Hallo Foraner,
liebe Telekom,
zum Hintergrund:
durch eine Mitteilung meiner Synology Disk-Station wurde ich darauf aufmerksam gemacht, dass ein Angreifer (?) versucht hat sich 10 x auf meiner Synology NAS Zugang zu verschaffen. Gott sei Dank ist dieser Versuch fehlgeschlagen und die IP-Adresse wurde durch Synology gesperrt.
Bei meiner Nachforschung zu der IP-Adresse habe ich herausgefunden, dass diese in Russland 'stationiert' ist.
Für mich ergeben sich jetzt folgende Fragen:
- kann ich auf dem Speedport-Router (bei mir Hybrid) herausfinden über welchen Port der Angriff stattgefunden hat? In den Log-Dateien habe ich keinen entsprechenden Hinweis gefunden. (Gibt es ein Programm, dass Verbindungen von Außen nach Innen protokolliert?)
- kann ich am Router IP-Adressbereiche sperren? (vornehmlich aus Russland, Asien, Afrika)
- gibt es eine offizielle Stelle, bei denen ich diesen Vorgang 'melden' kann ?
Danke für eure Tipps & Hinweise
vor 7 Jahren
Du hast (offensichtlich) ein Tor zum Ziel von außen nach innen im Router bewusst durch eine Portweiterleitung aufgemacht, damit hebelst Du die Firewall im Router aus, die solche Angriffe normalerweise blockt d.h. ungewollte IP-Adressen müssen am Ziel gesperrt werden.
3
Antwort
von
vor 7 Jahren
Die Frage ist über welchen Port 'jemand' hereingekommen ist (damit ich Gegenmaßnahmen einleiten kann) und -viel wichtiger- ob es Möglichkeiten gibt IP Adressbereiche schon im Router zu sperren....
Es wäre natürlich auch schön, wenn der Router die IP Adressen protokollieren würde, die über offene Ports Zugriff nehmen.
Antwort
von
vor 7 Jahren
Na ja... dass ist ja auch der Sinn einer Portweiterleitung... Die Frage ist über welchen Port 'jemand' hereingekommen ist (damit ich Gegenmaßnahmen einleiten kann) und -viel wichtiger- ob es Möglichkeiten gibt IP Adressbereiche schon im Router zu sperren.... Es wäre natürlich auch schön, wenn der Router die IP Adressen protokollieren würde, die über offene Ports Zugriff nehmen.
Die Frage ist über welchen Port 'jemand' hereingekommen ist (damit ich Gegenmaßnahmen einleiten kann) und -viel wichtiger- ob es Möglichkeiten gibt IP Adressbereiche schon im Router zu sperren....
Es wäre natürlich auch schön, wenn der Router die IP Adressen protokollieren würde, die über offene Ports Zugriff nehmen.
Mit einem Speeport kannst du keine Ranges blocken.
Dazu braucht es dann schon eine Firewall die den Namen auch verdient.
z.B kann pfSsense - aber auch andere - mit einem installierten Paket wie pfBlockerNG so etwas.
Auch mit Snort lässt sich da einiges machen.
Wie gesagt braucht alles eine Firewall, wirst du nicht auf einem IAD finden.
Allerdings läuft ja auf dem NAS ein Servcie we (offensichtlich FAILtoBAN und nach 10 Versuchen die IP zu blocken, scheint aussreichend, sofern die
Passwörter halt auch diesen Namen verdienen.
Auf den Servern die ich betreue gibt es durchschnittlich mehrere 100 Versuche am Tag dieser Art.
Antwort
von
vor 7 Jahren
Na ja... dass ist ja auch der Sinn einer Portweiterleitung... Die Frage ist über welchen Port 'jemand' hereingekommen ist (damit ich Gegenmaßnahmen einleiten kann) und -viel wichtiger- ob es Möglichkeiten gibt IP Adressbereiche schon im Router zu sperren.... Es wäre natürlich auch schön, wenn der Router die IP Adressen protokollieren würde, die über offene Ports Zugriff nehmen.
Die Frage ist über welchen Port 'jemand' hereingekommen ist (damit ich Gegenmaßnahmen einleiten kann) und -viel wichtiger- ob es Möglichkeiten gibt IP Adressbereiche schon im Router zu sperren....
Es wäre natürlich auch schön, wenn der Router die IP Adressen protokollieren würde, die über offene Ports Zugriff nehmen.
Ähm, über welche Ports soll das schon kommen...über die, die von dir geöffnet wurden natürlich. Wird vermutlich die 5000 oder die 5001 sein (bitte lass es die 5001 sein).
Ich würde an deiner Stelle erstmal einen anderen Port als den Standartport für Synology von extern wählen.
Weiterhin kannst du die Zugriffe direkt über dein Synology für gewisse Adressbereiche sperren.
Dazu kannst du auch festlegen nach wievielten Fehlversuchen der Login verweigert wird und sichere Passwörter verstehen sich ja von selbst.
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 7 Jahren
@u.berkner
- kann ich auf dem Speedport-Router (bei mir Hybrid) herausfinden über welchen Port der Angriff stattgefunden hat? In den Log-Dateien habe ich keinen entsprechenden Hinweis gefunden. (Gibt es ein Programm, dass Verbindungen von Außen nach Innen protokolliert?)
- kann ich auf dem Speedport-Router (bei mir Hybrid) herausfinden über welchen Port der Angriff stattgefunden hat? In den Log-Dateien habe ich keinen entsprechenden Hinweis gefunden. (Gibt es ein Programm, dass Verbindungen von Außen nach Innen protokolliert?)
Nein.
- kann ich am Router IP-Adressbereiche sperren? (vornehmlich aus Russland, Asien, Afrika)
- kann ich am Router IP-Adressbereiche sperren? (vornehmlich aus Russland, Asien, Afrika)
Nein.
Im Speedport Hybrid sind indirekt alle IP-Adressbereiche gesperrt weil ein Angriff über einen bestimmten Port kommen muss, und weil der Speedport Zugriffe über alle Ports abblockt - außer über die Ports, die durch irgendeine Einstellung im Speedport selbst (für IP-Telefonie oder eine manuell eingerichtete Portweiterleitung) oder z.B. einem NAS oder einem SmartHome bzw. einer Webcam dahinter freigeschaltet bzw. geöffnet sind.
- gibt es eine offizielle Stelle, bei denen ich diesen Vorgang 'melden' kann ?
- gibt es eine offizielle Stelle, bei denen ich diesen Vorgang 'melden' kann ?
Ich kenne keine - was heißt, dass ich keine kenne und nicht, dass es eine solche nicht gibt.
Ich hatte das selbst schon mal so ähnlich mit einem NAS. Da fand ich plötzlich zufällig irgendwelche Dateien, die nicht von mir stammten. Ab dann habe ich in meiner Fritzbox dem NAS den Zugriff nach außen unterbunden. Ich greife seither von unterwegs über ein VPN auf die Fritzbox und NAS etc. zu. Diese Möglichkeit besteht beim Speedport Hybrid leider nicht. Wenn Du Dich da zusätzlich absichern willst, dann musst Du eine zusätzliche Box hinter dem Speedport Hybrid betreiben, die das ganze dahinter liegende Netz schützt mit feineren Einstellmöglichkeiten bzw. weiteren Möglichkeiten (wie VPN ). Bei VPN hast Du mit dem Hybridanschluss allerdings leicht ein Problem - das klappt je nach gewählter VPN -Variante nicht immer so ganz einfach.
0
Uneingeloggter Nutzer
Frage
von