SSH-Angriffe?

[Bluehorn]

Hallo zusammen,

jetzt weiß ich wieder, warum ich den SSH-Zugriff auf meine NAS deaktiviert hatte (nachdem ich ihn erstmal nicht mehr brauchte):

Dear user,

The IP address [75.148.154.225] experienced 10 failed attempts when attempting to log into SSH running on ocbnas within 5 minutes, and was blocked at Mon Nov  9 22:25:14 2015.

Sincerely,
Synology DiskStation

Gibt es einen Grund, warum da vermehrt SSH-Angriffe stattfinden?
Die NAS hat nen OpenVPN-Server laufen (über den ich mich sonst immer einlogge), anonsten diesen Synology-Tunnel (der aber komischerweise seit dem Aktivieren des VPN nicht mehr funktioniert...den könnte ich auch mal deaktivieren) und momentan eben noch SSH (was ich auf Grund eben dieser gehäuften Meldungen wieder deaktivieren werde).
Mir ist das so nicht ganz geheuer.

 

[laserdesign]

Hallo,

Gibt es einen Grund, warum da vermehrt SSH-Angriffe stattfinden?

der Grund wird sein, das ssh (Port 22) forwarded wurde.

 

[goetz]

Hallo,
ganz normales rauschen im Internet. Scripte klappern IP Bereiche ab und versuchen mit Standardpasswörtern Zugriff zu erlangen.

Gruß Götz

 

[Bluehorn]

Okay, also sollte ich mir keine Gedankenmachen und kann SSH aktiviert lassen?
Also in den letzten 5 Stunden hatte ich zwei solcher Zugriffsversuche.
Mein PW ist recht lang und eher untängig

 

[goetz]

Hallo,
wenn Du eh VPN am Start hast kannst Du ssh am Router dicht machen und Ruhe ist. Wenn Dein Passwort stark genug ist und Du mit den Meldungen leben kannst so lass den Port offen.

Gruß Götz

 

[laserdesign]

Hallo,

Gedanken würde ich mir da schon machen, wenn der Dienst ssh (Port22) unbedingt offen sein muss
brauchst du auf jeden fall ein sicheres Passwort, mindestens 16 Zeichen, besser 32 Zeichen
und das dann auch regelmäßig wechseln.

 

[MadMarvin]

Ich würde aus einem anderen Grund den Port 22 dicht machen, wenn Du ihn nicht brauchst.

Jeder Dienst ist eine potentielle Schwachstelle, die beim Entdecken von fehlerhafter Software ausgenutzt werden kann um in Dein System zu kommen. Die sicherste Alternative ist den Dienst einfach nicht nach ausserhalb anzubieten, bzw. zu deaktivieren.

Da Du ihn eh nicht zu benötigen scheinst, würde ich ihn dicht machen.

 

[BavariaR]

Habe die Firewall so eingestellt dass die IP Adresse permanent blockiert wird wenn 3 Fehlversuche stattfinden innerhalb 10.000 Stunden oder sowas... da bist du auch mit einem Passwort sicher was keine 32 Zeichen hat. Ich glaube ich nutze das Port 22 für den Remote Synch oder Remote Backup.

 

[MaCoM]

wenn 3 Fehlversuche stattfinden innerhalb 10.000 Stunden

das ist ja ein interesanter wert

 

[Frogman]

...brauchst du auf jeden fall ein sicheres Passwort, mindestens 16 Zeichen, besser 32 Zeichen
und das dann auch regelmäßig wechseln.

Also, ich bin hier weithin ja auch als Freund und Mahner sicherer Passwörter bekannt - doch hier hake ich mal ein, denn sonst könnte bei den Leuten falsche Vorstellungen entstehen. Ja, die Länge des Passworts bestimmt maßgeblich auch die Sicherheit/Stärke, was man an einem kleinen Beispiel sieht:
nimmt man ein 7stelliges Passwort mit Kleinbuchstaben, könnte man das innerhalb von knapp 4sec per BruteForce-Attacke knacken - vorausgesetzt, man könnte ca. 2 Milliarden Passwörter pro Sekunde abtesten (ein jeder mag sich überlegen, ob die DS das verkraftet ).
Ok, nimmt man nun eine Stelle mehr (also 8 Stellen mit Kleinbuchstaben), dann verlängert sich diese Zeit auf ca. 1,5 Minuten.

Wesentlich ist aber auch, wenn man statt Kleinbuchstaben auch Großbuchstaben zuläßt - dann kann jedes Zeichen nicht nur eines aus 26 sein, sondern aus 52. Dadurch verlängert sich die Zeit zum Knacken in dem Beispiel von oben mit einem 7stelligen Passwort bereits auf gute 8 Minuten. Nimmt man auch hier eine Stelle mehr, liegt man bei gut 7 Stunden.

Noch besser wird es, wenn man Zahlen (+10) bzw. Sonderzeichen (Synology nennt hier 30 Stück: ~, `, !, @, #, $, %, ^, &, *, (, ), -, _, =, +, [, {, ], }, \, |, ;, :, ', ", <, >, /, ? ) zulässt: in diesem Fall dauert es bereits mit 7 Stellen gute 7,5 Stunden, bei 8 Stellen liegt man dann bei ca. einem Monat (28,5 Tage).

Man kann davon ausgehen, dass man auf einem sehr guten Weg ist, wenn man ein Passwort wählt, was man in der Lebenszeit eines Menschen nicht per BruteForce knacken kann. Nimmt man also 60 Jahre Dauer an und legt noch einen Faktor von 1000 drauf (weil obige BruteForce-Betrachtung annimmt, dass man alle Möglichkeiten durchprobieren muss), so erreicht man bereits bei einem Passwort mit 11 Stellen diese Schwelle (dafür dauert die Attacke nämlich ca. 60500 Jahre).

Kurzum: 16 Zeichen sind schon sehr gutmütig, 32 Stellen wären unnötig.

 

[dil88]

Klasse Beitrag! Wenn Du es nicht machen möchtest und nichts dagegen hast, würde ich das im Wiki unter Allgemeine Themen / 3. Anleitungen / 1. Zugriff auf die Synology-Dienste über Internet / 1. Grundsätzliches zum Thema Netzwerksicherheit unter der Überschrift "Sicheres Passwort" (mit Quellenverweis) einbauen.

 

[Frogman]

Aber klar, fühl Dich ganz frei...

 

[dil88]

Danke. Leider wirft das Wiki einen Fehler, wenn ich dem (linken) Inhaltsverzeichnis einen Knoten hinzufügen möchte. Ich hake nach.

 

[Frogman]

Sonst editiere doch den Punkt "Passwort", den raymond dort verfasst hat. Ansonsten kann ich da heut Abend auch machen.

 

[dil88]

Ich find den Punkt Passwort nicht *Brille putz*. Schau Du gern heute Abend, ich habe Marc wegen der Fehlermeldung angeschrieben. Irgendwie kriegen wir Deinen Text da schon 'rein.

 

[laserdesign]

@Frogman,

Kurzum: 16 Zeichen sind schon sehr gutmütig, 32 Stellen wären unnötig.

meine Aussage war wohl etwas provokant und ehrlich gesagt ist mir deine Darstellung so nicht bewusst gewesen.
Danke für die Klarstellung.

Für das generieren von Passwörtern benutze ich immer "pwgen" oder gibt es bessere Möglichkeiten??

 

[Frogman]

Nun ja, ein solches Tool ist natürlich nett - wobei es immer auch die Gefahr von Implementierungsfehler enthalten könnte, so dass es zu einer Häufung bestimmter (Teil-)Nennungen kommen könnte. Ein Angreifer kann eine solche Einschränkung der Vielfalt erheblich ausnutzen. Bewährt haben sich dagegen auch Merksätze, die man sich ausdenkt, von dem man Anfangsbuchstaben mit Austausch einzelner Zeichen gegen Zahlen/Sonderzeichen nutzt - die kann man sehr einfach rekonstruieren und sind sehr individuell. Da kann man dann auch ein Hauptpasswort bilden, was man dann für unterschiedliche Dienste (diverse email-Konten, Onlinebanking usw.) durch Hinzufügung eines Domain-bezogenen Teils ergänzt, so dass man leicht mehrere Passwörter bilden kann, die es einem Angreifer schwer machen, die vollständige Kontrolle über eine Identität zu erlangen, selbst wenn ein einzelnes Passwort kompromittiert wird. Und wie gesagt - bereits ab 8 Zeichen mit Klein-/Großbuchstaben, Zahlen und mindestens einem Sonderzeichen ist man sehr gut unterwegs.

 

[laserdesign]

@dil88,

Ich find den Punkt Passwort nicht *Brille putz*.

ich glaube diese Seite war gemeint, da würde der Beitrag gut rein passen.

 

[Frogman]

Ich glaube, da muss im Wiki nichts gemacht werden - ich habe gerade gesehen, dass das ja bereits in eine Sektion "starkes Passwort" bei Wikipedia verlinkt ist und dort eine ähnliche Betrachtung schon existiert.