NAS schützen vor fremden Zugriffen

    Hallo zusammen,


    ich habe einen neuen NAS eingerichtet und der läuft soweit. Ich nutze einen TS-453D. Nun habe ich entdeckt, dass im QuLog Center etliche Fehlermeldungen auftauchen. Diese besagen, dass jemand mit fremder IP-Adresse versucht hat, sich als admin anzumelden, jedoch fehlgeschlagen ist. Diese sind im Screenshot im Anhang zu sehen.

    Kann mir jemand dabei helfen, wie ich den NAS gut schützen kann. Von außen sollte der NAS eigentlich nur per VPN Tunnel erreichbar sein, ich weiß nicht, ob bei der VPN Einrichtung etwsa fehlerhaft war.


    Vielen Dank im Voraus.


    Viele Grüße

    IFI

    Es sofort aus dem Internet rausnehmen wäre ein erster, guter Schritt zum Schutz!


    Aber ehrlich... egal was einem Marketing so erzählt und mit was die Hersteller so werben.

    Man stellt kein NAS ins Internet. (Punkt!)


    Wenn man von "überall" auf sein NAS zugreifen möchte, dann macht man das über VPN-Lösungen.

    Das Risiko ein NAS über das Internet erreibar zu machen ist verdammt groß.


    Diverse Ransomware-Meldungen aus der Presse lassen grüßen.


    P.S.: Und ja, bei der VPN-Einrichtung ist was schief gegangen, denn das NAS ist aus dem Internet erreichbar!

    Außer natürlich die ca. 6.000 fehlgeschlagenen Logins kommen alle aus Deinem VPN und Du bildest in Deinem VPN auch den (fast ganzen) IPv4-Adressraum ab. :D

    3 Mal editiert, zuletzt von Barungar ()

    Genau, der soll nicht erreichbar sein über das Internet, nur per VPN.
    Ich weiß aber nicht so recht, was ich falsch gemacht habe.. weil OpenVPN hatte ich auch soweit eingerichtet (dachte ich zumindest..)
    Da wäre ich über Hilfe dankbar

    1. Kontrollieren ob UPnP auf dem NAS aktiv ist, falls ja deaktivieren (Netzwerk und Dateidienste unter Diensterkennung), gleiches gilt für den Router

    2. Ports die nicht vom VPN genutzt werden im Router deaktivieren resp. nicht weiterleiten

    3. VPN falls möglich am Router einrichten und nicht auf dem NAS

    Also UPnP ist nicht aktiviert. Portweiterleitung ist nur eingerichtet zum Weiterleiten an die IP-Adresse des NAS.

    Hast Du das VPN auf dem NAS oder auf dem Router laufen? Das VPN gehört auf den Router.

    8080/tcp http ist der Port für das webGUI. Dieser Port soll nicht offen sein. Hier kommen die Angreifer durch.


    1194/UDP ist für openVPN

    Mod: Unnötiges Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Dann hattest du bisher GLÜCK.


    Port 8080 ist eine Einladung für Angreifer. Aber wie bereits gesagt und auch von anderer Seite angemerkt, am Besten wäre es das VPN auf dem Router zu haben und KEINEN Port an das NAS weiter zuleiten.


    Port 8080 schliessen und Port 1194 umstellen auf UDP.

    Einmal editiert, zuletzt von Xydoc ()

    Dazu müsstest Du uns verraten, was für einen Router Du hast.

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Es ist die Digitalisierungsbox Smart.


    Aber ich habe OpenVPN über den NAS eingerichtet, da es hier verschiedene NAS-Nutzer gibt, die sich dann ebenfalls mit ihren Logindaten dann auch per VPN einwählen können.
    Wie wäre das dann, wenn mans über den Router macht?

    Die haben dann natürlich Zugriff in Deinem Netzwerk.

    Ich würde es vorerst auf dem NAS belassen wollen, bevor ich da auf dem Router irgendwas verstelle.

    Reicht es also nur die TCP Portweiterleitung (8080) deaktiviert zu haben? Oder sollte ich noch Weiteres machen?

    Dazu muss man aber sagen, dass nur IPv4 und TCP geprüft wird. IPv6 ist hier komplett raus und UDP auf offene Ports prüfen (falls das hier überhaupt passiert) ist allgemein unzuverlässig.

    Zitat von IFI

    Wie mache ich das denn auf dem Router?

    :handbuch:Bedienungsanleitung S. 96


    Die Clients (= PCs) brauchen dann auch ein anderes Programm für die Verbindung mit dem VPN, da ipSec statt OpenVPN zum Einsatz kommt.

    Zitat von IFI

    Ich würde es vorerst auf dem NAS belassen wollen, bevor ich da auf dem Router irgendwas verstelle.

    Reicht es also nur die TCP Portweiterleitung (8080) deaktiviert zu haben? Oder sollte ich noch Weiteres machen

    Die Portweiterleitung für 8080 zu deaktivieren ist entscheidend.


    Ein Angriff über OpenVPN/Port 1194 ist nur dann möglich, wenn die OpenVPN-Implementierung auf dem NAS fehlerhaft ist. Das ist zwar nicht auszuschließen, aber es ist wesentlich weniger wahrscheinlich als eine Lücke oder ein schlechtes Passwort auf der Web-Oberfläche. OpenVPN hat eine gute Verbreitung und dürfte deswegen gut geprüft sein.


    Es ist ok, wenn du den Port 1194 offen lässt, bis VPN über Router/IpSec läuft und alle PCs darüber zugreifen können. Zwei VPN-Zugänge gleichzeitig stören sich nicht.


    Unabhängig davon solltest du ein Backup haben, das sicher ist gegen Verschlüsselungssoftware (z. B. zwei USB-Platten am NAS, die nie zum gleichen Zeitpunkt beide angeschlossen sind). Auch wenn alle Ports dicht sind, könnte es sein, dass jemand einen vergifteten Mail-Anhang anklickt und sich dadurch Schadsoftware einfängt.