Frage:
Meine IP-Adresse (mit einem NAS) wird von einem Hacker als Ziel ausgewählt. Was ist zu tun? Sollte ich besorgt sein?
user007
2014-09-16 01:15:10 UTC
view on stackexchange narkive permalink

Ich habe aufgrund der Protokollierung meines NAS festgestellt, dass meine IP-Adresse von einem Hacker angegriffen wird. Ich habe bereits Maßnahmen ergriffen, indem ich die IP-Adresse nach fünf erfolglosen Anmeldeversuchen automatisch dauerhaft gesperrt habe.

Leider wird der Hack unter Verwendung mehrerer verschiedener IP-Adressen verarbeitet, sodass dieser Sicherheitsversuch für mich nicht gültig ist, da er nur gültig ist funktioniert so lange, bis dem Hacker die IP-Adressen ausgehen oder er die richtige Kombination aus Benutzername und Passwort erhält. Das klingt für mich ziemlich knifflig und ich möchte nicht warten, bis eines dieser beiden Ereignisse eintritt.

Ich habe einige der verbotenen IP-Adressen gegoogelt und sie tauchen bei mehreren "Hackern" auf. Websites als Hacker-IP-Adressen. Soll ich etwas tun und sind meine Sorgen berechtigt?

Warum haben Sie Ihr NAS an das Internet angeschlossen?
Sie da! Ein Hinweis von einem zufälligen Typen: Wenn Sie ein SYNOLOGY NAS verwenden, können Sie Benutzern 2-Faktor-Authentifizierungscodes geben, für die ein Telefon / Tablet erforderlich ist. Ich habe das gleiche auf meinem NAS. Es macht es viel sicherer, auch NASs Wenn Sie von Hackern gewünschte Ziele erreichen möchten, stellen Sie sicher, dass Sie das Betriebssystem / die Software Ihres NAS aktualisieren, sobald sie erneut veröffentlicht werden.
Ich habe mein NAS an das Internet angeschlossen, damit ich auf den Webserver zugreifen kann, auf dem es ausgeführt wird, und die Dateien remote durchsuchen kann (App).
Könnten Sie als Idee Ihre IP-Adresse auf die Whitelist setzen?
@LucasKauffman-Consumer-NAS von Unternehmen wie Synology oder QNAP haben sich stark von Dateiservern auf Streaming Media Server-, Light Web Server- und "Personal Cloud" -Funktionen ausgeweitet, um sich von der billigeren Konkurrenz abzuheben.
@DanNeely Ach ja, tut mir leid, ich habe vergessen, das ist ein absolut gültiger Grund, die Sicherheit fallen zu lassen.
@LucasKauffman Mein Punkt ist, dass, obwohl sie ihre Produkte immer noch als NASes brandmarken; Ein persönlicher Internet-Server, der auch Dateien bereitstellt, ist eine genauere Beschreibung dessen, was daraus geworden ist. Dies ist ein Gerät, das für die meisten Funktionen mit dem Internet verbunden sein muss.
Manchmal ist das Ändern der Standardeinstellungen der Ports eine Möglichkeit, die meisten Angriffe auf bekannte Ports zu stoppen
Ich hatte das gleiche Problem mit der Synologie nas. Wenn Sie es nicht verwenden, schließen Sie Telnet und SSH. Hack kommt davon.
Sieben antworten:
schroeder
2014-09-16 02:12:12 UTC
view on stackexchange narkive permalink

Was öffentliche Netzwerke betrifft:

  1. Reduzieren Sie Ihre Angriffsfläche - können Sie den NAS aus dem Internet entfernen? Können Sie die IPs einschränken, die eine Verbindung herstellen dürfen?
  2. Erhöhen Sie die Angriffskosten - Sperren sind großartig, stellen Sie aber auch sicher, dass Sie ein komplexes Kennwort haben und es regelmäßig ändern
    3. Zugriff überwachen - Behalten Sie im Auge, wer sich erfolgreich anmeldet
  3. Behandeln Sie die Risiken - haben Sie einen Plan für die Veranstaltung, wann Jemand bricht tatsächlich ein. Kann der NAS verwendet werden, um auf den Rest Ihres Netzwerks zuzugreifen? Gibt es irgendetwas, das ein Risiko darstellen würde, wenn es in die falschen Hände geraten würde? Haben Sie Backups?
    4. ol>
Im Falle einer Brute Force ist # 2 am wichtigsten. Berücksichtigen Sie die Bitstärke Ihres Passworts. Verwenden Sie kein Passwort aus Wörtern oder bekannten Konstanten (z. B. Fibinachi-Sequenz). Es sollte so zufällig wie möglich sein. Bei einem Brute-Force-Angriff sind die Hauptfaktoren, die den Angriff begrenzen, die Stärke Ihres Passworts und die Geschwindigkeit, mit der sie Anmeldeversuche ausführen können. Nun, Design-Software spricht letztere an, Sie müssen erstere ansprechen.
Christos
2014-09-16 01:23:52 UTC
view on stackexchange narkive permalink

Nach Ihrer Beschreibung ist es möglich, dass Sie von Bots angegriffen wurden, die IP mit bestimmten Ports durchsuchen und versuchen, diese mit Standardkennwörtern aller Arten von FTPs, NAS: s oder nur aus einer bestimmten Wortliste brutal zu erzwingen. Mein Rat an Sie: Schließen Sie vorerst den NAS-Port in Ihrem Router. Es gibt verschiedene Methoden, um diese Angriffe zu vermeiden. Eine Methode besteht darin, zu Hause ein virtuelles privates Netzwerk (VPN) aufzubauen und von dort aus auf Ihr NAS zuzugreifen.

Sie sollten sich darüber keine Sorgen machen, da es Unmengen von Bots aus China, Frankreich und anderen Ländern gibt, die dies versuchen mach das selbe. Normalerweise werden Sie zu einem Ziel, wenn Sie eine Art DNS verwenden, das auf Ihre IP verweist, z. B. noip.com.

Sollte man sich keine Sorgen machen, dass eine Armee gegen seine Tür schlägt?
Ich verstehe nicht, was du mit dieser Frage meinst.
Sie sagen, dass das OP nicht besorgt sein sollte, dass es viele, viele Bots gibt, die versuchen einzubrechen. Eine solche Situation würde meine Sorge verstärken, nicht verringern. Können Sie erklären, warum die Sorge reduziert werden sollte?
Ich habe das Gefühl, dass Sie jetzt überreagieren. Bots zielen auf alle. Alle von uns sind Ziele jede Sekunde. Sie suchen nach bestimmten Ports und wenn sie eine Antwort auf einen offenen Port erhalten, erzwingen sie brutale Gewalt. Nur weil Sie sie nicht sehen, die dies tun. Wenn Sie ein NAS haben, das für das Internet geöffnet ist, sollten Sie auf diese Aktionen warten. Ich weiß, dass diese Bots kurze Wortlisten haben und das einzige, was sie brutal erzwingen können, sind Standardkennwörter. Nach dem, was ich aus OP gelesen habe , die Person scheint Grundkenntnisse darüber zu haben und ich nehme an, dass es ein genehmigtes Passwort gibt, das nicht brutal von solchen Bots gezwungen werden kann.
Sie sagen, dass das OP keine Sorgen machen sollte, weil sie noch nicht erfolgreich waren? Bots sind zu einfach, um die Sicherheit zu brechen? Ich betreibe meine eigenen privaten Honigtöpfe. Ich kenne diese Bots von innen und außen. Man kann den Leuten einfach nicht sagen, dass es keinen Grund zur Sorge gibt, wenn sie einmal im Visier eines Botnetzes sind: Es ist gefährlich und falsch in Bezug auf die Fakten. Ja, einige verwenden Wortlisten mit Standardkennwörtern, andere NICHT.
Botnets? Jetzt denke ich, dass Sie sagen, was immer es in Ihrem Kopf ist, um zu versuchen, Ihre Gedanken zu argumentieren. Ich werde das nicht fortsetzen.
Ich denke, wir haben hier eine Sprachbarriere. Ich bin weder emotional noch irrational. Ich bitte um Klarstellung, weil ich noch nie jemanden gehört habe, der vorschlägt, dass die Anwesenheit von Bots keine Sorgen machen sollte. Sie haben Bots als Thema angesprochen. Bots teilen Informationen. Bots sind Teil von Netzwerken, die als "Botnets" bezeichnet werden. Einige sind einfach, andere nicht. In jedem Fall sollte das OP handeln, um sich selbst zu schützen, vielleicht sogar so, wie Sie es vorschlagen, aber Ihr letzter Absatz ist seltsam.
@schroeder Der Absatz ist ziemlich klar - die Beweise zeigen weder gezielte Angriffe noch etwas Besonderes oder Ungewöhnliches. "Meine IP wird von einem Hacker angegriffen" ist falsch und irreführend - alle IPs werden auf diese Weise "gezielt". Sie sollten sich genau so viele Sorgen machen, als hätten Sie Ihre Protokolle nicht angesehen. Die Protokolle enthielten keine neuen Informationen. Ein mit dem öffentlichen Internet verbundenes NAS erhält Brute-Force-Passwortversuche, genau wie die Sonne im Osten aufgeht. Das OP sollte handeln, um diesen NAS genau so zu schützen, wie er es hätte tun sollen, bevor er es dort angeschlossen hat.
@Peteris Sie haben Recht, dass es im Internet Hintergrundstrahlung gibt und die Dinge selbstverständlich gescannt und geprüft werden. Anhaltende Brute-Force-Versuche sind jedoch eine andere Sache und sollten nicht beiseite geschoben werden. Müssen wir in Panik geraten? Nein, aber es muss gehandhabt werden.
DodgyG33za
2014-09-16 07:02:39 UTC
view on stackexchange narkive permalink

Als jemand, der gelegentlich SEIM-Daten (Security Event Information Monitoring) überprüfen musste, kann ich Ihnen sagen, dass das Scannen von Ports nichts Ungewöhnliches ist. Es kann so oft wie täglich passieren.

Eine Verbindung zum Internet ist wie eine Haustür zu einer belebten Straße. Sie werden Leute an Ihre Tür klopfen lassen. Und einige von ihnen könnten daran interessiert sein, Ihre Sachen zu stehlen.

Ich habe keine Ahnung, warum Sie sich entschieden haben, Ihr NAS mit dem Internet zu verbinden. Ich hätte es nicht getan, aber Sie haben vielleicht gute Gründe. Wenn Sie dies tun, reduzieren Sie Ihre Angriffsfläche, indem Sie einschränken, welche Ports und IPs Sie über Ihren Router zulassen, und sperren Sie dann den NAS selbst so weit wie möglich, indem Sie beispielsweise keine Dienste ausführen, die Sie nicht verwenden. Stellen Sie außerdem sicher, dass auf Ihrem Router die neueste Firmware ausgeführt wird, um das Risiko zu minimieren, dass jemand einen bekannten Exploit verwendet.

Das OP scheint darauf hinzudeuten, dass es sich nicht nur um einen Port-Scan handelt, sondern um Anmeldeversuche.
Ja, ich denke, ich hätte die Frage richtig lesen sollen. Gute Arbeit Ich habe bereits Ihre Antwort +1 gegeben
Die Leute auf seiner Straße klopfen nicht nur an, sondern wackeln aktiv mit den Türgriffen und versuchen es mit zufälligen Schlüsseln, um einen Schlüssel zu finden, der nicht sicher oder verschlossen bleibt ... :-)
oliver
2014-09-16 14:07:03 UTC
view on stackexchange narkive permalink

Der Rat von Schröder oben ist meiner Meinung nach ziemlich gut. Aber um auf ein besonderes Anliegen von Ihnen einzugehen:

wenn er die richtige Kombination aus Benutzername und Passwort erhält

Wie stehen die Chancen dafür? P. >

Wenn Sie ein zufällig generiertes Passwort mit 12 Zeichen, Groß- / Kleinbuchstaben und Ziffern verwenden, sind etwa 3 * 10 21 sup> (62 12 sup>) mögliche Passwörter möglich.

Wenn Sie mit 1 GBit / s mit dem Internet verbunden sind, könnte der Angreifer theoretisch etwa 12 Millionen Passwörter mit jeweils 12 Buchstaben pro Sekunde als Brute-Force-Angriff senden. Bei dieser Geschwindigkeit würde es durchschnittlich 4 Millionen Jahre dauern, bis Sie Ihr Passwort erraten haben. Meiner Meinung nach sind Sie mit einem guten Passwort ziemlich sicher, selbst wenn Sie mit Brute-Force-Angriffen von vielen IPs überhäuft werden.

Dies setzt natürlich voraus, dass Sie ein vollständig zufällig generiertes Passwort verwenden (wie bei pwgen -s 12 1 ) und dass es auf einem sicheren Zufallszahlengenerator basiert. Wenn jemand Ihr Passwort abfängt (z. B. mit einem Trojaner auf Ihrem Desktop-Computer oder weil Sie es aufgeschrieben und das Papier verloren haben oder weil Sie es über IRC an Ihren Freund gesendet haben ;-)), ist die Sicherheit des Passworts wird nicht helfen.

Außerdem ist es immer noch eine gute Idee, die Anzahl der öffentlichen Dienste zu verringern, um die Möglichkeit zu verringern, dass ein Sicherheitsfehler in diesen Diensten ausgenutzt wird.

Möglicherweise möchten Sie ein Online-Tool wie https://www.grc.com/haystack.htm verwenden, um eine Schätzung zu erhalten, wie lange ein Brute-Force-Angriff dauern kann.
Vielen Dank @Marcel,, das ist ein ausgezeichneter Rat, jetzt dorthin geleitet ...!
@Marcel Was diese Website nicht berücksichtigt, ist eine Hash-Kollision. Ich wette, mein Passwort hat eine Kollision viel früher als die geschätzte Zeit.
@Alice Wie soll es? Dies ist ein Parameter des Servers, der dem legitimen Benutzer / Online-Angreifer unbekannt ist. Es wäre notwendig zu wissen, wie lange der vom NAS produzierte Hash dauert.
Andrey Sapegin
2016-01-06 15:07:03 UTC
view on stackexchange narkive permalink

Meiner Meinung nach sollten Sie auf keinen Fall direkte Verbindungen zu Ihrem NAS über das Internet (einschließlich Portweiterleitung) zulassen.

Dies hängt jedoch von den Daten ab, die Sie dort haben. Es gibt also zwei Möglichkeiten:

  1. Wenn es sich um eine Art öffentlichen Server handelt, den Sie und Ihre Freunde / andere Personen verwenden sollen, halten Sie ihn in Verbindung und konzentrieren Sie sich darauf, die Sicherheit zu erhöhen.

  2. Wenn Sie dort jedoch vertrauliche Daten speichern und der Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität für Sie schädlich sein kann, trennen Sie sie einfach sofort. Dies bedeutet sofort, dass das Risiko besteht, dass Ihr NAS gehackt wird und Ihre Daten zu hoch sind (dies hängt wiederum von Ihrer eigenen Einschätzung ab, was mit Ihnen passiert, wenn Ihre auf dem NAS gespeicherten Daten durchgesickert / geändert / gelöscht werden und wie schlecht ist es für Sie).

    3. ol>

    Im zweiten Fall wird das Problem durch Sichern Ihres NAS nicht wirklich gelöst , da es ein einziges bleibt Fehlerstelle / Eingang. Selbst wenn Sie es ordnungsgemäß konfigurieren, mit Zwei- oder sogar Drei-Faktor-Authentifizierung, Firewall usw., und selbst wenn Ihr System auf dem neuesten Stand ist, besteht möglicherweise nur eine Zero-Day-Sicherheitslücke eines ordnungsgemäß konfigurierten und geschützten Dienstes auf Ihrem System NAS. Wie Heartbleed (siehe Wie wird Heartbleed ohne technische Begriffe erklärt? und Wie genau funktioniert der OpenSSL TLS-Heartbeat (Heartbleed)?). Wenn Heartbleed Zero-Day war und die Benutzer einen Webserver mit SSL (HTTPS) abhörten, selbst wenn dieser ordnungsgemäß konfiguriert war, konnte er dennoch gehackt werden, ohne dass Warnungen in den Protokollen usw. vorhanden waren, und der Angreifer muss sich nicht authentifizieren überhaupt.

    Oder ein anderes für NAS relevanteres Beispiel: https://www.kb.cert.org/vuls/id/615910. Stellen Sie sich die Zeit vor, als diese Sicherheitsanfälligkeit null Tage betrug. Wenn Ihr Synology NAS mit einem mit dem Internet verbundenen Webserver verbunden ist, kann ein "nicht authentifizierter Remotebenutzer beliebige Daten unter Root-Rechten an Dateien auf dem System anhängen", was bedeutet, dass der Remoteangreifer "beliebigen Code ausführen" kann ( http://www.cvedetails.com/cve/CVE-2013-6955/). Selbst wenn Sie den Zugriff auf Ihren Webserver ordnungsgemäß eingeschränkt haben, hilft dies in diesem Fall nicht, da es sich um eine Sicherheitsanfälligkeit des Servers selbst handelt.

    Was ist also zu tun?

    Platzieren Sie Ihren NAS hinter einem Router und konfigurieren Sie den VPN-Server auf dem Router. Um auf Ihr NAS zuzugreifen, müssen Sie (1) eine Verbindung über VPN mit Ihrem Heimnetzwerk herstellen und (2) sich auf dem NAS selbst authentifizieren. Um auf Ihre Daten zuzugreifen, sollte jemand zuerst Ihren Router und dann Ihren NAS hacken. Wenn auf dem Router eine andere Software ausgeführt wird, bedeutet dies, dass ein Angreifer jetzt 2 Zero-Day-Exploits anstelle von 1 benötigt, wenn Sie alles richtig konfiguriert und regelmäßig aktualisiert haben. Diese Maßnahme fügt eine weitere Schutzstufe hinzu und erschwert es einem Angreifer erheblich, auf Ihre NAS-Daten zuzugreifen.

    Natürlich ist es jetzt auch für Sie komplizierter, auf Ihre Dateien zuzugreifen, aber das ist es ein Preis für höhere Sicherheit. Sie müssen sowohl Zeit als auch Geld aufwenden (um einen VPN-fähigen Router zu kaufen, zahlen Sie wahrscheinlich für die statische IP-Adresse, wenn diese verfügbar ist (oder wechseln Sie sogar einen Anbieter), konfigurieren Sie sie usw.). Dann können Sie nur dann eine Verbindung zu VPN herstellen, wenn Sie einen Client installiert haben. Um es ein bisschen einfacher zu machen, können Sie jedoch nach clientlosen VPN-Lösungen suchen.

alf
2014-09-17 11:44:19 UTC
view on stackexchange narkive permalink

Viele Dinge, die Sie tun können, um Ihr NAS zu schützen: - Kompliziertes Kennwortmuster, 2-Faktor-Anmeldung .... - Aktivieren und verstärken Sie Ihren Router-Firewall-Regelsatz. - Schalten Sie Ihre NAS-Firewall ein und verstärken Sie sie. - eingeschränkter Zugriff auf TCP-Port und -Dienst über das interne Segment und das Internet. - Verwenden Sie immer https. - Verwenden Sie VPN. - Deaktivieren und blockieren Sie alle Dienste, die nicht erforderlich sind, um das Internet zu nutzen. - Weisen Sie einem Benutzerkonto einen eingeschränkten Anwendungszugriff zu, der über das Internet verwendet werden soll (um auf Ihr NAS zuzugreifen).

Magnus Berg
2014-09-17 14:44:13 UTC
view on stackexchange narkive permalink

Sie könnten DenyHosts ausprobieren. Es sammelt beleidigende IP-Nummern von allen Benutzern und dann können Sie diese globale Liste von IPs verwenden, um Ihr NAS zu schützen.

Ich habe es 4-5 Jahre lang ohne Probleme verwendet, aber als ich eine erstellt habe Bei der Neuinstallation meines NAS vor einigen Monaten habe ich versucht, eine Weile ohne DenyHosts zu laufen. Dann tauchten die Anmeldeversuche nach weniger als einer Woche auf.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...