Anmeldeversuche aufs admin-Konto von "Unbekannt"

  • Hallo Qnap-Gemeinde :qclub:


    ich hatte einen unschönen Vorfall. Irgendwer hat 5 mal versucht sich via HTTPS auf meinem admin Konto anzumelden. Der Netzwerkschutz hat eingegriffen und die IP dann 5min blockiert. Ich habe die Benachrichtigen aufm Handy erst eine Stunde später gesehen, also der IP-Block wieder raus war. Seitdem gab es keine weiteren derartigen Vorkommnisse.


    Die IP-Adresse des Angreifers kann ich sehen.

    Bekomme ich auch raus was für ein Gerät sich versucht hat anzumelden? und wie es sich nennt? Wenn ja, wie?


    Gibt es Maßnahme die ich ergreifen sollte und weitere bzw. ernsthaftere Angriffe zu vermeiden?


    Passwörter ändern, sichere Passwörter verwenden, nur verschlüsselte/sichere Verbindungen zulassen, Dienste die ich nicht benötige deaktivieren sind für mich selbstverständlich.

    Von außerhalb des Heimnetzwerks kann mein Qnap TS 453 bmini nur via HTTPS erreicht werden.Der myQnapCloud-Dienst, der den Datenverkehr über Qnap-Server umleitet, ist deaktiviert. Ich nutze Qnap-DDNS. QTS ist auf dem aktuellsten Stand.


    Vielen Dank vorab!

    Grüße Motschi

  • Steht das NAS im Internet, sind solche Angriffe von außen nie auszuschließen.

    Das läuft in der Regel über einen Portscan mit User/Passwortlisten automatisiert ab.

    Verhindern kannst du das demnach nicht. Die Absicherung kann man verbessern, jedoch muss man sich schon damit intensiv auseinandersetzen. Firmwarelücken machen das ganze nochmal schwieriger.


    Meine Lösung:

    Das NAS ist nicht über das Internet erreichbar, sondern nur über eine VPN-Verbindung, die über meinen Router aufgebaut wird, erreichbar.


    Ob das für deinen Anwendungsfall passt kann ich nicht beurteilen.


    Toolted

  • Das ist leider normal, wenn Dein NAS für alle über HTTPS erreichbar ist. Weitere Infos z.B. hier: Zugriffsschutz für QNAP Beginner


    Grundsätzlich empfiehlt sich eigentlich immer ein VPN Zugang, auch wenn dies mit mehr Aufwand verbunden ist. Zur Not kann man auch noch eine zusätzliche Sicherheit mit der 2-Faktor Authentifizierung erreichen. Nur hilft das nichts, wenn das Webinterface Löcher hat, was eben durchaus schon vorgekommen ist.

  • Hallo,


    ein Hinweis zu deiner Aussage

    Passwörter ändern, sichere Passwörter verwenden, nur verschlüsselte/sichere Verbindungen zulassen, Dienste die ich nicht benötige deaktivieren sind für mich selbstverständlich.

    Ein längeres Password ist besser als Komplexität.

    Beispiel:
    Besser wäre: "GrüneTomatenliegenuntereinemErdbeerbusch" gegen "Sdx%%&!!"


    VG

    Friis

  • Moin Moin,


    danke schon mal für eure schnellen antworten.


    Ich möchte nicht meckern, aber ihr seit nicht auf meine Kernfrage eingegangen:

    Kann ich irgendwo sehen welches Gerät versucht hat sich anzumelden? und eventuell wie es heißt? wenn ja, wie?

    Das wäre mich sehr wichtig, da ich den neben einem Angriff von einem völlig Fremden auch jemand bestimmtes im Verdacht habe...


    toolted : ich würde gern alles über VPN laufen lassen, dabei gibt es aber leider zwei Probleme.

    1) iOS-Geräte sind leider nicht in der Lage eine Dauerhafte VPN Verbindung zu halten(Ich nutze es überwiegend über iOS-Geräte). Ist das iPhone/iPad einmal im Standby wird die VPN-Verbindung schnell gekappt. Wenn man nur hier und da mal kurz aufs NAS zugreifen will wäre es ja noch vertretbar immer erst das VPN zu aktivieren, wenn auch nervig. ABER es sollen ja auch von unterwegs a über die Qfile-App automatisch Backups von Fotos und Videos von verschiedenen iOS-Geräten gemacht werden was ohne Dauer-VPN-Verbindung nicht geht...

    2) VPN über meine Fritzbox ist kein Problem, habe ich auch eingerichtet. Hier ist aber das Problem das sobald die VPN-Verbindung steht der gesamte Datenverkehr über die Fritzbox läuft, was mit meine mobile Datenübertragungsgeschwindigkeit beschneidet. Es gibt es Programm mit dem man sich für die Fritzbox VPN-Profile erstellen kann in dem man auch ein Häckchen setzten kann das nur Verbindungen die das Fritzbox-Netzwerk betreffen auf Dieses geleitet werden, aber das funktionierte ewigen Versuchen und googlen nicht( entweder alles ging über die fritzbox oder nix).


    nasferatu : Ich scheue nicht den Aufwand, das Problem sind die zwei hierüber genannten Probeme.


    Friis : Auch wenn ich jetzt vielleicht barsch wirke, aber mich nerven diese dauernden Passwort-Diskussionen. Ich sage doch das ich SICHERE Passwörter. Gehen mein Admin-Passwort stinkt dein "GrüneTomatenliegenuntereinemErdbeerbusch" ab. Es is mindestens genauso lang und besteht nur aus diffusen Groß- und Kleinbuchstaben, Zahlen und sonderzeichen.


    Grüße

    Motschi

  • Hallo @Motchi,


    nein ich nehme nix krum. Mein Ego ist groß genug, das ich damit umgehen kann.

    Es sei nur eben mal erwähnt ... aber

    mein Admin-Passwort


    Ich hoffe deine User-Passwörter auch?!?!;)


    Gibt es Maßnahme die ich ergreifen sollte und weitere bzw. ernsthaftere Angriffe zu vermeiden?

    Zu dieser Frage ... kann ich in Verbindung mit deiner Aussage:

    Irgendwer hat 5 mal versucht sich via HTTPS auf meinem admin Konto anzumelden. Der Netzwerkschutz hat eingegriffen und die IP dann 5min blockiert.

    Ich hatte das auch 3-mal gesetzt und dann 12h gesetzt.



    Zu deiner Frage:

    Ich hatte damals(10-15Jahre her) den Port im Switch gespiegelt und einen Logger mitlaufen lassen. Ich kann dir nicht mehr sagen was das Ding alles ausgespuckt hat nur es waren sehr viele Daten, da wirklich alles mitgeloggt wurde(auch der normale "Traffic").


    Das Stichwort ist hier IDS(Intrusion Detection System). Ich weis leider nicht, was die Dinger heutzutage liefern können. Oder dann doch gleich ein IPS?



    VG

    Friis

    Einmal editiert, zuletzt von Friis () aus folgendem Grund: Ergänzung, da man nicht selber auf seinen Post antworten kann.

  • Friis : da bin ich ja beruhigt ;)


    Mir geht es ja darum ob ich von genau diesen 5 Anmeldeversuchen das verursachende Gerät inkl dessen Netzwerknamen heraus bekomme. Geht das? Hab ich’s nur nicht gefunden.


    Da darf ich dich beruhigen, die User Passwörter sind gleich stark. Meine Fam und Co habe Ich per Passwortregeln dazu verdonnert :saint:


    Grüße

    Motschi

  • Mir geht es ja darum ob ich von genau diesen 5 Anmeldeversuchen das verursachende Gerät inkl dessen Netzwerknamen heraus bekomme. Geht das? Hab ich’s nur nicht gefunden.

    Ich denke, das dürfte schwierig sein. U.u. findet sich was in den Logs vom Webserver, der das Webinterface bereitstellt. Ich weiss allerdings nicht wo diese zu finden sind und ob diese wirklich erstellt werden. Da müsste man aber auf jeden Fall per putty und shell nachsehen, wenn es sowas gibt.

  • Vielleicht kannst Du auch noch was auswerten Klick.

    Allerdings glaube ich das nur Echtzeitdaten geloggt werden können, keine Vergangenheitswerte.

    Aber für den Wiederholungsfall sollte es hilfreich sein.


    Gruss

  • Die IP-Adresse des Angreifers kann ich sehen.

    Wenn du dein Netzwerk kennst, solltest du der IP auch das entsprechende Gerät zuordnen können.

    Wenn es eine externe IP ist, dann hast du eher keine Chance.

  • Wenn es eine externe IP ist, dann hast du eher keine Chance.

    Hmm, aber wenn man an logs des Webservers käme, der die Login-Seite und das QTS UI ausliefert bestünde ja womöglich die Chance, zumindest den Browserclient zu identifizieren oder grob zu bestimmen. Wie bei den Apache access.log Dateien. Aber wie gesagt, ob da was geloggt wird und wie man da ran käme weiss ich nicht.

  • Hört sich schwer danach an als hätte ich keinerlei Change es rauszufinden...


    dr_mike : Es ist eine externe IP. Die Anmeldeversuche kamen ja von extern über HTTPS. Im internen Netzwerk hätte ich´s schon längst rausgefunden.

  • Du kannst die IP googeln, dann bekommst du z.B. den Registrar raus auf den die läuft, sprich Kontinent, Provider, das wars aber auch schon.


    Das war ein Bot, der hat mal kurz im Vorbeigehen versucht die Tür auf zu bekommen und ist weiter gezogen.


    Ein IDS System ist nicht ohne, ein IPS System ohne im Detail angepasstes Regelwerk des IDS und der darauf ausgelösten Reaktionen drehen schnell durch.

    Dann blockst du ruck zuck alles.


    Da reicht schon ein nicht ganz sauberes Protokoll einer Anwendung und das Ziel landet auf der Backlist.


    Es kostet einige Stunden/Tage bis das sauber eingerichtet ist.


    Klar nehmen einem die großen das auch ab, aber dann hat man wieder ein Standard Regelwerk, welches meist eine Backbox ist und man weiß im Grunde gar nicht, wie das Schutzniveau wirklich aussieht.

    Aber für @home ist beides überdimensioniert, letztes aber noch mit geringem Pflegeaufwand nutzbar.


    Edit:

    Ich habe auf meinem iOS Handy einen FritzVPN Zugang und einen richtigen IKEv2 zur pfSense, letzte hält einige Minuten im Hintergrund die Verbindung im Gegensatz zum Fritz VPN.

    Split Tunneling kann man einstellen, wie sämtliche Detais.


    Ist halt was ordentliches mit Power, da wird auch der Uplink zum Limit und nicht mehr das VPN an sich.

    Einmal editiert, zuletzt von Crazyhorse ()

  • Wenn iOS trennt stellt sich mir die Frage ob das so problematisch ist.

    Upload der Bilder läuft @home über WLAN.

    Wenn eine Datei benötigt wird dann eben VPN einschalten. Einmal konfiguriert, muss ja nur der Schalter aktiviert werden.

  • Ja es nervt da bei jedem kurzem Sperren der Tunnel down ist.

    Mit der pfSense ist der noch ein paar Minuten aktiv und die Zeit kann man einstellen soweit ich weiß.

  • Die VPN Verbindung wird standartmäßig schon nervig schnell getrennt.

    Ich habe mich nochmal belesen. Es gibt die Möglichkeit ein VPN Profil für iOS zu schreiben das alle meine Wünsche erfüllen würde -> VPN Verbindung nur in fremden W-Lan´s oder bei Zugriff auf bestimmt Geräte/IP-Adressen in meinem Heimnetz:love:.

    Ich hoffe bald die Zeit dafür zu finden.

    Sollte es gut funktionieren werde ich davon Berichten. Wenn ich die Zeit finde bekommt ihr auch einen ausführlichen Betrag zum Nachmachen.

    Aber seit nicht böse wenn das noch eine längere Weile auf sich warten lässt...


    Grüße Motschi