Fremde Einlogversuche auf Synology NAS

[EmmaL]

Hallo, ich habe eine Synology Quickconnect Domäne zur Erreichbarkeit meiner NAS und nutze diese seit seit über einem Jahr. Vor zwei Wochen hatte ich nun das erste Mal vier versuchte Anmedlungen der IP 80.27.230.15 und heute wieder vier von 92.196.33.18. Ich verstehe gar nicht wie man meine Domäne von Synology finden kann? Das ist doch wie die Nadel im Heuhafen. Muss ich mir sorgen machen?

 

[Madman1209]

Hi,

externe Zugriffe unterbinden und deaktivieren, VPN einrichten, bei Bedarf mit dem VPN verbinden und dann auf das NAS zugreifen. Wäre meine Empfehlung.

"Sorgen machen" ist relativ. Grundsätzlich würde ich kein Gerät, das nicht zwingend ins Netz muss, auch von außen zugreifbar ins Netz hängen.

VG,
Mad

 

[BlubbsDE]

Wenn Du Dienste ins Netz stellst, dann ist es nur eine Frage der Zeit, bis sich jemand drauf verbinden will.

Sorgen machen musst Du Dir immer. Stellst Du Dienste ins Netz. Und für Sicherheit sorgen. Ich würde mal mit einem VPN Tunnel anfangen. Sollte bei so ein Szenario obligatorisch sein.

 

[Wilhelm14]

Die versuchten Zugriffe lassen sich doch auch nicht trotz VPN verhindern, oder?
Die Domain, DynDNS, IP wird ja nicht weniger versucht anzugreifen, wenn man an ihr VPN betreibt.
PS: Auch hier wieder ein "oder?". 🙂

Edit: Sorgen machen würde ich mir nicht sonderlich. Aber immer beobachten und bei gepatchten Lücken den Patch auch einspielen.

 

[BlubbsDE]

Wenn der Traffic über ein VPN Tunnel geht sind Anmeldeversuche am NAS unmöglich.

Dann braucht man auch so was wie DynDNS nicht. Wie auch immer das eingerichtet ist. Selbst oder vom NAS Anbieter.

 

[Wilhelm14]

Jetzt stehe ich auf dem Schlauch. Wie nehme ich Verbindung zu einem VPN auf, wenn ich seine Adresse nicht kenne? DynDNS brauch ich doch immer. Ob man dann an einem VPN andockt oder was anderes ist ja egal.

 

[chr1zZo]

Natürlich prüfen ob neuste Firmware drauf. Zur Not die Standard Ports abändern.

 

[Hansecowboy]

Na ja, die Quick-Connect Domäne wird ja "sprechend" sein.

Du kannst ja auch die Erreichbarkeit über eine eigene nicht so populäre Domäne erzielen. Also einfach domainnamen besorgen und weiterleiten über ddns, dazu standard-ports der Synology ändern und portweiterleitung per reverse proxy nur auf einen https 443. Synology Firewall sowieso an. Sicheres PW und 2FA aktivieren.

Greifst Du nur von bestimmten IPs von extern zu, kannst Du die auch in der FW freischalten und alle anderen blocken. Dazu noch in der FW bestimmte Länder blocken bzw. zulassen. Lasse nur DE zu zum Beispiel. 80.27.230.XX ist Telefonica Spanien.
Macht es ein wenig sicherer, ohne gleich mit VPN rumzumachen. Hängt natürlich davon ab, was Du mit dem NAS machst und welche Dienste dort laufen.

 

[BlubbsDE]

Erstmal wird zwischen den beiden Geräte der gesicherte Tunnel aufgebaut. Dann kann man sich am NAS anmelden. Erst dann. Ohne Tunnel, kein Zugriff auf nichts.

 

[Wilhelm14]

Und wie baut sich der Tunnel auf, ohne die Adressen zu kennen? Du sagst, ja, das würde ohne DynDNS gehen. (Okay mit fester IP.)

 

[BlubbsDE]

Ist doch für die Frage egal. Weil ohne Tunnel kein Zugriff und keine Anmeldung auf dem NAS möglich.

 

[Der Lord]

@Wilhelm14 Selbst wenn der VPN-Endpoint bekannt ist (home.bla.de), landen keine Anmeldungen am NAS, ohne dass zuvor ein Tunnel aufgebaut wurde.

Also ja, VPN sehe ich hier auch als einzige Lösung, die vergleichsweise sicher ist und der Aufwand ziemlich gering.
Und am Handy ist der VPN-Zugang ja mittlerweilse kinderleicht einzurichten.

 

[Wilhelm14]

Wir reden, glaube ich, aneinander vorbei. EmmaL sagt es gäbe Anmeldeversuche auf eine Synology Quickconnect Domäne. BlubbsDE sagt, mit VPN braucht man auch so was wie DynDNS nicht. Feste IP ausgenommen, stimmt das so nicht. Durch Einsatz eines VPN kann man sich DynDNS nicht einsparen. Wenn man z.B. den https-Zugang deaktiviert, mag der zu sein. Der Server ist dann halt nur über VPN erreichbar. Und auch dort kann es Einlog-Versuche geben. EmmaL sagt bis jetzt ja gar nicht, auf welchen Dienst der Versuch stattfindet. Quickconnect macht ja zig Sachen.

 

[EmmaL]

Wir reden, glaube ich, aneinander vorbei. EmmaL sagt es gäbe Anmeldeversuche auf eine Synology Quickconnect Domäne. BlubbsDE sagt, mit VPN braucht man auch so was wie DynDNS nicht. Feste IP ausgenommen, stimmt das so nicht. Durch Einsatz eines VPN kann man sich DynDNS nicht einsparen. Wenn man z.B. den https-Zugang deaktiviert, mag der zu sein. Der Server ist dann halt nur über VPN erreichbar. Und auch dort kann es Einlog-Versuche geben. EmmaL sagt bis jetzt ja gar nicht, auf welchen Dienst der Versuch stattfindet. Quickconnect macht ja zig Sachen.

Oh ja, guter Punkt :-) Auf meiner DSM Anmeldeaufforderung.

 

[Der Lord]

Zumindest sind es 4 Logins mit derselben IP aus der deutschen Region (plusnet/EnBW). Sicher dass du das nicht selbst warst? Für gewöhnlich tauchen bei derartigen Loginversuchen IPs aus Fernost o.ä. auf.

Wie dem auch sei, mein Favorit bleibt nach wie vor: am Router VPN aktivieren und diesen ganzen unkontrollierbaren Cloudkram deaktivieren.

 

[EmmaL]

Schau mal, ganz oben hatte ich "IP 80.27.230.15 und heute wieder vier von 92.196.33.18" geschrieben. Das ist auch einmal Spanien dabei... Ich logge mich eigentlich fast nie über DSM ein, da ich hauptsächlich Synology Drive nutze. Über DSM mache ich nur mein Adminzeug. Und warum sind es immer 4 Mal? Die Abstände sind auch nicht gleich, könnte also manuell sein.

 

[Wilhelm14]

Wie werden denn Anmeldeversuche durch Synology Drive protokolliert? Anmeldung am DSM ist ja sehr vage beschrieben, da DSM das Betriebssystem ist. Worauf ich hinaus will, dass sich vielleicht auch eine Synology App verhaspelt haben kann.

meine Domäne von Synology finden kann? Das ist doch wie die Nadel im Heuhafen

Wie oben schon gesagt, kann das automatisiert abgerast werden. Und nochmal als Hinweis, auch beim Betrieb eines VPN wird die Domain und ihre Ports abgegrast werden können. Gefunden wird dein VPN-Port. Um reinzukommen, bräuchte man die VPN-Daten, so wie bei anderen Zugängen man auch Zugangsdaten braucht. Zugangsdaten müssen geklaut oder geknackt werden, daran ändert auch ein VPN nichts.

 

[Der Lord]

Zugangsdaten müssen geklaut oder geknackt werden, daran ändert auch ein VPN nichts.

Absolut richtig. Dennoch ist das Risiko ein geringeres, wenn ich einen(!) VPN Port öffne (bzw der Router das ja automatisch macht), oder eben viele Ports verschiedener Anwendungen mit ihren eigenen Sicherheitslücken öffne (http, smb, ssh, evtl auch noch java basierte Services, usw). Der Angriffsvektor ist schlicht ein anderer.

Hier sagt auch niemand, dass VPN 100%ig sicher ist (sowas gibt's ohnehin nicht) - es ist nur im Vergleich zu anderen Methoden schlicht sicherer. Entsprechende Vorsichtsmaßnahmen sind natürlich in beiden Fällen zu treffen (aktuelle Software, sicheres Passwort, etc).

 

[Hellfire7912]

Scheiss auf VPN. Dadurch wird das weder sicherer noch weniger knackbar. Sorge dafür, daß der Standard Admin Account deaktiviert ist und mach alles über 2FA. Dann können die von Aussen probieren was sie wollen.
Auf Blöd einfach noch alle nicht benötigen Services für Quickconnect deaktivieren.

 

[speedy55]

Sind doch letzlich eh irgendwelche Random-Versuche. Da wird vermutlich irgendein Programm die Standard-Abfragen abrastern, um Zugriff zu erhalten. Ist bei mir auch so, wenn ich die DS mall öffentlich am Netz habe.