Portscans bzw. Portanfragen von extern

    Servus zusammen,
    ich habe folgendes Problem:


    Seit dem ich die meine 439Pro II+ online genommen habe, tauchen vermehrt in den Qnap Syslogs Zugangsversuche auf:


    [Security] Access Violation from 203.114.177.214 with TCP (port=22)


    Mit dem Programm Wallwatcher überwache ich seitdem meinen Internetverkehr meines Linksys WRV200. Mir ist aufgefalln, dass von unterschiedlichsten externen IPs versucht wird, per SSH (Port 22) oder Telnet (Port 23) auf meine Nas zuzugreifen. Dies bestätigen auch die Logs der Qnap.
    Ich habe lediglich ein Portforwarding Port 8081 auf meine Qnap. Alle anderen Ports werden nicht weitergeleitet oder sind geschlossen. Die Nas steht in einer Software-DMZ des Routers.
    Am Router treffen VPNs via IPSec ein.


    Nun zu meinen Fragen:
    1. wie können diese Anfragen über z. B. SSH bis zur Qnap gelangen, wenn ich doch von außen nur Port 8081 auf die Nas leite?
    2. in meinem Netzwerk gibt es noch soo viele andere Geräte, aber wießso treffen laut Wallwatcher alle Anfragen bei der Nas ein und nicht z. B. auf einer Arbeitssation?


    In den Logs der fehlgeschlagenen Logins der Nas tauchte bisher noch nichts auf.


    Hier noch zur Veranschaulichung ein Screenshot von Wallwatcher:
    Extern verlinktes Bild entfernt! Der Grund!



    vielen Dank für Eure Hilfe


    Gruß


    Phil1991

    Einmal editiert, zuletzt von christian () aus folgendem Grund: Extern verlinktes Bild entfernt, siehe Forenregeln!

    NAS vom Netzwerk trennen, sofort!


    Router neu starten, damit der eine neue IP kriegt. NAS raus aus der DMZ. Dann das NAS konfigurieren: unter Netzwerksicherheit alles an.


    Die DMZ dürfte alle deine Ports aufgemacht haben!!!


    Extern verlinktes Bild bitte ins Forum hochladen!!!


    Hintergrund: EIne DMZ leitet normalerweise ALLE Anfragen weiter, macht also in der Regel ALLE Ports auf. Das NAS ist also offen wie 10 Scheunentore.


    Lösung: NAS nicht in eine DMZ hängen. Zugriffe am besten nur via VPN oder https ausführen, nur absolut notwendige Ports aufmachen.
    Den Port 8080 NIE weiterleiten, wenn, dann nur typische Anwendungsports, wie 80 (http), 443 (https), 20/21 (ftp).
    Nie Daten im Verzeichnis Qweb bzw. dem Verzeichnis speichern, auf dem im NAS eine von außen erreichbare Homepage liegt (außer man kann eine htaccess-Datei erstellen...).


    Wenn man gescannt wird/wurde: ggf. NAS aus, Router neu starten, damit der eine neue IP kriegt. Dann die Logs durchsehen.
    Wenn Einbruch erfolgt: NAS vom www trennen, Daten sichern, NAS ggf. neu aufsetzen. (Siehe auch Bereich Sicherheit hier im Forum).

    danke für die schnelle Antwort!
    Ich habe das Thema Sicherheit gelesen.
    Den Systemport 8080 leite ich eh nicht weiter. Ich meine Glück gehabt zu haben, da sämtliche Zugriffe auf Ordner, NAS, etc nur von einer IP erlaubt werden. Einziger externer Zugriff auf die NAS erfolgt bisher nur via https über den besagten Port 8081 für webdav. Das neustarten vom Router macht wenig Sinn, da DynDns im Spiel ist.


    Die Logs beinhalteten "nur" solche Einträge eben Anfragen auf unterschiedlichsten Ports:
    [Security] Access Violation from 203.114.177.214 with TCP (port=22)


    Da ich mich gar nicht mit dem Webserver auskenne, und bisher im Forum keinen passenden Artikel gefunden habe, würde ich mich interessiern wie ich diese Startseite "Web Server Setup Guide" durch eine normale PHP/Htmsl Seite ersetzen kann.



    Danke
    Gruß
    Phil1991