Immer wieder Zugriffsversuche von aussen? Beunruhigt :(

Status
Für weitere Antworten geschlossen.

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Hallo zusammen,

ich habe seit Weihnachten die DS213+ und bin auch echt begeistert von den Möglichkeiten und probiere sehr viel aus.

Eine der ersten Funktionen war der IP Block, der nach 2 Versuchen in 5 Minuten die IP blockt, die sich mit falschen Daten einwählt.

Die ersten Tage war alles gut, doch gestern bekam ich eine Email, das eine IP aus China geblockt wurde, heute innerhalb von 5 Min, direkt 2 Mails diesmal aus Kasachstan....

Ich habe einmal sehr schlechte Erfahrungen gemacht, dass Daten von uns im Internet gelandet sind, jetzt bin ich ein wenig nervös....

Kommt das bei euch auch vor? Ist das normal? Wie kann ich sowas besser unterbinden? Oder ist das typisch? Bin doch etwas verunsichert und freue mich auf weiterhelfende Antworten.

Gruß Joogi
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
sobald Ports offen sind werden die früher oder später von den bösen Buben besucht.
- nur öffnen was unbedingt nötig ist
- nur siche Protokolle verwenden
- auf sehr gute Passwortstärke achten

Siehe auch hier.

Gruß Götz
 

prologos

Benutzer
Mitglied seit
20. Feb 2011
Beiträge
130
Punkte für Reaktionen
0
Punkte
0
Hi Joogibaer
Hatte am Anfang einige. Habe diese für immer gesperrt, und es scheint sich rumzusprechen. Klingt schnell ab, und habe seit über 1 Jahr Ruhe.
Gruss prologos
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
wie kann man die denn für immer sperren?

Was meint ihr mit nur öffnen, was notwendig ist? Von den Ports oder wie? Die sind ja bei der Erstinstallation ja automatisch geöffnet worden, soll ich die wieder rausnehmen?

Wie kommen die bösen Buben denn daran? Habe immer Angst mir was eingefangen zu haben :)
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
Was meint ihr mit nur öffnen, was notwendig ist? Von den Ports oder wie?
natürlich die Ports, nur was offen ist kann angegriffen werden.
Also automatisch wird nichts geöffnet, nur was Du im Router eingestellt hast oder per DSM Router-Konfiguration angewiesen hast.
Die bösen Buben scannen einfach IP Bereiche nach offenen Ports.

Gruß Götz
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Hab bei mir übern Tag 6-8 IPs zu blocken! Das hat einfach damit zu tun, dass von außen gemerkt wird, dass die normalen Ports (21, 80...) offen sind und dann wird natürlich versucht "reinzukommen".
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Vielen Dank für deine Info. Ich bin noch nicht so bewandert auf dem ganzen.

Ich habe jetzt erstmal alle per UPnP geöffneten Ports geschlossen und UPnP deaktiviert. Ich werde dann mal schauen, welche die DS wirklich braucht.

Wie darf ich mir das vorstellen?

Angenommen, die scannen die IP und finden einen offenen Port bei der DS. kommen die dann auf meine Anmeldemaske der DS oder wie geht sowas?

Ist es dann das selbe Bild, als wenn ich mich da einlogge? Oder können die direkt auf alles zugreifen? Ich bin echt grün was das anbelangt und hoffe das die Fragen nicht allzu dämlich sind.


Ich habe die Sperre bei 2 Fehlversuchen aktiviert in 5 Min. Macht es Sinn das auszuweiten?

Kann man IP denn auch Dauerhaft sperren?

Vielen Dank für eure Unterstützung

Gruuß Joogi
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Also es ist eigentlich ganz einfach!
Die scannen wild (oder mit System) IP's und DNS Namen im Internet ab und fragen da nach offenen Ports! Bei Dir zum Beispiel werden sie beispielsweise (wie bei mir) die Ports 21 (FTP) und 80 (Webserver) finden und sich den 21er mal genauer unter die Lupe nehmen! Da stoßen sie dann aber auf das nächste Hindernis - nämlich dass der Port Passwort geschützt ist! Sie brauchen also User und Passwort und kommen dann als nächstes mit zwei fehlerhaften Anmeldungen in Deine 5 Minuten Regel und werden gesperrt!

Jetzt könnten die sich aber clever stellen und einfach mit einer neuen IP (welche sie - wie auch Du Dir ja - jederzeit erneuern können) wieder kommen und Du sperrst sie dann mit Anmeldeversuch 3 und 4. Das können die jetzt sinnlos so für Jahre weitermachen, oder die sagen sich einfach "Probieren wirs doch woanders mal, es gibt sicher noch genug andere 'offene Scheunen'! "

Zur Abwechslung mal noch meine Block-Daten! Ich sperre fehlerhafte Logins/Versuche nach 5x in nur 3 Minuten und dann die IP Adresse für 10 Tage!

Eine IP länger (oder für immer) zu sperren macht im Prinzip keinen Sinn! Jeder Teilnehmer im Internet hat immer und überall die Möglichkeit sich schnell eine neue IP zu besorgen und ist danach ein ganz "anderer" als vorher! Du lässt somit Deine DS nur sinnlos IP sammeln und hast irgendwann mal das Problem, dass vielleicht einer Deiner User zufällig mit einer IP kommt, die Deine DS vor zig Jahren schonmal gesperrt und gesammelt hat!
Eh Du darauf kommst, dass es daran liegt, hast Du einen Tag mit Suchen verbracht!
Von daher - sperre IPs auch bloß 10 Tage! Die Irren da draußen werden nicht weniger - da hast Du eh keinen Einfluss!


Fazit: OFFEN heisst nur Offen, weil der Scanner den Port "sieht" und weil Deine DS unter anderem immer auf ne Anfrage antwortet:
"Port 21??? Jaaaaa, den habbich! Willste Dich verbinden????"
Darauf dann der Scanner: "Jaaaaa willich!!!"
Und die DS wieder: "Tja! Dann sag mir mal den User und das Passwort!!??"
Und der Scanner steht da: "Ähh??? ja??? Hmm?? Lass mal Raten! 18?"
DS: "nee!"
Scanner: "20?"
DS: "nee! Hau ab Du Penner! Das war das zweite Mal falsch!"
Und schreibt sich die IP auf, dass der jaaar nich nochmal kommen brauch (der Penner)!


Desweiteren musst Du Dir keine Gedanken machen, dass die Gegner schon viel wissen, wenn Sie vor Deiner Anmeldemaske stehen! Am Ende müssen sie immer noch das Passwort für alles wissen!
Also zum Verständnis:
- wenn ich weiss, wie der DDNS Name Deiner DS ist
- und ich weiss, dass der Port für die Anmeldemaske bei Synology Maschinen ja meistens 5000 ist (weil das ja bei mir auch so ist)
- und ich weiter weiss, dass der Benutzername dafür "admin" (bei mir ebenso)

dann kann ich schonmal vor Deiner Anmeldemaske sitzen und "admin" eingeben! Nur wie ist dann das Passwort????? Und da hörts dann eben auf!



Du könntest -nach Lesen des obigen Beispiels- noch folgenden Störballon starten:

- ändere einfach den Standard-Port (5000) Deiner DS in einen ganz anderen -nicht wirklich oft benutzten- Port! Zum Beispiel 58543 oder 32598 oder irgendwas im 5stelligen Bereich.
- dazu musst Du noch nicht mal etwas an Deiner DS verbiegen/umstellen!
- ändere es einfach im Router!
- ändere dort nur die Portweiterleitung, die Du sicherlich ja schon erstellen musstest, damit Du überhaupt von außerhalb auf Deine DS zugreifen kannst
- dabei bleibt der innere Port weiterhin die 5000 und der äußere Port bekommt ne 5stellige Zahl (z.B. 53535, weil sichs leicht merken lässt).

Von jetzt ab wählst Du Deine DS von außerhalb im Browser immer mit http://dein.dyndns.name:53535/webman/index.cgi anstelle von http://dein.dyndns.name:5000/webman/index.cgi an!
Fertig!

Sowas kannst Du auch gerne mit allen anderen Ports machen - zum Beispiel bei FTP. Innen lässt Du alles auf 21 stehen und außen am Router nimmst Du meinetwegen 53521. Das musst Du Deinen FTP Usern aber mitteilen, dass die in Zukunft in ihren FTP Clients dann explizit den Port 21 durch 53521 ersetzen!
Das hat ab dann den positiven Effekt, dass die DS Scannern dann immer antworten wird: "Port 21???? Iss zu!!! Du kommst hier net rrein!"

Zum besseren Verständnis vielleicht noch:

Unsere Scanner-Freunde aus China, Russland oder sonst woher, haben auch nicht alle Zeit der Welt! Die sterben auch irgendwann mal und bis dahin wollen die "etwas schaffen". Also sparen sie mit ihrem wilden Rumscannen bisschen Zeit, indem sie "auf die Schnelle" erstmal nur die "sehr bekannten" Ports von Rechnern abfragen! Also 21, 80, 443 und all das Bekannte, was es auf der Welt so gibt ----> Synology hat zum Beispiel Port 5000. Und solche Ports rücken dann in den Vordergrund, während andere Ports weggelassen werden! Man sagt in der Branche immer "5stellige Ports" hat kein Schwein, da scannt man gar nicht erst! Die Scanner müssten sonst bei jedem Rechner von 1 bis 65Tausend-irgendwas abscannen!

Wenn Du also jetzt hingehst und einfach den oberen Bereich der Port-Scala (50.000 - 65.000) benutzt, dann werden unsere Scanner-Roboter bei Dir nie was finden, wo sie die Brechstange ansetzen könn(t)en.
 
Zuletzt bearbeitet:
  • Love
Reaktionen: Janüscht

rosenkrieger

Benutzer
Mitglied seit
16. Jan 2012
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Nachdem ich meine DS213+ nun 24/7 laufen lasse habe ich mich für eine simple Lösung entschieden.

ALLE Portweiterleitungen aus meiner Fritz!box entfernt.
VPN Verbindung auf der Fritz!Box eingerichtet.

So kann keiner ohne die VPN Verbindung von außen auf mein Netzwerk und es muss keine Portweiterleitung eingebaut werden. Mit hansVPN habe ich dann am Mac (es gibt keine AVM Software für Mac) einfach drei Profile erstellt Fritz!box Config File, iOS VPN Config und Mac OSX VPN Config.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
.........................

Fazit: OFFEN heisst nur Offen, weil der Scanner den Port "sieht" und weil Deine DS unter anderem immer auf ne Anfrage antwortet:
"Port 21??? Jaaaaa, den habbich! Willste Dich verbinden????"
Darauf dann der Scanner: "Jaaaaa willich!!!"
Und die DS wieder: "Tja! Dann sag mir mal den User und das Passwort!!??"
Und der Scanner steht da: "Ähh??? ja??? Hmm?? Lass mal Raten! 18?"
DS: "nee!"
Scanner: "20?"
DS: "nee! Hau ab Du Penner! Das war das zweite Mal falsch!"
Und schreibt sich die IP auf, dass der jaaar nich nochmal kommen brauch (der Penner)!

...............


Meinen herzlichen Dank, das System habe ich dank der echt klasse Darstellung verstanden, echt super :) Dann bin ich schon mal beruhigter....

Dann werde ich mir mal die ganzen Ports vornehmen....

Ihr seid echt alle Super :)

Das mit der VPN Geschichte klingt auch nicht schlecht, ich frage mich gerade ob das für mich praktibabel ist....
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Schwierig, wenn Du's auf die Schnelle hinbekommen willst! Da müsstest Du Dich schon bisschen belesen und einfach mal (mit Zeit) rumprobieren! Es gibt sicher einige hier, die jetzt sagen würden: "VPN, pfff, was issn da dabei! VPN Server Paket auf der DS installiert, paar Knöppe in der Systemsteuerung gedrückt und zum Schluss noch die VPN Client Software auf dem Clientrechner(n) installiert! Ferddich!"
Ist aber meistens doch mit paar Holpersteinen versehen und wenn die Installation erstmal auch klappt, kanns später zu Problemen führen, wo man schon bisschen Verständnis brauch und sich (wieder) in die Materie einlesen müsste!
Von der Theorie her ist Rosenkriegers Variante, VPN aufm Router zu haben, was ganz ausgefeiltes und cleveres! Aber Du musst bissl Ahnung mitbringen, um das kurz mal umzusetzen!


Und um nochmal zum Thema zurück zu kommen: Ich hab absolut keine Angst bzw. Bedenken mehr, dass da irgendwelche "Einbrech-Wütige" bei mir zur virtuellen Tür herein wollen! Ich betreibe meinen Rechner jetzt seit 2001 im Netz und außer massenhaft geblockten IPs hat da niemand etwas gekonnt, auch weil:

- die IP ständig wechselt
- kaum jemand den DNS Namen des Rechners kennt
- es zu viele andere potentielle Ziele da draußen gibt
- ich (und mein Rechner) wahrscheinlich nen viel zu "kleines Licht" bin
- alles (außer die benutzen Ports) von den Firewalls vom Router und danach von der DS weggeblockt wird

Wenn bei jemand also ein Einbruch stattgefunden hat, dann war es, weil der (in exakt der Reihenfolge) "zu bekannt war", "sehr lukrative Ware hatte", "zu ungeschützt gewesen und zu schlampig mit seinem System umgegangen" ist!
 
Zuletzt bearbeitet:

rosenkrieger

Benutzer
Mitglied seit
16. Jan 2012
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Von der Theorie her ist Rosenkriegers Variante, VPN aufm Router zu haben, was ganz ausgefeiltes und cleveres! Aber Du musst bissl Ahnung mitbringen, um das kurz mal umzusetzen!

Auch in der Praxis hat es sich als sehr einfach herausgestellt ;-)

1. AVM Software (Windows) oder hansVPN (Mac) nutzen um die passenden Profile zu erstellen, bei hansVPN geht das z.B. extrem einfach - man muss EIN Passwort vergeben.
2. Die erstellen Profile (für die Fritz!Box, für iOS und für Mac/OSX) nehmen und jeweils einspielen
3. Ab sofort am jeweiligen Endgerät (Mac, iOS Gerät, etc.) einfach VPN aktivieren
4. Nun kann man per LOKALER IP Adresse auf die Synology bzw. andere Netzwerkgeräte zugreifen
5. Sicher fühlen und sich nicht mehr um Portweiterleitungen etc kümmern müssen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Die Sache hat nur den Haken, dass man VPN eben nicht überall einsetzen kann.
Vielleicht mag dein Arbeitgeber nicht, dass du eine VPN Verbindung aufbaust über sein Netz, bzw. ein VPN-Netzwerk auf seiner Hardware einrichtest (so wie mein Arbeitgeber).
Und für mich bestes Beispiel: letzter Hotelaufenthalt mit sehr offenem WLAN, konnte über alle mögliche Ports connecten, nur VPN war nicht zu machen!
 

rosenkrieger

Benutzer
Mitglied seit
16. Jan 2012
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Ja diese Punkte sollte man bei VPN beachten. Allerdings wird in einem Unternehmen wohl auch jeder "nicht-normale-Port" ebenfalls schon gesperrt sein, unabhängig von VPN ;-)
Sollte der Arbeitgeber VPN nicht erlauben (wo ich fest davon ausgehe) und es ein SICHERES Unternehmensnetzwerk ist werden IMHO auch diese extra Ports der Synology nicht erreichbar sein.

Aus diesem Grund ist es schön wenn man Geräte (Smartphone, Tablet) hat mit dem man selber machen kann was man will und vor allem diese unabhängig vom Unternehmensnetzwerk agieren.

VPN ist sicherlich NICHT für jeden, wer es jedoch nutzen kann der sollte es aus Sicherheitsgründen einsetzen.

P.S. Mit 4.2 kommt ja endlich die Zwei-Wege Authentifizierung. Das sollte für "nicht VPN Nutzer" auf jeden Fall eine gute alternative und weitere Sicherheitsschicht mit sich bringen :)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@puppetmaster
was in solchen Fällen hilfreich sein kann: man setzt der VPN auf Port 443 (TCP) auf. Damit gehen die meisten Gatways von normalem https Traffic aus und lassen es sehr oft durch. Problematisch wird das dann wenn der Gateway sich die Sache genauer anschaut und sieht, dass dies niemals https sein kann. Das ist aber recht aufwändig und daher selten implementiert
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
was in solchen Fällen hilfreich sein kann: man setzt der VPN auf Port 443 (TCP) auf.

An sowas in der Art hatte ich auch schon gedacht. Nur: bisher nutze ich nur PPTP und zumindest dort habe ich in der DS ja gar keinen Hebel für den Port. Auch ist mir dann auf z.B. Windows schleierhaft, wie ich dem einen anderen Zielport verkaufen soll bei der Einrichtung eines VPN-Netzwerkzugangs. Ebenso das Smartphone, auch hier sehe ich keine Option (PPTP) den Port zu ändern.
 

prologos

Benutzer
Mitglied seit
20. Feb 2011
Beiträge
130
Punkte für Reaktionen
0
Punkte
0
Jaaa,- finde ich auch eine super Beschreibung. Dank an @TheGardner

prologos
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat