Hackversuche aus dem Internet auf den FTP Server

Hallo Frank,

Zitat von "frank84"

Kann man den FTP Server so einstellen, dass nach drei falschen Passworteingaben die IP des Rechners von dem der Zugriff versucht wird gesperrt wird?

Nein.

Zitat von "frank84"

Besteht die Möglichkeit den Benutzer Admin bzw. Administrator zu löschen und durch eine andere Kennung zu ersetzten mit Administratorrechten?

Nein.

Zitat von "frank84"

Gibt es vielleicht andere Lösungsmöglichkeiten für mein Problem?

Ja. A) Du definierst andere Ports anstatt den 21´er Standard FTP Port & B) Du kannst IP bereich sperren, mehr dazu siehe Webgui -> Systemwerkzeuge -> Hostzugriffssteuerung!

Mfg
Christian

Zitat von "christian"

(...) Du definierst andere Ports anstatt den 21´er Standard FTP Port & B) (...)

Hi Frank,

das von dir beschriebene Problem hatte ich mit meinem ehemaligen TS-209 anfangs auch. Nachdem ich den Standard-Port 21 in meinem Router nach aussen auf einen anderen, nicht standardmässigen Port umgeleitet hatte, war der Spuk sofort vorbei!
Das ist zwar keine Sicherheitsgarantie, hilft aber bei Standard-Portangriffen aus dem Internet und beruhigt doch ein wenig.

In meinem neuen TS-509 lässt sich per Firmware die angreifende IP-Adresse nach einer einstellbaren Anzahl erfolgloser Login-Versuche sperren. Ein sehr gutes Feature, das unbedingt auch in die Firmware der anderen QNAPs eingebaut werden sollte!

Grüsse,
Christian

Zitat von "TheRooster2000"

In meinem neuen TS-509 lässt sich per Firmware die angreifende IP-Adresse nach einer einstellbaren Anzahl erfolgloser Login-Versuche sperren. Ein sehr gutes Feature, das unbedingt auch in die Firmware der anderen QNAPs eingebaut werden sollte!

Hallo an alle.....
ich bin ein absoluter Neuling mit NAS und habe aufgrund meiner Datenmengen den 509er.

FTP Port ist offen und nur aufgrund vernünftiger Kennwörter ist es bisher nicht gelungen das jemand mit diesen ewigen Login Versuchen über den admin Acount rein kam.

Jetzt habe ich ja das Zitat angesetzt.
Könntest du mir bitte verraten wo ich diese Einstellung mit den Login versuchen vornehmen muss?
Wie gesagt, ich kenne mich so gut wie garnicht mit der Materie aus. (Firmware 2.1 (oder so ähnlich) ist grade in der Vorbereitung zum aufspielen in der Hoffnung das alles klappt)

Jetzt habe ich aber noch ein weiteres Problem, wo ich nicht weiß ob es auf der NAS Seite oder im Explorer liegt.
Folgendes:
- Ich gebe über DynDNS die Adresse ein. (Von einem Rechner außerhalb des LAN's)
- Es erscheint auch brav die Kennwortabfrage vom I-net Explorer zur Anmeldung. Zeitgleich bekomme ich aber in dem QNAP Protokoll das ein Login mit Anonymus fehlgschlagen ist (ist ja auch gut so)......Nur warum kommt dieser Loginversuch obwohl noch keine Login Daten gesendet wurden (also mit OK bestätigt)
- Nach 2:30 Minuten meldet der FTP Account einen Log Out...... sehr ärgerlich da er mir an der Stelle die Übertragung abbricht. Auch wenn ich nichts mache meldet das System nach 2:30 Minuten das Log Out und man muss andauernd sein Kennwort eingeben. (Btw. Dieses Problem habe ich nicht wenn ich von innerhalb des LAN's mit dem I-Net Explorer auf den NAS zugreife). Zu guter Letzt: Kennwörter und Benutzernamen sind im NAS vorhanden und es wird sich auch damit angemeldet.

Ich hoffe mir kann einer die Materie etwas näher bringen oder mir u.U. ein paar Links nennen wenn das schon öfters mal gefragt wurde.
Ich bin ehrlich. Für mich ist das Hardcore trockener Stoff und ich tue mich ein wenig schwer mit der ganzen Sache und teilweise weiß ich noch nicht einmal wie ich die Fragen formulieren soll da ich die Ausdrücke zum großen teil garnicht kenne.

Danke im voraus für jede Art von Hilfe.

Peter

Moin Peter!

Zitat von "piet2105"

(...) FTP Port ist offen und nur aufgrund vernünftiger Kennwörter ist es bisher nicht gelungen das jemand mit diesen ewigen Login Versuchen über den admin Acount rein kam (...)

Zitat von "piet2105"

(...) Jetzt habe ich ja das Zitat angesetzt.
Könntest du mir bitte verraten wo ich diese Einstellung mit den Login versuchen vornehmen muss?
Wie gesagt, ich kenne mich so gut wie garnicht mit der Materie aus. (Firmware 2.1 (oder so ähnlich) ist grade in der Vorbereitung zum aufspielen in der Hoffnung das alles klappt) (...)

Zu Punkt 1 solltest du als erste Massnahme gegen die Login-Angriffe den FTP-Port vom Standard-Wert 21 auf einen ganz anderen Wert umstellen. Diesen veränderten Port musst du dann allen mitteilen, die sich auf deinem FTP einloggen wollen und dürfen.
Ein vom Standard abweichender Port ist z.B. von automatisch nach offenen Ports suchenden Programmen nicht so leicht auffindbar.

Diese Einstellung kannst du hier verändern:
[Netzwerkeinstellungen] -> [FTP-Dienst] -> [Anschlussnummer]

Zu Punkt 2 kannst du hier Einstellungen vornehmen:
[Systemwerkzeuge] -> [Hostzugriffssteuerung] -> [Netzwerkzugangsschutz]

Hier kannst du für jeden Dienst die angesprochenen Einstellungen zur Loginanzahl und -häufigkeit vornehmen.

Ich nutze die Firmware 2.1.0 build 1202T und meine Angaben beziehen sich darauf.

Zu Deinen weiteren Fragen weiss ich leider erstmal keine Antwort, aber vielleicht hat jemand anders einen Rat.

Grüsse!
Christian

Hallo Peter,

in dieser Firmware ist http://forum.qnapclub.de/viewtopic.php?f=79&t=1860 ist die Funktion " Advanced IP Filter & Network Access Protection (Auto-blocking) " gegeben, mehr dazu siehe die Beschreibung von Christian (über meinen Beitrag).

Zu den Timeouts beim FTP Zugriff, hast du auch alle Ports im Router eingestellt? Nicht nur den 21 sondern auch die passiven Ports i.d.R. 55536 - 56559.

Mfg
Christian

Zitat von "TheRooster2000"

Massnahme gegen die Login-Angriffe den FTP-Port vom Standard-Wert 21 ...

Ich möchte hier mal zu bedenken geben, daß das ändern von Standard-Port's zwar prinzipiell eine Sympthombekämpfung ist aber nicht der Weisheit letzter Schluß, da man sich damit auch je nach Anwendung mehr oder weniger große andere Probleme einhandeln kann.

Zum Bsp.treiben solche Aktionen gerne IT-Admins in den Wahnsinn die Firewalls pflegen, da jede Änderung extra eingepflegt werden muss. Viele Prozesse oder ältere Tools sind teilweise gar nicht konfigurierbar, so daß Standardports verwendet weden müssen.

Der Sicherheitszugewinn ist marginal, da durch einen Portscan alternative Ports ohne größere Probleme ausgemacht werden können.

Man sollte sich dessen bewußt sein, damit man sich nicht in falscher Sicherheit wiegt.

Ein ip filtering, brute fore Schutz und vernüntige Passwörter sowie die Verwendung von sftp statt ftp sind effektivere Schutzmassnahmen, wobei leider der brute force Schutz bei den kleineren QNAP's nicht implementiert ist.

Gruß,

Gerald

Hallo Gerald,

grundsätzlich hast du ja Recht doch i.d.R. scannen irgendwelche Wilden komplette IP Bereich und dann meisst nach den Standardports. Mit dem ändern des Ports erreicht man zumindest eine angemessene Verringerung der Scans und somit auch ein Hauch an Sicherheit.
Ich für meinen Teil hab das NAS nicht von Außen zugänglich gemacht und zwar solange nicht wie ich noch keinen anständigen Router bzw. Firewall mit VPN Support zur Verfügung habe. Eben solange muss es auch ohne Zugriff von extern funktionieren.

Zitat von "gn0778"

..., wobei leider der brute force Schutz bei den kleineren QNAP's nicht implementiert ist.

Noch nicht. :?

Unterm Strich sehe ich den Handlungsbedarf eher beim Anwender selbst, soll bedeuten eine entsprechende Firewall ist Pflicht.

gday
Christian

Zitat von "christian"

... ein Hauch an Sicherheit.

Schöne Formulierung

Zitat von "christian"

Unterm Strich sehe ich den Handlungsbedarf eher beim Anwender selbst ...

Full Ack!

Gerald

hatte heute auch mal wieder einen angriff - von 14 bis 17 uhr - zigtausend anfragen über den ftp-port - wie gut, dass ich diesen deaktiviert habe. es wurden alle möglichen namen gecheckt. bei a angefangen - bei larissa endete das ganze...

Hi,
danke erstmal an alle für die Hilfe.
Nachdem ich das Firmware Update habe, finde auch die Sache mit den IP sperren nach x falschen Versuchen.
Danke hierfür.
Mit den Ports verbiegen kann ich nachvollziehen, nur wenn ich denv erbiege, in welchen bereich würde es wenn Sinn machen.
Die meisten Scans laufen ja sowieso in den ganzen Standardbereichen wie ihr schon sagt. Aber was ist nicht Standard. habe auch schon Scans gesehen die mal eben den ganzen 50000er und 60000er Bereich durchlaufen.
Ich hab zwar nur so eine "Standard" Firewall wie sie in einigen Routern impelemntiert ist, aber die hält anscheinend auch schon einen ganzen Haufen raus. Zumindest sieht es nach den Protokollen danach aus.
Auf jeden Fall habe ich manchmal das Gefühl das ich irgendwie ws falsches gelernt habe wenn ich mir anschaue was ich alles NICHT weiß. Naja, ich denke mal das ich die nächsten paar Wochen / Monate viel lesen / lernen muss um das alles zu verstehen.

Was ich aber noch nicht so ganz verstanden habe war der Hinweis mit den Ports bezüglich des Timeout welchen ich beschrieben habe.
Muss ich denn noch andere Ports für den FTP Zugriff öffnen? Ich dachte bei FTP läuft immer alles über die 21?

Peter

Hallo Peter,

nun ich denke den meissten unter uns geht es kaum anders, auch ich muss immer wieder nachlesen um mir Dinge in Erinnerung zu rufen. ES ist ja leider so das man sich nicht alles merken kann aber es ist gut zu wissen wo man suchen muss bzw. wo es steht ;).

Hier mal ein Link wo es recht gut erlärt wird http://www.astalavista.ch/?section=docsys&cmd=details&id=27 dieser weiterführende Link veranschaulicht das echt gut http://olli.informatik.uni-old…ann/Lernprogramm/ftp1.htm .

Mfg
Christian

Moin,

Zitat von "piet2105"

... Nachdem ich das Firmware Update habe, finde auch die Sache mit den IP sperren nach x falschen Versuchen ...

Da du einen Brute Force Schutz implementiert hast (IP Sperre nach x Fehlversuchen) ist ein Portwechsel nicht notwendig.

Zitat von "piet2105"

... den Ports verbiegen kann ich nachvollziehen, nur wenn ich denv erbiege, in welchen bereich würde es wenn Sinn machen ...

http://www.iana.org/assignments/port-numbers

Wenn, dann sollte man einen Port aus einem "unassigned" Bereich nehmen. Am besten aus einem höheren Port Bereich (z.B. 25904-25999 Unassigned). Wie gesagt ist es aber eigendlich sinnvoller die Standard Ports zu belassen, da der Sicherheitszugewinn durch einen Port Wechsel marginal ist.

Zitat von "piet2105"

Ich hab zwar nur so eine "Standard" Firewall wie sie in einigen Routern impelemntiert ist, aber die hält anscheinend auch schon einen ganzen Haufen raus.

Sofern kein Port Forwarding aktiv ist blockiert eine NAT Firewall (Standard bei fast allen Routern) alle eingehenden Verbindungen.

Die Krux ist ja nur, daß du wenn du von extern Zugriff haben möchtest z.B. per ftp eben diese Verbinungen nicht blockieren kannst. Deshalb muss ja per Port Forwarding eine Regel definiert werden, damit die Firewall diese Verbindungen nach innen zulässt. Da es nun aber keine Freund/Feind Kennung gibt kann man nicht zwischen "guten" und "bösen" Verbindungen unterscheiden. That's the problem.

Hier hilft nur anderweitig für Schutz zu sorgen. Gute Passwörter, Brute Force Schutz (Sperre nach Fehlversuchen), Zetiliche Limitierung (Verbinungen nur zu bestimmten Zeiten möglich), etc.

Zitat von "piet2105"

Auf jeden Fall habe ich manchmal das Gefühl das ich irgendwie ws falsches gelernt habe wenn ich mir anschaue was ich alles NICHT weiß.

Naja, niemand kann alles Wissen, aber dazu sind ja Foren da.

Zitat von "piet2105"

Muss ich denn noch andere Ports für den FTP Zugriff öffnen? Ich dachte bei FTP läuft immer alles über die 21?

Port 20/21 je für TCP/UDP, langt für den passiven Mode ...

Gerald

Juhu,
vielen dank für die hilfreichen Antworten.
Habe wieder was dazu gelernt und sogar verstanden

Aber direkt kommt hier eine neue Frage auf.
Habe mir das mit dem passiven FTP reingezogen und auch gesehen das die 509 das auch unterstützt. Ist ja schon mal fein.
Aber.....
Ich denke mal das ich diese Ports jetzt auch in meinem router freigeben muss, oder macht der Router das von alleine?
Vom Ansatz her würde ich jetzt denken das ich die Ports dynamisch aufmachen müsste....
Beispiel: QNAP ist bei FTP auf passive FTP Standardwerte gesetzt. Jetzt müsste ich diesen Bereich auch in meinem Router eintragen... Dies würde ich unter dynamischer Freigabe machen da ich ja nicht will das diese Ports immer offen sind. Laut Beschreibung würden dann Daten von auf diesem Port auch nur an die eine IP zurückgeleitet werden von wo die Portöffnung kam. Müsste ja heißen: Vom WAN kommt über Port 21 die Anfrage. QNAP gibt über Port 21 den datenport (z.B.) 50300 zurück. Dieser Port müsste jetzt ja geöffnet werden damit der Rechner aus dem WAN über Port 50300 die Daten senden kann....
Ist das so richtig verstanden?

Sorry, wenn ich so viel Fragen stelle.......

Moin,

Zitat von "piet2105"

Ich denke mal das ich diese Ports jetzt auch in meinem router freigeben muss, oder macht der Router das von alleine?

nein must du nicht. Verbindungen die von innen nach aussen, also von deinem ftp-Server in's Internet geöffnet werden, werden von der Firewall nicht geblockt nur Verbindungen von aussen nach innen!

http://de.wikipedia.org/wiki/File_Transfer_Protocol

Passives FTP

Beim passiven FTP (auch „Passive Mode“) sendet der Client ein PASV-Kommando, der Server öffnet einen Port und übermittelt diesen mitsamt IP-Adresse an den Client. Hier wird auf der Client-Seite ein Port jenseits 1023 verwendet und auf der Server-Seite der vorher an den Client übermittelte Port.
Diese Technik wird eingesetzt, wenn der Client für den Server nicht erreichbar ist. Dies ist beispielsweise der Fall, wenn der Client sich hinter einem Router befindet, der die Adresse des Clients mittels NAT umschreibt, oder wenn eine Firewall das Netzwerk des Clients vor Zugriffen von außen abschirmt.

Gruß,

Gerald

Hi,
danke für die Info / Hilfe.
Hab ich verstanden und bin froh das ich noch nichts probiert hatte. Demnach hatte ich unwissenderweise alles richtig gemacht.

Peter

[mir später eingefallen: fail2ban funkt nur, wenn man iptabels hat; haben wir iptabels auf den nassens???
[eigentlich gehört dieser beitrag auch in die abteilung sicherheit?!]
[am 1.1.2009 fällt mir zusätzlich ein: wo sind die logs, die fail2ban so schön beobachten kann???]
[damit könnte mein beitrag hier nur heisse luft sein; aber ich gebe nicht auf ,-) ]

guten tag, ihr lieben geplagten angegriffenen nas-server...
evtl gibt es eine lösung.
[ich werde sie nicht ausprobieren, da es derzeit nicht mein ziel ist, den nas.server von aussen zu "sehen"]

folgendes praktiziere ich mit großem(!) erfolg auf meinen beiden rootservern, irgendwo da draussen in der welt von strato...

idee für die nas:
einsatz von fail2ban (ist auf basis von python!, deshalb muss es funktionieren)
was ubuntu allerdings dazu sagt, muß man für sich selbst heraus finden

pkg-info:
Metadata-Version: 1.0
Name: fail2ban
Version: 0.8.3-SVN
Summary: Ban IPs that make too many password failure
Home-page: http://www.fail2ban.org
Author: Cyril Jaquier
Author-email: cyril.jaquier@fail2ban.org
License: GPL
Description:
Fail2Ban scans log files like /var/log/pwdfail or
/var/log/apache/error_log and bans IP that makes
too many password failures. It updates firewall rules
to reject the IP address or executes user defined
commands.
Platform: Posix

Required:
>=python-2.3 (http://www.python.org)

dann noch der link für ubunto: http://packages.ubuntu.com/fail2ban
ich denke, wer es ausprobieren will, sollte diesen link benutzen:
http://www.fail2ban.org/nightl…2ban-FAIL2BAN-0_8.tar.bz2
(das ist der aktuelle "trunk", mit dem kenne ich mich aus; ich arbeite auch an der weiterentwicklung etwas(wirklich nur "etwas") mit.)
weiter denke ich, daß man keine spezielle ubuntu-version nehmen muss; ist sowieo ALT! bei der unbuntu-version könnten allerdings die startskripte interessant sein.
DESHALB trotzdem den trunk bitte nehmen. das ganzer basiert auf python! und python ist ja als qpgk erhältlich (wie baut man es ein?)
die quelle für python: http://nslu2-linux.dyoung-mirr…are/ts509/cross/unstable/ [achtung: der link ist für ts-509!!!]
(hat jemand schon erfolgreich das python eingebaut?)
das installen von fail2ban ist ganz einfach: aus meinen install-tips [für mich selber geschrieben; basiert auf suse]:
install fail2ban V0.9.0 aus den sources (snapshot)
keine python-fehler mehr

21.1.2008
install:
python setup.py install
per hand anlegen: (subdir)
/var/run/fail2ban

die idee von fail2ban (="f") ist folgende:
============================
f kontrolliert die log's. findet es einen unerlaubten ftp-zugriff, dann gibt f der firewall den befehl: sperre die ip-nummer (die hat er auf dem log gefunden!) für x sekunden. =einfach wie genial.

hier mal eine kleine übersicht: auf was alles f so achten kann:
# übersicht der möglichkeiten
# ===========================
# apache-auth.conf used
# apache-badbots.conf used
# apache-http11.conf used
# apache-nohome.conf used 12/2008
# apache-noscript.conf used
# apache-overflows.conf used
# common.conf
# courierlogin.conf
# couriersmtp.conf
# exim.conf
# gssftpd.conf
# named-refused.conf
# pam-generic.conf used
# postfix.conf
# proftpd.conf
# pure-ftpd.conf
# qmail.conf
# sasl.conf
# sshd-ddos.conf used
# sshd.conf used
# sshd-incorrectuser.conf used neu 12/2008
# vsftpd.conf
# webmin-auth.conf used
# wuftpd.conf
# xinetd-fail.conf
die einträge mit "used" benutze ich.

story:
====
seit ca 3 wochen erlebe ich (auch viele andere serverbesitzer; das ist auch in der letzten(?) c't dokumentiert) einen mächtig gewaltigen bot-angriff von irgendwo, mit sehr vielen(!) verteilen ip-nummern, die eigenen logs laufen über, da werden ganze wörterbücher durchexerciert (alles quasi LANGSAME brutforceangriffe), aber eben über sehr viele ip-nummern verteilt. das macht deinem system schon zu schaffen. mein apache2 macht auf dem 64bit server ca 4-6 die grätsche. bevor ich f benutzte, war das system z.b. per login über ssh sehr langsam; da hat man dann immer mitbekommen, dass angegriffen wurde. was tun. ich kam zu f. seit 2 jahren ist ruhe. seit 3 wochen sind die russischen und jungs aus nordkorea (?) schlauer geworden. sie verteilen sich.

es gibt auch alternativen, die für mich NICHT in frage kommen:
==============================================
änderung des ports (=schwachfug!); damit handele ich mir ärger ein.

snort und andere programme.
die frage bei den alternativen, ist die: lässt es sich auf einer ts508 installen? das sind meistens programme die den dreisprung mitmachen müssen (configure/make und co). da haben wir ein problem. ich habe noch immer keinen c-compiler für die ts-509 gefunden (kennt jemand einen???).
das schöne bei f ist: python! es dürfte wie gesagt keine probleme geben.
nur mut!

ach da fällt mir ein:
f ist ein sehr speicherhungriges prg. es beobachtet die diversen logs mit verschiendene aufgaben. da ist es nicht verkehrt reichlich ram zur verfügung zu haben; ist nur mal so nebenbeigedacht.... (s.a. andere email: ich habe heute die ts-509 mit 4GB bestückt!!!! juhu)

so, dieses soll genügen
viele grüße
klaus

Ueber dem IP filter im 207 pro II kan man IP adressen ausschliesen oder gerade zulassen.

Auf die weise habe ich welche ausgeschlossen.

mfg.

Nico