Unbefugter Zugriff auf NAS

Status
Für weitere Antworten geschlossen.

demon cleaner

Benutzer
Mitglied seit
11. Sep 2013
Beiträge
111
Punkte für Reaktionen
5
Punkte
18
Seit kurzem gibt es Versuche von auswärts auf meine Synology (2413+) zuzugreifen, immer von der fast gleichen IP aus. Zugriff wird zwar erfolgreich geblockt, trotzdem gibt’s die Versuche fast täglich. Was kann ich tun?

Dear user,

The IP address [95.70.26.60] experienced 10 failed attempts when attempting to log into DSM running on Synology2413 within 5 minutes, and was blocked at Wed Mar 28 14:23:55 2018.

Sincerely,
Synology DiskStation
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Zugriff wird zwar erfolgreich geblockt, trotzdem gibt’s die Versuche fast täglich. Was kann ich tun?

Das ist das normale Hintergrundrauschen des Internets. Da du die automatische Blockierung bereits eingeschaltet hast, bist du schon mal gut aufgestellt. Sicherlich gehört noch mehr dazu als sich auf die automatische Blockierung zu verlassen... Firewall, GeoIP, starke Passwörter, zwei Faktor Authorisierung, nur benötigte Ports weiterleiten, nur https oder nur VPN verwenden etc. fließen, neben einigen anderen Dingen, ebenfalls mit ein. Hier auf alle Möglichkeiten einzugehen würde wohl den Rahmen sprengen, auch kommt es immer auf deine eigene Paranoia an, wie weit du dein System absichern möchtest.

Tommes
 

demon cleaner

Benutzer
Mitglied seit
11. Sep 2013
Beiträge
111
Punkte für Reaktionen
5
Punkte
18
Ok, wie erwähnt, wird einwandfrei blockiert, nur habe ich mich gefragt wie lange dies andauern wird? IP ist immer die 95.70... Könnte ich diese komplett blockieren?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Kannst auch fest in die Blockliste schreiben. Ob du dir damit andere gewollte Anfragen gleich mitblockst ist die andere Frage.

Die Anzahl der Versuche kann man auch noch runter setzen.

Und welchen Dienst probiert der Ungebetene denn aus? Direkt DSM (ports) oder SSH oder anderes?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.095
Punkte für Reaktionen
570
Punkte
194
lookup zeigt Chabarowsk in Russland als Herkunft.
Meine Frage, welche Ports zeigen auf deinem Router nach draussen? Es ist nie gut die überall bekannten Syno Ports oder die Standardports für HTTPS, Webdav oder FTP zu benutzen. Die sollten eher im hohen 5-stelligen Bereich angesiedelt sein.
Am besten blocke gleich alles ausser D in der Firewall, indem du damit als Herkunftsland alle anderen ausblendest.
 

demon cleaner

Benutzer
Mitglied seit
11. Sep 2013
Beiträge
111
Punkte für Reaktionen
5
Punkte
18
Und welchen Dienst probiert der Ungebetene denn aus? Direkt DSM (ports) oder SSH oder anderes?
Keine Ahnung, Log sagt nur dass es geblockt wurde.

Habe Logins nun auf 3 während einer Minute eingestellt.

Benutze den 5000er Port oder DDNS.
 
Zuletzt bearbeitet:

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
welche Ports hast du denn forwarded, wenn Port 22 (ssh) dabei ist mach den nur auf wenn es nötig ist.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.095
Punkte für Reaktionen
570
Punkte
194
Ich hoffe du hast den 5000 (HTTP) nicht nach Aussen offen! Wenn dann nur HTTPS verwenden und den Port auch nicht Original 1:1 nach Aussen stellen!!!
Auch 22 (SSH) unbedingt auf einen anderen Aussenport redirecten!
 

frankyst72

Benutzer
Mitglied seit
01. Jun 2015
Beiträge
1.959
Punkte für Reaktionen
8
Punkte
58
Du kannst in der DSM Firewall explizit alle Zugriffe von russischen IPs blocken lassen.
 

docschelm

Benutzer
Mitglied seit
11. Jul 2012
Beiträge
122
Punkte für Reaktionen
0
Punkte
16
Ja, den kenne ich auch, versucht bei mir immer als Admin im Webinterface einzuloggen.
Ich hab alle IP von Rostelecom in der Firewall blockiert und mich bei diesem Provider über
Facebook beklagt. Man prüft zur Zeit.
Den Admin Account hab ich vorerst mal deaktiviert. Jetzt such ich mal funktionierende Ausweichports.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Um solche Zugriffsversuche zu minimieren, muss man sich abseits der Masse bewegen.

Hier wäre es z.B. die Ports in der DS zu ändern bzw. die Weiterleitung der Ports vom Router so zu gestalten.

Beispiel DS Oberfläche:
http deaktivieren, https aktivieren
Port von 5001 auf einen Port im höheren fünfstelligen Bereich (z.B. 37618) legen

Auch gilt es sowenig Ports wie möglich offen zu halten, sprich nur das, was man wirklich braucht. Alternativ ist es auch möglich keine Ports an der DS nach außen zu öffnen und dafür von außen per VPN ins eigene Netzwerk zu gehen. So hat man vollen Zugriff auf die DS und bis auf den VPN-Port keinen Port offen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.095
Punkte für Reaktionen
570
Punkte
194
Du kannst in der DSM Firewall explizit alle Zugriffe von russischen IPs blocken lassen.

Warum nur von Russischen?
Wenn man selbst nicht aus dem Ausland auf die Syno zugreift alle nach Aussen offenen Ports nur für Deutschland zulassen. Fertig! Das ist zwar kein endgültiger Schutz, denn über deutsche Proxies kommt man doch wieder an eine deutsche IP, aber es hilft schon mal.
Wer es dann immer noch nicht kapiert hat, dass man Syno-Ports nicht 1:1 an den Router übergibt und damit nach Aussen signalisiert: "Huhu, hier ist eine Syno, hack mich", dem ist dann halt gar nicht mehr zu helfen.
 

docschelm

Benutzer
Mitglied seit
11. Jul 2012
Beiträge
122
Punkte für Reaktionen
0
Punkte
16
Kurioserweise hatte ich in der Firewall alle Zugriffe außerhalb Deutschlands gesperrt und trotzdem bekam ich Besuch aus Russland.
Anmeldeversuche 3 innerhalb 5 Minuten und ab auf die Blockierlsite, gottseidank sind meine PW sehr stark.
Ports auch nochmal geändert und nun sollte Ruhe sein.

Seh ich das richtig, wenn ich den root Zugriff per SCP und SFTP mit einer Schlüsseldatei (incl Passphrase) auf meinem PC gesichert habe, dass ohne
diese Datei niemand Zugriff bekommen kann oder gibt's da auch noch ein Hintertürchen?
 

uetzel

Benutzer
Mitglied seit
02. Okt 2014
Beiträge
22
Punkte für Reaktionen
2
Punkte
3
Hallo zusammen,
habe die Infos hier sehr aufmerksam verfolgt. Kann mir jemand sagen, wie man z. B. den Port 5001 auf einen Port im fünfstelligen Bereich legt? Was muss man hierfür einstellen? Danke vorab.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Entweder du änderst den Port im DSM (Systemeinstellungen) oder du machst eine Portweiterleitung in deinem Router (von Port 34827 zu 5001).

Hinweis: 34827 ist nur ein Beispiel.
 

chrsch

Benutzer
Mitglied seit
14. Apr 2015
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
> Bei mir funktioniert eben dieses "Länderblockieren nicht!
> Mein Land, die Nachbarländer plus 3 Länder auf anderen Kontinenten werden durchgelassen, alles andere wird (sollte) blockiert.
> Nun, fast auf die Stunde genau nach einem Monat, ein weiterer Versuch aus .ru.
> Hat das jemand von Euch auch schon beobachtet?
> Ich brauche meinen Zugang via SSH, verwende aber nicht den Standartport. ;-)
> Mein Default-Admin ist dekativiert (Mercie an "Dominix").
> Sind das Zugriffe via meine xxx.i234.me Adresse oder direkt via IP des Providers?
> Kennt jemand von Euch eine Firewall welche zuviele Portscan's blockieren kann.

Gruss und Dank für Tipps und Tricks
Christof
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.095
Punkte für Reaktionen
570
Punkte
194
Was die Firewall angeht gibt's da nur höherpreisige Geräte, die die unterschiedlichsten Angriffscenarien erkennen und speziell reagieren können.
Mein Favorit Vigor 2960. Da stimmt das Preis-/Leistungsverhältnis, aber ob das für den Privatanwender interessant ist.....
Von Netgear lass ich inzwischen die Finger, unterirdischer Support, mangelhafte Fehlerbeseitigung usw.
Was deine Länderblockaden angeht, damit hatte ich bisher keine Probleme, obwohl das auch kein 100% Schutz ist, schliesslich nutzen Hacker auch Proxies und VPNs.
Du hast in der Syno Firewall ganz unten auch angeklickt: restlichen Verkehr blockieren?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.494
Punkte für Reaktionen
1.656
Punkte
274
Poste mal einen Screenshot deiner Firewall Regeln.
Wie der Zugriff erfolgt, ob IP oder Domain, kann nicht festgestellt werden.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat