IP Blocklisten

  • Hi.


    Ich hatte in den letzten Tagen über 100 Angriffe auf meine QNAP TS-251+.

    Ich denke dass jemand versucht hat das Passwort zu brute-forcen.

    Der Angriff ereignete sich innerhalb kürzester Zeit von wechselnden IP Adressen aber immer wieder aus ähnlichen IP Blöcken.

    Gibt es eine bequeme Möglichkeit IP Bereiche einzupflegen zum Beispiel per Liste oder geht nur der manuelle Weg im ControlPanal/Sicherheit/Aufgelistete Verbindungen ablehnen?

  • Wie ist das NAS denn aus dem Internet erreichbar?

    Wenn das notwendig ist, dann sollte es über eine VPN Verbindung laufen, den IP Bereich setzt man dann auf die Whitelist, alles andere wird abgewiesen.


    Gruß

  • Die NAS ist über myQnapCloud erreichbar.

    Kannst du mir das mit dem VPN mal erklären? Gibt es da eine Anleitung für?

    Meinst du etwa über einen VPN Tunnel des Routers? Verlangsamt das nicht zu sehr die Streaming Dienste (z.B. PLEX)

  • Genau das meinte ich.

    Zur Performance kann ich nichts exaktes sagen, der VPN Tunnel der Fritz kostet Performance, das ist richtig.

    In Zahlen kann ich dazu aber nichts sagen.

    Du mußt abwägen zwischen Sicherheit und Nutzen des VPN Tunnels hinsichtlich der Anwendung.

    Jedenfalls waren hier schon mehrere NASen über die myQnapCloud Opfer von Attacken.

    Ob dabei die Cloud oder andere Einfallstore maßgeblich waren kann ich so nicht beurteilen.


    Gruss

  • Hast du dann in der Fritz Box eine VPN eingerichtet unter "VPN-Verbindungen zur FRITZ!Box"

    und in der NAS dann nur die interne IP freigegeben 192.168.xxx.xxx oder den gesammten Heimnetzwerk bereich 192.168 .xxx.1 - 192.168.xxx.255?

  • Das kommt darauf an: wenn Du definitiv immer mit derselben IP kommst, dann kannst Du nur diese eine IP eintragen.

    Dann kann aber auch nur diese eine IP auf das NAS zugreifen (auch auf die WebGUI).

    Es sollten also mind. 2 IPs da drin stehen: die vom Admin PC und die für den Zugriff via VPN.


    Ansonsten gib den kompletten Bereich 1...254 frei.


    Gruss

  • Danke noch mal FSC830.


    Habe es ausprobier, ist aber für meine Zwecke ein wenig hinderlich vor allem für die PLEX Nutzung wird es schwierig.


    Um auf meine anfängliche Frage zurück zu kommen:


    Gibt es eine Möglichkeit IP Bereiche per Liste und nicht jeden einzel einzupflegen?

  • Ich habe die Zugriffsliste wieder raus geworfen.

    Die blockt zwar bei Wörterbuchangriffen, beim Rest hilft die wenig bis gar nicht.


    VPN und gut ist, wenn ansonsten jemand durch meinen Router und damit die Firewall durch kommt, ist es eh aus.

  • Hi,


    ist zwar schon etwas älter, aber ja wichtig, dehalb antworte ich hier mal.
    Ich gebe auf der shell ein:

    whois IPNUMMER

    Als Antwort gibt es einen IP Nummern Bereich. Je nachdem was es für
    eine Firma ist, sperre ich dann ggf. den ganzen Bereich - siehe auch:
    https://docs.qnap.com/nas-outd…D4-A46B-E8B383C4375F.html

    Meine Liste ist nun schon viele Dutzend Einträge lang, da auch immer wieder EinzelIP-s
    dauerhaft geblockt werden - gemäss strneg konfigurierter Regel in:
    System - Sicherheit - Netzwerkzugangsschutz

    Mit Gruß aus Gö -Ralph

  • Und was möchtest Du damit sagen?

    Wenn diese IPs im NAS auftauchen, dann stimmt was anderes nicht, wieso kommen diese IPs bis zum NAS?


    Es wäre wesentlich besser, das NAS erst gar nicht so ins I-Netz zu stellen, das diese IPs zugreifen können.

    Man kann Fliegen an der Wand totschlagen oder aber Fliegengitter anbringen ;).


    Gruss

  • Wer braucht so einen Mist, wenn man das NAS nicht direkt über das Internet aus erreichbar macht?


    Bei mir blockt ne echte Firewall alles was aus dem Internet kommt zuvor sauber weg. Was soll ich dann in meinem internen sicherem Netz mit so einer peseudo Sicherheitsfunktion?

  • Es hat aber nicht jeder die Expertise oder Hardware um davor eine vernünftige Firewall zu setzen.

    Egal was man macht, es ist immer noch besser als nichts zu machen.

  • Ich habe seit wochen Täglich 10-30 Login versuche. Nach 5 Falschen eingaben landen die dann auf der Blockliste.

    Mein TS-251+ ist überMyQnapCloud verbunden. Ich muss oft von verschiedenen PCs drauf zugreifen, deshalb brauch ich die Anbindung ans Netz.

    Ich bin jetzt auf der Suche nach einer Lösung um das ganze etwas sicherer zu machen.


    @Crazyhorse

    Das ist schön das du eine FW davor hast. Nicht jeder kennt sich damit aus und kann das mal eben bewerkstelligen. Bei solchen Posts evtl. mal Hilfestellungen und Infos geben anstatt solch leerer aussagen.


    LG Tim

  • Dann nimm für den Zugriff VPN.

    Das ist i.d.R. einfacher als eine FW und geht mittlerweise auch mit jeder Fritzbox, die ein aktuelles FritzOS hat.

    Ist zwar immer noch gegenüber der FW Lösung nicht so gut aber deutlich besser als myqnapcloud


    Und wer jetzt wieder mit "viiiiel zu kompliziert" um die Ecke kommt: dann entscheidet Euch, was wichtiger ist: Datenzugriff oder Datensicherheit.


    Gruss

  • und geht mittlerweise auch mit jeder Fritzbox, die ein aktuelles FritzOS hat.

    hier vielleicht nochmal eine Restriktion angemerkt:

    Die Fritten können das bislang nicht wenn sie hinter CGNAT aka DS lite hängen und nur eine öffentliche IPv6 statt v4 bekommen.

    Oder hat sich da mittlerweile auch was getan?


    Eine kleine Einführung in VPN gibt es hier: Sicherer Fernzugriff auf das NAS und LAN mittels VPN - Ein kleiner Überblick

    Pauschal kann man zu VPN aber keine Hilfestellung geben...

  • Dann nimm für den Zugriff VPN.

    Aber ich müsste doch dann an jedem PC von dem ich auf mein NAS zugreifen möchte OpenVPN und die Konfig dafür installieren..

    Das ist viel zu aufwendig. Die PCs wechseln ständig..

  • OpenVPN und die Konfig dafür installieren..

    Kommt halt drauf an... IPsec ist zB in nahezu jedem OS implementiert. Und OpenVPN auf einem neuen System mit zu installieren und für die Konfig ein oder vier Dateien in einen Ordner zu schubsen sollte im Angesicht der Sicherheit die man dadurch erhält auch nicht das Thema sein.

  • Das ist viel zu aufwendig. Die PCs wechseln ständig..

    Und wer jetzt wieder mit "viiiiel zu kompliziert" um die Ecke kommt: dann entscheidet Euch, was wichtiger ist: Datenzugriff oder Datensicherheit.

    Aber dann auch nicht meckern und heulen wenn was verschlüsselt, gelöscht oder sonstwie kompromittiert ist.


    Gruss