ComputerBase Menü
Aktuelles

Web Dav über Https / Sicherheit / Port Scanner

U

Ul_ti_mo

Cadet 2nd Year
Registriert
Feb. 2017
Beiträge
23
Servus Leute,

ich habe mal eine Frage bezüglich meiner Freigabe über WebDav. Ich nutze eine Asustor 6202T. Soweit funktioniert alles und ich habe meine Dateien über WebDav freigegeben.

Was mir dabei aufgefallen ist, ist dass extrem viele Gauner versuchen auf meine Daten zuzugreifen. In meiner Firewall der Asustor habe ich sehr viele Anfragen bzw. Ip´s drin, welche automatisch blockiert wurden. (Ich habe eine schwarze Liste aktiviert, wo bei 3-Maliger Falscheingabe von Passwort die Ip dauerhaft gesperrt wird). Es sind am Tag etwa 20 Anfragen bzw. versuchte Zugriffe. Vorwiegend stammen die Kerle aus Vietnam und China. Kann man da etwas machen dass das Ganze sicherer wird, bzw. man nicht so oft "Angegriffen" wird? Ich denke die Typen benutzen BruteForce o.Ä. und die Passwörter / Benutzernamen werden ausprobiert.
Was meinte ihr dazu? Von einem "Standardport" weggehen und irgendeinen beliebigen wählen?

Einen Port-Scanner habe ich in meinem Unitymediarouter zwar aktiviert. Scheint aber nicht viel zu helfen.

Gruß Timo
 
Ein VPN nutzen.
 
Ja schon klar. Das funktioniert bei mir und meinen Anforderungen nur nicht so einfach. Zudem habe ich damit keine Erfahrung. Wie Safe ist WebDav / oder diese Sicherheitsvorkehrungen denn? Ich meine dass einer im 3. Versuch mein Passwort rausbekommt erscheint mir unwahrscheinlich. Danach ist er so oder so für immer geblockt. Wie gehen die Typen da vor? Gruß Timo
 
Solange du ein Blockskript aktiv hast, das beim 3. Versuch die IP auf die Schwarze Liste setzt, besteht keine allzu große Gefahr - vorausgesetzt du hast ein starkes Passwort mit Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen, min. ~12 Zeichen lang.

Grundsätzlich sind solche Attacken völlig normal. Die Fieslinge lassen einfach Bots laufen, die einen IP-Bereich im Internet durchlaufen und dann jeweils die Standardports für zB SSH, etc. abklopfen - eben auch für http/https.

Dagegen tun kannst du im Prinzip nichts. Die einzige Maßnahme, die aber eher gefühlte Sicherheit bringt als tatsächliche Sicherheit, ist eine Änderung des externen Ports. Wenn du zB statt den externen Standardports 80/443 im Router die Portweiterleitung auf zB extern 54480/54443 umstellst (Port am NAS bleibt wie gehabt 80/443), dann werden obige Bot-Attacken seltener. Das ist nicht zwangsläufig sicherer, sondern eher eine Vernebelungstaktik. Ein starkes Passwort ist trotzdem Pflicht! Portänderungen sind nämlich zu vergleichen mit "Haha, mein Türschloß ist nicht an der Türklinke, sondern oben rechts in der Ecke! BOOOM, in your face baby!!!". Heißt: Wenn es jemand gezielt darauf anlegt, bei dir einzudringen, scannt er einfach alle Ports ab und findet irgendwann auch 54480/54443 - und loggt sich im worst case mit admin/admin beim ersten Versuch ein.

Damit werden zumindest die Einträge im Log seltener, bzw. komplett verschwinden. Nu könnte man argumentieren, dass keine Attacken sicherer ist als viele Attacken - selbst wenn sie ins Leere laufen - aber die Wörterbuchattacken klopfen den Busch nur nach Standardlogins ab, admin/admin, admin/123456 und dergleichen. Wenn die beim 3. Mal geblockt werden, haben sie keine Chance, reinzukommen, wenn dein Passwort Hz8#k.l39Tbh ist...

*edit
Eine Änderung des externen Ports kannst du aber nur machen, wenn dein Client das auch unterstützt. Um zB eine Webseite auf einem Alternativport zu hosten, muss man im Browser dann "eine.domain.de:12345" eingeben, weil der Browser ohne die Angabe des Ports (12345) nämlich automatisch :80 ergänzt, der Standardport von http. Wenn du nu also einen WebDAV Client nutzt, bei dem man keinen Port angeben kann, funktioniert das nicht, weil er dann ebenfalls auf Standardport 80/443 suchen wird.
 
Super. Danke dir für die gute Erklärung. Genau so hatte ich mir das vorgestellt.

Ich habe gestern den Standardport für https und webdav auf einen beliebigen Port gewechselt. Ich kann in meiner Asustor jeden beliebigen Port für Webdav oder aber https angeben. Es ist zwar in meinem Fall der 9802 als Standardport für Webdav und 8001 für https (bei Asustor normal) vergeben, jedoch habe ich beide Ports auf beliebige Ports verlegt.
Jetzt habe ich seid gestern Nacht um 00:30 bis 12:00Uhr 7 versuchte Zugriffe. Ich habe jedoch beispielsweise den Port 8763 auf intern 8763 weitergeleitet und das so auch in meiner Asustor hinterlegt. Ist es besser von Port 8763 auf beispielsweise 8768 weiterzuleiten, also unterschiedliche Ports zu nehmen?

Wie gesagt das ist ein ausgedachter Port, der eig. keine Standardfunktion hat.

Mein Passwort ist 9 Zeichen lang und hat keine Bedeutung/ ist gemischt mit Groß/ Kleinbuchstaben und Zahlen.

Danke und Gruß Timo
 
Zuletzt bearbeitet:
Es macht von außen - also in Bezug auf legale/illegale Zugriffe von extern - keinen Unterschied ob du im Router 12345 auf 12345 bzw. 12345 auf 23456 weiterleitest. Der einzige Unterschied liegt in der internen Nutzung.

Beispiel:

Extern -> dein.ddns.de:12345 -> NAS
Intern -> dein.ddns.de:12345 -> NAS (geht aber NUR, wenn der Router NAT-Loopback kann, sonst nicht!)
Intern --> deine.NAS.IP:23456

Im Beispiel sieht man, dass bei einem Port Translate (= externer Port <> interner Port) über die externe Verbindung den externen Port nutzen muss und für die interne, quasi direkte Verbindung auf das NAS den internen Port.

Ich persönlich belasse die Konfiguration der Geräte im LAN immer auf Standard. Ein Webserver läuft auf Port 80, ein SSH auf Port 22. Wenn ich nu den externen Port ändern will, dann tue ich das in der Weiterleitung, nicht am Server selbst. zB extern 12345 auf intern 80. Dadurch bleibt die Konfig des Servers auf Standard, man kann ihn intern nutzen, ohne explizit Ports anzugeben. Nur von außen muss man den angepassten Port angeben.

Das ist aber eher eine Frage der Philosophie. Es gibt kein wirkliches Pro und Contra für 1:1 Portweiterleitung + angepasster Port im Gerät bzw. Port Translation im Router + Standardport am Gerät.

Der einzig halbwegs relevante Aspekt sind Systemports. Das geht jetzt allerdings etwas weit. Ports <1024 sind Systemports und können nur mit Adminrechten geöffnet werden. Bei diesen Ports kann man sich also sicher sein, dass der Admin des Systems die Anwendung gestartet hat. Bei Ports jenseits der 1024 ist das anders, das könnte im worst case beliebige Malware sein. Deswegen gibt es auch geteilte Meinungen zum Thema Standardports ändern. Ich persönlich mache das nur in Ausnahmefällen. So läuft zB mein OpenVPN-Server im LAN auf Standardport 1194, aber von außen gehe ich über 53/80/443. Das hat aber weniger etwas mit Vernebelungstaktiksicherheit zu tun, sondern damit, dass diese Ports zB in Firmennetzwerken in 99% aller Fälle ungeblockt sind, während 1194 im worst case blockiert wird und VPN somit nicht geht.
 
Okay. Sprich es hat keinen Sinn gemacht dass ich die Ports getauscht habe. Ich dachte die Typen gehen halt über die Standardports und arbeiten nicht zwingend mit Portscannern. Dann hätte ich mir das sparen können und mache es später wieder rückgängig.
Bei den Standardports muss ich mir nichts merken. Aber der Tc7200 sollte doch Portscanner Erkennung haben. Kann es sein dass das Teil dann einfach nichts taugt? Firewall ist auch hoch eingestellt.


Weiterhin besteht momentan das Problem, dass er über WebDav nur auf ca. 355 KB/s im Donload kommt. Meine Leitung hat ca 2,5 MBit im Upload.

Egal ob vom Handy über LTE oder über Windows. Erst bis auf 1mb/s hoch und wird dann bei 355 KBV/s fixiert. Google hab ich schon gefragt und auch im Internetexplorer die Einstellungen mir den Automatischen Einstellungen deaktiviert.

Gruß Timo
 
Zuletzt bearbeitet:
2.5MBit/s sind 312kbyte/s. passt doch soweit
 
Naja, Portscanner Erkennung ist so eine Sache. Es ist ja nicht so, dass ein Portscanner immer von 1 bis 65536 alle Ports abscannt. Das macht er nur bei zielgerichteten Attacken, wenn jemand explizit in dein Netzwerk eindringen will und nicht in irgendeins. Im Regelfall werden nur eine Handvoll Ports pro IP gecheckt, zB SSH@22, FTP@21 und eben auch Webserver@80/443. Es ist immer eine Gratwanderung, wenn man einerseits einen Scanner blocken, aber andererseits legitime Zugriffe durchlassen will.
 
Als ich von den Standardports auf meinen beliebigen gewechselt habe hatte ich etwa 20 Anfragen am Tag. Mit den erdachten Ports sind es jetzt 16 am Tag. Also nicht wirklich viel weniger. Die Typen müssen das ja eig. Scannen. Sonst wäre es ja sehr unwahrscheinlich dass die genau diesen Port anwählen um auf meine Nas zuzugreifen.



Okay, das mit der Geschwindigkeit habe ich jetzt auch bemerkt. :freak: Ich dachte immer noch 2,5 Mbit sind 2500 kBit :D Dann passt das wohl doch. Evtl. frage ich mal nach einem größeren Upload. Nur 60 mBit Download und 2,5mbit Upload für 18 Euro im Monat bekommt man derzeit kaum mehr.....


Gruß
 
20 Angriffe pro Tag sind im übrigen ein Witz. Wenn du einen SSH-Server ins Netz stellst, bekommst du in einer Stunde mehrere Hundert! Das Log wird so lang, so schnell kannst du gar nicht gucken. Man bekommt regelrecht Angst, wenn man das das erste Mal sieht ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz