DSM 6.x und darunter Unberechtigte Zugriffsversuche auf NAS, wie gefährlich sind derartige "Angriffe"

[Synchrotron]

Mit einer statischen IP geht manches besser, z.B. ist die externe Erreichbarkeit viel einfacher als über DynDNS.

Nachteil ist allerdings, dass böse Buben damit auch ein festes Ziel haben. Also so wenig wie möglich aufmachen.

Der Empfehlung, die Zugangskontrolle unabhängig von der Syno (= Webserver) zu realisieren, stimme ich voll zu. So hat man über die Firewall der Syno noch eine Ebene im Zugriffsschutz für den Netzwerkserver.

Für die, die sich das zutrauen, ist ein Raspi erste Wahl. Am besten auch gleich Pi-Hole, OpenVPN u.ä. drauf laden, dann ist das die Schaltstelle für jeden Zugang von außen.

Wer es einfacher haben will, kann bei jedem seriösen Router-Anbieter eine Stand-Alone Firewall incl. VPN, DDOS-Kontrolle, IP-Sperrung etc. kaufen. Die muss auch sorgfältig parametriert werden, erspart aber einen Raspi-Kurs.

Wem die Leistung reicht (wie mir privat), ist auch mit dem VPN-Zugang einer Fritzbox gut aufgestellt. Maximalen Durchsatz sollte man dabei nicht erwarten.

 

[est1958]

hmmmmmm..... der tread hat heute morgen ein paar Aktivitäten bei mir gestartet.

Hab den Port der 216 fünfstellig gemacht. In der Fritzbox angepasst. Die Fritzbox selbst hat nach der DNS-Adresse auch einen 4 stelligen Port (nicht Standard 443, der ist für die Photostation)
Einige Onlinescanner genutzt und den Routertest von der ersten Antwort mal gemacht.
Der vierstellige für die Fritzbox wird als geschlossen interpretiert.
Der fünfstellige 216+II als offen ohne Deklaration, was dahinter stecken könnte. LOGIN ohne Admin.
Der 443 / Webserver ist für die Photostation, da hab ich noch keine Alternative gefunden. Aber das Login ist nicht admin und ein recht langes PW

Zusätzlich Admin deaktiviert, zu viele Loginfehlversuche = Sperrung der IP, alles, was man halt in der DS dazu tun kann.

Ich denk mal für meinen Fall reicht es. 2 offene - DS und PHotostr. Alle anderen Ports sind dicht laut Heise PortScanner

Hat jemand eine Idee für die Photostation 443 außer offlline stellen.

 

[NSFH]

Wer einen höheren Durchsatz bei VPN möchte und auch mehr Einstellmöglichkeiten der Firewall sucht sollte sich mal die Router von Draytek ansehen. Fritz VPN ist wirklich sehr langsam und leider auch nur sehr rudimentär implementiert.
https://www.draytek.de/produktuebersicht.html

 

[framp]

Hat jemand eine Idee für die Photostation 443 außer offlline stellen.

Geht das nicht bei Photo Station/Einstellungen/Allgemein/Router Port ?

 

[est1958]

Geht das nicht bei Photo Station/Einstellungen/Allgemein/Router Port ?

Danke für den Hinweis, das war der Weg in die richtige Richtung.

Hat nach langen Fehlversuchen nun im Endergebniss, dass alle drei offenen Ports - Fritzbox - DS - Photo, nun fünfstellige Werte haben.

Bei der Photostation war noch die Krux, dass das Eintragen eines Ports alleine nicht ging.

Musste in der Fritzbox den fünfstellingen als EXTERN eintragen mit Weiterleitung zum Gerät auf 443.

Jetzt läuft es endlich im internen Netz und der Zugriff von außen per Notebook und per DS Photo.

In der Fritzbox musste ich den 443 stehen lassen und er zeigt die grüne LED, obwohl der Port in der Einstellung deaktiviert ist. Nur in der Kombination klappt der Zugriff auf die Photostation von außen nach innen.

Im Endergebnis bin ich jetzt zufrieden:

Der Test von Heise = Komplett-Check (Standard-Ports + Router-Tests) zeigt gar nichts.

Suche ich gezielt nach 80,8080,443 und den 3 neuen 5-Stellingen, dann werden die neuen als offen angezeigt mit "kein Standardport" und die anderen sind mit Status gefiltert, aber grün.

 

[blurrrr]

@NSFH: machst Du schon wieder Draytek-Werbung?

 

[ottosykora]

In der Fritzbox musste ich den 443 stehen lassen und er zeigt die grüne LED, obwohl der Port in der Einstellung deaktiviert ist.

damit ich auf die Fritz komme, stelle ich dort einfach einen anderen Port ein als 443. Egal was, etwas was frei ist. Dann kommt man in Not auch noch auf die Fritzbox.

 

[est1958]

damit ich auf die Fritz komme, stelle ich dort einfach einen anderen Port ein als 443. Egal was, etwas was frei ist. Dann kommt man in Not auch noch auf die Fritzbox.

Hi, Missverständnis, für die Fritzbox hatte ich schon immer einen anderen Port als 443, den hab ich heute sogar fünfstellig gemacht.

Ich schriebe................ Hat nach langen Fehlversuchen nun im Endergebniss, dass alle drei offenen Ports - Fritzbox - DS - Photo, nun fünfstellige Werte haben.

siehe weiter oben.

Den 443 habe ich nicht gelöscht, weil ich den auch für let´s encrypt brauche. Den Port für Photo St. habe ich intern auf 443 geroutet, vielleicht ist das der Grund für die grüne LED in der Fritze