[TS-209 II] - FTPS Portfreigaben und IP-Sperre

    Hallo zusammen,


    nachdem nun zum zweiten Mal eine Wörterbuchattacke auf mein NAS gestartet wurde (natürlich nicht erfolgreich...) :P
    Mach ich mir nun Gedanken wie man sowas automatisiert verhindern kann.


    Zum einen möchte ich gerne den Zugriff von außen nur über FTPS gestatten (statt wie bisher über FTP).
    Dafür sind Portfreigaben im Router nötig. Jedoch weiß ich nicht wirklich, welche Ports ich freigeben muss.
    Laut http://forum.qnapclub.de/viewt…p=10641&hilit=ftps#p10641 dieser Anleitung sind es die Ports 989/990 tcp/udp.
    Aber sind das alle Ports? FTPS benötigt doch auch noch Port 22, oder?
    Probiert hab ich es jedenfalls mal mit diesen 3 Ports. Ein Zugriff von extern war trotzdem nicht möglich. Kann es sein, dass mir da noch ein Port oder eine Einstellung fehlt?


    Zum anderen wäre die Frage, ob es nicht generell möglich ist, die TS-209 so einzustellen, dass wenn eine IP-Adresse z.B. 20 Mal hintereinander erfolglos versucht hat sich einzuloggen, diese automatisch zu sperren (entweder zeitweise, oder für immer). Ist das möglich? Eine Einstellung dafür hab ich nicht gefunden, ich habe die Firmware Version 2.1. Ich glaube es gibt mittlerweile eine aktuellere Version. Ist so eine Einstellung vielleicht dort verfügbar?


    Weiterhin gibt es auf diversen Seiten ja "Blacklists" mit hunderten von IP-Adressen, die bekannt dafür sind z.B. Wörterbuch-Attacken zu starten. Gibt es irgendeine Möglichkeit diese Listen zu importieren, ohne die Einzeln über die Web-Administration eintippen zu müssen?


    Danke schoneinmal für alle Antworten!


    Grüße,


    Chris


    Also ich habe FTP (standard) deaktiviert und FTP with SSL/TLS aktiviert.
    Im Router habe ich den Standard-Port 21 an das NAS weitergeleitet (hängt davon ab, welchen Port du dafür im NAS angegeben hast).
    Außerdem habe ich im Router noch die Ports 55536-56559 an das NAS weitergeleitet (auch das hängt davon ab, welche du da im NAS angegeben hast).


    Dann ging es auf anhieb.


    Zitat von "CBWIFI"


    Zum anderen wäre die Frage, ob es nicht generell möglich ist, die TS-209 so einzustellen, dass wenn eine IP-Adresse z.B. 20 Mal hintereinander erfolglos versucht hat sich einzuloggen, diese automatisch zu sperren (entweder zeitweise, oder für immer). Ist das möglich? Eine Einstellung dafür hab ich nicht gefunden, ich habe die Firmware Version 2.1. Ich glaube es gibt mittlerweile eine aktuellere Version. Ist so eine Einstellung vielleicht dort verfügbar?


    So etwas gibt es, auch zu meinem eigenen bedauern, (noch) nicht für den 209er.
    Schau dir mal den Thread dazu an: SICHERHEIT ??????????????????
    Hier siehst du (im gleichen Thread), wie es bei, 509er umgesetzt ist: SICHERHEIT ??????????????????

    Hoi Wavy,


    erstmal danke für deine schnelle Antwort.
    Bezüglich der FTP Einstellungen. Also ich hätte es ja gerne so, dass alle Clients intern über "normal" FTP zugreifen können, alle User die von außen kommen aber FTPS. Ich dachte das könnte ich am besten über die Ports steuern.
    Bist du dir da sicher, dass das das dann so funktioniert, wenn ich nur den Port 21 am Router freigebe?


    Zu der Ip-Sperre bzw. IP-Autoban, habe ich gestern auch noch was gefunden, weil mir das dann auch spät nachts keine Ruhe gelassen hat... ;)
    Im englischen Forum und zwar hier: http://forum.qnap.com/viewtopi…&t=9719&hilit=ftps#p46159
    Dort steht, dass es ja zumindest für die 509 ganz offensichtlich schonmal soetwas gibt.
    Jetzt stellt sich mir nur die Frage, warum das immer noch nicht für die 209 implementiert wurde...
    Du hast ja die neueste Firmware drauf, oder?


    Ich habe bei mir mal nachgesehen. Ich habe noch die Firmware 2.1.0. Lohnt es sich denn ein Upgrade zu machen?


    Grüße,


    Chris

    Hallo Chris

    Zitat von "CBWIFI"


    Bezüglich der FTP Einstellungen. Also ich hätte es ja gerne so, dass alle Clients intern über "normal" FTP zugreifen können, alle User die von außen kommen aber FTPS. Ich dachte das könnte ich am besten über die Ports steuern.
    Bist du dir da sicher, dass das das dann so funktioniert, wenn ich nur den Port 21 am Router freigebe?


    Soweit ich das sehe, kann man nur einen Port konfigurieren - also nicht getrennt für FTP (standard) und FTP with SSL/TLS.
    Dein gewünschtes Szenario lässt sich damit also nicht verwirklichen.
    Allerdings verstehe ich nicht, warum du intern nicht auch über FTP with SSL/TLS zugreifen willst!? Es entstehen dadurch doch keinerlei Nachteile ...



    Du hast recht. Wie auch schon unter meinem letzten genannten Link zu sehen:
    beim 509er gibt es bereits die Möglichkeit einer, wie du sie nennst, IP-Sperre.
    Beim 209er fehlt das leider bisher - auch in der neusten Firmware.


    Grüße
    Felix

    Hi Felix,


    was das mit FTP SSL betrifft hast du wahrscheinlich Recht.
    Allerdings habe ich nach wie vor das Problem, dass der Zugriff von außen nicht mehr klappt, sobald ich FTP SSL aktiviert habe.
    Am Router habe ich die Ports 20/21 sowie die für den passiven Transfer (55536-56559) freigegeben. Außerdem noch die Ports 989 und 990.
    Ein Kumpel, der dann von außen drauf zugreifen sollte, hat mir dann berichtet, dass er von Filezilla, mit dem er es versucht hat, die Meldung bekommen hat, dass eine Verbindung nicht möglich ist.


    Jetzt natürlich die Frage...woran liegts... :x Hast du da noch ne Idee?


    Und zu dem Ip-Ban. Das ist mal wirklich Pech...ich hoffe mal da gibt es bald eine Lösung, bzw. implementierung für alle TS-x09. Laufen müsste das ja locker drauf... Ich hab dazu vorhin mal an Qnap direkt geschrieben. Ich bin mal gespannt, was von dort zurückkommt. Vielleicht gibt es ja zumindest schon mal einen Termin für ne Betaversion...


    Grüße,


    Chris

    Hallo Chris


    Ich kann nur sagen, dass meine Bekannten von außen auf mein NAS drauf kommen.
    Ich lasse am Router nur die oben genannten Ports (21 bzw. 55536-56559) durch.
    Getestet wurde es mit FileZilla und FlashFXP.


    Ich habe keine Ahnung, warum es bei dir nicht geht. Sorry.


    Grüße Felix