Zugriff von Hacker auf meine DMS aus China - bitte um Hilfe

[Nermelyn]

Hallo Forum,

ich bin ein Neuling und etwas beunruhigt. Auf meiner DS412+ habe ich im Protokoll seltsame Zugriffe entdeckt. Nun bin ich doch sehr beunruhigt, da die IP´s zu einer Firma aus Hongkong oder China gehören - waren unterschiedliche.

Kann mir jemand sagen, ob meine Vermutung richtig ist und wie ich sowas unterbinden kann? Die DS ist im Netzwerk an einer Fritzbox angeschlossen und hat keine besonderen Einstellungen. Ein DDN Service ist nicht aktiv, habe ich dennoch mal gelöscht aus der Systemsteuerung.

Es wäre gut eine Hilfe zu bekommen, da ich keine Lust habe dass jemand bei mir auf dem Server rumpfuscht. Zumal da auch sensible Daten drauf sind.

Vielen Dank

 

[Puppetmaster]

Also mindestens einmal Port 22 ist in deinem Router offen. Den solltest du schließen, wenn du ihn nicht benötigst.

 

[ottosykora]

und wenn man den Port 22 mal kurz doch braucht, dann wenigstens den Autoblock in der Systemsteuerung einschalten so dass der Angreifer nur wenige Tests machen kann.

 

[Tommes]

Ein weiterer Tipp wäre die GeoIP Funktionen in der DS-Firewall zu konfigurieren um solche Angriffe weiter einzuschränken!

 

[derniwi]

Hallo,

eine weitere Frage: hast du in der Fritzbox eine Port-Weiterleitung zur DS definiert? Ist die Fritzbox evtl. von dem Sicherheitsproblem, welches einige Modell mit alter Firmware haben, betroffen? Evtl. solltest du auch den Fernzugriff der Fritzbox prüfen, denn darüber müssten die Angreifer ja schon durchgreifen können. Und auch mal die Kennwörter prüfen.

Falls die Fritzbox noch eine alte Firmware hat und vom Sicherheitsproblem betroffen ist, würde ich auf jeden Fall die neue Software einspielen und die Kennwörter ändern - auch jenes für den DSL-Zugang!

Oder ist irgendwo ein VPN definiert und das System noch durch die Heartbleed-Lücke betroffen? Auch hier gab es vor wenigen Tagen vieles in der Presse.

Gruß
Nils

 

[Thorndike]

Zumal da auch sensible Daten drauf sind.

Wenn die Daten wirklich sensibel sind dann gehören sie nicht ins Internet und auch nicht auf ein Gerät das am Internet angeschlossen ist, das war schon immer so und wird sich auch in Zukunft nicht ändern. Absoluten Zugangsschutz gibt es nicht!
Wenn es sich nur um Daten handelt die nicht jeder sehen soll reichen die üblichen Sicherheitsmaßnahmen. Was in deinem Fall passiert ist der normale Scan der automatisiert über alle Rechner im Internet läuft auf denen die normalen Ports offen sind.
Bei SSH hilft hier, wie schon genannt:
1. Autoblock aktivieren mit möglichst wenigen Fehlversuchen (Aber nicht zu wenige sonst sperrst du dich selbst aus )
2. Einen anderen Port für SSH benutzen, der ist zwar nicht sicherer aber wird von den meisten automatischen Skripten ignoriert. Den anderen Port kannst du ja im Router auf 22 an der Synology weiterleiten.

GeoBlocking auf China wir die Sache nur reduzieren, Ich habe auch Zugriffe aus Kora, USA und etlichen anderen Ländern. So ein Botnetz mach das Verteilen auf Länder einfach.

Wenn du z.B. den Webserver freigegeben hast und dort das Zugriffslog aktivierst wirst du auch da feststellen das täglich versucht wird auf die üblichen Verdächtigen zuzugreifen wie z.B. phpmyadmin oder ähnliches.

 

[Nermelyn]

Hallo Tommes, danke für den Tipp. Ich habe bereits schon den Port22 gelöscht, die Fritzbox ist auf dem neuesten Stand, Kennwörter geändert. Zugriff von außen brauche ich für die Fritz App um zu sehen, wer angerufen hat.

Die Geo IP Funktion klingt klasse, finde es aber unter Firewall nicht. Wie definiere ich denn einzelne Länder, wo finde ich eine Liste der IP´s?

 

[Tommes]

GeoIP funktioniert erst seit DSM 5.0 4482. Auch solltest du neben der GeoIP auf jeden Fall deinen lokalen Adressbereich wie z.B. 192.168.178.1 bis 192.168.178.255 für den Zugriff freigeben, sonst könntest du dich selber aussperren (was der DSM imho jedoch vorher verhindert)

Und da Bilder bekanntlich mehr sagen als 1000 Worte...

DSM - Hauptmenü-> Systemsteuerung-> Sicherheit...



(nach Punkt 5 mußt du noch -Aktion- "Zulassen" anwählen)

Im Ergebnis sollte das dann etwa so aussehen (falls du nur Deutschland und dein lokales Netzwerk freigeben möchtest)



Tommes

 

[Sascha_L_a_S]

Hallo zusammen.

Ich habe zu dem Thema heute auch etwas seltsames beobachtet, hier zunächst meine Einstellungen:

In meiner Fritzbox hatte ich definitiv nur zwei Portweiterleitungen

-> von Port 443 auf 443 (Photostation) und
-> von Port 22222 auf 22222 (SFTP eigener Port festgelegt).

In meiner Syno-Firewall habe ich folgende Einstellungen:



Sind die Firewall-Einstellungen irgendwie falsch? Ich wollte damit bezwecken, dass nur deutsche Seiten auf meine Syno kommen.

Die Email von meiner Syno lautet wie folgt, irgendwie verstehe ich das nicht so ganz......


Sehr geehrter Benutzer, Die IP-Adresse [60.169.73.3] hat 5 vergeblich versucht sich beim Dienst SSH auf DiskStation innerhalb von 5 Minuten anzumelden und wurde um Sat Nov 15 09:24:27 2014 blockiert. Mit freundlichen Grüßen, Synology DiskStation



Gruß
Sascha

 

[goetz]

Hallo,
ist denn in Deiner 2. Regel der DS Firewall SFTP mit drin? Wenn ja, hat mal jemand etwas weiter gescannt als üblich und Deinen Port 22222 gefunden.

Gruß Götz

 

[Sascha_L_a_S]

Hallo.

Ja, in meiner 2. Regel ist tatsächlich der Port 22222 drin, dorthin habe ich SFTP umgeleitet.

Das seltsame darin ist aber, dass ich in der 1. Regel nur IP-Adressen von Deutschland zugelassen haben.

Es scheint, dass diese Regel nicht zuverlässig greift, könnte das sein?

Die GeoIP-Sperre hatte mich schon direkt interessiert, als diese verfügbar war. Wäre echt schlecht, wenn dies nicht wie gewünscht funktionieren würde :-(

Hat jemand ähnliche Erfahrungen gemacht?

Vielen Dank schon mal vorab.

Gruß

Sascha

 

[g202e]

Es scheint, dass diese Regel nicht zuverlässig greift

Scheint es dir nur so oder hast du Beweise?

 

[Frogman]

... Es scheint, dass diese Regel nicht zuverlässig greift, könnte das sein?
Die GeoIP-Sperre hatte mich schon direkt interessiert, als diese verfügbar war. Wäre echt schlecht, wenn dies nicht wie gewünscht funktionieren würde :-(

Die Frage ist, was Du dir wünschst... Die Funktionsweise der Firewall ist da vielleicht etwas anderes: dort werden die Regeln von oben nach unten abgearbeitet, bis eine Regel zutrifft. Deine erste Regel sagt, dass Zugriffe von deutschen IPs auf allen Ports zugelassen werden - was aber nicht bedeutet, dass damit Zugriffe von nichtdeutschen IPs pauschal gesperrt sind (eine solche Negation der Bedingungen entspricht nämlich nicht dem Zutreffen einer Regel!). Für solche Zugriffe, für die die erste Regel also nicht zutrifft, werden alle nachfolgenden Regeln abgearbeitet. Trifft dabei keine Regel zu, wird entsprechend der Schlusseinstellung der Zugriff gesperrt. Da du SSH in der zweiten Regel aber für alle IPs zugelassen hast, ist der von dir registrierte Versuch legitim. Du siehst also - hier hat alles seine Richtigkeit.
Noch ein Hinweis: wenn du einen Zugriff explizit ausschließen möchtest, dann kannst du dafür eine 'Verweigern'-Regel erstellen - meines Wissens mit leichten Einschränkungen wie bspw. einer Mengenlimitierung für Länderlisten (ich glaube auf 10 Länder in einer Regel). In deinem Fall könntest Du also Zugriffe aus Ländern wie China, Ukraine u.ä. explizit verweigern (was also dem Zutreffen dieser Regel entspricht).

 

[frischi1974]

Das geht einfacher !!!



man beachte im unteren ende des bilde den Punkt wenn keine Regel zutrifft alles verweigern.

Edit: und für Deutschland genau überlegen welche Ports bzw. Apps funktionieren sollen.

Edit2: 172.X.X.X ist eine Beispiel Home Netz IP Adresse da müsst ihr eure eigene Home IP Range eintragen.

@Frogman Pro Firewall Regel kann man 15 Länder wählen aber so wie ich's zeig ist es übersichtlicher und auch einfacher.

 

[Tommes]

man beachte im unteren ende des bilde den Punkt wenn keine Regel zutrifft alles verweigern.

Alles andere wäre ja auch ziemlich Sinnfrei bei dieser Konfiguration.

Edit: und für Deutschland genau überlegen welche Ports bzw. Apps funktionieren sollen.

Wird das nicht durch die Portfreigabe im Router vorgegeben? Einfacher wäre hier meines Erachtens für Deutschland alles freizugeben und im Router dann halt die entsprechenden Ports zu definieren. Also so, wie ich es im Post #8 bereits beschrieben habe. http://www.synology-forum.de/showth...bitte-um-Hilfe&p=428388&viewfull=1#post428388

Aber viele Wege führen nach Rom und daher ist hier wohl der Weg das Ziel.

Tommes

 

[frischi1974]

Alles andere wäre ja auch ziemlich Sinnfrei bei dieser Konfiguration.

Wird das nicht durch die Portfreigabe im Router vorgegeben? Einfacher wäre hier meines Erachtens für Deutschland alles freizugeben und im Router dann halt die entsprechenden Ports zu definieren. Also so, wie ich es im Post #8 bereits beschrieben habe. http://www.synology-forum.de/showth...bitte-um-Hilfe&p=428388&viewfull=1#post428388

Aber viele Wege führen nach Rom und daher ist hier wohl der Weg das Ziel.

Tommes

Sicher ist sicher so kann nichts durchflutschen falls am router ebenfalls alles freigegeben ist !!

Edit: Ich selbst hab den Router meines Anbieters Da kann man kaum was einstellen Zwecks Firewall,

Dahinter habe ich meinen Netzroller für das Interne Netz und dann kommt meine Synology DS 213+ ,

Daher habe ich sozusagen 2 Firewalls vor der DS aber sicher geht immer, das habe ich so da ich dem Anbieter meines Netzes nicht traue da dessen Firewall
nicht zu konfigurieren ist

 

[Tommes]

Sicher ist sicher so kann nichts durchflutschen falls am router ebenfalls alles freigegeben ist !!

Naja gut, aber du sprachst ja von "Es geht einfacher" und das ist in meinen Augen eben nicht einfacher. Sinnvoller vielleicht, einfacher aber nicht. Und am Router sollte eigentlich nichts durchflutschen, was du nicht auch durchflutschen lassen möchtest. Oder nutzt du etwa UPnP um deinen Router per DSM zu konfigurieren?

 

[frischi1974]

Naja gut, aber du sprachst ja von "Es geht einfacher" und das ist in meinen Augen eben nicht einfacher. Sinnvoller vielleicht, einfacher aber nicht. Und am Router sollte eigentlich nichts durchflutschen, was du nicht auch durchflutschen lassen möchtest. Oder nutzt du etwa UPnP um deinen Router per DSM zu konfigurieren?

Stimmt schon aber es gibt Experten die alles stammt router durchreichen und erst dann darüber Nachdenkens sie mit wem teilen möchten

 

[Tommes]

Wer am Router alles durchreichen lässt, der stellt seine DS (bewusst oder unbewusst) in eine DMZ oder einen Exposed Host. Das ist in meinen Augen aber auch grob fahrlässig wenn man da nicht genau weiß was man tut. Dann sollte man lieber die Finger ganz von den Dingen lassen, von denen man keine Ahnung hat. Jedoch wäre in diesem Fall dann dein Vorschlag das mindeste, was wann tun sollte um sein System wenigstens etwas zu schützen. Aber die Firewall allein reicht dann definitiv nicht mehr. Da muß man dann schon größere Kaliber auffahren.

 

[frischi1974]

Das stimmt schon aber das führt an dem Thema vorbei finde ich, aber klar du hast recht aber wie viele Leute holen sich ein NAS aber haben gar keine Ahnung was sie tun, und aus dem grunde habe ich diesen Post gemacht, ohne mein Netz offen zu legen.
Weswegen ich einen zweiten Router einsetze um halt selbst zu wissen was nach aussen offen ist und was nicht.
Vielleicht habe ich dadurch gleich mit der Synology DS drei Firewalls mit den ähnlichen verboten laufen, aber das Netz ist flott und wer einbrechen möchte hat Wohl 3 zum Knacken vor sich ;-) kleiner Scherz denn alles was im Netz erreichbar ist ist auch angreifbar!

Edit: egal wie viele Firewalls man benutzt