Sicherheit, Blockierte IPs

hajo · 17. Feb 2011

Hallo,

ich habe sehr wenig bis gar keine Ahnung von der Materie und vielleicht gerade deswegen Sorgen.

Seit ich den FTP Server laufen habe, bekomme ich mind. einmal die Meldung, das irgendwer versucht hat sich einzuloggen, aber blockiert wurde.
In den Protokolls sehe ich nicht worauf und wie er zugreifen wollte. Lediglich die IP Adresse wird mir angezeigt, die blockiert.

Hat das was zu bedeuten? Versucht irgendwer auf mein NAS zu kommen?
Sollte ich besser den FTP Server wieder abstellen?

Sorry für die dumme Frage, aber sind meine Daten und mein NAS sicher, oder sollte ich mir Sorgen machen?

LG
Hajo

Anzeige · 17. Feb 2011

Hallo hajo,

Bücher und Hardware zum Thema gibt es bei Amazon: Sicherheit, Blockierte IPs

jahlives · 17. Feb 2011

Sobald du einen Dienst ins Internet stellst, musst du damit rechnen, dass böse Zeitgenossen auch versuchen irgendetwas gemeines damit anzustellen. Dass die IPs bei dir geblockt wurden ist ja schonmal was gutes. Worauf sie zugreifen wollten, kannst du nicht wissen, weil dieser Block bereits beim Login zuschlägt. Also noch bevor der Client dem Server mitteilt, was genau er eigentlich will.
Eigentlich kann nicht viel passieren, wenn du ein sicheres PW und nur verschlüsselte Zugriffe von ausserhalb deines LANs nutzt. Den Autoblock scheinst du ja aktiviert zu haben. Das ist ein ziemlich guter Schutz. Und natürlich bei FTP den anonymen Zugriff untersagen.

hajo · 17. Feb 2011

Hallo,

Danke für die schnelle Antwort.

Was genau heißt denn "…nur verschlüsselte Zugriffe von ausserhalb deines LANs nutzt."

LG
Hajo

jahlives · 17. Feb 2011

Der einzig wirklich gefährliche Punkt bei jeder Verbindung ist, wenn Username und Passwort übermittelt werden. Bei unverschlüsselten Protokollen geschieht dies im Klartext. Damit besteht die Gefahr, dass diese Daten auf dem Weg zu deiner DS gelesen werden könnten.
Viele Protokolle bieten auch die Möglichkeit des verschlüsselten Zugriffs. So kann man auch auf FTP via verschlüsselte Verbindung (SSL/TLS) zugreifen. Das heisst bei der DS FTPES (explizites SSL). Diese Option kannst du im DSM aktivieren und damit erzwingen, dass FTP Zugriffe nur verschlüsselt erfolgen dürfen. FTPES ist zwar etwas langsamer als normales FTP, allerdings hast du so deine Zugangsdaten verschüsselt und es ist praktisch nicht möglich eine SSL gesicherte Verbindung zu belauschen (zumindest nicht ohne, dass du es merken würdest)

hajo · 17. Feb 2011

Oh, super Erklärung. Vielen Dank!

Das will ich dann wohl mal einstellen. Ich finde es aber nicht. Ich finde nur im Fenster FTP "Nur SSL/TLS-Verbindung erlauben". Ist es das? Da ist jetzt gerade kein Haken. Mach ich mal, was?

Und dann hätte ich da noch ne Frage, bzw. Idee. Kann ich die Firewall so einstellen, dass der FTP Server nur zu bestimmten Zeiten ferigeschaltet ist? Das wäre doch dann auch ne Spur sicherer?!

LG
Hajo

jahlives · 17. Feb 2011

Jep einfach den Hacken setzen, dann wird verschlüsselt. Allerdings musst du dann im Client auch angeben, dass du ftpes verwenden willst und nicht normales FTP.
Die Firewall der DS ist leider nicht so flexibel. Du kannst damit nur Zugriffe auf Ports regeln. Leider ist es nicht möglich Regeln zu erstellen, die nur zu bestimmten Zeiten greifen würden.
Du könntest aber mal schauen ob dein Router eventuell so was wie einen Zeitplan hat. Vielleicht kannst du damit einen Zeitplan für die Portweiterleitungen defnieren. Habe schon Homerouter gesehen, die so was hatten

hajo · 17. Feb 2011

aha, danke für den Tipp. Dann muß ich dem, der die Daten per FTP erhalten soll, das mal sagen

Muss der Client dann FTP-SSL oder SFTP einstellen?

Ich habe ne Fritzbox. Da gucke ich mal.

LG
Hajo

jahlives · 17. Feb 2011

Der Client muss FTPES (FTP explicit SSL) untersützen, sonst geht es nicht. Das ist die einzige verschlüsselte FTP Methode, die die DS kennt. Wenn du als Client Filezilla verwendest, dann kann du unter "Ziel" einfach ftpes://LAN_IP_DER_DS angeben und der verschlüsselte Zugriff sollte aufgebaut werden.
FTPS ist dann aber was anderes. Das steht für FTP implicit SSL. Der Unterschied ist, dass der Client bei explicit die Verschlüsselung mittels eines Kommandos an den Server aktivieren muss. Bei implicit ist dieses Kommando nicht nötig und die Verbindung ist von Anfang an verschlüsselt. Wie gesagt die DS kennt nur explicit.
SFTP ist dann nochmals was anderes. Das ist eine "FTP" Verbindung, die durch einen SSH (SecureShell) Tunnel aufgebaut wird. Das geht zwar auf einer DS, erfordert aber einige Eingriffe für "Fortgeschrittene"

Super-Grobi · 17. Feb 2011

[Sie fanden diesen Beitrag hilfreich] klick...

hajo · 17. Feb 2011

Super-Grobi schrieb:
[Sie fanden diesen Beitrag hilfreich] klick...

Was soll das? Ironie? Ich hoffe nicht, mir hat es wirklich viel gebracht. Ich muß jetzt nur erörtern, was mein Kunde für nen Client hat und so.

Mit meinen Cyberduck geht´s scheinbar nicht. Mist!

Vielen Dank!
Hajo

Super-Grobi · 17. Feb 2011

neinein, um Gottes Willen. Nicht erschrecken lassen. Ich fand das auch sehr gut.
Ich fand das sogar besonders gut, weil ich wat lernen konnte (FTPES / FTPS / SFTP)
Deshalb habe ich ja auch diesen imaginären Button geklickt.... Das kam wohl nicht so besonders gut raus... sorry!

Grüüüße!

jahlives · 17. Feb 2011

hajo schrieb:
Was soll das? Ironie?

Ich will für ihn hoffen, dass es nicht ironisch war. Ich weiss nämlich wo sein Haus wohnt und sein Bett schläft. Habe mir doch solche Mühe gegeben

Probier mal Filezilla, damit sollte es gehen

hajo · 18. Feb 2011

Ja prima

Vielleicht kenne ich ich auch nur nicht die Geflogenheiten in Foren. Ich bin so selten hier

Also ich lade gerade mal Filezilla runter und teste...

Lg
hajo

hajo · 18. Feb 2011

So, nun habe ich Filezilla für Mac. Leider bekomme ich folgende Fehlermeldung:

Status: Auflösen der IP-Adresse für ich.dyndns.org
Status: Verbinde mit xx.xx.xxx.xxx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 DiskStation FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH SSL command successful.
Status: Initialisiere TLS...
Fehler: GnuTLS error -12: A TLS fatal alert has been received.
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Was soll mir das sagen?
Bevor Ihr fragt, ich habe FTPES eingestellt.

Hat es evtl. etwas mit diesem passiv verbinden zu tun?

LG
Hajo

Trolli · 18. Feb 2011

jahlives schrieb:
FTPES ist zwar etwas langsamer als normales FTP

Es sind nicht mehr Daten - allerdings braucht die DS für die Verschlüsselung einiges an Rechenpower. Über eine Internetverbindung wird man da aber keinen Unterschied merken, da ist der Flaschenhals eh immer die Uploadgeschwindigkeit. Und dabei ist FTPES dann auch nicht langsamer als normales FTP.

jahlives · 18. Feb 2011

Trolli schrieb:
Es sind nicht mehr Daten

Wetten doch

Verschlüsselte Daten sind eigentlich immer länger als die Originaldaten. Wären sie gleichlang wäre das schonmal ein Angriffsvektor.
Verschlüssle mal ein Bit und schau wieviele Bytes die verschlüsselte Chiffre lang ist

Gruss

tobi

Super-Grobi · 18. Feb 2011

Verschlüssle mal ein Bit

ok

0 -> 1
1 -> 0

hmmmmm.....

jahlives · 20. Feb 2011

Sorry hätte sagen sollen 1 Zeichen

hajo · 21. Feb 2011

Oh, alles neu hier

)))

Ich komme einfach mit dem FTP Programm nicht weiter.
Seit dem ich es verschlüßel komme ich auch mit Filezilla und FTPES nicht auf den FTP Server?

Was kann das denn sein?

LG
Hajo

Trolli · 21. Feb 2011

Kannst Du mal bitte ein Log anhängen? Wo genau hakt es denn? Geht es mit FTPES, wenn Du keine Verschlüsselung erzwingst?

Sicherheit, Blockierte IPs

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat