IP-Adresse xx.xx.xx.xx von xyx wurde von DSM blockiert

[fliegerbulli]

Hi,
meine DSM 215j ist aus dem Internet erreichbar (DDNS). Die NAS meldet mir jetzt 2 geblockte Anmeldeversuche in den letzten 14Tagen.
Die NAS ist derzeit so eingerichtet das bei 5 erfolglosen Anmeldeversuchen innerhalb von 1 Minute die IP Adresse geblockt wird. Der admin Account ist deaktiviert. login über Zwei-Faktor-Authentifizierung u Zertifikat von letsencrypt.
IP Adresse kommen übrigens aus Russia.
Nun frage ich mich ob ich den „richtigen Weg“ gewählt habe die NAS aus dem Netz erreichbar zu machen.
Die NAS ist über die DDNS und entsprechender Portweiterleitung (noch die "Standard") erreichbar und durch die Firewall sind einige Dienste freigegeben. U.a: CardDAV Server, PhotoStation, Medienserver, Calendar, CloudStation Server,
Laut Info Center sind noch folgende Services aktiviert. sftp, rsync, ntp, SMB, AFP, NFS, ssh, iscsi?
Welche werden wirklich gebraucht?
Ist es empfehlenswert so viel wie möglich “zuzumachen” und nur das nötigste freizuschalten? Oder auf VPN umstellen und DDNS abschalten (so verstehe ich das zumindest)?
Die NAS komplett aus dem Netz zu nehmen ist doch auch keine Option, oder?
Wie bekomme ich überhaupt mit ob sich jemand erfolgreich eingelogged hat? Hab da keine Option gefunden? Da müsste es doch ein "log" für geben bzw eine Meldung per mail etc...
grüße , fliegerbulli

 

[tproko]

Wenn es wenige User trifft und VPN eine Option ist, würde ich sofort OpenVpn einrichten.

 

[Puppetmaster]

Das kommt ja alles immer drauf an ...
Was machst du mit der DS? Was willst du? Warum soll sie öffentlich erreichbar sein?

Es ist ganz normal, dass, wenn Türen irgendwo gebaut werden, auch mal Leute anklopfen, die gar nicht eingeladen wurden.

Willst du maximale Sicherheit, dann die DS nicht ins Netz hängen! Und dann geht's in Abstufungen steigender Unsicherheit weiter. Eine der nächsten wäre dann wohl ein VPN. Recht sicher, aber eben oft auch unpraktisch. Meinen Großeltern möchte ich jedenfalls kein VPN einrichten, nur, damit sie auf meine PhotoStation können. - Daher die eingangs gestellten Fragen.

 

[RichardF]

Hallo

Ich hab dazu einen Thread ein Stück weit unter deinem

https://www.synology-forum.de/showt...station-wenn-sie-über-Internet-erreichbar-ist

Was dabei rausgekommen ist kannst du dir da durch lesen aber hier eine grobe Zusammenfassung wie du die DS etwas sicherer bekommst wenn sie im Internet erreichbar sein soll.

1.) Nur Dienste aktivieren die benötigt werden
2.) schwere Passwörter 20+
3.) Admin Konto deaktivieren
4.) Ausschließlich verschlüsselte Verbindungen
5.) Protokolle täglich kontrollieren
6.) Sicherheitsberater min. 1x / Woche u. Anmeldedeanalyse
7.) Berechtigungen für die Benutzer festlegen
8.) DSM auf dem aktuellsten Stand halten
9.) Pakete auf dem aktuellsten Stand halten
10.) SSL Zertifikat von Lets encrypt
11.) DOS Schutz aktivieren
12.) Anmeldeversuchsbeschränkung
13.) Kernel Page-Table Isolation - Aktivieren von KPTI (Meltdown Sicherheitlücke ) Wenn DS mit Intel CPU
14.) Terminal & SNMP deaktiviert
15.) Kein VPN auf auf der DS - Auslagern auf Router ansonsten in einer VM laufen lassen
16.) IPS aktivieren --> Router
17.) Portscan —> keine offenen Ports. --> Port Scanner https://www.grc.com/x/ne.dll?bh0bkyd2
18.) Ports die erreichbar sein sollen in einen höheren Bereich legen. - 0-1024 werden relativ häufig gescannt, geh damit in den Bereich 30000-40000
19.) GeoIP Filter verwenden

Sieh das als Basics
gerne erweiterbar.

LG Richard

 

[Frogman]

3.) Admin Konto deaktivieren

Unnötig, wenn starke Passwörter verwendet werden. Und für 'stark' müssen es nicht 20+ sein, da reichen schon ein paar weniger...

10.) SSL Zertifikat von Lets encrypt

Trägt zur kryptografischen Sicherheit nichts bei, jedes andere Zertifikat liefert die gleiche Sicherheit.

 

[fliegerbulli]

@RichardF: Ok, danke soweit. Dann hab ich wohl einiges zu prüfen....

 

[NSFH]

Das Standard Admin Konto sollte IMMER deaktiviert werden. Ist ein Anmeldename bekannt erfolgt der Angriff nicht zwingend per brute force. Daher greift dann auch die Sperre nach vergeblichen 5 ANmeldeversuchen nicht.
Ist schon seltsam, 10.000 Experten im Web empfehlen das nur Frogman weiss es besser.......
Woher hast du deine Weisheiten?

 

[Puppetmaster]

Ist ein Anmeldename bekannt erfolgt der Angriff nicht zwingend per brute force.

Sondern wie dann? Was nutzt dir ein bekannter Benutzername?
Und wo sind die 10.000 Experten, die das empfehlen?

 

[SAMU]

Meine DS ist auch von außen über eine eigene Webadresse sichtbar und zudem noch über den Standart https Port, da ich ab und zu an Orten Zugriff haben will, wo alle "speziellen" Ports blockiert werden.

Unter anderem habe ich ein Teil der oben genannten Sachen umgesetzt. Zusätzlich aber auch noch Deep-Packet inspection im Router für die Diskstation aktiviert. Und wenn man sieht was hier schon alles rausgefiltert wird befor es die DS erreicht:

*Ca. 20-30 Angriffe mit bekannten Exploits pro Tag (hauptsächlich auf Microsoft IIS gemünzt)
*1 bis 2 Portscans pro h
und dann kommen nochmal ein Haufen IP-Adressen dazu welche von vorneherein geblockt werden, da sie wohl bekannt sind Viren und Malware zu verteilen und warnungen ohne ende.

 

[RichardF]

@frogmann

Wenn ich das richtig sehe basieren deine Berechnungen auf der Rechenleistung einer ca 3 Jahre alten Grafikkarte.
Und berücksichtigen keine botnet Angriffe sowie berücksichtigen keine Mining Farmen welche zwischenzeitlich wenig zu tun haben.
Auch wenn das schon an der Haaren herangezogen ist, (keiner lässt ne Miningfarm mit dem Ziel laufen ein 11 stelliges Passwort zu knacken mit Stromkosten die monatlich in der Größenordnung um 1mio Euro verschlingen)so rückt die Zeit für einen erfolgreichen Angriff bei einem cluster bestehend aus 10-15k Grafikkarten doch in die nähere Zukunft, wobei ein 11stelliges Passwort mit einer Wahrscheinlichkeit von 50% in unter 2 jahren geknackt werden könnte, vorausgesetzt der Username ist bekannt.
Das ist zwar äußerst unwahrscheinlich und wird keiner machen da eine brute force attacke meist auf schnellen erfolg ausgelegt ist.
Aber möglich scheint das sofern man technisch limitierende Faktoren wie, was kann eine Ds entgegennehmen und was gibt die Internetleitung her erstmal ausser acht lässt.
Aber wäre so ein Angriffsszenario der Fall wäre eine Ds wohl nicht das Ziel.

So jetzt aber aus mit den Hirngespinsten

11 reichen sicher auch aus
Ich verwende so lange Passwörter weil ich sie mir merken kann.

Lg Richard

 

[Kurt-oe1kyw]

Ich schliesse mich da mal Richard an, ich sehe das auch so. Wenn eine private DS halbwegs geschützt und die vielen Tipps hier im Forum befolgt und angewendet werden, dann sollte das in 99,99 Prozent der Fälle ausreichend sein.
Denn was wäre den der "Erfolg" bei einem gelungenen "Durchbruch"?
In unserem Fall hier hunderte Bilder wie unsere Kids aufgewachsen sind, diverse Familienfeiern und Urlaubsfotos. Kurt am Strand, mit dem Bike auf den 3 Zinnen. Ehrlich, wer will das sehen?
Ich beziehe mich explizit auf unseren privaten Einsatzbereich. Auf Firmennetzwerken wo möglicherweise sensible Daten, Patente, Buchhaltung, Kalkulationen usw. vorhanden sind, schaut das sicher anders aus. Die werden sich aber dann auch keine DS218 oder was auch immer in ihr "Rechenzentrum" stellen.

 

[Frogman]

@RichardF

Bei der Betrachtung geht's nicht nur um die Frage, mit welcher Rechenpower Du auffährst, sondern auch, was eine typische DS an externen Anfragen verkraftet... und da ist wohl eher letzteres limitierend.

 

[RichardF]

Ja das wird Wahrscheinlich der limitierende Faktor sein.
Deswegen auch "Hirngespinnst"

 

[Tommes]

Mich würde langsam echt mal interessieren, ob es irgendwelche Hinweise oder Berichte darüber gibt ob und/oder wie oft ein System von Synology bereits gehackt bzw. kompromittiert wurde. Zum Thema Sicherheit und Absicherung ließt man hier im Forum ja immer viel, aber über erfolgreiche Angriffe liest man hier ja eigentlich gar nichts.

Tommes

 

[Puppetmaster]

Was ja eigentlich nur bedeuten kann, dass entweder die Angriffe so furchtbar gut sind, dass sie nicht bemerkt werden, oder, dass es einfach nichts Nennenswertes zu berichten gibt.

 

[RichardF]

Ich denke das ist die falsche Frage.

Die Frage muss lauten wie oft werden server im internet geknackt?
Da Dsm auf Linux basiert muss man nach geknackten Linux servern fragen.

Die nächste Frage wäre wer oder was greift wie an.

Definitiv kann man nur sagen das jedes System angreifbar ist.
die Frage ist wie?
Blödes Beispiel, ich gebe in ein Windowssystem von nem Kumpel meine Anmeldedaten ein weil ich ihm schnell eine Datei zur Verfügung stellen will. Der hat einen keylogger durch einen nicht endeckten Virus am laufen. Das wars dann. welche Sicherheitsmassnahme kann das stoppen? Keine... was kann man maxiamal machen? Spezielle und vor allem eingeschränkte Benutzerrechte vergeben um das Schadenspotential so gering wie möglich zu halten.

Vor wem kann man sich schützen?
Vor nem Kiddie das mich angreift mit mittelmäßigen Programmierkenntnissen? Ja
Vor Angriffen die grundsätzliche Sicherheitslücken im System ausnutzt ? Nein
Vor einem Hackerteam das deine Ds als Ziel hat? Nein
Vor Geheimdiensten ? Nein
Vor standard Angriffen mit dem Ziel schnellen erfolg zu haben ? Ja

Das wäre so meine Einschätzung nach 3Tagen recherchieren im Netz.

Generell glaube ich das alles Drumherum anfälliger ist als die DS selbst im Netz.
Und mann kann eine DS mit relativ geringem Risiko im Netz betreiben wenn man keine sensiblen daten darauf hortet.
Nach dem Motto " nur das drauf was mir keinen Schaden verursachen kann"

 

[Puppetmaster]

Du kannst die Frage in bestimmt 100 Varianten stellen. Ich Stelle sie mir z.B. immer dann, wenn ich mein Fahrrad an einer Laterne festschließe.
Die Frage, die ich mir in Bezug auf meine DS stelle ist: für wen könnten die darauf enthaltenen Daten wichtig sein und wie wichtig sind sie mir. Danach richte ich dann, in Abwägung der Praktikabilität und des Wartungsaufwands, entsprechende Hürden ein.

 

[Tommes]

Ich habe nur eine „einfache“ aber bestimmt keine „falsche“ Frage gestellt.

Ich mach das hier ja nun auch bereits was länger und ich habe in der Zeit auch schon das ein oder andere Angriffsszenario mitgeschnitten, egal ob von intern oder extern oder von bzw. auf welchem Systemen auch immer. Das macht mich natürlich nicht allwissend oder zum Experten und ich zähle mich schon garnicht zu den Profis hier, die mit sowas z.B. beruflich tagtäglich konfrontiert werden. Ich kenne bestimmt auch nicht mehr Angriffszenarien wie der gemeine Mainstream und das was in den Medien immer mal wieder so aufpoppt, aber trotz aller Information und der guten Absichten seine Systeme so sicher wie möglich aufzustellen, so reden wir hier immer noch vom Mainstream oder von mir aus von den SOHO Nutzern. Und genau von dieser Gruppe habe ich im speziellen noch kein Wort über einen erfolgreichen Angriff auf eine Synology von intern oder extern gehört oder gelesen. Daher stellt sich mir die Frage, ob grade die Synology Boliden einfach nur extrem sicher sind, oder es den Leuten einfach nur peinlich ist, darüber zu sprechen.

Nicht mehr und nicht weniger wollte ich mit meiner Frage bezwecken.

Das das Abschließen eines Fahrrads an einem Laternenpfahl sicherer ist, als nur mit einem Felgenschloss ist selbstredend. Trotzdem werden immer noch ständig Fahrräder geklaut und das wird sich wohl auch nicht ändern. Aber es werden in der Regel nur hochwertige Fahrräder geklaut oder halt Räder die garnicht abgeschlossen waren. Und hier schließt meine Frage an... ist mein Fahrrad wirklich so interessant für andere Leute, die keine Mühen und Kosten scheuen mein Fahrrad von dem blöden Laternenpfahl zu bekommen? Oder ist mein Schließsystem einfach so gut und hochwertig, das es einfach noch keiner geschafft hat, mein Fahrrad zu klauen.

Tommes

 

[Tommes]

Ergänzung... auch wenn der Angriff von innen heraus kam und eher zufällig die DS in Mitleidenschaft gezogen hat wäre sowas hier *klick*, auf das meine Frage abzielte.

Wobei das ja kein primärer Angriff auf eine DS von extern war!

 

[Puppetmaster]

Genau, Tommes, das fasst es in meinen Augen schön zusammen und du deutest meinen Vergleich mit dem Rad entsprechend.
Was mich aber letztlich am meisten interessiert ist die schlichte Tatsache, dass mein Rad hinterher noch da ist, wo ich es gelassen habe. Die Faktoren, die dazu beitrugen kann ich im einzelnen sicher nicht ohne erheblichen Aufwand ermitteln. Ich lasse mich aber auch dort von der Erfahrung und simplen Grundsätzen leiten. Also teueres Rad und schlechtes Schloss und das alles einsam aber im Scheinwerferlicht ist sicher schlechter als unscheinbares Rad und gutes Schloss.

Aber auch ich zähle mich ganz sicher nicht zu den Experten, fahre aber mit gewissen (teils unpopulären) Grundsätzen seit langem sehr gut.