Heute Morgen: SSH Angriff aus NewYork (Fairfield US) General Electronic Company

[bikini]

Hey Leute, irgendwie habe ich gestern geahnt, dass es keine Gute Idee ist eine SSH einzurichten.

Warum habe ich die eingerichtet?
Ich kriege es per WebDAV einfach nicht hin über ScanBot App einfach meine Dateien auf meine Synology hochzuladen.
Es erscheint immer wieder ein SSL Fehler auf.

Daher tat ich das nun über SFTP. Und es funktioniert.

Alle Ports bis auf der 22 und 5001 ist in der Synology blockiert.

Zu meinem erschrecken bin ich aber heute morgen aufgestanden mit einer Synology Mail Benachrichtigung, dass die IP
3.12.254.195 aus NewYork heute um 4:31h versucht hat innerhalb 5 Minuten sich 10x einzuloggen.

Ich habe die SFTP Funktion sofort wieder ausgeschaltet.

Bin ich nun ein Zielobjekt der NSA geworden weil ich gestern versucht habe zu erkunden wie ich über den ASUS Router eine permanente VPN Verbindung einrichten kann? xD

Oder ist es etwas womit ich leben muss oder irgendein selbst verursachtes Fehler?

Habt ihr nun einen Tipp für mich wie ich sowas vermeiden kann?

Vergessen zu erwähnen, dass meine Synology auch über eine DynDNS erreichbar ist. (no-iP.com)

 

[Puppetmaster]

Es ist völlig normal, dass Ports im Netz gescannt werden. Die Folge ist dann u.a., dass auch Zugriffsversuche erfolgen. Hier helfen starke Zugangsdaten, eine geeignete automatische IP Blockierung, eine für die Bedürfnisse angepasste Firewall und - damit ein bisschen Ruhe herrscht - das Verlegen des gern "angegriffenen" Ports 22 in einen höheren (fünfstelligen) Bereich.

 

[bikini]

Danke für die rasche Antwort!!!!
Ich wusste gar nicht dass man die Sports selbst festlegen kann, dachte jedes Dienst hat seinen eigenen Port. Danke das werde ich machen, Anmeldeversuche werde ich auch auf das Minimum setzen.

Was mich nur wundert, in der Firewall hatte ich Länderspezifische Freigabe erteilt gehabt, trotzdem Versuch aus den USA möglich?


Danke Danke für die Tipps!

 

[King3R]

Warum habe ich die eingerichtet?
Ich kriege es per WebDAV einfach nicht hin über ScanBot App einfach meine Dateien auf meine Synology hochzuladen.
Es erscheint immer wieder ein SSL Fehler auf.

Ist das zufällig ein selbsterstelltes Zertifikat und nutzt du ein iPhone? Falls ja, musst du meines Wissens nach das Zertifikat in das iPhone importieren, sonst kommt es immer zu einem Fehler.

 

[bikini]

Woher kriege ich das Zertifikat?
Wie importiert man das in das iPhone?

Das wäre jackpot wenn’s gehen würde

Ja nutze das iPhone.

 

[TeXniXo]

Das kann ich nicht im Raum stehen lassen. Ich selbst verwende die gleiche Konstellation wie TE (Scanner Pro statt ScanBot . habe auch ScanBot ausprobiert via WebDAV - da gings ohne Probleme).. SSL in Systemeinstellungen / Sicherheit / Konfiguieren auf WebDAV ausweiten und dann soll's passen.

 

[King3R]

Woher kriege ich das Zertifikat?

Wie importiert man das in das iPhone?

Synology: Wie importiere ich ein Zertifikat von meinem Synology NAS in mein Mobilgerät?

Das kann ich nicht im Raum stehen lassen.

Dann hab ich das für WebDAV im Allgemeinen wahrscheinlich nicht mehr richtig in Erinnerung. Aber schaden kann es ja nicht.

Für meinen Bitwarden-Docker-Container kann ich es aber mit Sicherheit sagen.Wenn im Container für SSL ein selbsterstellten Zertifikat verwendet wird, muss dieses auch im iPhone hinterlegt werden, sonst bekommt man keinen Zugriff und es wird ein Fehler ausgegeben. Verwendet man z.B ein Zertifikat von LetsEncrypt, ist das Importieren nicht notwendig.

Das Gleiche gilt, wenn ich Enpass über WebDAV verwende. Sobald der Haken bei "Verifizierung des SSL-Zertifikats umgehen" nicht gesetzt ist, bekomme ich eine Fehlermeldung bei der Verwendung eines selbsterstellten bzw. des Zertifikates der Diskstation. Sobald wieder ein Zertifikat von z. B. LetsEncrypt verwendet wird, ist der Haken nicht nötig.



Es kommt wahrscheinlich auf das verwendete Programm an und wie es mit dem Zertifikat umgeht.

 

[bikini]

Ich habe mich von dir überzeugen lassen, dass es mit WebDav funktioniert. Ich habe soweit alles richtig gemacht

Port in FB Aktiviert
WebDav Https Port eingetragen
DynDNS Weiterleitung funktioniert

Scanbot sagt SSL Fehler obwohl ich sogar das Zertifikat auf dem iPhone Installiert habe.

Du sagst so einfach WebDAV ausweiten, doch so eine Option finde ich nicht ?

Ich kann nur WebDAV Installieren und den Port einstellen, mehr leider auch nicht ?

 

[King3R]

Ich glaube TeXniXo meint, das Zertifikat für WebDAV einzustellen.



Vielleicht liegt es auch am DNS-Rebind-Schutz der Fritzbox. Alle externen Adressen, die auf eine interne IP verweisen, werden geblockt sofern sie nicht, wie unten angegeben, als Ausnahme deklariert werden.

 

[bikini]

Also irgendwie werde ich langsam irre ich kriege das irgendwie nicht hin
die Zertifikate habe ich exportiert sogar erneuert und neu im iPad sowie im iPhone gespeichert doch es taucht immer wieder der selbe Fehler auf.
Wenn ich meine DynDNS Adresse durch meine IP Adresse im Heimnetzwerk ersetze dann klappt die WebDAV Verbindung.
ich müsste dann jedes Mal eine VPN Verbindung zu meiner FRITZ!Box herstellen um so die Dokumente hochladen zu können aber ich verstehe nicht warum ich jetzt nicht über die DynDNS hin kriege es erscheint immer wieder die SSL Fehlermeldung.

 

[NSFH]

Mit dem Synology Zertifikat klappt das nicht. Es muss ein öffentlich Zertifiziertes für WebDav sein (Lets Encrypt!)

 

[King3R]

Da ich meine Zertifikate über LetsEncrypt beziehe, ist mir das gar nicht aufgefallen. Danke für die Info.

@bikini
Da bleibt dir wohl nur übrig, dir auf die eine oder andere Weise nen LetsEncrypt-Zertifikat zu besorgen. Bei den meisten DDNS-Diensten ist das aber leider nicht möglich.

no-ip.com added the domains they are using to provide DDNS some time ago to Public Suffix List 686 so if the domain that you are using appears in this list 1.4k you should have no problems to issue a certificate for your DDNS domain (with no issues I mean that you won’t/shouldn’t have problems hitting the Let’s Encrypt rate limits).

Nach kurzem Suchen bin ich auf einen Thread in der LetsEncrypt-Community gestoßen. Es gibt scheinbar eine Public Suffix Liste. Auf dieser Liste stehen Domains mit denen man LE-Zertifikate beantragen kann, ohne dass man die Rate Limits von LE überschreitet. (siehe oben) Da würde ich mal schauen, ob die von dir gewünschte Domains bzw. eine Domain vom DDNS-Anbieter no-ip.com auf der Liste steht. Da erstellst du dir einfach eine neue DDNS-Adresse und lässt dir ein Zertifikat über die Diskstation ausstellen.





Jetzt noch dem LE-Zertifikat den WebDAV-Server zuordnen und dann sollte das Ganze hoffentlich funktionieren.

 

[the other]

Moinsen,

...oder aber du sparst dir Lebenszeit. Denn wenn du per VPN auf deine DDNS Adresse zugreifen kannst und der Zugriff auf dein NAS dann auch gehen sollte, dann hast du doch ne super sichere und funktionierende Lösung gefunden.
Du kannst da ja auch mehrere Varianten gehen:
a) du behältst deine SFTP Verbindung, sicherst aber den Zugang per SSH so ab, dass du nur noch mit dem Publickey Verfahren einloggen kannst.
b) du nutzt den scheinbar funktionierenden (also funzt ja auch dein DDNS...) VPN Zugang
c) du gehst den Weg mit den ssl Zertifikaten. Wenn du etwas Vorwissen mitbringst, Interesse hast oder/und Neues lernen willst, dann kannst du dir dein ssl Zertifikat auch selber ausstellen am PC. Oder eben Let'sEncrypt, wie hier ja schon vorgeschlagen.

Am Ende nimmt's sich wenig. Arbeitsaufwand ungefähr gleich, Sicherheit auch. Wobei ich Variante 1 und 2 in Kombination empfehlen würde, wenn dir SFTP wichtig ist.

 

[Synchrotron]

+1 für den letzten Vorschlag.

Grundsätzlich würde ich mir auch nicht ganz so den Kopf machen, nur weil jemand auf den offenen Port gestoßen ist und dann nachgeschaut hat, ob er dahinter weiter kommt.

Portscans sind ein Fakt, nicht alle sind bösartig. Der Anmeldeversuch ist es schon, aber bei üblichen Vorkehrungen wie gutes Passwort plus scharf gesetzte Firewall plus Brute-Force-Stop plus IP-Sperre ist es das dann auch. Ich persönlich präferiere auch die Lösung über VPN, weil es zugleich die eigenen Übertragungen an Daten schützt. Auch dafür wird ein offener Port benötigt (allerdings nur einer). Aber wie gesagt, nur weil da jemand angeklopft hat, muß jetzt nicht gleich alles auf den Kopf gestellt werden.

 

[SAMU]

Meine DS ist ziemlich offen nach außen hin.

WebDAV / IMAP / Drive, die ganzen Programme wie Moment / Video / Mail / Calendar usw über eine eigene Domain und noch ein paar andere Sachen mit eigenen Ports
Das ganze wird abgesichert durch gute Passwörter / 2Faktor Authentifizierung / nur HTTPS / alle Ports abgesehen von den Websites sind umverlegt / sehr empfindliche Blockierungsregeln für IPs ( 3 Einloggversuche / h führen zum Blockieren - da ich gemerkt habe manche IPs brobieren es nur alle paar Minuten) und der Threat Prevention im Synology Router (wobei die meiner Meinung nach mehr pro-forma ist)

Trotzdem hagelt es hier Meldungen ohne Ende. Die Thread-Prevention zeigt mir aktuell für die letzten 7 Tage 865 Ereignisse davon 65 Ereignisse wo die Pakete vom Router verworfen wurden.


Und hier ein Beispiel mit Anmeldeversuchen auf der MailStation. Das war ein paar Tage lang ganz schlimm. Da wurde wild mit allen möglichen Logins rumprobiert und auch versucht EMails über die Mail-Logins zu versenden. Nachdem ich mir das ein paar Tage lang angeschaut habe, habe ich die Blockierungsregeln verschärft und seitdem ist gut:

Allerdings ist interessant, dass nur die MailStation so arg angegriffen wird. Auf Moments / Drive etc versucht nie jemand sich einzuloggen (meistens bin es ich selber der sich vertippt hat der dann da auftaucht)

 

[Puppetmaster]

Scheint sehr unterschiedlich zu sein. Auch ich habe einige Ports offen. Allerdings verzeichne ich nicht mehr als vielleicht 4 oder 5 Zugriffsversuche pro Jahr(!). Betroffen ist dann meist der Mailserver.

 

[SAMU]

Interessant. Hast du eine eigene Domain? Mit was für einer Endung? (de?) Wahrscheinlich gibt es dann da irgendwie Unterschiede.
Oder mein Internetanbieter hat einen gern genutzten IP-Bereich

 

[Puppetmaster]

Nein, keine eigene Domain, nur mehrere dynDNS. Das könnte natürlich schon den Unterschied ausmachen.

Wenn ich Port 22 öffne habe ich aber auch mehr Besuch. Aber selbst das hält sich im Rahmen.

 

[SAMU]

Joa, dann wird es wahrscheinlich daran liegen

 

[King3R]

Mal eine kurze Zwischenfrage:

Hat es einen bestimmten Grund, warum ihr das über einzelne Portfreigaben im Router löst? Eventuell Vor- oder Nachteile?

Ich löse das so:

• Freigabe der Ports 80 und 443 in der Fritzbox
• Weiterleitungen der Hostnamen der unterschiedlichen Dienste vorzugsweise über Port 443 auf die internen Ports durch den Reverse Proxy

Damit hatte ich bis jetzt eigentlich keine Probleme und die Angriffsfläche ist meiner Meinung nach auch nicht so groß. Für diverse Sachen, meist über Smartphone, nutze ich dann auch noch VPN über die Fritzbox. Die Geschwindigkeit ist da ja nicht die beste, aber für meine Zwecke reicht es aus.

@bikini
Jetzt hast du ja einige Tipps zu verschiedenen Herangehensweisen bekommen. Welche für dich am praktikabelsten ist, musst du für dich entscheiden. Es wäre aber schön, wenn du uns nochmal mitteilst, für was du dich entschieden hast.