HILFE! Mein NAS wird attackiert!

[kespk]

Hallo Leute!

Ich bekomme tonnenweise Emails über Fehlversuche auf mein NAS zu kommen, sodaß ich schon überlegt habe, die Meldungen abzuschalten.

Früher oder später werden die Angreifer es schaffen ein Passwort meiner Familie zu knacken!

Gibt es eine Möglichkeit erfolgreiches Einloggen per Email oder SMS zu signalisieren, dann könnte ich die 20-30 Fehlversuchsmeldungen pro Tag unterdrücken?

Ich habe meine NAS per Dynamischer DNS nach draußen offen, weil meine Familie weit verstreut ist.
Dazu habe ich auch noch eine andere Frage! Meine Familie bekommt immer noch Warnungen der Browser, obwohl ich ein Zertifikat nach Vorlage des WIKI erstellt habe!

Mein NAS ist ein DS212+

Kurt

 

[Trolli]

Welche Ports werden denn am Router auf die DS weitergeleitet?
Hast Du die automatische Blockfunktion in der DS aktiviert?
Welche Dienste auf der DS nutzt Du?

Das Zertifikat muss noch bei den Client-Rechnern installiert werden. Welche Browser werden dort genutzt?

 

[raymond]

Deswegen habe ich längst vorgeschlagen root/admin logins per öffentliche IP zu unterbinden (einstellbar). Du kannst das ja auch Synology vorschlagen:
http://www.synology.com/support/beta_form_4.0.php

 

[kespk]

Hallo Trolli, danke für die schnelle Antwort.

Dienste: Automatische Blockierung, Webdienste, WebDAV, WebDAV (HTTPS), File Station, File Station (HTPPS), Audio Station, Photo Station

Automatische Blockierung ist aktiv mit 5 Versuchen innerhalb von 5 Minuten und OHNE automatischer Freigabe, und Email-Benachrichtigung

Ports im Router weitergeleitet: 20-23, 80, 443, 5000, 5001, 5005, 5006, 55536-55663, 7000, 7001 (Alle TCP)

Ganz unterscheidliche Browser: Firefox, Google Chrome, Android Standard Browser und Dolphin Browser HD und irgendwelche Browser auf diversen Apple Produkten!

 

[kespk]

@ raymond:

Das scheint mir eine gute Idee zu sein, aber mit dem normalen Login kann man auch alle Daten herunterladen, also Fotos, Videos, Musik, Hörbücher, Ebooks und manche Dokumente!

Habe ich soeben vorgeschlagen für eine zukünftige Version von DSM!

 

[kespk]

Noch etwas: Mein Verbindungs-Protokollfenster ist immer leer und unter aktueller Verbindung sehe ich nur mein Login!
Außerdem finde ich nur meine Aktivitäten protokolliert im File Station und im WebDAV Protokoll!

Das ist doch komisch, oder?

 

[Trolli]

Telnet (Port 23) solltest Du auf jeden Fall sperren. Ganz grundsätzlich solltest Du wirklich nur die Ports freigeben, die Du auch zwingend vom Internet aus nutzen musst. Sicherer als eine Portweiterleitung ist generell eine VPN-Verbindung. Für Dienste, die nur Du benutzt (z.B. SSH) würde ich empfehlen, ausschliesslich über VPN zuzugreifen und die entsprechende Portweiterleitung zu löschen. Die meisten Angriffe wirst Du sicher über FTP reinkriegen...

Die beste Stratgie ist: so wenig Ports wie notwendig weiterleiten, sichere Kennwörter verwenden, Autoblock aktivieren.
-> http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet#Liste_der_verwendeten_Ports

Bei jedem Browser hast Du die Möglichkeit, Zertifikate selbst zu importieren. Die im Wiki beschriebene Methode deckt nur den IE ab. Für andere Browser musst Du die ca.crt im Zweifelsfall irgendwo über die Browsereinstelungen importieren. Wichtig ist, dass Deine DS hinterher in der Liste der vertrauenswürdigen Zertifizierungsstellen auftaucht...

 

[ygg_de]

meine Webseite auf der NAS lautet: <entfernte URL>!

Warum verwendest du die richtige URL.
Willst du zum hacken einladen?

 

[kespk]

@ygg_de:

Eigentlich hast Du Recht! Bin ein Idiot! Werde das sofort korrigieren!

Danke für den Hinweis!

 

[kespk]

Vielen Dank für Deine Mühe Trolli!

Ich habe soeben, die Ports 20-23 und 55536-55663 aus der Portforwarding-Liste im Router gelöscht!
Da ich kein FTP Dienst aktiv habe und ohnehin lieber die File Station verwende, benötige ich die o.a. Ports doch garnicht!

 

[Trolli]

Prima. Das macht sicher schon einen großen Unterschied.

 

[raymond]

Die meisten probieren eh admin, root, administrator als username. Wenn das über öffentliche IP nicht mehr möglich ist, fällt ein großer Teil, wenn nicht sogar alle Angriffe weg.
Ich würde die NAS auch nicht so benennen, wie ein Familienmitglied oder eine Kombination daraus (da der Name der NAS ja auf der Loginseite bei DSM angezeigt wird).
Bei DDNS halt auch kein Benutzername, wie kurt.dyndns.org
Dann sollte alles sicher sein (restriktive Einstellungen bisher bei Auto Block vorausgesetzt). Ein mindestens 8-stelliges alphanumerisches Passwort soll man erstmal mit restriktiver Auto Block Einstellung überwinden.

 

[kespk]

Leute ich danke Euch, das war es! Es hat schlagartig aufgehört mit den Angriffen, nachdem ich die Ports geschlossen habe!

Der Thread kann geschlossen werden! Vielen Dank!

 

[raymond]

Leute ich danke Euch, das war es! Es hat schlagartig aufgehört mit den Angriffen, nachdem ich die Ports geschlossen habe!

Der Thread kann geschlossen werden! Vielen Dank!

Ich bedanke mich auch, dass du meine Idee auch an Synology gerichtet hast. Schön, dass jemand auch die Idee unterstützt und eine paar Minuten aufbringen kann dies auch an Synology zu richten.

 

[Matthieu]

Ich bedanke mich auch, dass du meine Idee auch an Synology gerichtet hast. Schön, dass jemand auch die Idee unterstützt und eine paar Minuten aufbringen kann dies auch an Synology zu richten.

Für mich fällt das in den typischen Anwendungsbereich für eine Firewall? Einfach eine Regel für alle Ports erstellen.

MfG Matthieu

 

[Trolli]

...ihr redet aneinander vorbei.

 

[power-dodge]

Darf ich mich hier einmischen?

Meine DS hängt an einem Router. Da sind folgende Ports offen 443,7007 und 5006.
Über welche Ports redet ihr hier? Über die im Router freigegebene? Oder sollte man
noch zusätzlich auf der DS Ports sperren?

Gruß

 

[kespk]

@power-dodge:

Damit auf das NAS direkt zugegriffen werden kann, muß Dein Router die benötigten Ports einfach weiterleiten, damit das NAS die Ports behandeln kann.
Dieser Vorgang wird Portweiterleitung genannt, oder Portforwarding in unserer neuen Umgangssprache!

Welche Ports das sind und viele tolle Informationen zu dem Thema findest Du unter http://http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_%C3%BCber_Internet#Liste_der_verwendeten_Ports

 

[power-dodge]

Also Ihr habt von den Weiterleitungs- Ports geredet.

Danke

 

[Trolli]

Wenn bei Dir keine Gefahren im internen Netz lauern, musst Du an der DS nix zusätzlich sperren.