Zugriffe von aussen auf meine Synology

[Das Original]

Hallo Gemeinde,
ich habe jetzt seit 2 Tagen vermehrt diese Meldungen:

"Die IP-Adresse [163.172.200.37] hatte 10 Fehlversuche beim Versuch, sich bei SSH auf DS1515 innerhalb von 5 Minuten anzumelden, und wurde um Sat May 28 14:46:38 2016 blockiert.

Mit freundlichen Grüßen
Synology DiskStation"

Die hatte ich sonst nie, dass hier jemand fremdes zugreifen will ist mir schon klar aber warum habe ich davon in den letzten 2 Jahren nichts bemerkt?

 

[Frogman]

Weil Du vielleicht vorher den Port 22 (auf dem läuft SSH standardmäßig) nicht im Router an die DS weitergeleitet hattest.
Oder weil Du die automatische IP-Blockierung nicht aktiviert hattest.
Oder weil Du einfach nur Glück hattest und Du nicht ins Netz von einem IP-Scanner geraten bist.

 

[Das Original]

Mal zum besseren Verständnis, diese Angriffe dürften doch durch die Firewall der FritzBox gar nicht erst zu DS durchkommen, oder verstehe ich das falsch?

 

[Alfons403]

Jain,
laut AVM blockiert die Fritzbox automatisch alle Anforderungen von aussen.
Ausser: Wenn die Internetverbindung nicht von der Fritte erstellt wurde.
Möchte man selbst oder Anderen von Aussen den Zugriff auf Geräte im Netz
erlauben, muss man halt Löcher freigeben = Portfreigaben.
Dann muß halt das Gerät am Ende des Loches alles weitere regeln, wer z.B.
darauf zugreifen darf. Es gibt allerdings hier beschriebene Lösungen, z.B. gewisse
IP Bereiche schon in der Fritte zu sperren, indem man in der Konfig mit einem Editor
einige Daten ändert. Eine Firewallfunktion wie man sie sonst kennt, bietet die Fritte nicht,
AVM hatte dafür früher ein Programm für Windows = Fritz!DSL, das aber leider
nicht mehr gepflegt wird. Aber auch hier fand die Firewallfunktion auf dem Rechner statt!

Ich schiebe jetzt noch einmal einen Hinweis nach, da nach längerer Ruhe auch bei
mir wieder Versuche aufgeschlagen sind. Da diese IP 91.224.160.xxx immer wieder
aufschlug, habe ich jetzt in der DS Firewall den gesamten Bereich einfach geblockt und
zumindest keine Meldungen mehr.

 

[Frogman]

Naja, vielleicht mal etwas klarer:
Die Fritzbox hat zwei Schutzfunktionen: für IPv4-Pakete gibt es eine "NAT-Firewall" - das ist zwar keine richtige Firewall, doch sie heißt deshalb so, weil beim Zugriff von außen notwendig wird, die Pakete auf IP-Adressen des LAN umzusetzen (genannt NAT). Alle Pakete, die ungefragt von außen einlaufen, werden dabei verworfen - es sei denn, für den betreffenden Port, auf dem sie ankommen, ist eine Portweiterleitung eingerichtet. Solche Portweiterleitungen kann man selbst in der GUI der Fritzbox einrichten, oder aber das kann automatisiert von anderen Geräten per UPnP erfolgen (letzteres ist sicherheitskritisch, man sollte daher diese Funktion in der Fritzbox tunlichst deaktivieren!).
Auch IPv6-Pakete werden von der Fritzbox bei einem Zugriff von außen geblockt, wenn sie nicht angefragt wurden. Diese Firewall kann für einzelne Ports/Portbereiche per Eintrag geöffnet werden, wobei die Ziel-IPv6 des Gerätes im LAN mit angegeben wird. Das bedeutet, dass für einlaufende Pakete auf Port 80 (http-Webserver) der Schutz für mehrere Geräte geöffnet werden kann - man kann also mehrere http-Server nach außen betreiben, die dann entsprechend ihrer unterschiedlichen globalen IPv6 in der Firewall betrachtet werden.

Mal zum besseren Verständnis, diese Angriffe dürften doch durch die Firewall der FritzBox gar nicht erst zu DS durchkommen, oder verstehe ich das falsch?

Wenn Du Zugriff von außen auf dem SSH-Port der DS hast (in Deinem Fall ist das ja IPv4), dann ist der Port weitergeleitet - entweder von Dir selbst oder per UPnP!

 

[bitrot]

Wenn ein Tor (-> Port) geöffnet wurde, ist das Tor geöffnet und das dahinter liegende Haus (-> Dienst) von außen erreichbar. Dann kommt es darauf an, wie gut das Haus an sich abgesichert ist, wie gut die Schlösser sind (-> Passwörter) bzw. wie stabil die Konstruktion ist (-> Anfälligkeit der Software für Angriffe).

Es kann zwar helfen, einen Polizisten (-> Firewall) vor das Tor zu postieren um zu verhindern, dass jeder dahergelaufene Strolch sich am Einbruch versuchen kann. Wie effektiv das ist hängt jedoch auch davon ab wie gut der Polizist ist, wie gut er Unbefugte von Befugten unterscheiden kann, ob er fit ist wie Chuck Norris und schnell reagiert oder ein träger, Donut mampfender Sesselpupser, ob er bestechlich und selbst anfällig ist oder zuverlässig usw. usw.

 

[johnnymolee]

Hallo,

ich bin recht neu in der Thematik und besitze seit wenigen Monaten eine DS116.
Um mir (Hessen) und meinem Vater (Berlin) den Zugriff auf meine Kiste zu ermöglichen, hatte ich versucht mich im Thema Freigaben einzulesen und YouTube Videos anzusehen.
Ganz klargekommen bin ich damit bisher nicht. Irgendwie habe ich es geschafft, WebDAV zu installieren und auch irgendwie die IP-Adresse in den Computer für das Netzlaufwerk zu speichern. Da das vorerst funktioniert hat und den zweck erfüllt hat, habe ich mir über die Sicherheit erst mal keine Gedanken gemacht.

Nun würde ich das aber auch gerne in Angriff nehmen. Was muss ich dazu machen?
Bzw. brauche ich überhaupt WebDAV für die Freigabe als Netzlaufwerk und welche Ports sollte ich bestenfalls in der FritzBox und NAS freigeben und nutzen?

Wie man wohl hört.. ich habe keinerlei Ahnung.

 

[Stewi]

In dem Fall solltest du dich mal in das Thema VPN einlesen. ist zwar am Anfang wesentlich komplexer, eröffnet dir aber mehr Möglichkeiten und ist zudem auch noch sicherer.
Am einfachsten ist das wohl zu bewerkstelligen, wenn beide Seiten eine FritzBox benutzen, aber auch mit anderen Routern sollte das in der Regel funktionieren.
Wenn du gar keine Ahnung hast und auch keine Zeit und Lust dich damit zu beschäftigen, dann such dir jemanden der Ahnung davon hat, ggfls. auch gegen Bezahlung.

 

[johnnymolee]

Ich dachte nur, Netzlaufwerk verbinden und los wäre die einfachste Lösung.
Dann muss ich mich darüber mal informieren. Als "Neuling" nicht leicht, da einen Überblick zu erlangen.

Noch eine andere Frage wg. aktuellem Anlass:
Wir sind zur Zeit mitten in der Urlaubsplanung. Daher dachte ich, eine Excel-Liste auf die gemeinsam (Freunde und wir) zugegriffen werden kann ist dafür genau das Richtige.
Dazu habe ich mir Spreadsheet installiert. Funktioniert soweit auch ganz gut.
Allerdings hatte meiner Freundin, die mit Microsoft Excel super umgehen kann, die Lösung nicht vollends zugesagt wegen fehlender Formeln und was weiß ich.

Gibt es die Möglichkeit, irgendeine Datei, ob Word oder Excel, auf der NAS zu speichern und über einen Link an Freunde zu verteilen sodass man darauf zugreifen kann?

 

[Stewi]

Selbstverständlich.
In der File Station die Datei markieren, Rechtklick und dann ganz unten "Dateiverknüpfungen teilen". Du kannst dann den Link verschicken, oder einen QR Code generieren und verschicken.

 

[johnnymolee]

Cool, Danke!
Das werde ich heute Abend mal ausprobieren.

 

[TACiboy]

Sei dir aber bewusst: mit "Dateiverknüpfung teilen" kannst du deine Exceldatei lediglich zum Download zur Verfügung stellen. Was über den Weg nicht funktionieren wird ist, dass alle deine Freunde (parallel) die Datei bearbeiten können und Änderungen gemeinsam abgespeichert werden!