NAS Ziel von SSH Brutorce Angriffen ?

[dermatu]

Bin mir nicht ganz sicher wie ich das deuten soll, aber ich vermute mein NAS ist Ziel einer SSH Bruteforce Attacke.

Ich verstehe auch nicht wie das sein kann, denn ich habe den SSH Zugang zum NAS deaktivert im Webmenü.

Ich hab ein Synology 1019+ mit der aktuellen DSM.

Hier ein Auszug aus den Logs:

Mein username ist nicht root oder so und mein Passwort halte ich auch für relativ safe, dennoch Frage ich mich was ich hier dagegen tun kann. Dummerweise habe ich eine statische IP Adresse und es sind natürlich auch ein paar Ports offen die zum NAS weitergeleitet werden.

Hat jemand Tips was ich hier unternehmen kann ?

 

[adriatic]

Wenn dich das wirklich stört, dann nimm doch Port 22 aus der Port-
Weiterleitung raus.

 

[Natriumchlorid]

Hast du in deiner Firewall / deinem Router den SSH-Port dicht gemacht? Ich hab zwar noch nie ein Synology-NAS gehabt, aber nur weil man im Webinterface SSH deaktiviert, heißt es noch nicht, dass der SSH-Dienst auch nicht läuft.

Ich könnte mir vorstellen, dass der SSH-Dienst weiterhin läuft, aber grundsätzlich alles blockiert und jetzt die Logs generiert.

Solltest du von außen SSH nicht benötigten, dann würde ich auch in der FW / dem Router den Port nicht mehr auf das NAS weiterleiten.

Außerdem ist es tatsächlich normal, dass mehrfach Anmeldeversuche bei SSH-Servern aufschlagen. Das müssten Bots sein, die nach einfachen Zielen suchen.

 

[t-6]

Angriffsvektoren limitieren aka nur das öffnen was auch wirklich nötig ist.
Beispielsweise: Brauchst du SSH am NAS offen für das ganze Internet? Ich denke nicht. Also schränke SSH auf die Bereiche ein, von denen aus es wirklich erreichbar sein muss.
Wenn dein Router das nicht kann, dann setz dich mit den recht umfangreichen Firewall-Regeln vom Synology NAS auseinander. Aufpassen dass du dich nicht aus dem NAS aussperrst wenn du mit der Reihenfolge der FW-Regeln durcheinander kommst.
Das gilt btw für alle weiteren Dienste, nicht nur SSH.

Wenn du nicht innerhalb von 30 Sekunden einen guten Grund hast warum du SSH überhaupt aus dem Internet erreichbar haben musst, dann mach den Port kategorisch dicht.

Ansonsten gilt wie immer:
-Passwort so komplex wie möglich
-DSM aktuell halten
-Automatische Blockierung ggf. noch straffer ziehen
-2FA (!) mindestens für die Admin-Konten

 

[dermatu]

Wenn dich das wirklich stört, dann nimm doch Port 22 aus der Portweiterleitung raus.

Der ist ja draußen, das ist ja das was mich wundert.

Ich hab jetzt mal alle Portweiterleitungen vom Router deaktiviert und werde mir morgen mal die Firewall anschauen. Vielleicht bekomme ich das irgendwie hin.

Es gibt eignetlich nur 3 Geräte mit denen ich mich mit dem NAS von unterwegs verbinde. Das wäre mein Handy und mein Tablet über Handyethering und mein PC zu Hause natürlich.

Kann ich vielleicht eine Art IP Filter machen, der z.B. nur Vodafone IPs durchlässt ? Gibts da feste Nummernkreise ?

 

[Marco01_809]

Die Bruteforce-Versuche sind normales Hintergrundrauschen auf dem SSH-Port. Das ist immer so, rund um die Uhr und kein gezielter Hacker-Angriff auf deinen Server. Nimm SSH vom Internet oder ändere den Port falls dich die Log-Einträge stören.

dennoch Frage ich mich was ich hier dagegen tun kann.

Brauchst nichts dagegen tun. Dein passwort ist ja sicher, also kommt man mit Bruteforce auch nicht rein.

 

[t-6]

Kann ich vielleicht eine Art IP Filter machen, der z.B. nur Vodafone IPs durchlässt ? Gibts da feste Nummernkreise ?

Die gibt es schon, aber die bekommst du nicht alle komfortabel in das NAS eingetragen. Das gibt die GUI nicht her. Und ändern können sich diese Bereiche immer mal wieder, also müsstest du ständig diese Listen aktuell halten oder einen Dienst damit beauftragen (was das Synology nicht hat).
Weiterhin ist die Beschränkung auf einen Provider eher unsinnig. Hängst du mal in einem WLAN eines Telekom-Anschlusses, darfst du erst mal das WLAN deaktiveren um auf das NAS zuzugreifen.
Ein guter Anfang wäre eher auf Länder zu beschränken. Wenn du weißt dass du nur aus Deutschland, Schweiz & Österreich auf das NAS zugreifen wirst, dann erlaube eben nur diese Länder (zusätzlich zum internen LAN, versteht sich; sonst schließt du dich aus und dann muss die Büroklammer her).

 

[dermatu]

Die Länderbeschränkung ist auf jeden Fall eine gute Idee.
Wo bekomm ich solche Länder IP Listen her ?

 

[chrigu]

Bei meiner qnap gab es früher ähnliche „portscans“ weltweit, Asien, USA, Niederlanden, Indien, China usw.
durch ip Beschränkungen (ip von händy und von der Arbeit, dynamisch) und konsequentem ändern der Standard ports. seit dem sind solche Einträge nicht mehr da.

 

[t-6]

Die Länderbeschränkung ist auf jeden Fall eine gute Idee.
Wo bekomm ich solche Länder IP Listen her ?

Dafür "brauchst" du keine Liste. Synology hat in den Firewall-Regeln als Quelle u. A. "Orte", wo du Länder, Kontinente usw. direkt auswählen kannst.
Die Liste wird afair über die DSM-Updates aktuell gehalten.

 

[dermatu]

coole Sache. Danke schonmal für die Tips.