Zugriffe aus die DiskStation die nicht sein sollten

[wildtobias]

Hallo zusammen,

seitdem ich meine DiskStation habe und diese eine feste IP hat,
kommen andauernd Meldungen, dass die automatische IP-Blockierung
bestimmte IPs gesperrt hat.
Mit einem Traceroute habe ich mal geschaut wo die alle herkommen, da
es bestimmt 5-6 Meldungen pro Tag sind. Die Zugriffe kommen
von überall auf der Welt. Mal Russland, mal Brasilien und sonst was.

Meine Fragen sind nun:
- Bringt es etwas die IP sperre zu verlängern (von 1 auf 7 Tage), da die IP alle 24 Stunden neu vergeben wird
- Was kann man gegen die Zugriffe unternehmen, außer die DiskStation vom Internet zu trennen?

Bisher ist noch nichts passiert, nur es stört mich sehr, dass da Leute auf meine DS wollen die da nichts verloren haben.
Wie kann es eigentlich sein, dass jemand in Brasilien o.ä meine DiskStation nach 5 Minuten im Internet findet?


LG
Tobi

 

[Puppetmaster]

- Was kann man gegen die Zugriffe unternehmen, außer die DiskStation vom Internet zu trennen?

Zum Beispiel mal Port 22 (SSH) zumachen, denn dort kommen zu 99% die Angriffe drauf!
Oder den Port verlegen, z.B. in einen 5stelligen Portnummernbereich.

Starke, wechselnde Passworte sind auch nie verkehrt.

 

[TheGardner]

Ist bei mir (und wahrscheinlich allen anderen) auch so! Ich habe die Blockierung auf 100 Tage erhöht, aber das ist eigentlich nen unsinniges Gebaren, da die Robots, Programme und Hacker, die für die Zugriffe zuständig sind sowieso jederzeit mit anderen IPs kommen können!

Fakt ist, dass man dagegen nichts tun kann! Was wichtig ist, sind gute Passwörter und minimale Portfreigaben! Die meisten Scans (bei mir warens auch 5-8 pro Tag) sind eh nur Späh-Scans, ob bei einem vielleicht doch eine Lücke vorhanden ist, durch die mit der Brechstange oder dem Vorschlaghammer weiter vorgegangen werden kann!
Ich würde auch die durch Synology kommunizierten Ports am Router in andere Ports ändern! Hacker/Programme kennen ja die Infos über NAS Systeme genauso wie wir, die wir diese Systeme nutzen! Deshalb ist auf der Welt allgemein bekannt, dass Synology z.B. Ports wie 5000 oder 7000 oder oder oder nutzt. Bei einem Scan wird dann von den entsprechenden Programmen schon erkannt, welches System da auf der anderen Seite gerade gescannt wird und dann kann der Scanner sich explizit auf diese "Einrichtung" einstellen!

Ich habe bei mir am Router sämtliche Ports (außer WEB und FTP) in andere Ports umgeleitet. D.h. wenn ich von außen auf die Synology zugreifen will, dann wird ja normalerweise der Port 5000 oder 5001 beansprucht. Im Router ist aber hinterlegt, dass solche Verbindungen über den Port 56789 zu erfolgen haben! D.h. ich verbinde mich von außen mit dem Port 56789 und der Router weis dann, dass er diese Verbindungen dann intern an den Port 5000 der Synology weiterleiten soll! Die Synology (die nicht weiter umgestellt wurde und auf Werkseinstellungen läuft) merkt davon nichts und geht ganz normal an Port 5000 ran, um die Verbindung aufzubauen!

Die Hackerprogramme klopfen aber alle zuerst beim Router an - also auf 5000, aber der sagt dazu dann nur "was willst Du? Auf 5000 gibts bei mir nichts! Zisch ab! Bäh!" Da sich Hacker und/oder Scan-Programme oft nicht die Mühe machen die "unbekannten" Ports oberhalb von Port 1024 zu scannen (zu viel vergeudete Zeit) und sich auf die bekannten Muster konzentrieren, werden die auch nie herausfinden, dass sie sich vielleicht mal den Port 56789 näher ansehen sollten... um fündig zu werden!


Also unterm Strich, sollte jeder genau wissen, welche Ports bei seiner Maschine offen sind und sich vergewissern, dass die Maschine bei Anfragen auf diese Ports immer nen Passwort verlangt, so dass der Gegner 3-5 Versuche hat, bei der geblockt wird. Noch eine Etage höher wäre das "ständige Ändern der Passwörter" - was aber wohl die meisten aus Faulheit nicht tun! Aber so wirds für einen Angreifer nur noch schwieriger!

 

[Puppetmaster]

Ich kann aus mehrjähriger Erfahrung mit offenen Ports nur sagen, dass sobald Port 22 offen ist, sich die Anfragen häufen. In der Zeit wo Port 22 geschlossen ist (Standard) bekomme ich eigentlich genau 0 Anfragen. Dabei habe ich schon so einige andere Ports offen.

 

[tops4u]

Ich habe das meiste über meine Zywall zu. Offen sind : 25, 443 465, 993, 5001, 6690

Auf der Syno läuft auch Roundcube Mail in der Version 0.9.5 und von dort erhalte ich ab und an mal die Meldung es sei ein User nach mehreren Login Versuchen gesperrt worden.
Ich würde aber gerne dem User anzeigen ob und wieviele Loginversuche es mit seinem User gegeben hat und wann er das letzte Mal erfolgreich eingeloggt war... Gibt es da was?

 

[TheGardner]

Ich kann aus mehrjähriger Erfahrung mit offenen Ports nur sagen, dass sobald Port 22 offen ist, sich die Anfragen häufen. In der Zeit wo Port 22 geschlossen ist (Standard) bekomme ich eigentlich genau 0 Anfragen. Dabei habe ich schon so einige andere Ports offen.

Kann ich bestätigen!

 

[Meck]

Ich kann aus mehrjähriger Erfahrung mit offenen Ports nur sagen, dass sobald Port 22 offen ist, sich die Anfragen häufen. In der Zeit wo Port 22 geschlossen ist (Standard) bekomme ich eigentlich genau 0 Anfragen. Dabei habe ich schon so einige andere Ports offen.

Also auf meinem VServer kann ich im LOG-File sehen wie fast ständig irgendein Bot alle Namen durchprobiert.
Dabei ändert sich die IP des Bots nach einigen Fehlversuchen.

Da hilft wirklich nur ein sicheres Passwort und nutze keine Standardnamen wie z.B. admin etc.

 

[Peter_Lehmann]

Hallo!

Wer sich bei ssh auf die Authentisierung mit Benutzername und Passwort verlässt, ist selber Schuld!
Deaktiviert diese primitive Art der Authentisierung ("PasswordAuthentication no", natürlich erst, wenn die andere Methode getestet ist!), richtet euch auf allen zugriffsberechtigten Rechnern ordentliche asymmetrische Schlüsselpaare ein (ich nehme 4K) und nutzt die Anmeldung damit ("PubkeyAuthentication yes").
Auf dem NAS wird kein eigenes Schlüsselpaar benötigt, da reicht es die public keys in die "~/ssh/authorized_keys" des anmeldeberechtigten Syno-Nutzers zu kopieren.
Die im Log stehenden Anmeldeversuche der Sciptkiddies ist das leider normale Rauschen des Internets. Das werden wir nicht verhindern. Aber außer, dass damit die Logs gefüllt werden, richtet das doch keinen Schaden an. Mit etwas Humor kann man das sogar positiv werten: alle diese Versuche kamen - und kommen Dank PubkeyAuthentication auch nicht - rein.

Verbiegen der Standardports? So was läuft unter "Security through obscurity". In meinen Augen reiner Spielkram! JA, die Scriptkiddies bzw. ihre aus dem Netz heruntergeladenen (und meistens von ihnen nicht mal verstandenen) Spielzeuge kann man damit ärgen. Und JA, das Log sieht "sauberer" aus. Aber Profitools lassen sich damit nicht austricksen. Profis nehmen sich bei der Vorbereitung eines Angriffs viel Zeit, und sie beschränken sich auch nicht auf die üblichen Ports. Und sie hinterlassen auch meistens keine auffallenden Spuren.
Die Sicherheit bei ssh bringt einzig und allein die asymmetrische Kryptologie.

Und noch ein anderer Hinweis:
Jeder sollte sich überlegen, wozu er sein NAS nutzt, bzw. für welchen externen Nutzerkreis er dessen Dienste bereitstellt.
- Nur im eigenen LAN: klar, dann gibt es keinerlei Portweiterleitungen im Router auf das NAS.
- Als öffentlich sichtbarer Web-, ftp-, usw-Server im Internet => dann ist das so, eben "öffentlich" und das folgende kommt nicht in Betracht.
- Oder als nur einem ganz eng begrenzten Nutzerkreis zur Verfügung stehendem Dienst, meinetwegen 1 bis 10 ext. Rechner oder auch "Schlau-Fernsprechapparate".

Und genau so mache ich es. ownCloud für vier Androiden und zwei Notebooks und nur für Angehörige meiner eigenen Familie bzw. sehr gute Freunde.
Und dazu habe ich auf meiner Fritz-Box acht VPN eingerichtet, und nur darüber ist ein Zugang möglich. Und wenn ich nicht nur ins eigene Homenet will, sondern auch darüber ins Internet (Nutzung fremder WLAN, Hotspots usw.), dann wähle ich ein VPN mit entsprechendem Routing. Habe ja genug vorkonfiguriert.

Zurück zum Thema: Zugriffe aus die DiskStation die nicht sein sollten => Kenne ich nicht!

MfG Peter

 

[Puppetmaster]

Verbiegen der Standardports? So was läuft unter "Security through obscurity". In meinen Augen reiner Spielkram! JA, die Scriptkiddies bzw. ihre aus dem Netz heruntergeladenen (und meistens von ihnen nicht mal verstandenen) Spielzeuge kann man damit ärgen. Und JA, das Log sieht "sauberer" aus. Aber Profitools lassen sich damit nicht austricksen. Profis nehmen sich bei der Vorbereitung eines Angriffs viel Zeit, und sie beschränken sich auch nicht auf die üblichen Ports. Und sie hinterlassen auch meistens keine auffallenden Spuren.

Das soll auch gar nicht das Anliegen sein. Wenn es ein "Profi" auf dich abgesehen hat, dann hast du ohnehin kaum eine Chance, schon gar nicht mit einem "Spielzeug" wie einer DiskStation.
Mein Anliegen ist hier einzig, die Flut der (Standard)Angriffe auf diesen (Standard)Port zu unterbinden. Und das funktioniert so ausgezeichnet. Punkt.

Und jetzt die Frage nach dem "wie hoch ist die Wahrscheinlichkeit, dass du Angriff eines Profis wirst?". Ich messe dieser Wahrscheinlichkeit keine realistische Bedeutung zu. Der Aufwand eines "Profis" ist - wie du selbst sagst - hoch, sich Zugriff zu verschaffen. Was verspricht er sich davon? Bei mir gibt es nicht viel zu holen!
Würde ich einen Firmenserver mit wichtigen Daten betreuen, würde ich auch anders vorgehen als das "Verbiegen" eines Ports.

 

[Peter_Lehmann]

Du wirst es nicht glauben: genau eine derartige Antwort habe ich erwartet ... .

 

[Puppetmaster]

Doch, das habe ich geglaubt!

 

[hopeless]

Nennt sich das dann "Gefühlte Sicherheit"

 

[Damian13]

Sehr interessant, und wie komme ich jetzt in den Genuß der asymmetrischen Kryptologie und schützte damit mein NAS?

LG

 

[tops4u]

Kommt darauf an wie Du denn Dein NAS einsetzen möchtest.

Ich setze da auf eine "halbe" Lösung welche sicher nicht 100% Wasserfest ist. Offen sind 5001 (jedoch umgeleitet über NAT von 8443), 25 SMTP für eingehende Mail, 443 für Roundcube Zugang, IMAPS und CloudPort (glaube 6993). Der Rest ist per dedizierter Firewall zu. Login für die User ist nur per 2-Way Auth möglich (per Google Authenticator). Alle Zugriffe der Netzwerklaufwerke laufen unter generierten Usernamen und Passwörten und sollten somit nicht leicht zu erraten sein. Ich würde mich nicht nur auf die FW / VPN Funktionalität der DS ohne vorgelagerte HW Firewall verlassen wollen.

Was mir nicht so gefällt, ist dass die Netzwerk Prozesse der Syno nicht als chroot und unter eigenen Usern laufen... fast alles läuft als root. Auch lassen sich die User nicht einschränken z.B. keinen Login auf die DS zu machen. Ich möchte lieber einen User welcher Zugang für die gemounteten Laufwerke hat, dieser muss ja nicht zwingend über das GUI auf die DS einloggen können.

 

[Puppetmaster]

Nennt sich das dann "Gefühlte Sicherheit"

Wenn du ständig Angriffe auf Port 22 protokollierst, auf einem umgeleiteten Port 22 aber nicht, dann hast du diese Angriffe abgewehrt.
Die Angriffe, die von "Profis" kommen, die bemerkst du vermutlich nicht, aber die bemerkst du auch auf dem nativen Port 22 nicht, wenn sie denn stattfinden würden.

Natürlich ist ein asymmetrischer Key besser (noch besser ist ein symmetrischer!), aber das war ja gar nicht die Frage...

Sehr interessant, und wie komme ich jetzt in den Genuß der asymmetrischen Kryptologie und schützte damit mein NAS?

Für den Anfang könntest du dir mal diesen Wiki-Artikel bzgl. SSH zu Gemüte führen.

 

[101010]

Natürlich ist ein asymmetrischer Key besser (noch besser ist ein symmetrischer!), aber das war ja gar nicht die Frage...

Für die Sicherheit ist wichtig, welche Schlüssellängen verwendet werden. D.h. pauschal würde ich nicht sagen, dass das eine besser ist als das andere.

 

[Puppetmaster]

Für die Sicherheit ist wichtig, welche Schlüssellängen verwendet werden. D.h. pauschal würde ich nicht sagen, dass das eine besser ist als das andere.

Klar, Schlüssellänge ist wichtig. Nur: asymmetrische Verschlüsselung ist durch brute-force immer noch knackbar, symmetrische nicht!

Aber ich denke wirklich, dass hier nicht die Verschlüsselung an sich, sondern eher, welche Einfallstore Synology womöglich noch offen stehen hat für die Sicherheit entscheidend sind.

 

[101010]

Tut mir leid, aber auch das hängt von den Schlüssellängen und vom Algo ab. AES ist definitiv sicherer als ein DES oder 3DES, bei gleicher Schlüssellänge (wobei dies alles symmetrische Varianten sind)

Brute-Force kannst Du bei beiden Varianten machen. Aber man kann die Algos nicht mit den reinen Schlüssellänge vergleichen. So gibt es z.B. folgende "Faustregeln" bezüglich der Sicherheitsskalierung: Ein asymmetrischer Schlüssel mit 2048 bit ist ungefähr so sicher wie ein symmetrischer 112 bit Schlüssel.
Die symmetrischen Schlüssel sind bei entsprechend vergleichbaren Schlüssellängen bezüglich der Performance besser.

Aber ich denke, wir schweifen hier ab

Wichtig ist ein guter Algo, der zum Szenario passt und eine gute Schlüssellänge

 

[ampere82]

Du wirst es nicht glauben: genau eine derartige Antwort habe ich erwartet ... .

Haha, das ist ein Mann nach meinem Geschmack!

Da profillieren sich einige Kiddies hier mit Titeln wie "Syno-Gott" und geben freche Antworten, blos weil sie unzählige Stunden mit ihren NAS-Systemen gespielt, und aus lauter langeweile jeden erdenklichen Forumseintrag kommentiert haben.

Wenn man die Kommentare dann ließt, merkt man schnell dass hinter den großspurigen "gelaber" oft recht wenig Verständnis für die Technik unter der Haube existiert.


Beide Daumen hoch für Dich und Respekt vor Deiner Fachkomepenz.
Von Deiner Sorte könnte man noch ein paar in diesem Forum gebrauchen.
Ich werde deine Beiträge jedenfalls weiterhin interessiert verfolgen.

 

[trininja]

Das wird mir keiner glauben: Aber es wundert mich nicht das die Antwort nun kam von ampere82.

Zu deinem Verständnis über die Struktur eines Onlineforums: Die Titel werden über eine interne Funktion vergeben, die anhand fest eingestellter Werte an Beiträgen vergeben werden. Dashier ist ein Forum von Usern für User, da du aber allerdings hier prof. Hilfe anscheinend erwartest, empfehle ich dir, da du ja so allwissend und professionel bist, dich bitte in Richtung offiziellem Synology Support zu trollen. Vielen lieben Dank, ein Anweder/Admin/ITler, der dieses Forum hier zu schätzen weis in all seinen Facetten.