Chinesische Fehllogins im NAS

[Jto]

Hey Leute,
seit einigen Wochen meldet mein Synology DS107 NAS fehlgeschlagene Logins und bannt entsprechende IPs. Laut IP Trace stammen diese immer aus Asien, meist China.

Ich weiß nicht, über welchen Port/Service die Anmeldungen versucht werden (versuchen sie in meine NAS-Verwaltung zu kommen oder auf den FTP-Server etc..?). ISP ist Kabel Deutschland, so dass die externe IP teils wochenlang gleich bleibt. Zusätzlich besteht aber auch eine DynDNS Weiterleitung, die ich allerdings vor wenigen Tagen geändert habe, ohne dass dadurch weitere Fehllogins ausblieben.

Ich frage mich, ob ich mir Sorgen machen muss und was ich tun sollte, um Risiken zu vermeiden. Ich habe bereits die Ban-Schwelle herabgesetzt, so dass nach 2 fehlgeschlagenen Logins gebannt wird.

Jemand ähnliche Erfahrungen gemacht oder sonstige Tipps?

 

[RcTomcat]

ban doch einfach den ganzen ip block von wo die angriffe kommen und fertig.....

Mehr oder schalte die astaro home firewall davor wen du noch bischen hardware uebrig hast. Die ist kostenlos und kann extrem viel

 

[copernix]

Habe letztens etwas aus China heruntergeladen und sofort hatte ich Portscans aus dem Land in den Firewalllogs drinstehen.
Stellt sich die Frage ob es wirklich Loginversuche bei dir sind oder vielleicht doch etwas harmloseres.

 

[RcTomcat]

Ich hab 5 Jahre da gelebt also macht mal wegen sowas nicht soviel stress.
Firewall und gut ist.
Einfach eure systeme richtig absichern
Ban die IP range komplett tut dir doch nicht weh

 

[Hinagiku]

Ich hab bei mir seit Jahren immer mal wieder Loginversuche aus der Gegend auf meinem FTP, trotz täglich wechselnder IP. Da du eine DynDNS hast nehme ich mal an du hast den FTP-Port auf die NAS umgeleitet, dann werden wohl auch da die Logins ankommen. So lange du an deinem DSL-Router alles an Ports dicht hast was nicht zwingend benötigt wird und du die Firmware der NAS aktuell hältst, sollte auch nicht viel passieren.

 

[Jto]

ban doch einfach den ganzen ip block von wo die angriffe kommen und fertig.....

Mehr oder schalte die astaro home firewall davor wen du noch bischen hardware uebrig hast. Die ist kostenlos und kann extrem viel

Gibt's Listen von IP-Bereichen, die dem und dem Land zugeordnet sind? Wären das nicht viel zu viele verschiedene Bereiche? Ist ja sicher nicht so, dass alle Chinesen mit 212.x.x.x rumlaufen.

Firewall in Basisausführung steckt wie üblich im Router und das NAS selbst bietet auch noch eine. Allerdings soll das Gerät von außen erreichbar bleiben.

Ich weiß gar nicht, ob die Verwaltungsschnittstelle von außen erreichbar ist. Falls nicht, bliebe nur der FTP Server als "Einfallstor". Zumindest weiß ich von keinen anderen Diensten, die nach außen angeboten werden. Ich könnte natürlich mal den FTP Port ändern, so dass er nicht auf dem Standard 21 liegt.

 

[RcTomcat]

Natuerlich haben nicht alle chinesen die gleiche ip aber es werden ja auch kaum alle chinesen mit nem internet anschluss versuchen auf dein nas zu kommen.
Also einfach den momentanen block sperren von dem die angriffe kommen.

FTP Port aendern ist immer eine gute Idee

edit:

Firewall auf router sind meist muell, kann man ja grade mal so ports sperren.
Nas erkennt nur fehlgeschlagene logins und sperrt dann, eine firewall ist das auch nicht

 

[Masamune2]

Eine genaue Liste ist mir nicht bekannt aber über http://www.iana.org/numbers/ kannst du zumindest die groben Blöcke rausbekommen. Ich habe so etwas ähnliches bei einem Forum gemacht und bin seit dem die ganzen Spam Bots los.
Alles was nicht der RIPE NIC gehört kannste schonmal pauschal bannen, alles andere bei http://www.db.ripe.net/whois nachschlagen und bannen wenns einem chinesischem Provider gehört.

Alternativ einfach die Passwörter sicher genug machen und die Meldungen ignorieren.

 

[Jto]

Okay, danke für die Links.
Da die jeweiligen Netze viele verschiedene Addressbereiche nutzen und das händische Sperren entsprechend Fleißarbeit erfordert, schau ich erstmal ob die Portänderung schon Auswirkungen hat.

Also einfach den momentanen block sperren von dem die angriffe kommen. [...]
Firewall auf router sind meist muell, kann man ja grade mal so ports sperren.
Nas erkennt nur fehlgeschlagene logins und sperrt dann, eine firewall ist das auch nicht

Siehe oben, es gibt so viele Blöcke, dass sich bisher nicht mal die erste Stelle der IP wiederholt hat.
Sowohl Router als auch NAS können u.a. nach Ports und IPs filtern, so dass sie für mein Problem hilfreich sind.

Fragt sich nur noch, ob ich an den Ban-Einstellungen noch was schrauben soll. Bei einem Fehlversuch schon bannen wär wohl zu hart, man darf sich ja mal beim pw vertippen.