Zugriffversuche aus dem Internet von fremden IPs auf mein NAS

[Woodz]

Hallo an Alle,

ich habe seit einem viertel Jahr eine externe Firewall hinter meinem Modem stehen um den eingehenden und vor allem
ausgehenden Traffic besser unter Kontrolle zu haben.
Zusätzlich habe ich mir in der DMZ der Firewall eine QNAP TS112 NAS eingerichtet, auf die ich nun von Außen Zugriff habe.

Ich habe im Protokoll meiner Firewall festgestellt, dass immer wieder irgendwelche externe IP´s versuchen auf meinen NAS
zu zugreifen. letzte Nacht wieder 2 Verschiedene über den Port 22. Diese wurden letztlich für immer vom Zugriff gebannt, aber ich frage mich was das für IP´s sind?

Es sind immer unerschiedliche IP´s. Von den letzten 4 IP´s kamen (mittels IP Tracker) 1 aus den USA, 1 aus Russland und 2 aus China. Ich weiß dass diese IP Tracker nicht wirklich hilfreich sind, da sie wohl nur den (möglicherweise) genutzten Proxy anzeigen. Aber kann jemand was dazu sagen, warum immer wieder irgendwelche IPs versuchen über diverse Ports auf mein NAS zu zugreifen? Dienste, welche auf dem NAS laufen kann ich mittlerweile ausschließen.
Könnte es sich dabei um Portscanner handeln, welche im Netz nach offenen Ports auf irgendwelchen IPs suchen?

Gruß

 

[RagingBlast]

Da wird einfach gescannt von irgendwelchen Bots. Also es ist nicht so, dass man dich gezielt angreifen wollen würde.
Würde auch nichts auf den Standardports laufen lassen BTW.

 

[t-6]

Du fragst warum irgendjemand im Internet mögliche Schwachstellen abklappert?

 

[Cool Master]

Port 22 ist SSH da versucht halt nen Bot über entweder SSH oder SFTP auf einen DIenst zuzugreifen. Es sollten eh alle Ports gespert werden die man nicht benötigt...

Kleiner Tip:

Fail2Ban und Shorewall

 

[Woodz]

Ok, so etwas hatte ich mir schon gedacht.
Da bei mir bis auf den Port 22 und 80 ehh alle Ports geschlossen sind, stört mich das erst einmal nicht so sehr (Port 22 brauch ich halt für eine sftp verbindung um regelmäßig Daten auszutauschen).
Zudem habe ich eingestellt, dass nach 5 maligem erfolglosem anmelden die IP für immer gebannt wird.

@t6: nein, natürlich frag ich mich das nicht. Aber ich habe seit Inbetriebnahme meiner Firewall noch nie erlebt,
das so aktiv und in so einem Umfang nach offenen Ports im Internet gescannt wird.
Somit musste ich mir erst einmal Gewissheit verschaffen, wer oder was das überhaupt ist, der da ständig versucht
auf mein Heimnetz zu zugreifen.

 

[chrigu]

genau... das habe ich auch, das sind port-bots von überall... usa, china, kanada, taiwan, korea, afrika usw..
unter qnap-sicherheit die option "nur eingetragene ip erlauben" und entsprechende ip eingeben, oder die funktion "nach 1 erfolglosen versuch die ip für einen tag sperren"... je nach deinem gutdünken...

ich habe bei meiner 212 die option "nur ip erlauben" und habe jeden port auf eine unbenutzte 53xxx portnummer gewechselt....
leider ist der port 445 fix, dort bekomme ich täglich noch 2-3 "access violations".... früher mit den standardports gab es täglich 12-16 meldungen auf mein händy......
aber eben, sofern dein admin passwort nicht 1234 lautet, ist das nur ein versuch auf deinem port zu kommen.

 

[Cool Master]

Zudem habe ich eingestellt, dass nach 5 maligem erfolglosem anmelden die IP für immer gebannt wird.

Gefährlich sowas... Ich habe es nur 10 Min, das langt schon und du siehst die IP praktisch nie wieder. In meinen Server Logs sind alle gebanten IP's Unique gewesen bis ich alle aus Russland, China und KOrea geblockt habe

 

[Raijin]

Das ist keineswegs ein Einzelfall. Auf meinem Ubuntuserver sehe ich im Log ständig irgendwelche Verbindungsversuche. Gerade auf den Standardports ist da sehr viel unterwegs. Was meinst du warum es so gefährlich ist, unsichere Kennwörter zu verwenden? Die Bots haben oftmals lange Listen mit Standard-Logins wie admin/admin und klappern damit einfach mal das Internet ab. Irgendwo wird man damit schon reinkommen..

Entweder man weicht auf einen anderen Port aus, was leider nicht immer geht, wenn die Client-Anwendung nicht auf andere Ports umkonfiguriert werden kann, oder man muss entsprechende Regeln in der Firewall einbauen (sofern die Firewall vom NAS es zulässt) wie zB max 3 falsche Logins auf einem Account oder max 3 Loginversuche pro IP (in zB 60 Minuten). Damit bremst man die Bots erheblich aus, weil sie letztendlich darauf angewiesen sind ihre komplette Login-Liste (Tausende von Benutzername/Passwort Kombinationen) abzuarbeiten. Wenn nach dem 3. Versuch die Tür zu ist, dann kann er es gerne nochmal in 60 Minuten versuchen... Man sollte nur vorsichtig sein, dass man sich nicht selbst aussperrt. Ärgerlich, wenn man gleich beim ersten Fehlversuch eine IP 24h oder gar permanent blockiert - man kann sich ja auch mal selbst vertippt haben ^^

Aus diesem Grunde habe ich bei mir daheim ausschließlich einen Port nach außen geöffnet: Für den VPN-Tunnel. Alle anderen Dienste (NAS, Groupware, etc.) sind nur über die VPN-Verbindung, also quasi nur netzwerkintern ohne direkte Internetverbindung möglich. Ich war nämlich auch etwas überrascht wie schnell der erste Hacker versucht hat, in meinen frisch aufgesetzten Server einzubrechen. Ohne VPN-Zertifikat + Passwort auf Port (pieeeep) geht nu aber nix mehr ;-)

 

[Rehtaftib]

@Woodz Wenn dein NAS komplett frei in der DMZ steht kann man es sogar per Suchmaschine finden, da ist ein portscan nichtmal notwendig. Ich würd das NAS hinter die Firewall setzten und die Ports evtl durch NAT nach außen hin umbiegen! Bei der nächsten Lücke die öffentlich wird bist du sonst recht gearscht wenn das Ding frei rumsteht.

 

[Woodz]

@chrigu:
Leider kann ich als Minimum nur "nach 5 maligem erfolglosem anmelden" einstellen. 5 scheint hier das Minimum zu sein.

@Cool Master:
He, ist das so? Haha!
Na ok, ich werd mal schaun. Vielleicht reduziere ich die Ban-Dauer auf eine endliche Zeitspanne. Hatte auch schon
diesen Gedanken, aber dachte nicht das es so groteske Ausmaße nehmen könnte - gut zu wissen.

Gruß

Ergänzung (29. Januar 2014)

Ich hatte doch geschrieben, das alle Ports vom WAN in die DMZ (bis auf 22 und 80) geschlossen sind. Ich denke nicht, dass das irgendwas frei
ist, oder liege ich da falsch? Meine Firewall ist da ein wenig Konfigurationsfreudiger
Ich werde aber versuchen den 22 Port auf einen anderen Port umzulegen. Soll heißen, dass ich meine sftp Verbinungen nicht mehr über Port 22 realisieren werde.

 

[chrigu]

genau... einfach statt 22 im qnap auf 53xxxx umstellen und beim ftp-tool diesen port angeben... in firewall und router dies portforwardingregel auf die qnap leiten. fertig.

 

[lotharpe]

Da wird einfach gescannt von irgendwelchen Bots. Also es ist nicht so, dass man dich gezielt angreifen wollen würde.
Würde auch nichts auf den Standardports laufen lassen BTW.

Ich hatte von 2012 bis ca. Mitte 2013 gezielte Angriffe aus China auf meinen Server und das heimische Netzwerk.
Da ich über Selfhost in Leipzig eine .com und .de Domain registriert habe, waren die Angriffe gezielt und unabhängig der zugewiesen IP vom Provider.
Hatte aber entsprechende Regeln im Router (LANCOM 1721+) erstellt und nachträglich die angreifenden IP-Bereiche kompl. gesperrt.
Es hörte dann auf und ich konnte seitdem keine Angriffe mehr feststellen.

Mein Router und Access Point sind über HTTPS im Internet erreichbar und konfigurierbar, allerdings nicht auf üblichen Ports.
Sie sind auf nicht gängige Ports geroutet und entsprechend abgesichert.

Portscans werden registriert und die angreifende IP nach wenigen Anfragen gesperrt.
Mein Ftp-Server ist auch entsprechend gesichert, sollte zufällig mal ein Brute-Force-Angriff ein Benutzerkonto treffen, wird es nach dreimaliger Fehleingabe des Passworts automatisch gesperrt und kann nur am Server wieder aktiviert werden.

Auf meinem Server ist noch Windows Server 2003 installiert, werde diesbezüglich aber bald aufrüsten.
Die Anmeldung "Administrator" gibt es auch nicht mehr, habe mir dafür einen völlig blödsinnigen Namen einfallen lassen, da kann keiner drauf kommen.