IP Bereiche dauerhaft blocken

    Hallo,

    wahrscheinlich werden viele wie ich mit Hackerangriffen (FTP) auf dem NAS zu tun haben. FTP abschalten ist keine Option. Bisher habe ich die Einstellungen unter "Sicherheit" so gehabt, dass nach 4 Fehlversuchen innerhalb von 30 Minuten die IP für einen Tag geblockt wird. Das funktioniert auch sehr geht, allerdings will ich die große Anzahl von Mails reduzieren und dachte mir, dass ich IP Bereiche auch dauerhaft blocken kann. Ich habe also Einträge vorgenommen wie in der Anlage. Heute habe ich bemerkt, dass dennoch 2 Anmeldeversuche von 92.187.239.238 erfolgten. Habe ich bei der Festlegung der IP Bereiche etwas falsch verstanden/eingetragen?

    Wie händelt ihr das?

    Gruß

    PetiJ

    Bildschirmfoto_2023-06-21_08-14-39.jpg

    Zitat von PetiJ

    Wie händelt ihr das?

    Gar nicht erst das NAS im WAN freigeben. Es benötigt keine Anmeldeversuche um Dein NAS zu hacken und zu verschlüsseln.

    Du solltest Dir hier etwas Besseres einfallen lassen!


    Ansonsten wäre das ein Thema für die QuFirewall, aber nicht für die Zulassen/Verweigern Liste...

    Hallo tiermutter,

    danke für die schnelle Antwort.

    Leider ist es für mich nötig, dass das NAS im WAN ist.

    QuFirewall werde ich mir ansehen. War mir bisher zu umfangreich/kompliziert.

    Warum baut QNAP die Option mit "Verweigern" ein... Dann sollte das auch funktionieren. Ich halte das für sinnvoll.

    Nebenbei: Wie kann das NAS gehackt werden ohne Anmeldung?

    MfG

    PetiJ

    Zitat von PetiJ

    Warum baut QNAP die Option mit "Verweigern" ein...

    Die diente sicherlich einst auch für solche Zwecke, ansonsten wird die Liste üblicherweise aber verwendet um halt nach Fehllogins zu blocken. Die QuFirewall ist relativ neu und für Deine Zwecke besser geeignet. Hier kannst Du auch Geoblocking verwenden.

    Was passiert denn mit dem FTP? Also wie wird das genutzt? Kann man nicht einfach eine bestimmte Range oder IP freigeben? VPN ist keine Option?

    Zitat von PetiJ

    Nebenbei: Wie kann das NAS gehackt werden ohne Anmeldung?

    Suche hier einfach mal nach "Malware" oder "Qlocker" oder "Deadbolt". Es gibt immer Dienste die entsprechende Sicherheitslücken aufweisen, die auch ohne Login ausgenutzt werden können. Wie sehr (Qu)FTP hier betroffen ist oder war weiß ich nicht, aber FTP gilt allgemein nicht als sicher. Ist denn nur FTP freigegeben oder auch die GUI bzw. andere Ports/ Dienste?

    GUI ist natürlich nicht freigegeben.

    FTP: in meiner Familie/Verwandschaft gebe ich meine Multimediadateien frei, die werden mit Kodi per FTP genutzt. Das soll auch so bleiben.

    VPN nutze ich für mich. Ist für die Verwandschaft "zu kompliziert" und nicht alle haben den entsprechenden Router (soweit mir bekannt).

    Na, dann ist es nur noch eine Frage der Zeit, bis hier ungebetene Besucher auftauchen. ?(

    Tut mir leid, ich kann diese - höflich formuliert - haltlose Argumentation "...zu kompliziert" nicht nachvollziehen.

    Mit dem gleichen Argument braucht man auch keine Haus- und Wohnungstür mehr abschließen, es kommen ja nur die Verwandten und ein Schlüssel ist zu kompliziert.


    Wer sich nicht im mindestens vor (Daten-)Einbruch schützen kann, dem würde ich nie Zugriff auf mein Netzwerk erlauben, was schleppen die sonst noch ein?

    Wenn man zu "inkompetent" (wieder höflich formuliert) ist, sich mit VPN auseinanderzusetzen, dann geht das eben über z.B. Dropbox oder einen anderen externen Dienstleister, aber doch nicht in mein Netzwerk und über ein ungeschütztes FTP!


    Aber es sind nicht meine Daten. Darf jeder machen wie er will, aber bitte kein großes Geschrei hinterher, wenn alle soo wertvollen Daten verschlüsselt sind.


    Gruss

    Soweit verständlich... keine Ahnung ob es hier nicht bessere / sichere Methoden gibt, die auch komfortabel sind.

    Wichtig ist, dass Du ordentliche Backups hast.


    Mit der QuFirewall solltest Du das weitgehend eingrenzen können indem Du den Zugriff zB nur von deutschen IPs erlaubst, dann ist die Gefahr auch auf Hacker / Bots aus DE beschränkt. Aber Vorsicht, mit der QuFirewall kann man sich auch schnell aussperren.

    Backups laufen täglich, auch per VPN außerhaus (mein Büro)...

    "Familie" sind keine IT-Spezies, schon gar keine Netzwerkprofis. Und auch wenn es immer heißt: VPN ist kinderleicht... das ist nicht richtig für einen Laien. Da bitte ich um Verständnis/Nachsicht.

    QuFirewall wird demnächst getestet.

    Danke für Eure Hinweise

    Gruß

    PetiJ

    .... völlig richtig: die dürfen keinen Zugriff auf mein Netzwerk kriegen. Auch darum ist VPN hier nicht der sichere Weg. Was weiß ich, was in dem Familien-Netz vorgeht?

    Einmal editiert, zuletzt von PetiJ () aus folgendem Grund: Ein Beitrag von PetiJ mit diesem Beitrag zusammengefügt.

    Zitat von PetiJ

    VPN ist kinderleicht... das ist nicht richtig für einen Laien. Da bitte ich um Verständnis/Nachsicht.

    Wie gesagt, ich verstehe das. In solchen Fällen muss man dann anderweitig schauen, wie es sicher bleibt, aber wie FSC830 schon sagte: Jeder kann mit seinen Daten machen was er will.


    Dropbox etc wurde schon erwähnt, bin ich aber auch kein Freund von... ich könnte mir hier zB vorstellen mit einer ordentlichen Firewall/Router nur die IPs der Familie zu erlauben, welche (da ja vermutlich nicht statisch) mittels DDNS abgefragt werden. Würde dann zwar wieder ein paar Hindernisse mit sich bringen (CGNAT) aber das ist halt alles der Preis für Sicherheit und Komfort.

    Dropbox ist keine Alternative für mich. Ich mag diese Clouddienste nicht. Meine Daten sollten vollständig bei mir bleiben.

    QuFirewall habe ich gerade installiert. Die Standardeinstellungen erscheinen mir sinnvoll und die geblockten IP Bereiche wurden übernommen. Darüber hinaus ist Geoblocking so eingestellt, dass nur Deutschland frei ist. Das gefällt mir gut. Danke für diesen Hinweis.

    Gruß

    PetiJ

    QuFirewall: ich habe mal außer Deutschland ein weiteres Land "erlaubt" und mit NordVPN mein Handy dorthin verbunden. Die FTP-Anmeldung scheint zu gehen, jedoch wird LIST nicht mehr ausgeführt... Das klappt scheinbar nicht so richtig?

    Einmal editiert, zuletzt von PetiJ () aus folgendem Grund: Ein Beitrag von PetiJ mit diesem Beitrag zusammengefügt.

    Handy macht VPN-Tunnel nach Island (geprüft mit geoiptool). Hat also eine IP-Adresse aus Island. Wenn ich dann mit dem Handy per FTP auf meinen NAS zugreifen will, erfolgt die Anmeldung, jedoch werden die Verzeichnisse nicht mehr angezeigt. Im Protokoll sehe ich dann nur eine Abmeldung von der (Island)-IP....

    Joa, also eigentlich dürfte da gar nichts ankommen, richtig. Poste mal einen Screenshot von der FW Regeln.

    Zitat von PetiJ

    ... mich wundert, dass bei Anwendungen "FTP" nicht aufgeführt ist...

    Ist ja auch richtig so, denn diese Regel übergeht sämtliche Verweigerungsregeln die folgen... Eigentlich ein Unding, dass sowas dort automatisch hingebaut wird, damit kann man sich eine FW unter Umständen sparen, aber das ist ein anderes Thema :D


    Insgesamt kann dieses Regelwerk auch nicht "non-Deutschland" blocken, denn Du erlaubst DE zwar explizit, aber es gibt keine Regel die non-DE blockiert.

    Am Ende des Regelwerks sollte also eine "Deny any" stehen.


    Trotz allem sollte die Verbindung aus Island aber funktionieren, denn diese dürfte auch durch nichts davon blockiert werden.

    BTW:

    Die Reihenfolge der Regeln ist entscheidend, kann bei Deinen Screenshots aber nicht genau nachvollzogen werden (für mich sieht es so aus als würde der erste Screenshot der zweite Teil zum 2. Screenshot sein). Ist hier aber gerade (ausnahmsweise) belanglos wo die 3 allow Regeln stehen.

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Ein Beitrag von tiermutter mit diesem Beitrag zusammengefügt.

    Ich dachte, dass der letzte Eintrag alles außer DE blockt. Sieht für mich auch so aus, als würde es so sein...

    .. nur Iceland kommt trotzdem nicht durch.

    Einmal editiert, zuletzt von PetiJ () aus folgendem Grund: Ein Beitrag von PetiJ mit diesem Beitrag zusammengefügt.

    Zitat von PetiJ

    .. hab auch das ohne Erfolg probiert:

    Damit sollte die Verbindung aus allem non-DE/Island tatsächlich geblockt werden. Zumindest sofern die Verbindung nicht bereits besteht, weil sie vorher erlaubt war.

    Hier wäre eigentlich ein state-reset nötig, aber ich vermute das kann die QuFirewall nicht. Leider kann die auch nicht richtig loggen, das macht es alles komplizierter :|

    Zitat von PetiJ

    .. nur Iceland kommt trotzdem nicht durch.

    Zitat von PetiJ

    Hat also eine IP-Adresse aus Island. Wenn ich dann mit dem Handy per FTP auf meinen NAS zugreifen will, erfolgt die Anmeldung,

    Doch, nach diesem Stand schon, nur dass es nicht ganz funktioniert. Das muss aber nicht an der Firewall liegen.

    Oder haben wir nun einen anderen Stand?

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Ein Beitrag von tiermutter mit diesem Beitrag zusammengefügt.

    hm, Handy hat IP aus Iceland. vorletzte Regell gibt DE und Iceland frei, letzte block alle... so sollte es sein, oder?

    Ja so ist richtig. DE und Island sollten funktionieren, alles andere nicht.

    Island funktioniert ja scheinbar nicht, kommt aber durch die FW durch, wie es sein soll. Warum dann nichts funktioniert kann irgendwo anders begründet sein.