werde gerade mit Login Versuchen (admin) bombadiert

    Hallo zusammen,


    ich werde gerade mit Login Versuchen (admin) zugeschüttet.


    diese Konto ist deaktiviert.

    Die Anmeldeversuche über die IP werden nach 5 Anmeldeversuchen blockiert. Allerdings ändert sich alle paar Sekunden die IP.

    Eine Bann Liste für iP adressbereich macht keinen Sinn, da diese Random sind

    Es nervt einfach. DAS NAS müsste aber erreichbar bleiben im Internet

    Macht ein interner IP -Wechsel der festen iP für das Nas Sinn ?


    werde jetzt mal Temporär das NAs aus dem Internet herausnehmen.


    Danke

    HoDam

    Zitat von HoDam

    werde jetzt mal Temporär das NAs aus dem Internet herausnehmen

    nicht nur temporär, ein NAS offen ins Internet zu stellen ist m.E. grob fahrlässig.


    Solange das NAS von extern erreichbar ist, kannst du intern ändern was du willst, das dauert nicht mal millisekunden, bis du weiter bombardiert wirst.

    Stell' den Zugriff von extern komplett ab und nutze VPN.

    Mir fehlt hier ein bisschen die Dramatik :)

    Zitat von mad99

    ein NAS offen ins Internet zu stellen ist m.E. grob fahrlässig.

    Genau so ist es, ich sehe das Gerät und die Daten grad aber akut in Gefahr!

    Selbst wenn stets geblockt wird kann hier auch schon ohne erfolgreichen Login Schindluder getrieben worden sein!

    Hi,


    ich habe seit ein paar Tagen das gleiche Problem. (siehe Anhang)

    Eigentlich benutze ich die NAS nur für ein nächtliches Backup via VPN.


    Wie kann ich wo die Zugriffe deaktivieren?

    Es ist auch nur openVPN aktiviert, keine ftp o.ä.


    Es ist eine TS 431+


    Danke für eure Hilfe

    Zitat von kohuwabohu

    Wie kann ich wo die Zugriffe deaktivieren?

    Schaue bitte mal in der Firewall/ Router nach den Portweiterleitungen, ob dort wirklich nur der ovpn Port weitergeleitet wird und ob ggf. UPNP aktiv ist.

    Genau das hat dolbyman gestern um 16.22 in der Quasselbox angemerkt:

    das es hier sehr ruhig ist, im englischen Forum wären haufenweise Posts wegen Login-Attacken.

    Ist die Welle jetzt also auch hierher geschwappt :|.


    Wenn das NAS wirklich nur VPN erreichbar ist, dann wären die Login Versuche höchst alarmierend.

    Gibt es entsprechende Logs im openVPN, die Du durchsuchen kannst?


    Gruss


    P.S. Sogar QNAP schreibt was dazu: klick

    Einmal editiert, zuletzt von FSC830 ()

    Gefällt mir 1

    Hi in die Runde,


    ich hatte nun auch die Tage regen Zugriff analog zu HoDam. Allerdings bei mit dem Port 443 den ich für die Qnapcloud benutzte. Ich habe nun den Port geschlossen, aber kann somit nun auch nicht mehr per Qnapcloud zugreifen.

    Ich nutze das hauptsächlich um Qsync und Resilio Sync zu nutzen. Hat wer ne Idee was ich da machen kann um sicherer zu sein?

    Klar kann ich die IPs blocken aber die Versuchen es auch mit geänderten IPs.


    Was mir übrigens auch aufgefallen ist, dass auf meine TS-h973AX-32G kein solcher Zugriff erfolgt. Ob das am Hero Betriebssystem liegt weiß ich aber nicht.


    Noch eine Anmerkung. Bei der TS-453Pro mit QTS wird mir bei der Firwall eine Umleitung auf den Port 63241 angezeigt. Ich bin leider nicht so firm im Port forwarding und dachte das macht das NAS von sich aus. Hier auch einer eine Idee was da läuft?

    Beim NAS die Ports 80, 443, 8080, 8081 ins Internet weiterzuleiten ist mMn. absolut ok, wenn man:

    • sichere Passwörter nutzt (ggf. noch mit 2FA)
    • zeitnah Firmware- und Appupdates durchführt
    • Sicherheitslücken irgendwie zeitnah mitbekommt
    • benachrichtigt wird, wenn das NAS Fehler produziert
    • Ne sinnvolle Backupstrategie hat (Snapshots und regelmäßige Offsite-Backups sind auch unabhängig davon natürlich sehr zu empfehlen)

    Das NAS nur über VPN zu nutzen ist definitiv sicherer, halte ich aber für überzogen, wenn man Features wie QSync, QFile oder Qsirch von unterwegs nutzt.


    Da es einigen evtl. aber hilft, die IPs der Bots zu sperren, hier ne kurze Anleitung:

    1. Mit irgendeinem admin user anmelden
    2. [Systemsteuerung] > [System] > [Sicherheit] > [Erlauben/Verweigern Liste] > Verbindungen aus der Liste verweigern auswählen
    3. QuLog Center aufrufen
    4. Einträge Filtern:
      001.png
    5. Maximale Anzahl an Einträgen anzeigen, nach IP sortieren und sicherstellen, dass sich keine IPs aus dem Heimnetz (z.B. 192.168.x.x, 172.16.x.x, 10.x.x.x) darin finden:
      002.png
    6. Alle Einträge auswählen und unbedingt evtl. gefundene private IP Adressen aus dem Heimnetz abwählen
    7. Die IPs der ausgewählten Einträge für mind. 1 Tag der Sperrliste hinzufügen:
      003.png
    8. Wenn bereits genug Login Versuche da waren, habt ihr vermutlich direkt Ruhe und eine gut gefüllte Sperrliste ^^
      004.png

    Sichere Passwörter und 2FA hilft nix gegen Exploits ... das sind dann wieder Erkenntnisse die mit Tränen/Geld bezahlt werden.


    Hat man gute externe/cloud Backups, ist es aber trotzdem doof wenn das NAS in der Zwischenzeit auf eigene Stromkosten Bitcoin geschuerft, Teil eines Botnetzes war oder Torrents geseeded hat ..

    Das kannst Du so machen wenn Du willst, es ist Dein LAN und Deine Daten!

    Aber weder sichere Passwörter noch umgeleitete Ports schützen, wenn es auf dem NAS Exploits gibt, die ein Hacker ausnutzen kann.


    Da hilft nur VPN. Wem das zu umständlich ist, der darf gerne das Risiko des gehackt werdens eingehen.


    Gruss

    Oh, zu langsam gewesen X/. :S

    Zitat von user374815

    Beim NAS die Ports 80, 443, 8080, 8081 ins Internet weiterzuleiten ist mMn. absolut ok, wenn man:

    sichere Passwörter nutzt (ggf. noch mit 2FA)
    zeitnah Firmware- und Appupdates durchführt
    Sicherheitslücken irgendwie zeitnah mitbekommt
    benachrichtigt wird, wenn das NAS Fehler produziert

    Spätestens seit dem 250.000 übernommenem Exchange Server sollte jedem klar sein, das man angegriffen wird, bevor es Patche gibt!

    0 Days sind in Internet nix neues mehr.

    Patching on demand hilft da nicht mehr, bis der raus ist, gibts schon einen neuen Admin.

    Zitat von user374815

    Das NAS nur über VPN zu nutzen ist definitiv sicherer, halte ich aber für überzogen, wenn man Features wie QSync, QFile oder Qsirch von unterwegs nutzt.

    Dann hast du das flasche VPN.

    Schalte ich dann ein, läuft das bis ich es abschallte oder der Akku leer ist.

    Sauberes Rekeying, Mobike und schon bist du immer verbunden, auch wenn zu zwischen WLAN und 4G hin und her wechselst.

    Zitat von user374815

    Da es einigen evtl. aber hilft, die IPs der Bots zu sperren, hier ne kurze Anleitung:

    Das hilft auch nur noch begrenzt, da es in jedem Land VPN Koten gibt bei denen der Trafic ausbricht.


    Das einzige was funktionieren würde, du blockst alles bis auf ein paar dyndns IPs, die du dann auf dem Handy mit einem Deamon ständig aktuell hältst.


    Kannst dich aber auch mit IPv6 in der Wüste verstecken, da gibt es so viele IPs, das man dich nur selten finden wird.

    Zudem nutzt das kaum jemand, weil es auch 2021 leider immer noch scheiße umgesetzt wird!


    Noch eine Ergänzung zum ersten Punk.

    Wenn es möglich ist einen Citrix Netscaler, der speziell als Application Layer Gateway als Zugangspunkt vom Internet ins sichere Firmennetz gehackt wird. Der speziell gehärtet ist und x mal von was weiß ich wem untersucht wurde und als sicher abgestempelt wurde.


    Das einzige was bisher noch nicht wirklich geknackt wurde sind richtige Firewalls und Router, die entsprechend gesichert sind und von außen nur minimale Angriffsfläche über die Ports für VPN und den ersten Handshake bieten.

    Alles andere, was dann mit x y z Funktionen und Layer darüber auffährt, ist so komplex, da ist zwangsläufig was drin, was bisher einfach noch keiner der guten gesehen hat.

    Aber dann kommt Tag x.


    Ist ja jetzt mindestens das 2 mal vorgekommen, das ein Säugling den Linux Loginscreen geknackt hat...

    Bzgl. Crypto mining / Torrent / Verschlüsselung etc.: Wenn ich Schadsoftware auf dem NAS hab, ist mir relativ egal, was die macht (und auch wie viel Strom das NAS dann frisst^^).

    Das muss bereinigt, alle Passwörter erneuert und im Optimalfall nachvollzogen werden, wie es dazu kam.


    Für Exploits, Verschlüsselungstrojaner und defekte HDDs etc. gibts ja Backups und Snapshots.

    Es gibt Dienste die nur im LAN gebraucht werden, und die sollten auch nur im LAN erreichbar sein, keine Frage.


    Davon mal unabhängig: Meine Freunde und ich nutzen seit 2011 ~5 NAS von QNAP, die auch über die entsprechenden Ports (80, 443, 8080, 8081) übers Internet mit ner *.myqnapcloud.com erreichbar sind. (Backupsysteme sind da nicht dabei) Firmware Updates werden ~2 Wochen nach Release durchgeführt und dann die Apps aktualisiert. Genutzte Features sind: Qsirch, Qsync, VirtualisationStation, Container und Webserver. Nirgends ist Photo-, Video-, Download-, oder Surveillance Station installiert.

    IPs, die Passwörter und User durchprobieren sehe ich immer mal wieder und werden nach 5 Versuchen nen Tag geblockt. 💁‍♂️ Alle Nutzer haben sehr sichere Passwörter, da jeder nen PW Manager nutzt.


    Wie viele Exploits hätten euer Meinung nach die NAS in den letzten 10 Jahren betroffen?

    (Die meisten Probleme kommen eher von schwachen Passwörtern, veralteter Firmware, automatischer Portweiterleitung oder gleich das NAS in ner DMZ)


    Bisher war das Schlimmste, was mit den NAS passiert ist, zwei bestimmte Firmwareupdates von Qnap 😐


    Und ja, selbst wenn ein NAS sich mal nen Virus einfängt, wärs nicht tragisch. Firmware neu installiert und Backup einspielen - fertig. So kann ich ohne Bedenken auch die oben genannten Apps nutzen. Oder? 😉


    -----------------------------

    Edit:

    Zitat von Crazyhorse

    Spätestens seit dem 250.000 übernommenem Exchange Server sollte jedem klar sein, das man angegriffen wird, bevor es Patche gibt!

    0 Days sind in Internet nix neues mehr.

    Patching on demand hilft da nicht mehr, bis der raus ist, gibts schon einen neuen Admin.

    Wäre es denn sinnvoll Exchange Server hinter ein VPN setzen? Ich denke mal nicht. (Kenn mich speziell mit Exchange aber nur bedingt aus)
    Man nimmt bestimmte Risiken in Kauf, wenn man ein Feature nutzt. VPN Endpoints haben genauso Zero-Days.

    Solange man abschätzen kann, welche Auswirkungen das hat und wie man im Fall der Fälle vorgeht, ist man doch gut vorbereitet.


    Zitat von Crazyhorse

    Dann hast du das flasche VPN.

    Schalte ich dann ein, läuft das bis ich es abschallte oder der Akku leer ist.

    Sauberes Rekeying, Mobike und schon bist du immer verbunden, auch wenn zu zwischen WLAN und 4G hin und her wechselst.

    Wenn du mir was empfehlen kannst, dass auch auf Android und iPhone läuft und ich am Besten gleichzeitig mit der VPN Lösung der Uni nutzen kann, nur her damit ^^

    2 Mal editiert, zuletzt von user374815 ()

    Hänge davon ab ob deine Uni VPN Tunnel nach extern raus lässt oder das filtert.


    Ein sauberer IPSec IKEv2 mit einer Sense reicht da schon.

    Kannst aber auch OpenVPN einsetzen, oder Wireguard, wobei letzter wohl in der Sense noch nicht ganz fertig ist und jetzt erstmal für Kernel Optimierungen wieder fliegt. Dann wird der aber wieder kommen, ich hoffe dann auch mit gescheiten Logs und Monitoring Features.


    Wirkliche Lücken, die den VPN Dienst und den Handshake angreifen sind mir jetzt in den letzten Jahren keine groß ins Gesicht geflogen.

    Aber fast jeder Hersteller hat hier mal was vergessen und da noch nen Debug Schrotthaufen vergessen zu killen, bevor er die Firmware dann auf der Seite zum ausrollen in die Welt wirft.


    Daher hat Sicherheit auch viel mit Struktur und Organisation zu tun.


    Kannst auch SSH über den Notfall über das Inet erreichbar machen, wenn du einen gescheiten Dienstleiter hast, der dir die Firewall betreut und er das sauber auf ein einzige seiner externen IPs eingrenzt, ist das Risiko hier minimal. Dann zudem noch nen schicken Key für die Anmeldung und das ist als sicher zu bezeichnen, da es nur von dieser einen IP angegriffen werden kann und damit strukturell gut abgesichert ist.

    Aber wozu, ne Firewall ist kein Hexenwerk und lässt sich easy selber betreuen, da gibts ganz andere Kisten die dann deutlich in Richtung Raketentechnik gehen.


    Wenn aber das ganze, halb oder auch nur wenige % des Internets mit dir spielen darf, dann bekommst halt auch jeden scheiß von außen eingeschüttet.

    Ich werde seit heute auch mit login versuchen bombardiert.

    Allerdings habe ich die QuFirewall aktiv und eigentlich sollten nur Zugriffe aus Deutschland erlaubt sein. Dennoch kommen die login Versuche aus Südkorea und Co.

    Scheinbar funktionieren die geo basierten Regeln nicht so toll?! Habe es nun auf subnet only, sprich LAN, gestellt und aktuell ruhe, so wie es aussieht. Würde aber gern zu Deutschland zurück. Weiß dazu jemand etwas? Seit Version 1.2.0 lässt sich übrigens der Punkt IP Zugriffsschutz mit den manuell gesperrten IPs nicht mehr öffnen.


    Screenshot_20210324_222217.jpg

    Zitat von Crazyhorse

    Wirkliche Lücken, die den VPN Dienst und den Handshake angreifen sind mir jetzt in den letzten Jahren keine groß ins Gesicht geflogen.

    Da stimm ich dir auch uneingeschränkt zu. Im Verhältnis gibt es da um Welten weniger kritische Exploits wie bei vielen tollen Apps von Qnap etc. Aber es gibt sie. Siehe Fortinet.


    Ich hab mir eben mal ausführlich zur dauerhaften Nutzung eines VPNs zum NAS Gedanken gemacht:

    + schützt das NAS effektiv vor Zero-Day Angriffen in allen direkt installierten und über die weitergeleiteten Ports erreichbaren Programme (Apps)


    - Teilen von Dateien über Links geht nicht mehr

    - Einfacher Upload von extern über Links geht nicht mehr

    - Kein Zugriff auf Daten wenn ich an einem fremden Gerät bin

    - Einrichtung von VPN Clients bei 'technisch unbegabten Usern' (z.B. Eltern) und damit verbundene Probleme

    - Webserver muss auch in ne VM / Docker, vorausgesetzt das entsprechende NAS gibt das her - sonst geht das auch nicht


    Ein Teil der Probleme könnte über eine zusätzliche vom Internet erreichbare Nextcloud Instanz in Docker / VM gelöst werden. Man müsste es aber so konfigurieren, dass alle Userdaten in einem vom NAS aus eingebundenem Share liegen. Dies hat zwar mit Nextcloud mehr praktische Features, aber auch zusätzliche Nachteile:


    - Erhöhter Wartungsaufwand

    - Teilweise nicht möglich auf gewissen schwächeren NAS

    - Keine einheitliche Suche über alle Dateien hinweg mehr möglich (Qsirch)

    - Weiterhin über fremde Geräte kein Zugriff möglich auf Daten die nur auf dem NAS, aber nicht in Nextcloud sind


    Vor dem Hintergrund, wenn grundlegende Sicherheitsvorkehrungen wie starke Passwörter (16 Stellen, Alphanumerisch mit Sonderzeichen), zeitnahe Updates, nur notwendige Portfreigaben und eine saubere Backupstrategie inkl. Snapshots vorhanden sind, finde ich die Einschränkungen, die ein reiner Zugang per VPN mit sich bringt, nicht hinnehmbar.

    Anmerkung: Hier handelt es sich nicht um Daten und Nutzer in einem Unternehmen, wo ich andere Maßstäbe ansetzen würde.


    Im Worst-Case gehen ohne VPN die Daten bis zum letzten Backup verloren. Das ist mit oder ohne VPN bei anderen Problemen wie z.B. Hardwaredefekten auch der Fall. Hier greift dann einfach wieder das Backup. 👈

    Geheime Daten auf den Shares wie Passwörter sind sicher verschlüsselt (Keepass) und können wegen mir auch über Torrent verteilt werden 😉. Die sind schneller geändert als gecrackt.

    Brute Force Attacken wie hier können einem bei starken Passwörtern am Arsch vorbei gehen. Hätte ich dadurch keine nervigen Mails, Benachrichtigungen oder bei nem potenziell großem Botnetz Einschränkungen im Service für mich, sollen die ruhig 10 Mrd. Passwörter / Sekunde testen 😄

    Hier ist für die Sicherheit allein die Stärke des Passworts entscheidend (2FA würde selbst Test1234 noch retten können).


    Daher finde ich es nicht sinnvoll gleich immer so stark auf VPN zu pochen. Aus der Frage von HoDam kann man ja auch auf den Kenntnisstand bzgl. Netzwerktechnik schließen. Auch ein VPN nutzt nichts, wenn ich Ports, IP-Adressen, NAT noch nicht gut verstehe oder z.B. UPnP am Router für die Portweiterleitung anlasse.

    Ein Verweis auf das FAQ zur Netzwerksicherheit deckt die meisten Sicherheitsansprüche mMn. besser ab*, als ein perfekt konfiguriertes VPN. Was noch fehlt, wäre vllt. ein FAQ zu verschiedenen Backupstrategien. Oder gibts das schon?


    Zitat von Crazyhorse

    Daher hat Sicherheit auch viel mit Struktur und Organisation zu tun.

    Da bin ich auch ganz bei dir 👍 - würde aber vermutlich hier mehr den Fokus drauf setzen. 😊


    Zitat von Crazyhorse

    Wenn aber das ganze, halb oder auch nur wenige % des Internets mit dir spielen darf, dann bekommst halt auch jeden scheiß von außen eingeschüttet.

    Je nach Nutzungsverhalten kann es eben für viele auch sinnvoll sein, die meisten Verbindungen erstmal nicht einzuschränken. Aber generell ist es auf jeden Fall sinnvoll die Angriffsfläche zu reduzieren indem man nicht genutzte Dienste deinstalliert, deaktiviert und nur die Dienste in Richtung Internet weiterleitet, die dort auch benötigt werden.


    Wer Sicherheit auf Enterprise Niveau für viele Nutzer mit den Features von QTS inkl. Apps will, ist bei QNAP eigentlich falsch. Da muss man schon wesentlich mehr Zeit und Geld investieren.


    *Und eben sehe ich, dass UPnP da nichtmal erwähnt wird 😅

    Ich vermute ja, dass das bei kohuwabohu das Problem ist. --> Bitte mal prüfen, ob automatische Portweiterleitung oder UPnP im Router aktiv ist, und ggf. deaktivieren.

    Kannst ja in deinem Fall vertreten da du eine entsprechende Sicherheitsabschätzung durchgeführt hast und das Risiko durch gewisse Maßnahmen auf ein vertretbares Maß reduziert hast.


    Das ja ok.

    Zitat von christian

    und bittet um Mithilfe beim sammeln von Angreifer IP Adressen.

    Gibt es dazu eine Sammelstelle? Oder sollen die IPs per Ticket eingereicht werden? Im Artikel finde ich nichts dazu...