Security Problem? Kein angemeldeter User sichtbar - dennoch enormer Datentransfer

[Mitti1976]

Hi Leute,

ich bin ein relativ unbedarfter DSM User mit einem - wie ich befürchte - Security Problem.

Zunächst meine Daten:

Synology DS411j
DSM 4.0
Slot 1 und 2: 2x2TB im RAID-0
Slot 3: 1x2TB
Slot 4: leer
Router: ASUS RT-N56U

Ich sehe im DSM Manager, dass ich der einzige angemeldete User bin (habe die DS per Web einigen vertrauungswürdigen Personen freigegeben, von denen mit Sicherheit maximal einer in der Früh kurz drin war). Ich schaufle dzt. keine Daten über die DSM. Im beigefügten Screenshot sieht man aber sehr gut, dass doch ein relativ hoher Upload rausgeht. Einzig der 4MB Peak ist für mich erklärbar, da ab da meine Tochter einen Zeichentrickfilm zum TV zu streamen begann. Davor war aber niemand aktiv.





Ich benutze das gleiche Netzwerk um mit meinem Firmen Notebook per VPN zu arbeiten. Dabei ist mir die elendslangsame Verbindung natürlich ein ordentlicher Dorn im Aug. Deshalb bin ich darauf aufmerksam geworden. Ich finde auch leider nirgends einen Hinweis, WELCHE Daten da durch die Leitung geschickt werden. Es gibt auch m.W. nirgends eine Möglichkeit, das per Knopfdruck zu unterbinden.


Detail am Rande: seit ich Router, Firewall, DDNS, usw. für den Fernzugriff eingerichtet habe, hatte ich sicher schon knapp 10 "Einbruchsversuche" im Log-Protokoll. Allesamt wurden nach 10 erfolglosen Anmeldeversuchen innerhalb von 5 Minuten gesperrt (genau wie ichs halt in der "IP blocken" Funktion eingestellt habe).


Kann mir hier bitte dringend jemand helfen? Vielen Dank!!

Liebe Grüße,
Mitti


P.S.: Datensicherungsoption hab ich aktiviert, aber das sollte auch nicht über einen so langen Zeitraum (geht schon den ganzen Tag so) laufen - außerdem sollte das protokolliert werden. ratlos bin

 

[Puppetmaster]

Hallo!

Wo ist denn der 4MB Peak?
Sicher, daß nicht noch jemand im Haus einen Film oder dergleichen streamt?

Guck mal in die Systeminfos bei den Protokollen (sofern du die aktiviert hast) ob man dort was sehen kann.

Edit: ansonsten sind das leider viel zu wenig Infos über dein System um herauszufinden, wohin die Daten gehen.
Was hast du alles aktiviert? Evtl. sogar anonymous ftp? Damit könnte dann jeder sein...
Was hast du im Router denn für Ports freigegeben?

 

[Puppetmaster]

Noch ein Nachtrag:

Nimm doch mal den Router vom Netz (Internet) ohne ihn auszuschalten. Wenn der Datenstrom dann anhält, kann's nicht von außen kommen.

 

[Mitti1976]

Hallo Puppetmaster,

vielen herzlichen Dank für Deine überaus schnelle Reaktion!!

Sorry, der 4 MB Peak war auf dem Screenshot nicht drauf, aber resultierte sicher aus dem Streaming. Auch nach der Streaming-Geschichte bestand das Problem noch weiter - dann als ich Deinen zweiten Beitrag gelesen habe und gerade die Internet-Verbindung kappen wollte, hörte der Datenupload plötzlich auf - ohne jede Aktion von mir. Das Problem ist zwar nun nicht mehr akut, bereitet mir aber selbstverständlich dennoch Kopfschmerzen.

In der Hoffnung, Dir alle notwendigen Daten zu liefern, lege ich Dir noch einige Screenshots bei. Nach deren Anfertigung habe ich spzeziell im FTP-Bereich einige Aktualisierungen vorgenommen. Die Bilder zeigen aber noch die Situation zum Zeitpunkt des Problemauftretens.

Ich habe nun aber den Up- und Download bei FTP auf 25 KB/s begrenzt und die Protokollierung aktiviert.


Den eigenen Syslog-Dienst habe ich heute übrigens erst NACH dem ersten Auftreten des Problems aktiviert.


Nochmals vielen Dank für Dein Interesse - ich hoffe, Du kannst mir noch weiter helfen!









Liebe Grüße,
Mitti



Edit: bei den Portweiterleitungen des ASUS-Routers kann/muss man gar nicht alle Weiterleitungsregeln erfassen. Die Einstellungen habe ich schließlich nur hinbekommen, als ich die Routerkonfiguration in der DSM verwendet habe (siehe zweiten Screenshot oben). Dort dann auf Speichern und dann wurden die Weiterleitungen offensichtlich gesetzt - ohne dass man die aber in der ASUS-Oberfläche sieht...

 

[Puppetmaster]

Was mir bei der Drübersicht erstmal auffällt: Du hast ziemlich viele Ports offen! Da weiß man gar nicht, wo man anfangen soll...

Und: die Download Station hast du aktiviert, ebenso die Ports für Bittorrent offen. Hast du Bittorrent aktiviert in der Downloadstation? Dann darfst du dich auch nicht wundern, wenn da jemand drauf zugreift!

btw: gestern gab's hier noch jemand im Forum der Post vom Anwalt bekam, weil er 30 Minuten lang angeblich was im Netz offen zum download hatte...

 

[Mitti1976]

ja, den Bittorrent hab ich grundsätzlich schon aktiviert, weil ich den ja zum downloaden nutze - habe aber heute keine Downloads aktiv - ich dachte, dass nur dann auch von mir gesaugt werden kann, wenn ich selbst aktive Downloads in der Liste habe. Ist grundsätzlich alles zum Download freigegeben, was ich in meinem Download-Stammordner drin hab? Wenn ja, dann würde das die Sache erklären - abgesehen von der Tatsache, dass sich dazu keine Info in den Protokollen befindet.

Die anderen Ports hab ich offen, weil ich Sie auch nutzen möchte, wenn ich z.B. aus der Ferne auf meine PhotoStation, etc. zugreifen möchte. Andere Vorschläge?

 

[Puppetmaster]

Gibt es Protokolle bei Bittorrent?
Ich würde das erstmal ausschließen, bevor ich weitersuchen würde. Klar kann jemand an deine Files, wenn du die freigibst! Das macht ja den Sinn von bittorent aus. Da ich aber selbst nicht damit 'arbeite' kann ich dazu auch weiter nix sagen. War für mich jetzt nur erstmal das große Scheunentor.

Ich würde systematisch vorgehen wenn es wieder auftritt. Alles nach und nach zumachen und schauen, was passiert.
Ohne Protokoll kann man im Nachhinein eh nur noch raten.

 

[Mitti1976]

ja, stimmt - genauso werd ichs machen. Mich wundert nur, dass nicht standardmässig bzw. leicht und offensichtlich einstellbar ALLES mitprotokolliert wird. Jede einzelne Bewegung, jeder Dateizugriff, egal von welcher Quelle. Wäre doch nicht so abwegig, oder?

Leider kann man beim DownloadManager nur einen lapidaren "Speicherort" festlegen --> dort werden die BT-Dateien dann gespeichert. Ob die dann alle freigegeben sind, und insbesondere ob alle anderen NICHT freigegeben sind steht nirgends. Daher dachte ich, dass primär nur jene Dateien zum Download freigegeben wären, die ich selber sauge oder noch in meiner Liste drin hab. Zur Sicherheit hab ich mir jetzt aber einen Ordner "Dowloads FINISH" angelegt, in den ich dann (manuell) die fertigen Downloads verschieben muss.

Anmerkung am Rande: ich bin übrigens nicht der typische BT-Downloader, der jedem neuen Spiel oder Film hinterherjagt - die kauf ich mir. Ich interessiere mich hauptsächlich für TV-Serien, die zumeist bereits im FreeTV gesendet wurden.

Nochmals vielen Dank für Deine Zeit!! --wenn ichs mit der systematischen Methode nicht schaff, dann werde ich diesen Thread hier weiter bedienen


Liebe Grüße aus Österreich (ich weiß, das erklärt jetzt so einiges),
Mitti

 

[Puppetmaster]

Liebe Grüße aus Österreich (ich weiß, das erklärt jetzt so einiges),

Das nenn' ich jetzt mal selbstironisch!

Das Problem im weltweiten Datennetz ist ja gar nicht mal das 'downloaden'. Viel mehr das Anbieten von Downloads. Da bist du bei bittorent aber immer dabei!

Viel Erfolg beim Schalterumlegen...!

 

[sonoio]

Hallo, ich habe gesehen, dass du zwei Ports für die Surveillance-Station offen hast - läuft die denn? Hast Du eine Kamera? Wenn ja, die erzeugt einen konstanten Datenstrom im internen Netz, weil sie ja permanten Daten auf der DS ablegt, auch wenn es keine "Ereignisse" gibt. Schalte die mal aus ...
Gruß, SONOiO

 

[Puppetmaster]

Hallo, ich habe gesehen, dass du zwei Ports für die Surveillance-Station offen hast - läuft die denn? Hast Du eine Kamera? Wenn ja, die erzeugt einen konstanten Datenstrom im internen Netz, weil sie ja permanten Daten auf der DS ablegt, auch wenn es keine "Ereignisse" gibt. Schalte die mal aus ...
Gruß, SONOiO

Das würde aber doch nicht den upload von der DS erklären. Es sei denn, jemand guckt sich den Stream an.

 

[sonoio]

Ich sehe auch keinen Upload, sondern nur Netzwerkverkehr ...

 

[Puppetmaster]

Ich sehe auch keinen Upload, sondern nur Netzwerkverkehr ...

? - Ich sehe, daß die DS kontinuierlich ca. 120kb/s rausschickt. In die DS geht aber nichts rein. Wie soll das mit einer Kamera erklärt werden?

 

[sonoio]

So ganz logisch kommt mir das auch nicht vor, aber ich habe es gerade nochmal getestet, erst Surv.Station aus, dann an, dann wieder aus. Und der Upload verhält sich entsprechend:


Durch irgendeine mir noch nicht verständliche Logik zählt also das, was die Kamera auf die Syno lädt, zum Upload. Das kam mir damals schon eigenartig vor, als ich diesen Netzwerkverkehr bemerkt habe. Ich glaube, unabhängig davon, ob jemand den Stream anschaut oder nicht, wird der trotzdem zumindest lokal ins Netzwerk hineingestreamt. Aber warum es dann nicht auch einen Download (von der Kamera) gibt ...?

Etwas ratlos, SONOiO

 

[Puppetmaster]

Hallo sonoio!

Nein, du irrst dich!
Habe am Anfang auch etwas irritiert geguckt. Es ist noch ein Bug/Übersetzungsfehler in der Beta.
Wenn du mal mit der Maus über den Graph fährst siehst du sowas hier (hoffe, man kann es erkennen:



Unter dem Graph in der Legende steht verschickt und zwar grün. In den eingebelndeten Momentwerten wenn du mit der Maus drüberfährst ist verschickt blau!
An der Stelle mußt du jetzt die Farben der Legende tauschen, denn da liegt der Fehler.
Wenn du es nicht gaubst, dann verschiebe mal eine größere Datei von und zur DS...

Da der Threadsteller aber noch einen älteren DSM benutzt und noch den alten Ressourcenmonitor hat (bei dem alles ok ist), gehen bei ihm eindeutig Daten raus!
Bei dir gehen sie rein!

Im Übrigen waren es bei ihm immer ca. 120kb/s, was einer üblichen Upload Bandbreite von 1MBit enspricht.

 

[sonoio]

Stimmt!
Aber dann ist es doch gar nicht so unlogisch, wie ich gedacht habe: die Kamera sendet einen Datenstrom, den die DS EMPFÄNGT, das kommt dann doch bei mir mit der Grafik hin. Beim Threadersteller scheint es tatsächlich umgekehrt zu sein, trotzdem würde ich als erstes mal die Surveillance-Station anhalten und schauen, was passiert ...

Gruß, SONOiO