Mir unbekannte Zugriffe aufs Heimnetz

[Indurus]

Ich bin was das Thema angeht leider ziemlich ahnungslos, daher wende ich mich ans Mighty-ASB 

Habe ein QNAP-NAS in Betrieb und geschafft alles so zu konfigurieren, wie gewünscht. Bisher zu mindest.

Im Zugriffslog des QNAP schau ich mir immer wieder Fremdzugriffe an. Das passiert alle heiligen Zeiten, mal mit mehr und mal mit weniger Penetranz. (ist das eigentlich normal oder sollt ich mir da schon sorgen machen?). Ich hab da im QNAP Menü so eine Blacklist-Funktion gefunden, mit der ich händisch gewisse IPs sperren kann. Habe das mit wiederkehrenden vereinzelten Zugriffsversuchen immer so gemacht und das hat gereicht.

Seit vorgestern NAcht werde ich aber offenbar im Sekundentakt beschossen: Immer andere IPs mit anderen Nutzernamen versuchen sich einzuloggen. Da komm ich natürlich mit dem Blacklisting einzelner IPs nicht hinterher, weil das lauter verschiedene sind.

Jetzt wäre es wohl gscheiter (ist es das wirklich oder sollte man das ganz anders machen?) eine Whitelist zu machen, also ich lege ein paar fest, die dürfen, alles andere darf nicht. HAbs auch geschafft zB die IP mit der ich am Handy surfe freizugeben. Das klappt. Wie aber schaffe ich es, alles was aus dem Heimnetzwerk kommt, automatisch zu erlauben? (Ich hoffe ich hab mich da technisch halbwegs korrekt ausgedrückt). Die Heimnetz IPs fangen ja alle mit 192.168.xx.xx an, mus sich die dann so auf die Whitelist setzen? 

Ich habe auf dem NAS einen VPN Server laufen. Vom Handy komm ich da (nachdem ich die mobile IP des Handys gewhitelistet habe) auch problemlos per VPN wieder in mein Heimnetz, allerdings klappt dann im VPN der Zugriff aufs NAS nicht mehr. Ich vermute weil sich mit der VPN Verbindung ja die IP ändert und die VPN-IP ja nicht auf der Whitelist steht. 

Die Whitelist sieht folgendermaßen aus: (da kann ich einzelne IPs erlauben, das hat ja mit der Handy-IP gut geklappt. Wie aber kann ich hier "alle Heimnetz IPs" in einem Aufwasch erlauben, also quasi alles was von Innen kommt?

 

Wenn diese Vorgehensweise generell nicht zu empfehlen ist, bin ich natürlich auch an Tipps interessiert, wie das geschickter zu machen wäre! 

bearbeitet 28. Oktober 2019 von Indurus

[mazunte]

Kann man dies auch mit Mac Adressen machen in Deiner NAS? Wären eindeutiger als Ip's. Verwendest du auch einen dhcp Server oder sind die Ip Adressen statisch vergeben? Was komisch ist, sind die diversen Anmeldeversuche!  Und welche Ip Adressen sind das? Gehören die etwa zur selben IP Range? 

 

[Indurus]

Ich glaub das geht nur auf IP Basis.

Die Adressen die da zugreifen scheinen nichts miteinander zu tun zu haben. Sind bunt gewürfelt. Anfragen kommen aber quasi im Sekundentakt. Hab mal eine gegoogelt, dürfte irgendwo aus Russland kommen.

[mazunte]

Indurus schrieb vor 49 Minuten:

Ich glaub das geht nur auf IP Basis.

Die Adressen die da zugreifen scheinen nichts miteinander zu tun zu haben. Sind bunt gewürfelt. Anfragen kommen aber quasi im Sekundentakt. Hab mal eine gegoogelt, dürfte irgendwo aus Russland kommen.

hm.. dann dürfte deine NAS nach aussen hin broadcasten; Wo logst Du Dich via VPN an? Ist das eine APP?
Alles sperren, was nicht Dich betrifft; Also leg eine Whitelist an.
Welche NAS ist es genau?

[fuxxx]

Hat man bei Synology NAS auch. Standard-Routerports ändern, und a Rua is.

[lonelycowboy]

Grundsätzlich kann man bei jedem Login-/Eingabeformular, welches online erreichbar ist davon ausgehen, dass dies früher oder später mittels Brute-Force-Attacken angegriffen wird. Das ist leider die Normalität.

Hier helfen nur weitere Maßnahmen wie Änderung der Login-URL bzw. Port (quasi security through obscurity), IP-basierte white- und blacklists, automatisierte IP-Sperren bei falschen Login-Versuchen, Zwei-Faktor-Authentifizierung, reCaptcha, htaccess/htpasswd-Sperren ...

SSL sollte ohnehin selbstverständlich sein (self-signed Zertifikat reicht in dem Fall aus). Ohne SSL solltest du dich nicht verbinden aus Netzwerken, die nicht du selbst kontrollierst, was dem Zweck eines weltweit erreichbaren Datenspeichers aber widerspricht.

Whitelist-Beispiel für dein Heimnetzwerk sollte so aussehen (wenn ich mich nicht irre):

Start-IP: 192.168.0.1
End-IP: 192.168.0.254

Alternativ sollte auch folgende IP/Netmask-Kombi denselben Effekt haben:

IP: 192.168.0.0
Netmask: 255.255.255.0

Größeres Netz werfen:

IP: 192.168.0.0
Netmask: 255.255.0.0

Das sollte entsprechen:

Start-IP: 192.168.0.1
End-IP: 192.168.255.254

Außerdem gehört ev. 127.0.0.1 (localhost) auf die whitelist.

 

[Indurus]

Danke dir, @lonelycowboy. Ich glaube genau mit dem von dir beschriebenen Phänomen kämpfe ich gerade! 

Kaum mache ich auf, kommen minütlich über den Weg "HTTP(S)" (ich denk dass das das Eingabeformular ist) Zugriffsversuche rein. Ich habs zwei Tage lang nicht bemerkt, da warens ca. 7000 von etwa 700 verschiedenen IPs. Diese alle zu blacklisten wäre eine mühsame Klickerei, weil ich glaube ich nicht einfach eine Liste hochladen kann, sondern diese einzeln blacklisten müsste!

Whitelisting wäre eine Option. Das Problem dabei ist, dass mein Mobilfunk betreiber mir täglich eine neue IP zuteilt, die ich auf die Liste setzen müsste. Das kann ja auch keine Lösung sein...

Das mit dem Zertifikat hab ich auch mal probiert. Da klappt dann zB die VPN Verbindung vom Handy (unabhängig von Black oder Whitelist) auf jeden Fall.

Aber für eine FTP Verbindung oder Zugriff auf den Plex Server am NAS gehtdas mit dem Zertifikat wohl nicht...oder?=

[Dobinator]

Welche Ports hast du am Router (Firewall), wie weitergeleitet?

Wenn es die Std. Ports sind (wie fuxxx angemerkt) ist das "normal", das sind in der Regel "automatisierte" Scans.

 

[mazunte]

Indurus schrieb vor 1 Stunde:

Danke dir, @lonelycowboy. Ich glaube genau mit dem von dir beschriebenen Phänomen kämpfe ich gerade! 

Kaum mache ich auf, kommen minütlich über den Weg "HTTP(S)" (ich denk dass das das Eingabeformular ist) Zugriffsversuche rein. Ich habs zwei Tage lang nicht bemerkt, da warens ca. 7000 von etwa 700 verschiedenen IPs. Diese alle zu blacklisten wäre eine mühsame Klickerei, weil ich glaube ich nicht einfach eine Liste hochladen kann, sondern diese einzeln blacklisten müsste!

Whitelisting wäre eine Option. Das Problem dabei ist, dass mein Mobilfunk betreiber mir täglich eine neue IP zuteilt, die ich auf die Liste setzen müsste. Das kann ja auch keine Lösung sein...

Das mit dem Zertifikat hab ich auch mal probiert. Da klappt dann zB die VPN Verbindung vom Handy (unabhängig von Black oder Whitelist) auf jeden Fall.

Aber für eine FTP Verbindung oder Zugriff auf den Plex Server am NAS gehtdas mit dem Zertifikat wohl nicht...oder?=

dynip zB. gibt es kostenlos, musst ein wenig googlen.
 

[Indurus]

Danke euch, @fuxxx und @Dobinator. Ich habe nun den HTTP Standard Port geändert. Und plötzlich ists wirklich ruhig. Aber ich würde gerne verstehen, was da jetzt passiert ist und wie das mit den Ports überhaupt funktioniert:

Bisher war der Port X dafür vorgesehen. Was bedeutet das genau?

Meine externe IP wird eingegeben und am Port X wird geklopft. Der Router weiß, wenn bei X geklopft wird, dann leite die Anfrage ans NAS weiter (weil ich die Weiterleitung ja so definiert habe, um selbst von außen zugreifen zu können). Das macht er, daher die vielen Anfragen am NAS, weil die es immer mit X probiert haben. Ist das so richtig?

Nun habe ich im NAS und im Router aber Y als Webport definiert und nicht mehr X. Also werden nur mehr die Y Klopfer ans NAS geschickt, nicht mehr die die bei X klopfen. Dieser automatische Zugriff von außen klopft aber weiterhin bei X und klopft daher ohne weitergeleitet zu werden. Hab ich das auch noch richtig verstanden?

Wenn das so ist, wieso kann ich aber weiterhin (ohne beim Zugriff irgendwas zu ändern) zugreifen? Ich gebe beim Zugriff den Port ja gar nicht an, sondern nur die IP?

Und weiters: Kosten meinen Router diese parmanenten Anfragen "Leistung"? Oder hört der den alten Port X gar nicht mehr?

[mazunte]

@Indurus 
du hast alles richtig verstanden. Stell dir den Port wie eine Türe vor, so funktioniert dies eben dann über zB. "Y"
Es gibt allerdings fix vergebene Ports für gewisse Protokolle, die sollten unberührt bleiben.
---
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

[Dobinator]

Indurus schrieb vor 37 Minuten:

Danke euch, @fuxxx und @Dobinator. Ich habe nun den HTTP Standard Port geändert. Und plötzlich ists wirklich ruhig. Aber ich würde gerne verstehen, was da jetzt passiert ist und wie das mit den Ports überhaupt funktioniert:

Bisher war der Port X dafür vorgesehen. Was bedeutet das genau?

Meine externe IP wird eingegeben und am Port X wird geklopft. Der Router weiß, wenn bei X geklopft wird, dann leite die Anfrage ans NAS weiter (weil ich die Weiterleitung ja so definiert habe, um selbst von außen zugreifen zu können). Das macht er, daher die vielen Anfragen am NAS, weil die es immer mit X probiert haben. Ist das so richtig?

Nun habe ich im NAS und im Router aber Y als Webport definiert und nicht mehr X. Also werden nur mehr die Y Klopfer ans NAS geschickt, nicht mehr die die bei X klopfen. Dieser automatische Zugriff von außen klopft aber weiterhin bei X und klopft daher ohne weitergeleitet zu werden. Hab ich das auch noch richtig verstanden?

Wenn das so ist, wieso kann ich aber weiterhin (ohne beim Zugriff irgendwas zu ändern) zugreifen? Ich gebe beim Zugriff den Port ja gar nicht an, sondern nur die IP?

Und weiters: Kosten meinen Router diese parmanenten Anfragen "Leistung"? Oder hört der den alten Port X gar nicht mehr?

Im Wesentlichen alles korrekt.

Standard HTTP Ports sind 80 bzw. 8080 (HTTPS 443). Diese Ports sind, sagen wir einmal die Üblichsten, die bei einer Firewall freigeschalten (= Weiterleitung auf interne Webserver) sind, daher zählen sie auch zu den meist automatisiert "abgeklopften". Auch sind sehr sehr viele NAS oder Heimautomatisierungssysteme mit der Initialkonfiguration online (Standard PW etc.), diese sind sehr leicht zu "übernehmen" und man kann damit sehr viel Unfug treiben.

Ich persönlich würde solche Systeme nie direkt (=Weiterleitung) ins Netz hängen, sondern nur über VPN erreichbar machen. Also nach aussenhin nur ein VPN Port (zb. Wireguard, OpenVPN, Windows SSTP etc.) öffnen.

Das einige was mir auffällt ist folgendes:

Wenn das so ist, wieso kann ich aber weiterhin (ohne beim Zugriff irgendwas zu ändern) zugreifen? Ich gebe beim Zugriff den Port ja gar nicht an, sondern nur die IP?

Wenn du über einen Browser zugreifst, solltest du schon das neue Port mitangeben müssen, zb. http://meineexterneip:0815 weil die gängigen Browser die Standardports "probieren" wenn du keines mitgibst. Daher ist hier die Frage wie du zugreifst?

Und weiters: Kosten meinen Router diese parmanenten Anfragen "Leistung"? Oder hört der den alten Port X gar nicht mehr?

Das Port X ist bei richtiger Kofiguration, wie es hier aussieht, "zu" das kostet keine "Leistung" mehr.

bearbeitet 4. November 2019 von Dobinator

[Indurus]

Dobinator schrieb vor 39 Minuten:

Wenn du über einen Browser zugreifst, solltest du schon das neue Port mitangeben müssen, zb. http://meineexterneip:0815 weil die gängigen Browser die Standardports "probieren" wenn du keines mitgibst. Daher ist hier die Frage wie du zugreifst?

Mein NAS (QNAP) bietet so einen Cloud Service an, daher steige ich gar nicht über

http://meineip:port

sondern über

QNAPUSERNAME.myqnapcloud.com/

und ich vermute dass er deshalb den richtigen Port automatisch weiß, weil das in dieser QNAP Cloud wohl alles hinterlegt ist!

 

Ist nun die neue Portnummer nicht auch durch herumprobieren wieder recht leicht herausfindbar? Ist ja wohl viel einfacher zu knacken als ein Passwort...?

bearbeitet 4. November 2019 von Indurus

[Dobinator]

Indurus schrieb vor 3 Minuten:

Mein NAS (QNAP) bietet so einen Cloud Service an, daher steige ich gar nicht über

http://meineip:port

sondern über

QNAPUSERNAME.myqnapcloud.com/

und ich vermute dass er deshalb den richtigen Port automatisch weiß, weil das in dieser QNAP Cloud wohl alles hinterlegt ist!

ok, das wird wohl dann dein NAS übernehmen.

[lonelycowboy]

Indurus schrieb am 4.11.2019 um 08:39 :

Whitelisting wäre eine Option. Das Problem dabei ist, dass mein Mobilfunk betreiber mir täglich eine neue IP zuteilt, die ich auf die Liste setzen müsste. Das kann ja auch keine Lösung sein...

Wie kommst du auf die Idee, dass du IP-Adressen einzeln eingeben musst?

Noch mal: Du kannst IP-Bereiche angeben. Das ist aus deinem eigenen Screenshot ganz gut ersichtlich.

Dein Mobilfunkbetreiber kann sich deine IP nicht frei aussuchen, sondern nur eine bestimmten IP-Bereich bespielen. Den gibst du frei.

Dann haben zwar nach wie vor alle Geräte (auch fremde) aus diesem IP-Bereich Zugriff aber das ist immer noch deutlich besser als wenn das gesamte Internet darauf zugreifen kann.

Falls dein Kastl das unterstützt kannst du auch mit Mac-Adressen arbeiten und nur die Mac-Adressen der Geräte freigeben, die du benutzt. Vorteil: Es ist unabhängig davon, welche IP-Adresse das Gerät hast. (Mac-Adressen fälschen ist allerdings auch möglich.). Beachten: Die Mac-Adresse ist abhängig vom Netzwerk-Adapter, viele Geräte haben mehr als einen eingebaut, z. B. wenn ein Laptop einen Wifi-Adapter, einen Ethernet-Adapter und ein LTE-Modem eingebaut hat, dann sind das drei unterschiedliche Mac-Adressen.