Ständige Anmeldeversuche am DSM

[philipprem]

Hey zusammen,
ich habe seit ein paar Tagen ständige Anmeldeversuche am DSM. Es wird versucht auf sich mit dem User "admin" einzuloggen. Ich hab ein DynDns konfiguriert und den HTTPS-Port (5001) nach außen freigegeben.

Der user "admin" ist deaktiviert und mein User hat eine 2-FA. Theoretisch sollte es also alle iO sind aber die ständigen Mails nerven und unsicher bin ich auch. Ich hab die Schwelle schon auf 3 Versuche in 10min reduziert.

Es gab 3 fehlgeschlagene Anmeldeversuche von nicht vertrauenswürdigen Geräten bei Ihrem Konto [admin] auf XXXXX innerhalb der letzten 10 Minuten.

Als Vorsichtsmaßnahme können Sie sich jetzt bei Ihrem Konto nur von vertrauenswürdigen Geräten aus anmelden, auf denen Sie sich zuvor erfolgreich angemeldet haben.

Dieser Schutz wird um Sat Jul 30 14:13:17 2022
automatisch aufgehoben. Wenn Sie den Schutz jetzt aufheben möchten, gehen Sie zu Systemsteuerung > Sicherheit > Schutz > Automatische Blockierung.

Was macht ihr? Geist ihr nur per VPN zu? Doch QuickConnect statt DynDns für das DSM? Sollte ich einfach mal den Port wechseln?

 

[sky63]

Wenn man was nach aussen frei gibt muss man wohl damit leben. Port kann man noch verschieben, aber auch der wird irgendwann gefunden.
Eine bessere Lösung ist wohl ein reiner VPN Zugang wobei das VPN nicht auf dem NAS terminiert sondern entweder auf dem Router, sofern der das kann, oder ein RasPi oder ähnliches direkt hinter dem Router.

Gruß,
Sky

 

[philipprem]

Ok, warum kein VPN auf der Syno?

 

[geimist]

Port kann man noch verschieben, aber auch der wird irgendwann gefunden.

Theoretisch ja, in der Praxis in meinem Fall die letzten Jahre nicht. Es sorgt in jedem Fall für wesentlich mehr Ruhe.

 

[the other]

Moinsen,

Ok, warum kein VPN auf der Syno?

weil dein NAS dein NAS ist und damit eigentlich für S wie Storage dienen sollte aus Sicherheitsgründen.
Klar bringt Synology viele tolle zusätzliche Funktionen mit ein, aber ob du die auch wirklich sinnigerweise auf einem NAS nutzt sei mal zur Diskussion gestellt.

Hintergrund ist, dass du mit einem VPN Server immer mit einem halben Bein im Netz stehst (also der Server, nicht du). Damit ist er immer auch zusätzlich gefährdet (und damit dein NAS, aka deine Daten).
Deswegen legt mensch solche Dienste immer möglichst an die Peripherie des Netzwerkes und nicht mitten rein (und dann auch noch mit oft veralteten VPN Programmversionen und eben: deinen Daten im Gepäck).

Server, welche aus dem Internet verfügbar gemacht werden, etwa via https, sind dabei dann oft in einer DMZ, so dass eben eine Trennung zum LAN unterbunden wird.
Ich persönlich rate dir unbedingt zu VPN, wenn du von unterwegs oder entferntem Standort auf dein NAS kommen willst.
Ja, es ist zu Beginn schwierig einzurichten,
ja, es ist etwas mehr Konfiguration zur Einwahl nötig,
ja, es flutscht vielleicht nicht so lässig elegant wie einfach ein bookmark im Browser drücken und gut
...
ist aber bzgl. Sicherheit alles zu vernachlässigen, imho.

edit: für den Anfang reicht vielleicht auch einfach der fritzbox vpn Server...hier eine Anleitung dazu:
https://www.heimnetz.de/anleitungen...pn-server-fuer-die-client-einwahl-einrichten/

 

[Synchrotron]

Der FB VPN Server ist in unter 10min eingerichtet, funktioniert bei mir problemlos und seit einigen Firmwareupdates auch richtig schnell. Wäre meine erste Empfehlung.

Damit ist das eigene Netz nach außen dicht. Mich kostet es ein paar Klicks, und ich bin drin, wie von zu Hause. Da der VPN-Server auf dem Router läuft, gibt es überhaupt keine nach außen offenen Ports.

Und DDNS hat die FB auch gleich dabei, in Form der MyFRITZ!-Kennung.

 

[the other]

Moinsen,
Anleitung für ddns oder myfritz Konto einrichten findest du auch unter
https://www.heimnetz.de/anleitungen/router/avm-fritzbox/

 

[Heimi75]

Wie vorgängig hier geschrieben ist VPN die sicherste Lösung. Aber wenn das schwierig ist oder aus anderen Gründen nicht immer geht, musst Du unbedingt noch den Standardport wechseln! Also weg von 5000/5001. Und ich empfehle Dir, noch diese Anleitung umzusetzen. Bei mir ist relativ grosse Ruhe eingekehrt diesbezüglich, seit ich das so gemacht habe. Was ich unter Systemsteuerung => Terminal noch nachprüfen würde, ist ob dort nicht irgendwo noch ein Häkchen gesetzt ist. Falls nicht benötigt unbedingt rausnehmen. Wenn doch, dann auf keinen Fall den Port 22 benutzen. Der wird andauernd für Anmeldeversuche benutzt.

 

[geimist]

Was ich empfehlen würde: bekannte böse IPs schon präventiv in die Blocklist aufzunehmen. Das ist in DIESEM THREAD beschrieben.
(HIER gibt's das Skript).

Aufgrund der hohen Fluktuation in der Liste lasse ich das Skript aller 20 Minuten laufen (dauert ein paar Sekunden).

 

[Sequoia]

@Heimi75 Aber ist es in der Anleitung, die Du verlinkt hast, nicht falsch? Dort wird geschrieben, als Rule 4, dass man alle anderen blockieren muss. Hier wurde jedoch gesagt, dass die, die nicht erlaubt sind, automatisch blockiert sind? Was stimmt nun?

 

[Heimi75]

Bin nicht sicher, ob ich Deine Frage richtig verstehe. Mit Rule 4 erreichst Du genau das. Alle IP‘s, die nicht aus Deinem Land kommen (oder den Ländern, die Du noch dazu konfigurierst, je nach Bedarf) werden so blockiert. Wie in der Anleitung auch steht, kommt es darauf an, in welcher Reihenfolge das in der Firewall eingegeben wird. Zuerst kommt immer das erlaubte und dann das verbotene. Mit Rule 5 kannst Du noch Ausnahmen definieren. Bei mir läuft das Skript gleich auf dem Synology-Router, dann ist gleich am Eingang zu.

 

[Sequoia]

Ich hatte hier: https://www.synology-forum.de/threads/hilfe-daten-ploetzlich-alle-verschluesselt.122239/post-1015701
gefragt, ob es bei der FW reicht, nur Länder einzugeben, die erlaubt sind, sodass dann alle anderen automatisch geblockt werden, und das wurde so bestätigt.

 

[Heimi75]

Sorry, jetzt habe ich auch verstanden . Das stimmt, aber es ist einfach eine zusätzliche Sicherheit, die meiner Meinung nach nicht schadet.

 

[DustFireSky]

Geist ihr nur per VPN zu? Doch QuickConnect statt DynDns für das DSM? Sollte ich einfach mal den Port wechseln?

Ich mache alles über VPN. Das ist eigentlich auch am einfachsten. Wenn du das nämlich nicht über VPN machst, musst du ja alle Ports der Dienste in dem Router erlauben, welche du benutzen möchtest, um von extern auf diese zugreifen zu können. Wenn das zwei bis drei Dienste sind, kommen da schon so ein paar Ports zusammen. Dann lieber nur die VPN Ports öffnen und gut ist. Die meisten haben keinen Bock, wenn diese erkennen, dass nur VPN Ports offen sind, da wirklich rumzuprobieren, ob man da an die Passwörter/Anmeldedaten kommt. Mein VPN Server läuft schon seit Jahren und da hat sich noch keiner drauf verirrt! Muss aber auch nichts heißen, denn ich gebe diese Daten auch nicht an Hinz und Kunz weiter!

Quickconnect ist zwar schön einfach, aber ich persönlich würde das lieber über einen anderen Anbieter machen. Ich habe eh ein Webspacepaket gebucht und da ist DDNS inklusive.

Du kannst zwar die Ports ändern, aber das bringt auch nur bedingt etwas. Sicherheit erlangt man nicht durch Verschleierung. Wenn jemand alle Ports mit deiner IP scannen lässt, dann wird der schon merken, das du den Standard Port geändert hast. Bringt also nichts. Damit siebst du nur einen kleinen Teil der Angriffe, aber nicht jene, die wirklich Ahnung von der Materie haben! Menschen kann man nicht so leicht verarschen

 

[sky63]

Es kommt ja immer auf den Schutzbedarf an den man so hat, daraus resultiert dann der Aufwand den man treiben muss.
In den meisten Fällen ist die Syno wohl DIE zentrale eierlegende Wollmilchsau. Da liegen dann Fotos, Kontakte, Termine, Mails der ganzen Familie. Manch einer hat dann noch ein DMS laufen und sämtliche Dokumente genannt und das Papier entsorgt. Schon in dem Fall würde ich mir überlegen ob ich das nach außen freigeben muss. Wozu? Muss aber jeder für sich entscheiden. Wenn dann geschäftliche Daten dazukommen ist das nochmal eine andere Hausnummer. Dann muss ich mir überlegen ob eigentlich ein Backup reicht. Wie lange dauert die Wiederherstellung aus einem Backup und läuft mein Geschäft so lange weiter.
Wenn man dann zu dem Schluss kommt das man was nach außen zeigen muss oder will sollte man sich Gedanken machen ob diese eierlegende Wollmilchsau das richtige Produkt zur Netzwerkabsichrung ist. Meine Wahl wäre es nicht.
VPN Endpunkt ist ein eigenständiges Gerät in einer DMZ. Dahinter steht die Firewall als eigenständiges Gerät. In der DMZ steht ein Reverse Proxy der auf die Dienste verweist die hinter der FW stehen(und möglicherweise auf der Syno legen).

Gruß,
Sky

 

[Heimi75]

Eine weitere Möglichkeit ist, über Systemsteuerung => Anmeldeportal => Erweitert => Reverse Proxy zu arbeiten. Das geht mit der DS ja ganz leicht. Ausser dem Port 443 ist dann gar nichts mehr offen nach aussen und trotzdem kannst Du von aussen zugreifen. Wenn man, um bei diesem Beispiel zu bleiben, bei DSM für den HTTPS-Zugriff bei Port 5001 bleibt, dann kann man über Reverse-Proxy über z.B. server.meinedomain.synology.me zugreifen. Der Port 5001 muss nach aussen aber nicht freigegeben werden. Das würde dann so aussehen:

Funktioniert bei mir auch bei allen Apps ausser bei Audio- und Videostation. Aber hier hat mir der Tipp von Fusion geholfen:

Kann dir nur sagen, dass alle Apps die direkt unter Systemsteuerung > Anmeldeportal aufgeführt sind über benutzerdefinierte Domains (dienst.example.com) auf 443 laufen..

Bei den mobilen Apps, besonders die älteren, muss man dienst.example.com:443 als Adresse eintragen, weil die App andernfalls ungefragt, und nicht für den Benutzer ersichtlich, im Hintergrund probiert auf 5001 sich zu verbinden.

 

[Heimi75]

@sky63 : unsere Beiträge haben sich gekreuzt .
Es gibt mehrere Wege nach Rom ohne alle Ports öffnen zu müssen. Das ist prinzipiell schlecht. Schon am Router sollte möglichst viel abgefangen werden. Darum habe ich hinter den Router meines ISP noch den Synology-Router gehängt. Vom ISP-Router eine DMZ zum Synology-Router und der macht das Ganze. So sieht mein ISP auch "nur" den Router. Aber der Synology-Router lässt sich besser verwalten. Zudem bietet er ebenfalls mehrere VPN's an, so dass das VPN-Paket auf der DS nicht genutzt werden muss. Mit meiner Konfiguration kann ich die DS zwar von aussen erreichen, was für mich wichtig ist. Aber fremde Anmeldeversuche habe ich nur noch äusserst selten. Meistens betrifft es Mailplus. Werden aber auch ziemlich schnell geblockt, dank der Einstellungen. Es sind in meinem Falle offenbar auch allermeistens automatisierte Abfragen, siehe hier der letzte Versuch von vor 10 Tagen:

So schnell kann gar keiner User und Passwörter eingeben, da liegen ja nur zwischen 2 und vier Sekunden dazwischen. Die User gibts bei mir alle nicht natürlich. Nachdenklich macht natürlich, dass sie damit trotzdem Erfolg haben müssen, denn sonst würden sie es ja nicht so versuchen...

 

[Flessi]

Anmeldeportal = Anwendungsportal

 

[Heimi75]

@geimist: vielen Dank für Dein Script. Kann man das über den Aufgabenplaner laufen lassen? Ich bin absolut nicht der Shell-Spezialist. Will da auch nichts falsch machen...
Vielen Dank und Gruss
Heimi75

 

[geimist]

Ja, tut es bei mir genau so. Du musst aber den User root wählen (ganz oben in der Liste), damit die entsprechende Blockdatenbank geändert werden kann. Am Skript selbst ist nichts anzupassen.

Wahrscheinlich ist das Skript vorher noch ausführbar zu machen. Das kann man mit einer zusätzlichen Zeile im Aufgabenplaner mit erledigen lassen.

Lade also einfach das Skript herunter (zip ggf. entpacken) und speicherst es angenommener Weise an diesem Pfad: /volume1/homes/heimi75/skripte/update_blocklist.sh

Im Aufgabenplaner erstellst du ein benutzerdefiniertes Skript für den User root mit folgendem Befehl:

chmod +x "/volume1/homes/heimi75/skripte/update_blocklist.sh"
"/volume1/homes/heimi75/skripte/update_blocklist.sh"