IP aus China hat versucht auf mein NAS zuzugreifen

[chris25]

Hallo zusammen.

Gestern Abend hat eine IP aus China versucht über das Benutzerkonto "admin" (das bei mir nicht aktiviert ist) auf mein NAS zuzugreifen. Das DSM hat die IP dann nach dem dritten Fehlversuch geblockt, also soweit anscheinend alles ok.

Kommt sowas häufiger vor, oder bin ich was besonderes? Muss ich mir sorgen machen, dass da in Zukunft mehr kommt, wo mein NAS einmal lokalisiert wurde?

Da das ein privat genutztes NAS ist, frage mich auch, wie die das gefunden haben. Ich habe eine WordPress seit angelegt, die noch von zwei anderen Benutzern (außerhalb meines Netzwerkes) über DDNS von Synology bearbeitet werden kann. Kann man dadurch das NAS im Internet finden?

Gruß Christoph

 

[Puppetmaster]

IPs (nicht Domainnamen!) werden regelmäßig von allen guten und bösen Buben im Internet angeklopft um zu schauen, ob es was Interessantes gibt. Die Bösen versuchen sich dabei auch ggf. gleich mal mit den Standards anzumelden.
Davon ist jeder betroffen, der im Netz eine Türe offen hat.

Starte Passwörter sind hier also Pflicht. Darüberhinaus die Blockade von lästigen IPs.

 

[chris25]

IPs (nicht Domainnamen!) werden regelmäßig von allen guten und bösen Buben im Internet angeklopft um zu schauen, ob es was Interessantes gibt.

Dann bin ich wohl doch nichts besonderes. Kann man sich das so vorstellen, dass IPs durchprobiert werden, bis zufällig eine antwortet? Da ich eine dynamische IP habe, brauche ich mir wohl keine Sorgen zu machen, dass diesen "Angreifer" wiedersehe.

Sollte man evtl auf zwei faktor authentifizierung erhöhen?

Danke für die Tipps,
Gruß Christoph

 

[peterhoffmann]

Wie Puppetmaster schon schrieb, das ist völlig normal. Die scannen wie die Weltmeister wild die IPs durch und versuchen sich als Glücksritter. Es geht also nicht um dich und dein NAS, sondern die klopfen überall auf dem Teppich.

Kleine Liste zum Abarbeiten:

1. starke Passwörter
2. übliche Benutzernamen vermeiden (z.B. admin)
3. so wenig Dienste wie möglich nach außen
4. Ports über den Router in den fünfstelligen Bereich mappen (z.B. Port 34521 auf 5001)

 

[NormalZeit]

Kleine Liste zum Abarbeiten:

1. starke Passwörter
2. übliche Benutzernamen vermeiden (z.B. admin)
3. so wenig Dienste wie möglich nach außen
4. Ports über den Router in den fünfstelligen Bereich mappen (z.B. Port 34521 auf 5001)

5. NAS von Außen nur über VPN zugänglich machen.

 

[chris25]

5. NAS von Außen nur über VPN zugänglich machen.

Macht es das System wirklich so viel sicherer? Ich bin da kein Experte, was ich aber so beim Querlesen aufgeschnappt habe, scheint ein VPN ja auch angreifbar zu sein.

Kleine Liste zum Abarbeiten:

1. starke Passwörter
2. übliche Benutzernamen vermeiden (z.B. admin)
3. so wenig Dienste wie möglich nach außen
4. Ports über den Router in den fünfstelligen Bereich mappen (z.B. Port 34521 auf 5001)

Die Regeln 1 und 2 verstehe und beherzige ich bereits. Regeln 3 und 4 leuchten mir nicht so recht ein. Mittels Portscanner habe ich doch innerhalb weniger Augenblicke herausgefunden, ob die IP einen offenen Port hat oder nicht. Umbenennen und Einschränken der Ports bringen dann doch eigentlich nichts, oder habe ich da was falsch verstanden? Ob ein offener Port oder 10 offene Ports gefunden werden, ist doch im Prinzip egal.

Danke für eure Antworten.
Gruß Christoph

 

[Uwe96]

Jeder offene Port ist angreifbar. Deshalb so wenig wie nötig benutzen. Sind ja alles andere Dienste.
VPN ist soweit ich weiß das Sicherste. Das zu knacken dürfte sich bei Privat Leuten kaum lohnen. Und für die Portscanner erst recht nicht.

 

[Synchrotron]

Die meisten Portscans richten sich gegen den unteren Nummernbereich. Es ist vermutlich ertragreicher, viele IP-Adressen in diesem viel genutzten Bereich zu scannen, als umfangreiche Scans auf die oberen Nummern durchzuführen. Jeder Scan beschäftigt auch den anfragenden Server, kostet damit Zeit. Je weniger Ports offen sind, um so unsichtbarer ist die IP im Netz.

Wer mal selbst checken möchte, kann das über diese Seite tun: https://www.grc.com

Unter den VPN gelten L2TP und insbesondere PPTP als unsicher. Als sicher eingestuft ist IPSec/IKEv2 (mit der Einschränkung, dass der Algorithmus in den NSA-Papieren auftaucht) und OpenVPN. SSTP ist ein Microsoft-eigenes Protokoll, das kann man nutzen, muss es aber nicht ...

Der VPN-Server der Syno bringt einen OpenVPN-Server mit. Der sollte das Mittel der Wahl sein, wenn ich eigene Verbindungen mit höherer Leistung betreiben möchte. Braucht man nur wenig Leistung (z.B. mal zu Hause vorbei schauen) sollte die VPN-Lösung der Fritzbox reichen.

 

[geimist]

… Regeln 3 und 4 leuchten mir nicht so recht ein. Mittels Portscanner habe ich doch innerhalb weniger Augenblicke herausgefunden, ob die IP einen offenen Port hat oder nicht. …

Es werden halt immer die Standardports probiert (21, 22, 25, 5001 …) weil die Angreifer wissen, welcher Dienst sich dahinter verbirgt. Für den Angreifer lohnt es sich eher, mehr IPs zu probieren, als auf wenigen IPs alle > 65.000 Ports abzuklappern. (@Synchrotron war schneller)

Bisher hatte ich nur noch Versuche auf Port 25 vom Mailserver, den ich nicht verbiegen kann. Und seitdem ich aufgrund diesen Posts meine Blockliste im DSM mit diesem Skript alle 10 Minuten mit den IPs von blocklist.de abgleiche, ist völlig Ruhe. Kann ich nur empfehlen.

 

[chris25]

Für den Angreifer lohnt es sich eher, mehr IPs zu probieren, als auf wenigen IPs alle > 65.000 Ports abzuklappern

Vielen Dank für eure Erklärungen. Das leuchtet mir ein.

Der VPN-Server der Syno bringt einen OpenVPN-Server mit. Der sollte das Mittel der Wahl sein, wenn ich eigene Verbindungen mit höherer Leistung betreiben möchte. Braucht man nur wenig Leistung (z.B. mal zu Hause vorbei schauen) sollte die VPN-Lösung der Fritzbox reichen.

Und der Vorteil vom VPN ist dann, dass ich nur einen Port öffnen muss? Für den DDNS habe ich zwei Ports geöffnet (5000 - 5001). Darüber hinaus habe ich noch Port 80 + 443 für die DS geöffnet. Ich glaube, die haben aber nichts mit dem DDNS zutun, müssten dann also auch offen bleiben, wenn ich einen VPN nutze.

Gruß Christoph

 

[NormalZeit]

Darüber hinaus habe ich noch Port 80 + 443 für die DS geöffnet. Ich glaube, die haben aber nichts mit dem DDNS zutun, müssten dann also auch offen bleiben, wenn ich einen VPN nutze.

Der DDNS hat mit den offenen Ports erst mal garnix zu tun. Den brauchst Du, um über den (immer gleichen) Namen Deine sich täglich wechselnde IP-Nummer erreichen zu können.

Und den (chinesischen) Hackern ist der DDNS völlig wurscht, die scannen stumpf einfach große IP-Bereiche nach offenen Ports ab.

So lange Du auf Deiner Synology keine Dienste am laufen hast, die öffentlich von außen erreichbar sein sollen, brauchst Du auf Deinem Router auch keine Ports aufmachen.

VPN ist m.E. für eigene Zugriffe nach „Innen“ nach wie vor die sauberste und sicherste Lösung, und da dann bevorzugt auch direkt auf dem Router und nicht auf der Synology. Für gelegentliche Remote Administration und mal ein paar Files von zu Hause holen reicht dafür auch die (angeblich mickrige) Performance einer FritzBox dicke aus.

 

[chris25]

Der DDNS hat mit den offenen Ports erst mal garnix zu tun. Den brauchst Du, um über den (immer gleichen) Namen Deine sich täglich wechselnde IP-Nummer erreichen zu können.

Ok, aber sobald ich den DDNS nutzen um auf meine IP weitergeleitet zu werden, um von außen auf z.B. Notestation oder DSM zuzugreifen, muss ich die die Ports 5000 + 5001 öffnen (oder wie jetzt gelernt habe, besser andere Ports, die nicht beim standard Scan gefunden werden). Für VPN muss ich nur einen Port öffnen, um auf alles zuzugreifen. Ist das der entscheidende Vorteil vom VPN?

Für den VPN muss ich dann aber jedes Mal ein Programm auf dem Rechner / Handy aktivieren. Hab ich das so richtig verstanden? Außer auf die Note Station möchte ich noch von außerhalb auf ein Wiki und und die Foto Station zugreifen. Das wäre dann mit VPN auch kein Problem nehme ich an.

 

[Speicherriese]

Ja, das habe ich auf meiner Synology auch in unregelmäßigen Abständen, das jemand versucht von außen rein zu kommen. Ich habe einige Ports am Router offen, damit der Datenverkehr über die Handy Apps usw auch problemlos funktionieren.
Natürlich habe ich auch die Synology Firewall aktiv.
Erst Heute wieder hat es irgendjemand aus China wieder versucht und wurde natürlich nach 3X Ergebnislos geblockt.

Durch die HTTPS Verschlüsselung und der internen Sicherheits-Einstellungen der Syno sehe ich das gelassen.

In einem Jahr sind so ca. 10 Versuche von irgendwelchen Hackern versucht worden lt. Logdatei.

Da geht mein Puls nicht mal um 1 Schlag höher deswegen.

 

[Synchrotron]

Ein offener Port muss immer mit einer Portweiterleitung verbunden werden. Sonst ist es tatsächlich ein Scheunentor !

Die Portweiterleitung besagt, an welche IP-Adresse im Heimnetzwerk die Anfrage gehen soll, die auf dem offenen Port ankommt. Und wer dort lauscht, sollte alles abblocken, das nicht autorisiert ist. Ein VPN Server macht genau das: Er ignoriert / blockiert alles, was nicht mit den korrekten Schlüsseln für die VPN-Verbindung herein kommt.

Dazu wird je nach VPN-Verfahren mindestens 1 Port auf dem Router geöffnet und an den VPN-Server weiter geleitet. U.a. daher ist es wichtig, auf dem Empfänger der Weiterleitung eine eigene Firewall zu betreiben, weil in der Firewall des Routers bewußt ein Loch aufgemacht wurde.

Um sich mit dem VPN zu verbinden, muß am Beispiel iPhone entweder ein korrekt hinterlegtes VPN-Profil vorhanden und aktiviert sein (IPsec), oder im Fall von OpenVPN eine App diese Anmeldung bzw. Durchleitung übernehmen. Die Aktivierung geht über die Einstellungen, oder durch Aufrufen der App.

Wenn ich korrekt angemeldet bin, bin ich über das VPN Teilnehmer im Heimnetzwerk. Welche Rechte ich dort habe, hängt von dem User ab, mit dem ich mich dort z.B. an der Syno anmelde. Außerdem hängt es davon ab, welche Fähigkeiten auf dem jeweiligen Client im Heimnetzwerk aktiv sind. Prinzipiell kann der per VPN eingewählte User alles, was er auch kann, wenn er im Heimnetzwerk direkt angemeldet wäre.