TS-453B ständige Angriffe von fremden IP Adreessen

  • Hallo zusammen,


    ich werde seit längerer Zeit immer durch fremde IP Adressen angefriffen.


    Code
    Schweregrad	Datum	Uhrzeit	Benutzer	Quellen-IP	Anwendung	Kategorie	Inhalt
    Fehler	2020/08/29	12:42:17	admin	154.28.188.xxx Users	Login	[Users] Failed to log in via user account "admin". Source IP address: 154.28.188.xxx.

    Gibt es eine Möglichkeit meinen QNAP im Internet unsichtbar zu machen aber dennoch aus dem Internet erreichbar zu sein?


    Würde mich freuen von euch Profis einen Tipp zu bekommen.


    Ich wünsche euch allen ein wunderschönes Wochenende.


    BG Stefan

  • VPN über Router/ Firewall.

    Mehr geht da nicht.

    Erreichbar = für alle sichtbar und demnach unsicher.

    Du könntest maximal die ankommende IP bei der Portweiterleitung bzw. Firewallregeln auf bestimmte IP beschränken, setzt aner voraus dass immer mit den gleichen statischen IPs zugegriffen wird.

  • Gibt es eine Möglichkeit meinen QNAP im Internet unsichtbar zu machen aber dennoch aus dem Internet erreichbar zu sein?

    Die Frage ist falsch gestellt.

    Alles, was aus dem Internet erreichbar ist, wird auch aus dem Internet angegriffen - ob "sichtbar" oder nicht.


    Ein Ausweg ist, wie schon von anderen genannt, ein VPN.

    Damit erreicht man, dass das NAS eben nicht aus dem gesamten Internet erreichbar ist, sondern nur von einer handverlesenen Gruppe von Leuten, die man identifizieren und ihnen persönlich aufs Dach steigen kann, falls es einen Angriff geben sollte.


    Ein weiterer Ausweg ist, das NAS eben nicht aus dem Internet erreichbar zu machen, sondern die Erreichbarkeit aus dem Internet anderen zu überlassen, die dafür professionell aufgestellt sind, das Equipment und das Personal dafür haben: sogenannte Cloud-Dienstleister.


    Ansonsten bleibt dir nur, dich der Aufgabe zu stellen und je nach Ergebnis deiner persönlichen Risikoanalyse angemessene Sicherheitsmaßnahmen zu treffen, z.B. Firewall, IDS, Logging, 7x24-Monitoring, Offsite Backup, Recovery-Plan, Vereinbarung mit deinem Provider für den Abuse-Fall. Bedenke bei der Risikoanalyse, dass der mögliche Schaden weit über den bloßen Verlust deiner Daten hinausgeht und auch Dinge einschließt wie Strafverfolgung wegen Taten, die jemand anderes über dein gehacktes NAS begeht. Eine Hausdurchsuchung mit Beschlagnahme ist auch dann nicht schön, wenn sich am Ende der Ermittlungen herausstellt, dass du unschuldig bist.

  • Was sich empfiehlt:


    1. Nur die wirklich benötigten Ports im Router (Fritzbox) weiterleiten

    2. Unübliche Portnummern verwenden (also für ssh nicht die 22)

    3. Nach einer gewissen Anzahl von Fehlversuchen die IP-Adresse sperren (kann bei Qnap eingestellt werden)


    Ich hatte viele Jahre bei einem Synology NAS genau zwei Ports freigegeben, einen für VPN, einen für ssh, beides unübliche Nummern. In den Jahren hatte ich genau einmal die Meldung über 20 Login-Versuche von einer fremden Adresse, und als beim 21. Versuch die IP gesperrt wurde, hat der Möchtegern-Hacker aufgegeben.


    Neben VPN nutze ich auch gerne ssh von auswärts, weil der Zugriff über ssh und sftp bei einer labberigen Internetverbindung (z. B. Mobilfunk) deutlich stabiler läuft als mit einem VPN. Dann muss man allerdings für die Accounts Passwörter nehmen, die weder durch systematisches Ausprobieren noch durch Datenbankattacken herauszubekommen sind.

  • Was sich empfiehlt:


    1. Nur die wirklich benötigten Ports im Router (Fritzbox) weiterleiten

    2. Unübliche Portnummern verwenden (also für ssh nicht die 22)

    3. Nach einer gewissen Anzahl von Fehlversuchen die IP-Adresse sperren (kann bei Qnap eingestellt werden)

    "Empfiehlt" finde ich hier ein bisschen hart... Ich würde das eher "letztmögliche, verzweifelte Masnahmen" nennen, wenn es wirklich zwingend erforderlich ist und anders nicht geht... Und wenn dann in Kombination mit vorgegebenen Quell IPs, was die Sache für viele wieder uninteressant macht.


    Anmeldeversuche und gesperrte IPs ist nicht alles was man zu erwarten hat und gegen den Rest der möglichen Angriffe steht ein QNAP ziemlich verloren im Walde...

  • Was sich empfiehlt:


    1. Nur die wirklich benötigten Ports im Router (Fritzbox) weiterleiten

    2. Unübliche Portnummern verwenden (also für ssh nicht die 22)

    3. Nach einer gewissen Anzahl von Fehlversuchen die IP-Adresse sperren (kann bei Qnap eingestellt werden)

    Leider nicht:

    Was sich stattdessen empfiehlt:

    1. KEINE Ports weiterleiten

    2. unübliche Portnummer bewirken GAR NICHTS (siehe1.)

    3. ist überflüssig, wennn man sich an 1. hält

  • Was sich empfiehlt:


    1. Nur die wirklich benötigten Ports im Router (Fritzbox) weiterleiten

    2. Unübliche Portnummern verwenden (also für ssh nicht die 22)

    3. Nach einer gewissen Anzahl von Fehlversuchen die IP-Adresse sperren (kann bei Qnap eingestellt werden)

    Ich füge hinzu:

    4. Nur anerkannt sichere Dienste freigeben.

    5. Wissen, was man macht.


    zu 4.

    Als sicher gelten z. B.

    - VPN (aber nicht alle Implementierungen), solange der Rechner mit dem VPN-Zugang nicht in falsche Hände gerät

    - ssh

    + bei Zugang mit ssh-key darf der Rechner nicht abhanden kommen

    + bei Zugang mit Passwort muss dieses hinreichend sicher sein, insbesondere das für root/admin


    MyQnapCloud kann wohl nicht als anerkannt sicher gelten.


    Mit "empfiehlt" ist gemeint, was man tun sollten, wenn man einen Dienst unbedingt von außen erreichen möchte. Den Dienst nicht freigeben ist natürlich sicherer.


    Ein weiterer (auf dem PC der mit Abstand größte) Angriffsvektor ist die Installation verseuchter Programme. Da kann man aber mit Freigaben nichts dran ändern.

  • Moin,

    ssh zu QNAP-NAS würde ich nicht empfehlen, da ein Update gegen mögliche Sicherheitslücken beim SSH-Server nur per FW-Update erfolgen kann.

    Linux-, Unixserver sind da wesenlich schneller beim Update.

    Es bleibt für den Zugriff von Außen nur VPN. Und das sollte auch nicht auf einem QNAP laufen, am besten auf dem Router inkl. Firewall (pfsense, opnsense, usw.)

  • Neben VPN nutze ich auch gerne ssh von auswärts, weil der Zugriff über ssh und sftp bei einer labberigen Internetverbindung (z. B. Mobilfunk) deutlich stabiler läuft als mit einem VPN. Dann muss man allerdings für die Accounts Passwörter nehmen, die weder durch systematisches Ausprobieren noch durch Datenbankattacken herauszubekommen sind.

    Wenn man ssh aus dem Internet erlaubt, muss man Passwortauthentifizierung abschalten und ausschließlich Public Key Authentifizierung zulassen.

    Login per ssh als root muss komplett abgeschaltet werden.

    Alles andere ist fahrlässig.

  • Wenn man ssh aus dem Internet erlaubt, muss man Passwortauthentifizierung abschalten und ausschließlich Public Key Authentifizierung zulassen.

    Passwörter von 12 bis 15 Zeichen Länge, die nicht mit einer Wörterbuchattacke erratbar sind, sind weit jenseits dessen, was mit Brute Force geknackt werden kann. Das ist sicher. Insbesondere wenn die IP-Adresse nach Fehlversuchen gesperrt wird.


    Das Problem ist, dass viele Leute Passwörter wie 'secret' oder 'pass123' verwenden müssen.

    Oder wie an der Uni, ein Account für alle Mitarbeiter, und das Passwort wird auch nach dem Ausscheiden von Mitarbeitern nicht geändert. Vermutlich könnte ich mich da heute noch einloggen.

    Auch nicht gut ist die Wiederverwendung von Passwörtern, z. B. dasselbe nehmen wie beim Yahoo-Mailzugang. 1 1/2 Jahre hat es gedauert, bis Yahoo mich über den Diebstahl meiner Daten informiert hat :cursing:.

  • Passwörter von 12 bis 15 Zeichen Länge, die nicht mit einer Wörterbuchattacke erratbar sind, sind weit jenseits dessen, was mit Brute Force geknackt werden kann.

    Um sicher zu sein, musst du diese Passwörter lokal zufällig generieren (nein, der "Wetware-Zufallsgenerator" Hirn ist nicht gut genug) und in einem Passwortsafe ablegen.

    Erheblich einfacher und bequemer ist die Public-Key-Authentifizierung.

    Und Einfachheit und Bequemlichkeit erhöht in diesem Fall auch die Sicherheit, weil der Anreiz für unsichere "Mal-eben"-Umgehungslösungen entfällt.

  • Hallo liebe Freunde des QNAP.


    Ich hänge mich mal an diesen Thread dran, um nicht extra einen eigenen zu eröffnen.

    Das Thema ist nicht genau das gleiche aber doch ein sehr ähnliches. Und über die SUFU habe ich leider nichts gefunden...


    Also:

    Auch ich bin ab und an Opfer von Angriffen auf mein NAS.

    Mir sind alle Maßnahmen bewusst und ich habe sehr lange komplizierte Passwörter usw...

    Meist wird versucht sich mit dem User "admin" anzumelden, welcher ohnehin auch deaktiviert ist.

    Und mit "meist" meine ich nicht mehr als 5 oder 6 versuche alle paar Tage... mal via HTTP(S), mal via FTP...


    Meine Frage nun:

    Kann ich irgendwie einstellen, dass eine IP automatisch nach zB 4 Fehlversuchen für immer gesperrt wird.

    Aber nicht so wie es über die GUI möglich ist, innerhalb von 30 Min 5 Fehlversuche - das ist mir zu locker.

    Am besten über einen Zeitraum von 24 Stunden 3 Fehlversuche....


    Gibt es da keine Lösung das "schärfer" zu stellen? Eine Regel selbst erstellen?

    So im Sinne von IFTTT ? :)


    Vielen Dank schon mal für Eure Hilfe !!


    LG

  • innerhalb von 30 Min 5 Fehlversuche - das ist mir zu locker.

    Ich finde das eigentlich schon stramm genug... ich würde hier eher das Problem angehen und nicht versuchen das Problem durch derartige Einstellungen herunterzuspielen und sich damit in falscher Sicherheit zu wiegen... Loginversuche ist nicht alles Böse was Dich erwarten kann. Sichere Passwörter und IP Sperren sind toll, helfen aber auch nur gegen genau derartige Angriffe und wenn Dich, bzw. Dein NAS schon jemand nackt sieht kommt er vielleicht auch auf entsprechende Gedanken!

  • Auch ich bin ab und an Opfer von Angriffen auf mein NAS.

    Und wie ist das NAS von außen erreichbar, über Portfreigaben?

    Warum nutzt Du kein VPN?


    Gruss

  • Wieso nicht? Es gibt die Clients für Win, Linux, IOS, Android,...?

    Ich würde mir dann lieber Alternativen für den Datenaustausch überlegen (Dropbox?) als mein NAS der Gefahr des Angriffs aussetzen.


    Aber es ist nicht mein NAS und nicht meine Daten ;).


    Gruss