Externe IP sperren die auf TS 209 Pro II zugreifen will

    Hallo zusammen,


    hab leider über die Forensuche nix passendes gefunden. Gibt es bei dem TS 209 Pro II eine Möglichkeint Zugriffe die über bestimmte IP Adressen extern per FTP zugreifen wollen, zu blocken? Oder alternativ alle Externen IP_Adressen zu blocken außer den Ausnahmen die ich dem Gerät vorgebe?


    Hintergrund: Hab an meiner Fritzbox "dyndns" eingerichtet und leite ftp Anfragen per Portforwarding an die IP-Adresse des TS 209 Pro II weiter. Jetzt seh ich in den Logs dass sich eiene IP-Adresse aus Mexico versucht hat als "Administrator" (<- Zum Glück heißt das Konto ja nicht so :) )anzumelden. Sowas möchte ich ihn Zukunft natürlich verhindern und alle IP-Adresen die sowas schonmal versucht haben natürlich explizit blocken, noch besser natürlich ich gebe die eine IP Adresse die sich Extern anmelden soll gezielt frei und blockiere den kompletten rest.


    Gibt es da eine Möglichkeit?


    Achja ich verwende Firmware: 2.1.4 Build 0318T


    Viele Grüße schonmal


    Markus

    Hallöle,


    lies Dich mal im Forum Sicherheit ein, dort findest Du auch die Antwort auf Deine Fragen bzw. recht wirksame "Gegenmittel"!


    Grüße
    J 8-) dy

    Hallo Markus,


    in der aktuellen Beta für die TS-209 gibt es eine neue Funktion, den sogenannten IP Blocker. Diese Option erlaubt es dir nach einer voreingestellten Anzahl an Logins die zugreifende IP zu blockieren. Da die Firmware jedoch Beta ist würde ich vorschlagen das du die offizielle Firmware abwartest. Ach ja diese soll in den nächsten 2 Wochen erscheinen!


    Christian

    Hallo Markus,


    der FTP-Server an sich ist unsicher. Schon deshalb, weil der Datenaustausch nicht verschlüsselt wird.
    Eine Alternative stellt hier der SFTP (S=secure) dar. Hierzu wird, z.B. die openSSH verwendet. Man hat dabei die Möglichkeit die Benutzerauthentifizierung über Public-Private-Keys und Passphrasen durchzuführen. D.h. ein Angreifer ohne ein entsprechendes Schlüsselpaar hat keine Chance sich an Deinem Server anzumelden. Außerdem wird der gesamte Datenaustausch verschlüsselt. Weiterhin kannst Du den FTP-Benutzer in einem Verzeichnis auf Deinem Server gefangen halten (chroot). Falls Du mehr Infos zu diesem Thema brauchen solltes melde Dich einfach.


    Gruß
    creg

    Zitat von "christian"

    ... die offizielle Firmware abwartest. Ach ja diese soll in den nächsten 2 Wochen erscheinen!


    Juhubel! :thumb:

    Zitat von "creg"

    der FTP-Server an sich ist unsicher.

    Meinst du damit speziell den FTP-Server der QNAPS, oder FTP im allgemeinen?


    Gruss Nox

    Hi Arktim,


    es gäbe zwar die Möglichkeit, dies sehr gut zu regeln über unseren FTP-Server proftpd.

    Code
    <Limit LOGIN>
                    order allow,deny
                    Allow from 192.168.1. , .example.net
                    deny from all
                 </Limit>


    Die conf-Datei wird aber immer wieder überschrieben. :x
    Im Moment kann ich dir nur raten den FTP-Port im Web-GUI zu ändern, auf einen hohen Port z.B. 10001.
    Denk aber daran, dass dein FTP-Server dann unter ftp://domain.de:10001 erreichbar ist und du deinem Router das auch mitteilen musst.

    Zitat von "Noxman"

    Meinst du damit speziell den FTP-Server der QNAPS, oder FTP im allgemeinen?


    Er meint das Protokoll FTP. Es ist nicht sicher, da alles unverschlüsselt übertragen wird inkl. Passwort.
    Ich halte es überhaupt für bedenklich, das per ftp eine admin-Anmeldung erlaubt wird und diese auch nicht abgeschaltet werden kann.
    Zur Zeit gehen viele Administratoren so weit, root- bzw. admin-Anmeldungen generell zu verbieten, sogar per ssh.

    Um in den FTP rein zu kommen, muss dann ein Angreifer aber den Netzwerkverkehr mithören. Anders kommt er ja nicht an die PWs und Nutzernamen, oder liege ich da falsch?


    Gruss Nox

    Hi Noxman,


    das siehst du richtig.

    Dann ist es ja auch wieder nicht soooo unsicher!


    Ich begrüße auf jeden Fall die neue Funktion in der Firmware nicht autorisierte IP Adressen nach zehn Fehlversuchen zu sperren. Meine Liste mit gesperrten Netzwerken wird dadurch immer länger. ;)


    Gruss Nox

    Dann sag ich mal Vieln Dank für Eure schnellen antworten, bin nohc ein wenig unterwegs, also denk ich werd ich warten können bis die neue Firmeware draußen ist :) dann werd ich die mal ausprobieren.
    Das mit dem anderen Port hat irgendwie nicht funktioniert, hab da n Webanmeldettool was vermutlich nur mit dem Standartdport umgehen kann :( also muss es wohl so gehen.
    Wie gesagt aber vielen Dank Euch für die schnelle Hilfe.


    Gruß Markus