DSM 6.x und darunter Unzählige Login Fehlversuche

[Jamo]

Hallo Leute,

Ich habe vor kurzer Zeit mal das Protokoll Center im DSM installiert um ein bisschen mehr zu sehen was so passiert. Beim Nachschauen meines Login-Protokolls ist mir aufgefallen, dass ungefähr alle 1-2 Minuten versucht wird sich von irgendwelchen IPs in meine DSM einzuloggen. Ich habe mal einen Screenshot gemacht:


Ist das "normal"? Sind das Bots die nach offenen Ports scannen und willkürlich Loginversuche starten oder was kann ich mir darunter vorstelen? Und muss ich mir Gedanken machen? Wie kann ich mich schützen? 2-Faktor Authentifizierung ist aktiviert. Die Diskstation ist über SFTP, WebDav, Quickconnect/Synology.me übers Internet erreichbar und dafür hab ich natürlich auch einige Ports auf meinem Router für weitergeleitet. Eine Webstation habe ich auch noch am Laufen wo einfach eine private Webseite gehostet wird. Vermutlich alles Möglichkeiten die Diskstation anzugreifen, korrekt?

Danke für eure Antworten!
Manuel

 

[NSFH]

ist deine private Webseite über Port 80 erreichbar? Würde ich schliessen und nur https zulassen.
Desweiteren in der Firewall einen Länderfilter einsetzen und nur die Länder zulassen wo du wirklich Zugriffe erlauben willst.
Die offenen Ports von SFTP und WebDav Aussen im Router auf hohe 5-stellige Ports verlegen.

 

[Jamo]

Ich hatte vor wenigen Wochen meine Port-Einstellungen korrigiert und dabei tatsächlich vergessen https anzupassen. Hab ich jetzt gemacht, sprich Port 80 auf Port 443 weitergeleitet.

Meine Firewall in der DSM war tatsächlich ausgeschalten.... Hab ich jetzt angemacht und eine Regel erstellt die nur IPs aus DE und NL zulässt. Heißt das automatisch, dass alle anderen blockiert werden? Sollte ja so sein, sonst würde die Regel ja keinen Sinn ergeben.

Zu den offenen Ports für WebDAV und SFTP: Einfach irgendeinen port aussuchen damit nicht der StandardPort benutzt wird den jeder kennt? Irgendwas bis 65.536? Hab ich geändert, danke für den Tip. Hab den Port dann im Router weitergeleitet, kann aber irgendwie immernoch nicht per SFTP drauf zugreifen, komisch. Aber gut, krieg ich noch gelöst denke ich.

Nachtrag während des Schreibens: Kein einziger fremder Login-Versuch mehr in den letzten 15 Minuten während ich hier schreibe. Danke dir für die Tipps!

Grüße,
Manuel


Edit: Ich sehe gerade, dass man unter "Externer Zugriff" > "Routerkonfiguration" ja auch Ports weiterleiten kann. Da sind auch ein paar Sachen eingetragen, aber am Ende zählt doch das was im Router eingestellt ist, oder? Ich hatte die DSM interne Möglichkeit jetzt komplett ignoriert und alles im Router eingestellt.

Edit2: Noch ein Nachtrag. Ich muss zu meiner peinlichen Schande gestehen, ich benutze immernoch das Standard-Admin Konto... Ich hatte mich nie getraut ein anderes Admin Konto zu erstellen und das Standard-Konto zu deaktivieren, weil mir der Gedanke erst gekommen war als ich "alles eingerichtet" hatte und dann Angst hatte jetzt wo alles läuft funktioniert wieder die Hälfte nicht wenn ich das mache. Aber ich denke ich sollte das doch mal tun. Wenn der neue Account Admin Rechte hat, sollte aber schon alles laufen, oder muss ich überall Berechtigungen anpassen etc?

Edit3: SFTP kriege ich irgendwie nicht ans Laufen, bzw kann mich nicht verbinden... FTP muss ich dafür nicht anmachen, oder? Hatte ich kurz versucht, aber nichts gebracht. Mein Port ist offen, hab ich getestet, versteh ich nicht...

 

[NSFH]

Wenn du nur DE und NL in der Firewall freigegeben hast alles gut so, solange am unteren Ende des Fenster auch der Haken bei alle anderen blockieren gesetzt ist.

Idealerweise schaut man zB hier nach welche Ports frei sind und nicht durch irgendwelche andere Dienste dauerhaft verwendet werden. https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports#Legende

Die Routerkonfiguration in der Syno am besten ganz aus dem Gedächtnis löschen, evtl Eintragungen genauso.

Neues Adminkonto anlegen, testen. Wenn es klappt das alte Konto deaktivieren.
Aus Sicherheitsgründen habe ich überall ein zweites Adminkonto installiert, welches nur als Notnagel mit einem total kryptischen Passwort vor sich hin schläft.

In der Firewall ist SFTP offen? Richtigen Port und IP in der Weiterleitung im Router eingestellt?

 

[Jamo]

Wenn du nur DE und NL in der Firewall freigegeben hast alles gut so, solange am unteren Ende des Fenster auch der Haken bei alle anderen blockieren gesetzt ist.

Hm, keine Ahnung wo das zu finden ist, sehe ich nicht. Und ein Selbsttest mit VPN aus nem willkürlichen anderen Land, scheint trotzdem verbinden zu können. Merkwürdig... Die ganzen LogIn Versuche passieren aber nach wie vor nicht mehr, schonmal gut. Hätte schon gedacht, dass es an der Firewall liegt...

Idealerweise schaut man zB hier nach welche Ports frei sind und nicht durch irgendwelche andere Dienste dauerhaft verwendet werden. https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports#Legende

Cool, danke für den Tip!

Die Routerkonfiguration in der Syno am besten ganz aus dem Gedächtnis löschen, evtl Eintragungen genauso.

Also die ganzen Einträge einfach löschen?

Neues Adminkonto anlegen, testen. Wenn es klappt das alte Konto deaktivieren.
Aus Sicherheitsgründen habe ich überall ein zweites Adminkonto installiert, welches nur als Notnagel mit einem total kryptischen Passwort vor sich hin schläft.

Ja klingt sinnvoll. Werde ich auch machen!

In der Firewall ist SFTP offen? Richtigen Port und IP in der Weiterleitung im Router eingestellt?

Firewall sieht jetzt so aus, der durchgestrichene port ist dann meine Portnummer die ich ausgesucht habe.

Und in meinem Router wird der Port auch weitergeleitet. Das habe ich online getestet, der Port ist offen. Verbinden will ich dann mit FileZilla, wähle SFTP aus, gebe meine Adresse und meinen Port ein, klappt nicht...

 

[NSFH]

Die Routereinstellungen in der Syno sind NICHT relevant! Kannst du deaktivieren!
Also deine Firewall könntest du auch glatt deaktivieren, da du bis auf die Ländereinschränkung ALLES zulässt.

Das mit den Port umlenken hast du missverstanden. In der Syno blieben alle Ports original nur im Router musst du die "verbogenen" Ports eintragen. Der Eintrag mit dem gestrichenen Port ist falsch und unnötig, da du eine Zeile höher schon alles erlaubt hast!
Die Firewallregeln werden von oben nach unten abgearbeitet. Da du oben alles erlaubt hast kommt sie gar nicht mehr in die dritte Zeile.

Lösche alle Eintragungen in deiner Fw, die sind Murks..
Erstelle mal einzelne Regeln, für jeden Dienst eine eigene Zeile.
Als erstes erlaubst du den Zugriff auf DSM (5000-5001) und evtl auch 7000-7001 (Filestation)m Zugriff nur aus deinem eigenen Netzwerk/Subnet
Dann erstellst du eine Regel für SFTP und erlaubst hier nur Zugriff aus D und NL

Wenn du dann kapiert hast wie es geht erweitere deine Regeln um den Dateidienst mit Zugriff nur aus deinem Nw.
Gleiches dann für VPN auch auf Länder begrenzt.
Am unteren Ende des Firewallfensters ist eine Aktivierungsbox. Dort musst du den Haken setzen bei alles andere blocken!

 

[Jamo]

Danke für deine ausführliche Hilfe!

Ich muss gestehen, ich hatte die Firewall bisher eher ignoriert. Hatte einfach gedacht es ist auch etwas doppelt gemoppelt da ja eigentlich der Router schon ne Firewall hat und ich dort ja die ports freigebe. Alle anderen Ports sollte ja durch den Router eh geblockt sein. Darum hatte ich mir bisher nicht die Mühe gemacht das in der DS auch alles ein zweites Mal einzustellen. Aber das werde ich bei Gelegenheit dann mal machen und dann wieder berichten

 

[NSFH]

Da du Portweiterleitungen nutzt gehen diese Ports an der Firewall des Routers vorbei direkt auf die Syno! Leichtsinn hoch 10!

 

[Jamo]

Da muss ich irgendwie noch ne Denkblockade haben. Ich will doch dass die Ports die ich weiterleite direkt an die Syno gehen, oder etwa nicht?
Wenn ich die FW in der Syno benutze, dann muss ich die Ports im Router doch weiterhin weiterleiten, oder verstehe ich das falsch?

 

[NSFH]

Wenn du die Ports aus dem Router nicht auf die Syno weiter leitest ist am Router Ende, denn der weiss nicht wohin mit deiner Anfrage.
Hast du die Weiterleitung eingerichtet schaufelt der Router alles was auf diesen Ports ankommt stumpf zur Syno. Deshalb ist dort die Firewall wichtig!