Massenhafte Login Versuche

    Hallo Leute,


    bei mir zu Hause werkelt eine TS-251A als NAS und es greifen ausschließlich MAC-Rechner intern auf das System zu.

    Von Außen ist die NAS über QNAPCLOUD-Zugriff mit zwei Faktoren Zugriff erreichbar.

    Bisher habe ich mich mit dieser Konfiguration auch relativ sicher gefühlt. Zumindest wurden ein paar Versuche aus dem Ausland (europäisch und auch außereuropäisches Ausland) abgewehrt und die BAN-Liste entsprechend gefüllt.

    Heute habe ich aber per Mail über 3.000 Versuche des Logins mitgeteilt bekommen.

    Ein Blick in die Sicherheitsverwaltung belegt insgesamt 18.966 Versuche...scheinbar alle erfolglos. So massiv ist die NAS noch nie angegangen worden. Es gab schon mal 5 bis 10 vergebliche Versuche.

    Was mich auch wundert ist, dass diese Zugriffsversuche innerhalb kürzester Zeit erfolgten. Alle von der gleichen IP. Die gesamte Zeitspanne belief sich von 07:12 bis 09:42 also genau 2,5 Stunden. Da aber die IP schon ziemlich früh zur ständigen BAN-Liste hinzugefügt worden ist, stellt sich mir die Frage, wie sie dann weiterhin versuchen kann auf meine NAS zuzugreifen...hier hätte ich erwartet, dass die NAS den Zugang komplett verweigern würde.

    Was kann mann da jetzt noch verbessern, um vor solchen unliebsamen Überraschungen und solch einer Email-Flut geschützt zu sein?


    Ich wünsche euch noch einen erholsamen Rest-Freitag und ein schönes Wochenende


    Gruß

    Thomas

    Ich weiss nicht wie genau das über die QNapcloud funktioniert, da ich dort keinen Account habe.

    Ich bin z.B. bei Selfhost.

    Da ich das gleiche Problem habe habe ich kurzerhand einfach meine Adresse geändert über die ich im Internet erreichbar bin.

    Als Beispiel:

    Um meine NAS zu erreichen musste man Wasser@selfhost.de eingeben.

    Ich habe dann einfach den Namen in Sprudelwasser geändert und schon war Ruhe.

    Vielleicht hilft es dir weiter.

    ...


    mir fällt gerade wieder der Beitrag von eol73 ein

    ftp ohne Kennwort


    was da Sumpfbulle passiert ist hat mich damals auch nervös gemacht - mein NAS wurde dann von außen nicht mehr zugänglich gemacht.


    Friis

    Wenn das NAS direkt ins Internet gestellt wird besteht hier immer die Gefahr von unberechtigten Zugriffsversuchen. Der beste Schutz ist immer noch, wie Friis schon geschrieben hat, das NAS nicht ins Internet zu stellen. Soll oder muss dennoch ein Zugriff von Aussen sein ist das nächst bessere eine gute Firewall. Diese sorgt dann als Torwächter für den Schutz des NAS. Natürlich ist dann die Firewall entsprechend unter Beschuss, nur die ist im Gegensatz zu einem NAS darauf ausgelegt. Gute Firewalls für den Heimbereich kosten allerdings ein paar Euros. Die Firewalls, die in den WLAN-Router-Modems-all-in-One-Dingern verbaut sind, sind sehr schnell mit dieser Situation überfordert. Aber auch eine solche Firewall, wenn sie denn halbwegs was taugt und gut konfiguriert wurde, kann schon einen gewissen Schutz bieten.

    Da biste nicht der einzige. Klick.


    Als erste Maßnahme würde ich mein NAS aus dem Schußfeld nehmen und überlegen ob ich den Zugang nicht über VPN machen kann,

    würde auch den Adminaccout deaktivieren und einem anderen Benutzer Adminrechte vergeben.

    Zitat von Sumpfbulle

    Da aber die IP schon ziemlich früh zur ständigen BAN-Liste hinzugefügt worden ist, stellt sich mir die Frage, wie sie dann weiterhin versuchen kann auf meine NAS zuzugreifen.

    An der Aufklärung dieser zentralen Frage hätte ich auch Interesse.

    Weil das NAS keine Firewall ist. Das eigentliche Zugreifen kann ja nicht verhindert werden, da ja erst nach dem Zugriff erkannt werden kann um welche IP es sich denn beim Zugriff handelt. Und je nach dem wie QNAP dies gelöst hat, kann es durch aus sein, dass die Prüfung der IP-Adresse während des Anmeldevorgangs gemacht wird.

    Um den Zugang zu blockieren, unabhängig vom Login. Hier solltest Du auch mit gültigen Zugangsdaten nicht hinein kommen. Zumindest in der Theorie. Nur wenn der Angreifer die IP wechselt...

    Du meinst wenn die IP gesperrt ist, kann man sich nicht mehr an QTS anmelden?

    Unter "Blockierung" würde ich aber Laienhaft verstehen, daß sämtliche Kontaktversuche von der IP zurückgewiesen werden. Unabhängig auf welche Applikation ich will.

    Zitat von rednag

    Du meinst wenn die IP gesperrt ist, kann man sich nicht mehr an QTS anmelden?

    Ja, mit der gesperrten IP ist kein Anmelden mehr möglich.

    Zitat von rednag

    Unter "Blockierung" würde ich aber Laienhaft verstehen, daß sämtliche Kontaktversuche von der IP zurückgewiesen werden. Unabhängig auf welche Applikation ich will.

    Was Du hier willst ist eigentlich eine Firewall-Funktion. QTS hat aber leider nicht wirklich welche. Auch wenn QTS eine Firewall eingebaut hätte, würde ich diese nicht als erste Instanz gegen das Internet einsetzen wollen. Für solche Dinge biete sich eine der vielen Firewall-Appliances auf dem Markt an. Türsteher und Barkeeper in einer Person ist auch nicht sehr effektiv. :)


    Edit:

    Ich kann auch nichts dafür, dass sich ein Sportwagen nun mal nicht für das schwere Gelände eignet. ;)

    Auch möglich. Aber ob sich QNAP hier überhaupt die Mühe einer Unterscheidung gemacht hat?

    Aber wie dem auch sei, selbst wenn die Sperrliste auch perfekt funktionieren würde ist sie bei weitem nicht ausreichend um eine im Internet erreichbare QNAP gegen das Internet zu schützen.

    Gut, dann muß ich meine Sophos dahingehend ein wenig konfigurieren.

    Wobei ich auch nicht wirklich weiß, wie ich das machen soll.

    Die Sophos ist eine VM auf der Syno mit 2 NICs und hängt in der DMZ und LAN.

    Tja, da streiten sich die Geister, über Sinn und Unsinn einer Installation einer virtuellen Firewall auf dem gleichen Host wie die Daten. Spectre und Meltdown zeigen aber durchaus die bestehende Problematik diesbezüglich auf.

    Eigentlich müsste bei Dir die Sophos über min 2. NICs verfügen: 1 für WAN und 1 für LAN. Da Du aber auch noch eine DMZ und 1 NIC für die Syno Daten benötigen würdest, müsstest Du eigentlich 4 NICs haben. Aber da Du nur 2 hast, geht das selbe Spiel nur über einen virtuellen Switch.

    Wie ich es auch drehe, aber NAS und Security passen irgendwie noch nicht so richtig zusammen, zumindest nicht als All-in-One Wollmilchsau.

    So richtig produktiv ist ja die Sophos noch nicht.

    Nur mal installiert um mich damit zu beschäftigen.

    Das Ding ist ja wahnsinnig komplex.

    Aber im Prinzip gebe ich Dir vollkommen recht.

    Ein dezidiertes Gerät wäre besser.

    Nur alleine auf den Router will ich mich aber auch nicht verlassen.

    Die Deaktivierung des normalen admin Accounts würde ich dir ans Herz legen.

    Ich habe mir dazu auch einen Extra Account angelegt, von welchem aus ich diesen Aktivieren und Deaktivieren kann und nutze den Admin nur, wenn ich SSH oder eine andere erweiterte Rechte bedürfende Tätigkeit ausführe.


    Allerdings sperrst du dich damit auch aus, wenn du irgendwann nicht mehr auf die QNAP kommst, denn Admin-Rechte ist eben leider kein Admin wie Jagnix schon erwähnt hat.


    Mir persönlich war in dem Fall die Sicherheit wichtiger als die Daten.

    Sollte ich irgendwann mich so ausgesperrt haben, dass ich mit dem erstellten Admin-Account nicht mehr drauf komme und der 3 Sekunden Reset mir mein admin konnto nicht mehr zurücksetzt, dann muss ich eben neu aufsetzen aber dafür habe ich keinen Standard-Usernamen online, den jeder kennt