sich zu Synology verbindet und du dich dann über deren Server zur DS durchreichen lassen kannst. (ein schön langer Name kann da bestimmt auch nicht schaden)

 

[Puppetmaster]

Das muss ja jeder für sich selbst entscheiden. Ich persönlich halte einen chinesischen Relay Server nicht unbedingt für sicherer als einen offenen Port. Ganz im Gegenteil.