Komische zugriffe auf mein TS-209 von extern...

    Hallo zusammen!


    Nach dem ich hier im Forum bei ein paar Leuten was von komischen Zugriffen (vor allem auf FTP) aus dem Internet auf das NAS gelesen habe, dachte ich mir, ich aktiviere mal das IP-Filter-Feature. Gesagt getan und schon meldete mir mein NAS einen geblockten Zugriff von extern auf mein NAS. Die IP: 218.7.13.215 hat vergebens versucht sich per SSH auf meinem NAS einzuloggen. Ein kleiner PortScan auf der IP brachte zutage, dass die IP extrem viele Ports geöffnet hat, unter anderem auch Port 80. Nun schaut euch mal an was sich hinter der IP: http://218.7.13.215/ verbirgt...


    In dem anderen Tread war die Rede von Script-Kidies... Ich denke aber, dass es sich hier um gezieltes ausspähen von Daten geht. Da ich mich auch beruflich mit IT-Security beschägte, kann ich nur sagen das unsere "Freunde" aus dem fernen Osten gross angelegte und sehr gezielte Attacken fahren. Es geht vor allem darum, dass Wissen von kleinen und mittelständigen Unternehmen zu entwenden. Klar, viele von Euch setzen das NAS nur privat ein, aber wer in irgend einer Art und Weise "heikles" Material auf seinem NAS speichert, der sollte sich sehr gut überlegen wie er es nach Aussen absichert. In dem Fall oben kommt der Zugriff anscheinend aus dem Universitären Umfeld, daher denke ich mal das es sich um einen Student handelt. Vor ein paar Wochen habe ich einen Vortrag vom Verfassungschutz NRW gehört und der hat mal ein wenig berichtet, was im Moment für gezielte breite Attacken von Fernost nach Europa laufen. Bis zu dem Vortrag hatte ich das immer für Angstmacherei gehalten aber danach hat sich meine Meinung grundlegend geändert. Von daher rate ich allen, die Ihr NAS von außen geöffnet haben vorsichtig damit umzugehen. Wer Hilfe beim abschotten nach Außen benötigt kann sich gerne bei mir melden.


    Mich würde außerdem mal interessieren, was ihr da so für Zugriffe von extern bekommt wenn der IP-Filter aktiviert wird.


    Gruss, Thomas

    Hallo Thomas,


    gutes Thema!


    Ich persönlich scheue mich sehr davor mein NAS über FTP oder http nach aussen zu öffnen. Soll heissen im Moment sind alle Ports zu. Ich sehe da im Moment nur zwei Möglichkeiten:


    1. Qnap fügt Funktionen wie IP Filter und/oder Bruteforce Blocker hinzu.


    2. Eine mittelständige Hardwarefirewall muss her. z.B. von Zyxel.


    Mfg
    Christian

    Zitat von "gusmax"


    Mich würde außerdem mal interessieren, was ihr da so für Zugriffe von extern bekommt wenn der IP-Filter aktiviert wird.


    IP-Filter habe ich jetzt nur einmal testweise aktiviert. Nutzt ja nix, wenn ständig von anderen IPs angegriffen wird. Ich habe da auch fast jeden Tag Einloggversuche, meist über SSH. Das ist aber immer nur ein einziger, und meist per "root"-Login. Dabei gibt's den ja auf meiner QNAP zum Glück gar nicht.


    Zitat von "christian"

    Ich persönlich scheue mich sehr davor mein NAS über FTP oder http nach aussen zu öffnen. Soll heissen im Moment sind alle Ports zu.


    Naja, wofür habe ich ein NAS, wenn ich das nicht von unterwegs aus nutzen kann? Also hoffe ich halt, daß keiner mein Pw errät :roll:


    Gruß
    Micha

    Zitat von "Stuttgarter"

    Naja, wofür habe ich ein NAS, wenn ich das nicht von unterwegs aus nutzen kann? Also hoffe ich halt, daß keiner mein Pw errät :roll:


    Ich sehe das so wie Thomas, es ist einfach nicht sicher genug. Ausserdem bin ich zu selten unterwegs das es sich für mich lohnen würde. Für unseren Haushalt dient es eher als lokaler Speicherplatz und Quelle für diverese Multimediageräte (Squeezebox, PS3).


    Grüße
    Christian

    Hallo!


    Zitat


    IP-Filter habe ich jetzt nur einmal testweise aktiviert. Nutzt ja nix, wenn ständig von anderen IPs angegriffen wird. Ich habe da auch fast jeden Tag Einloggversuche, meist über SSH.


    Ich denke man muss den IP-Filter auf jeden Fall so nutzen, dass man wenige Adressen freigibt und alles andere verbietet. Anders macht es keinen Sinn. Ich habe z.B. unsere IP hier auf der Arbeit (die ja Fix ist) und meinen Adressbereich meines Heimnetz angegeben. Das deckt schon mal 99.99% meiner Zugriffe ab.


    Zitat von "christian"


    1. Qnap fügt Funktionen wie IP Filter und/oder Bruteforce Blocker hinzu.
    2. Eine mittelständige Hardwarefirewall muss her. z.B. von Zyxel.


    Ich denke sowas sollte über andere Pakete machbar sein. Ich sehe da vor allem 2 Pakete. Zum einen IP-Tables und wahrscheinlich OpenVPN. Zum einen um das Qnap abzuhärten und einen Zugang per VPN von aussen zu ermöglichen.
    Ich mache mich am Wochenende mal an die Installation vor allem von IP-Tables. Wenn erfolgreich, werde ich dann mal eine Anleitung posten. Wenn nicht erfolgreich muss ich wohl mein TS-209 neu aufsetzen. :P



    Gruss, Thomas

    Einmal editiert, zuletzt von gusmax ()

    Zitat von "christian"

    Moin Thomas,
    ich hätte das im Angebot.
    http://www.fail2ban.org/wiki/index.php/Main_Page
    Eine TS-209 Pro zum testen hätte ich auch nur fehlt das umfassende Wissen. Wenn du also auf Teamwork stehst gib bescheid und versuchen uns zusammen daran.


    Nochmal Moin ;)


    Das finde ich ein super Angebot... Teamwork ist immer super und wenn ich da behilflich sein kann, bin ich gerne dabei. Wie hast du Dir die Zusammenarbeit denn konkret vorgestellt?


    Gruss, Thomas

    Hallo zusammen.


    Ich hab erst vor kurzem ein NAS TS-101 gekauft und hab noch nicht all zu viel Ahnung dafon.


    Wie geht das mit dem IP-Filter und wo kann ich sehen wer mit welcher IP von aussen auf mein NAS zufreift???

    Zitat von "saschahaenni"


    Wie geht das mit dem IP-Filter und wo kann ich sehen wer mit welcher IP von aussen auf mein NAS zufreift???


    Sali,


    Den IP-Filter kannst Du unter Systemwerkzeuge -> Hostzugriffssteuerung aktivieren. Dann gibt es ja da 3 Möglichkeiten:


    1. Alle Verbindungen zulassen
    So machen das wohl die meisten hier, also kein Filter


    2. Nur aufgelistete Verbindungen zulassen
    Das macht meiner Meinung nach am meisten Sinn. Denn dann kannst Du alle IPs eintragen die noch zugreifen dürfen. Falls Dein Rechner von dem Du auf das NAS zugreift z.B. die IP 192.168.0.1 hat, dann solltest Du am besten den Bereich 192.168.0.0 mit der Netzmaske 255.255.255.0 freigeben. Das würde dann bedeuten, dass alle Rechner die mit einer IP zwischen 192.168.0.0 und 192.168.0.255 kommen auf Dein NAS zugreifen dürfen. Nachteil ist, dass das NAS aus dem Internet nicht mehr verfügbar ist. Es sei denn Du kommst immer mit der gleichen IP. Hier auf der Arbeit haben wir eine feste IP, dass ist normalerweise die IP der Firewall die im Internet hängt. Um herauszufinden von welcher IP du grade kommst gehst Du mal auf http://www.wasistmeineip.de und eben die IP die dort angezeigt wird musst Du dann ebenfalls freischalten. ABER ACHTUNG!!! Solltest Du diesen Part falsch eintragen kommst Du nicht mehr an Dein NAS. Es hilft dann nur noch ein kompletter Reset.


    3. Aufgelistete Verbindungen ablehnen
    Das macht aus meiner Sicht keinen Sinn. Hier kannst Du IPs sperren, die nicht mehr zugreifen dürfen. Das würde heissen: Jedes Mal, wenn du einen Zugriff aus dem Internet siehst müsste Du die IP da eintragen die zugegriffen hat. Da Angreifer aber selten 2 mal von der gleichen IP kommen ist das ein heilloses Unterfangen.


    Um Dir die Nachrichten anzeigen zu lassen gehst Du unter Warnungsbenachrichtigungen auf Stufe "Hoch" und gibst Deine Mail-Adresse an. Dann bekommst Du immer brav eine Mail wenn jemand zu unrecht auf Dein NAS zugreifen wollte.


    Alles klar so weit?


    Gruss, Thomas

    Hallo,
    eine Logdatei hat die TS-101 schon. Dafür fehlt der IP-Filter :)
    Für kleines Geld kann man(n) halt nicht alles haben :(
    Dafür kann man(n) das über den Router filtern, denke doch bei den meisten.


    Günni

    Ich hab auch so'ne TS-101 für "kleines Geld" (was gar nicht wirklich stimmt, vor über einem Jahr war das Teil eins der teuersten und angeblich besten 1-Platten-NAS auf dem Markt!). Hätt ich doch damals schon gewusst, wieviel Arbeit und Nerven ich da reinstecken würde ...


    Würd ja auch gerne auf was "Solideres" aufrüsten - leider gibt's scheinbar keine Möglichkeit, meine 700 GB Daten mit einem anderen Qnap-NAS (z.B. TS-209) weiterzunutzen oder die Harddisk irgendwie zu "konvertieren". Sagte mir jedenfalls ein leidlich Englisch sprechender Qnap-Mensch auf der Cebit...


    Nun ist meine TS-101 auch aus dem Internet erreichbar (Dyndns sei Dank). Sie hängt mit fester IP hinter dem Router (Fritz!Box Fon Wlan 7270), dort sind für das NAS die TCP-Ports 21 und 80 geöffnet sowie für Torrents 6881-6889 (TCP/UDP).


    Sieht jemand bei so einer Konstellation eine Chance, die Sicherheit vor Angriffen von außen zu verbessern? Oder überhaupt den Traffic irgendwie zu beobachten und zu analysieren?


    Danke!

    Günni: Wie kann ich denn die Log-Datei auf meiner TS-101 einsehen?
    (Wenn's geht ein Telnet-Dummie-tauglicher Hinweis, über das Web Interface bin ich nämlich bislang nicht hinausgekommen ...)

    Hallo.


    Da ich auch die TS-101 nutze und trotz anfänglichen Problemen mittlerweile sehr zufrieden mit dem Teil bin, hab ich das mit dem Log wie folgt gelöst.


    Du nutzt ja sicher auch wie ich ne Dyndns Domain. Melde dich bei http://www.4stats.de ( Echtzeit Website Statistik ) an. Da kannst dann deine Domain angeben z.b. http://xxxx.dyndns.org/ und dann der generierte HTML Code in deiner Website auf dem NAS einfügen. Jetzt kannst du jederzeit auf dieser Website im deinem Userkonto alles anschauen was auf deinem NAS passiert. Es wird alles geloggt


    IP-Adressen
    Datum
    Zeit
    Land
    Browser
    Betriebssystem
    Alle abgerufenen Seiten usw...

    Hallo Sascha,


    ich war zugegeben von manchen AVM-Produkten etwas verwöhnt, was Bedienungsfreundlichkeit und Support angeht ;).


    Danke für den Tipp, schaue mir 4stats.de gerade an. Klingt super und ich werde es für eine andere Website nutzen - bei meinem NAS hab ich aber wieder eine neue Hürde: Ich hoste darauf gar keine Website mit "eigenem Code", man kommt halt direkt auf die System-Startseite.


    Wie kann ich diese überhaupt bearbeiten (und Code einfügen)?


    Gruß, mango

    Es ginge auch anders herum - falls man an die Systemstartseite ohne tiefe Unix-Kenntnisse nicht rankommt:


    'ne einfache (statische?) HTML-Seite selbst bauen und als Startseite abspeichern - nur dann wüsste ich gerne, welchen Code ich einbauen muss, damit die Links auf die Administrationsoberfläche, Download-Manger usw. von dort aus funktionieren! Wär klasse wenn da jemand helfen könnte oder das irgendwo dokumentiert wär ... (bin kein Web-Entwickler, das mal vorweg ...)

    Da bin ich jetzt auch überfragt.....


    Also ich musste in meinem Netopia Router bei der NAS IP folgende Ports öffnen damit alles geht.


    :80 Web
    :21 FTP
    :8080 NAS-Adminseite ( oder wie das heisst )


    Ich kann über's I-Net per Dyndns z.b. xxx.dyndns.org:8080 direkt auf mein Nas zugreifen auch wenn keine eigene Website im QWeb ist. An der Admin-Seite kann man das Logo ändern, aber das währs auch schon


    Hast du das gemeint???

    Halllo,


    also ich habe nur SSH Port 22 und TLS/SSL Port 443 auf meinem DSL-Router per Portforwarding auf Port 22 auf den NAS geroutet. Den Zugriff per SSH gestatte ich ausschließlich per Schlüssel, nicht per login/Passwort.


    Durch einen SSH-Tunnel kann ich dann beliebige Protokolle tunneln. Das ist auch sehr nützlich, wenn man z.B. auf der Arbeit hinter einer Firewall in seiner Firma nur per HTTP oder HTTPS ins Internet kommt. Über den Tunnel kann ich dann jedes beliebige Protokoll über Port 443 durch die Firewall auf den NAS tunneln, sodaß ich auf alle Funktionen des NAS von aussen zugreifen kann.


    Hierzu noch ein Hinweis: Manche Systemadmins mögen das Tunneln nicht. Wirklich verhindern können sie das nur mit Aufwand oder durch Auflösung des Arbeitsverhältnisses....


    Dico