Hack-Versuchen entgegen wirken

    Hallo,


    letzte Nacht hat jemand stundenlang versucht meinen 109 zu hacken durch Wörterbuch-Attacke (FTP-Zugang). Das komplette Connection-Log (10.000 Einträge) wurde vollgeschrieben. Kann man den Zugang so einrichten, dass nach dem x. Fehlgeschlagenen Einlog-Versuch der Zugang für y Minuten gesperrt wird?


    Viele Grüße,
    Snake

    Zitat von "SilentSnake"

    Kann man den Zugang so einrichten, dass nach dem x. Fehlgeschlagenen Einlog-Versuch der Zugang für y Minuten gesperrt wird?


    Für die TS-109 gibt bisher keine Möglichkeit Angriffe zu blocken, jedoch ist es oft schon sehr effektiv wenn man den Port ändert oder einen externen auf den internen umleitet.


    Mfg
    Christian

    Schade. Trotzdem danke für den wertvollen Tip mit dem Port. Werde das mal so umsetzen. :)

    Zitat von "SilentSnake"


    letzte Nacht hat jemand stundenlang versucht meinen 109 zu hacken durch Wörterbuch-Attacke (FTP-Zugang).


    Bei mir auch! :shock: Ca. 4700 Versuche zwischen 20:15 und 22:15...


    Gibt's eigentlich irgendwo ein Log, in welchem man auch die durchprobierten Paßwörter sieht? Würde mich echt mal interessieren :D


    Gruß
    Micha

    Zitat von "christian"


    Für die TS-109 gibt bisher keine Möglichkeit Angriffe zu blocken, jedoch ist es oft schon sehr effektiv wenn man den Port ändert oder einen externen auf den internen umleitet.


    Mfg
    Christian


    Hallo Christian,


    sorry wenn ich den Thread nochmal hochhole, ich bin neu hier und habe noch eine Frage.


    Wenn man den Port von extern auf intern umleitet, dann sprechen wir doch hier von einer klassischen NAT (Network Address Translation) oder nicht?
    Sprich, wenn ich "von aussen" einen Client PC innerhalb meines LAN ansprechen möchte, z.B. via FTP, dann muss ich meinem Router in der NAT mitteilen, dass er bitte alle Anfragen die für Port 21 (FTP) bestimmt sind an den LAN PC mit der IP xxx.xxx.xxx.xxx weiterleiten soll.


    Das verstehe ich nicht, warum soll das effektiv gegen Hackerangriffe sein?

    Hallo Timo,


    nehmen wir mal den Port 40400 der im Router für extern freigegeben ist und im Router dann auf den interen Port 21 weitergeleitet wird. Dann würden die Standard Portscans ins leere laufen, natürlich würde man auch den Port 40400 mit einem Portscan finden. Doch diese Wahrscheinlichkeit ist weitaus geringer als mit den default Ports.



    Christian

    Ahhh, jetzt verstehe ich was Du meintest!


    Danke für den Tipp, von der Seite hatte ich das noch nicht betrachtet! Das werde ich doch glatt mal versuchen :thumb:


    Gruß

    Zitat von "TimoWalter"



    Wie sieht es mit dem TS-209 II aus? Gibt es hier eine Möglichkeit? Ich habe fast jeden Tag Unmengen von fehlgeschlagenen Login-Versuchen aus China, Polen, Estland, GB, ..., momentan versucht gerade 80.82.113.61 sich als Administrator auf meinem FTP einzuloggen...
    Das ist echt nervig und macht den Sever auch langsam, wenn ich darauf arbeiten will.


    Grüße, Hansjörg

    Hallo Hansjörg,


    das man einen externen Port auf einen internen umleitet ist in diesem Fall hier wohl geräteunabhängig. Man konfiguriert dies in seinen Netzwerkkomponenten, was bei den meisten Forenbesuchern sicherlich der Router sein wird.


    Ein Beispiel:


    Anfrage aus dem Internet von 80.82.113.61:21 auf die Adresse 89.92.123.64 (das ist Deine WAN IP der T-Com o.ä.) wird von Deinem Router 192.168.1.1 weitergeleitet auf 192.168.1.100:21 (das ist Dein Rechner/Laptop im LAN)
    Hast Du nun hier einen FTP Dienst (Port 21) auf Deinem Rechner 192.168.1.100 laufen, so wird die Anfrage aus dem Internet direkt auf Deinen Rechner durchgeleitet (Router Forward Regel vorausgesetzt) und einem FTP Hack Angriff steht nichts mehr im Wege.


    Da die meisten Hacker nur die Standard Ports scannen, ist die Wahrscheinlichkeit gering, dass Sie z.B. sehr hohe Portnummern abscannen. Also verwenden wir nun einen sehr hohen Port für unseren FTP-Server > 20000 bspw.


    Anfrage aus dem Internet müsste z.B. auf Port 34132 erfolgen, also auf die Adresse 89.92.123.64:34132 (das ist Deine WAN IP der T-Com o.ä.) diese wird nun von Deinem Router 192.168.1.1 weitergeleitet und samt Port konvertiert auf Deinen LAN PC 192.168.1.100:21
    Hast Du nun hier einen FTP Dienst (Port 21) auf Deinem Rechner 192.168.1.100 laufen, so wird die Anfrage aus dem Internet von Port 34132 direkt auf Deinen Rechner durchgeleitet (Router Forward Regel wieder vorausgesetzt) und der FTP Hack Angriff kann so erschwert werden, da der Hacker "hoffentlich nur" auf Port 21 nach einem FTP Server sucht. Würde ein Hacker alle Ports Deiner WAN IP (0 bis 65535) scannen, dann würde er auch Deinen Port 34132 finden. Da dies auber recht unwahrscheinlich ist, finde ich diese Methode von Christian gar nicht so schlecht.


    Wie das nun in Deinem Router konfiguriert werden muss, entnehme bitte dem Handbuch :thumb:

    Hallo


    Hatte vor ein paar Minuten auch gerade ein Hacker an meiner NAS mit so 5000 angriffen. Jedoch hat er es nicht geschaftt sich einzuloggen.
    Wäre auch froh wenn es eine Funktion gäbe welche nach 5 Versuchen den Zugriff verweigert. Hoffentlich folgt diese in der Firmware 3.
    Das mit dem Port Umleitung finde ich eine gute Idee muss ich umbedingt machen.


    Kann man eigentlich ganze IP Region sperren?



    Gruss xled

    Hi xled!


    Bin zwar erst relativ kurz dabei, aber so wie ich das verstanden hab, sind sowieso nur die Ports offen, die du weitergeleitet hast.
    Und dann muss auch auf dem Gerät, auf das du per Router weitergeleitet hast, der entsprechende Port offen sein.
    So gesehen brauchst du also nicht händisch irgendwelche Bereiche sperren.
    Einfach mal im Router nachschauen.
    Wenn dann unter Umständen doch was freigegeben ist, das du womöglich garnicht brauchst, kannst du den Port ja zumachen.



    mfg,
    Voodoochile

    Zitat von "xled"

    ... Kann man eigentlich ganze IP Region sperren?


    Ja! Je nachdem welcher Router im Einsatz ist kann man das tun wenn der Router dies unterstützt.
    Meistens können das Router im Preissegment > 300 Euro mit eingebauter Firewall. Besonders beliebt sind Geräte von Cisco, denn hier wird ersteinmal deny all als Regel definiert, d.h. alles ist gesperrt. Danach öffnet man die Ports und IPs die man zulassen möchte. Ich habe zum Beispiel alle europäischen IP Adressen erlaubt, muss dazu aber sagen, dass wenn die Telekom eine IP Range eines ausländischen Partners dazukauft und diese verwendet, geht die ganze Schooose schon nicht mehr :-/


    Tip: Beim Routerkauf darauf achten was für ein System darauf läuft. Es sind div. Linksys Router mit Linux Firmware im Umlauf die diese Funktion evtl. beherrschen und nur kleines Geld kosten, da muesste man mal nach googeln.


    gr33tz
    TW

    Danke erstmal für die Antworten :D


    Ich habe jetzt im Router nur noch Ports offen die ich wirklick brauche und die externen Ports andere Werte zugewiesen als den interen Ports. Hoffe das man diese nicht so schnell findet wenn man einen schnell Port Scan durchführt.


    Ich bin sonst aber sehr zufrieden mit dem NAS von QNAP.
    Weiter So :thumb:



    Gruss xled