Unauthorisierte Zugriffsversuche auf mein NAS

    Ohne ersichtlichen Grund erhalte ich seit heute, etwa im Minutentakt, seitens meines NAS eine Alarmbenachrichtigung wonach sich jemand erfolglos (und unerlaubt) als admin auf meinem NAS einzuloggen versucht habe.


    Ich bin der einzige Nutzer meines NAS. Die Zweiwegeauthentifizierung ist aktiv.


    Die IP-Adresse ist jedesmal eine andere, weshalb wohl die Aktivierung des IP-Zugriffssschutzes in den Systemeinstellungen des NAS keine Besserung brachte.


    Kann ich sonst noch etwas gegen diese unangenehmen/eher unheimlichen Versuche machen?


    Danke für Eure Hilfe!

    Peter

    Einmal editiert, zuletzt von jollo33 ()

    Portwerterleitungen raus nehmen und uPnP deaktivieren, (beides im Router). 2FA bring nix wenn Exploits ausgenutzt werden.


    Das NAS niemals direkt dem WAN ausetzen.

    danke dolbyman... uPnP habe ich in meiner FritzBox deaktiviert. Unter den Portfreigaben ist Port 443 für den Fernzugriff auf mein NAS freigeschaltet. Wenn ich diese auch deaktiviere, dann habe ich keinen Fernzubriff auf mein NAS mehr? Bis dato kommen noch immer die Zugriffsversuche.


    Was meintest Du mit "Das NAS niemals direkt dem WAN aussetzen"?


    Peter

    Genau das ist was angegriffen wird, der Fernzugriff. Mal bitte nach deadb0lt und Qlocker suchen um zu sehen wie viel Schaden angerichtet werden kann wenn das NAS offen* im Web steht


    *Offen heißt das Web Interface. Das wird von Verbrechern angegriffen und zur Infektion des NAS verwendet.


    Hier mal lesen, schon ein paar Jahre alt aber immer noch brand-aktuell


    Security - Das NAS offen im Internet

    Du kannst auch einen anderen Port als den Standard-Port verwenden. Ist zwar auch kein 100% Schutz, aber sicherlich schon besser. Noch besser ein VPN Einrichten.

    Danke dolbyman und gkobler für Eure prompte Hilfe. Wie ich die verlinkte Anleitung von Mavalok2 und auch von gkobler lese, wäre die Einrichtung einer VPN-Verbindung das Richtige.


    Eine solche habe ich vor einiger Zeit gemacht anhand folgender Anleitung von AVM/Fritzbox


    https://ch.avm.de/service/vpn/…ox-netzwerken-einrichten/


    Nichtsdestotrotz erhalte ich die erwähnten Login-Fehlermeldungen im Minutentakt.


    Zur Ergänzung noch: Ich bin derzeit an meinem "primären" Arbeitsplatz; d.h. dort stehen sowohl der PC, die Fritzbox (gemäss vorstehender Anleitung wäre es die "FritzBox B") und auch das NAS.


    Was habe ich ggf. falsch gemacht?

    Zitat von jollo33

    Was habe ich ggf. falsch gemacht?

    Da wird weiterhin eine Portweiterleitung bzw Freigabe aktiv sein. Wenn das nicht automatisch über UPnP kommt, dann wirst Du diese manuell in der Fritte eingerichtet haben. Das reine Einrichten eines VPN stellt eine eventuelle Portfreigabe nicht ab... schau da nochmal nach.


    Die Anleitung die Du gepostet hast dient dem Zweck zwei Netzwerke/ Standorte fest miteinander zu verbinden... das ist nicht für den Zugriff von "irgendwo", zB vom Smartphone... weiß nicht ob das das ist, was Du willst...

    Danke Tiermutter: Also ich habe auf meinem Heimarbeitsplatz /primärer Arbeitsplatz) nun in der FritzBox die beiden zuvor freigeschalteten Portfreigaben gemäss nachstehender Übersicht deaktiviert. Seither sind die Login-Anfragen "verstummt".



    Portfreigaben.PNG

    Der von Dir erwähnte Zugriff von "irgendwo" funktioniert weiterhin (soeben getestet). Diesen habe ich auf meinem iPhone via die VPN-Funktion des iPhone eingerichtet.


    Meine Frage aber bleibt: kann ich denn bei nunmehr dekativierten Portfreigaben (resp. deaktivierter UPnP) weiterhin von den beiden "fest miteinander verbundenen zwei Netzwerken/Standorten"

    auf meine FritzBox und damit auf mein NAS zugreifen? Oder braucht es dazu eben nicht gerade eine Portfreigabe?

    2 Mal editiert, zuletzt von jollo33 () aus folgendem Grund: Rechtschreibekorrektur

    Zitat von jollo33

    Also ich habe auf meinem Heimarbeitsplatz /primärer Arbeitsplatz) nun in der FritzBox die beiden zuvor freigeschalteten Portfreigaben gemäss nachstehender Übersicht deaktiviert.

    Das war eine gute Tat, denn da hat jemand versucht, alle Passwörter durchzuprobieren.


    Wenn du ein VPN hast, über das du dich verbindest, brauchst du keine Portfreigabe, da dann der entfernte Standort logisch gesehen lokal ist.


    Alternativ kannst du über einen ssh-Tunnel verbinden. Das bietet sich an, wenn aus irgendwelchen Gründen kein VPN möglich ist, aber es erfordert (bei Qnap!) mehr Kenntnisse, wenn man es sicher machen will (Stichwort: Login nur über ssh-Keys).

    Jo, wie gesagt... Das VPN ist dafür da um zugreifen zu können ohne dass man Portfreigaben eingerichtet hat.

    Probiere es doch einfach mal aus ob es funktioniert. Wenn nicht, hat es darüber noch nie funktioniert ;)

    Danke Anthracite und Tiermutter für die Hilfe resp. "Beruhigung". Ich werde es zw. den beiden FritzBoxen bei sich bietender Gelegenheit testen! Das NAS-Passwort habe ich sicherheitshalber ebenfalls geändert.

    Wenn es stark genug und nicht zu einfach ist, dann solltest du was das PW angeht nichts zu befürchten haben, aber schaden kann es nicht es zu ändern.

    Bedenke bei den zukünftigen Zugriffen über das VPN, dass Du auf die LAN IP des NAS zugreifen musst, nicht auf die WAN IP (das wäre der Weg über die Portfreigabe).

    Tiermutter, danke für die Ergäzung. Damit es auch klappt: wo finde ich die LAN IP des NAS?

    Naja das ist die IP, mit der Du auf das NAS zugreifst, wenn Du im gleichen Netzwerk wie das NAS bist.

    Entweder ist die IP fest eingestellt (macht für ein NAS Sinn), dann findest Du die IP unter "Network + Virtual Switch > Interfaces > drei Punkte > Information" oder die IP wird per DHCP zugewiesen, dann findest Du sie irgendwo in der Fritzbox (da sollte sie in bieden Fällen angezeigt werden).


    Hm, eigentlich sollte die IP in allen Fällen an beiden Stellen angezeigt werden :)

    Zitat von gkobler

    Du kannst auch einen anderen Port als den Standard-Port verwenden. Ist zwar auch kein 100% Schutz, aber sicherlich schon besser.

    Warum sollte das besser sein? dauert mikro- oder millisekunden länger, den Port zu finden.

    VPN ist m.E. Pflicht

    Zitat von jollo33

    Meine Frage aber bleibt: kann ich denn bei nunmehr dekativierten Portfreigaben (resp. deaktivierter UPnP) weiterhin von den beiden "fest miteinander verbundenen zwei Netzwerken/Standorten"

    auf meine FritzBox und damit auf mein NAS zugreifen? Oder braucht es dazu eben nicht gerade eine Portfreigabe?

    Du brauchst keine Portfreigabe. Du brauchst aber 2 eingerichtete VPN-Verbindungen: und zwar einmal die von FritzBox zu FritzBox, sowie die für den mobilen Zugriff vom iPhone (sofern noch gewünscht);

    FRS3263.. danke dir, das sollte bei mir so eingerichtet sein. Die Verbindung von FritzBox zu FritzBox werd ich wie erwähnt baldmögl. prüfen.

    mad99 Ich hatte auch mal eine Portweiterleitung aktiv und dann die Zugriffsversuche. Nachdem ich den Standard Port geändert hatte, gab es keine Zugriffsversuche mehr. Also nehme ich stark an, dass die Hacker nur die Standard Ports von den IP-Adressen abfragen ob sie offen sind. Das nächste ist ja auch noch, wenn du keinen Standard-Port verwendest, wie weisst du welcher Dienst es ist? Ich denke das ist denen die Mühe nicht Wert, es gibt ja genügend "Dumme" :P(mich damals Eingeschlossen) die die Standard Ports öffnen.


    Jetzt habe ich einen VPN Zugang, auch dort verwende ich nicht den Standard Port.

    Zitat von gkobler

    wenn du keinen Standard-Port verwendest, wie weisst du welcher Dienst es ist?

    Deswegen gibt es ja Dienste wie shodan, da kann man dann die Listen einkaufen mit Fingerbardrücken aller Dienste und dann wird exploitet.


    Hier mal Check auf derzeit weltweite QNAP mit den Ports.

    pasted-from-clipboard.png