Admin deaktivieren?

[ergo-hh]

Vielen Dank für die schnelle Antwort - und was noch besser ist, das war der entscheidende Tipp
Ich kann mich irgendwie überhaupt nicht mehr erinnern, dort jemals etwas eingetragen zu haben - jaja, das Alter

Schönes Wochenedne ergo-hh

 

[Benares]

Du hast da nichts eingetragen. Das passiert immer automatisch, wenn du irgendwo "Anmeldeinformationen speichern?" abnickst.

 

[HHE3eich]

aktuell bekomme ich 10-20 Meldungen pro Tag, daß jemand versucht, sich in meinen ADMIN-Konto anzumelden und geblockt wurde.
Das Admin-Konto ist natürlich deaktiviert.
Zusätzlich würde ich gerne mal vorübergehend alle Freigaben ins www deaktivieren.

reicht es, wenn ich da hier einfach die Haken rausnehme ...

 

[Thonav]

Es hilft auch schon viel wenn Du alle Länder außer Deutschland sperrst.

 

[HHE3eich]

an welcher Stelle kann man denn Länder sperren? Ich habe noch DSM 6.2.4 am Start

 

[Benie]

In der Firewall.

 

[HHE3eich]

die Firewall war bisher bei mir deaktiviert, da ich mich damit nicht auskenne.
möchte ungern, daß am Ende nichts mehr läuft (zb ein JDownloader oder internes NAS)

da nehme ich lieber erstmal die Berechtigungen (siehe Post #43) raus, oder bringt das nichts.

Der Hackversuch läuft gerade, jetzt mit einem leeren Konto (nicht Admin) ...

 

[Benie]

Am meisten bringts, wenn Du die DS vom Netz nimmst, und Dir mal in Ruhe ein System überlegst, wie Du Deine Ds in Sachen Sicherheit konfigurierst. z. b. keine offenen Ports, Zugang nur über VPN usw. Das geht aber hier nicht mit ein paar Worte.

 

[HHE3eich]

ok, klar. Eigentlich brauche ich einen externen Zugriff nur, wenn ich im Urlaub bin, habe jetzt also alle Portweiterleitungen in der Diskstation und im Router deaktiviert.
Jetzt sollte erstmal Ruhe sein ...

 

[EDvonSchleck]

Wenn du Dienste unbedingt über das Internet nutzen willst würde ich eher zu VPN greifen. Da es Dienste sind wo nur du darauf zugreifen willst, sollte das der ideale Ansatz sein. Portfreigaben braucht man nur wenn das VPN nicht auf den Router läuft. Eine Firewall kann für externe Sachen nicht schlecht sein.

Die Firewall von DSM6 und 7 sind natürlich vergleichbar und kann das gleiche!

 

[HHE3eich]

allerdings erlaubt auch nicht jeder fremde Router alles. Im letzten Ferienhaus lief eine Fritzbox mit Gäste-Konto, in dem sich die Feriengäste einloggen konnten. Diese hat aber sehr eigenwillig sämtliche Kommunikation mit meiner eigene FB zu hause geblockt. Konnte in den 14 Tagen nur über Handy auf meine Diskstation, was nicht so toll lief.

 

[EDvonSchleck]

Dann musst du es herkömmlich machen über eine Domain/DynDNS und Ports. Jedoch würde ich nicht alle deine gezeigten Ports einfach so öffnen. Ich würde es nur verschlüsselt über SSL eine Verbindung aufbauen! Somit bräuchtest du nur 3 Freigaben.

 

[HHE3eich]

also webdav und photostation brauche ich auch im Urlaub nicht, was würde denn dann noch übrig bleiben, wenn es SSL verschlüsselt wäre?

 

[EDvonSchleck]

Auf deinen Bild #43 wären die Standart-SSL-Ports: 433, 5001, 5006.
Wenn du ängstlich bist kannst du diese noch auf einen anderen Port "mappen" um ggf Portscanner es nicht ganz so einfach zu machen. Natürlich wäre ein LE-Zertifikat hilfreich - muss aber nicht. Ein sebssigniertes Zertifikat und entsprechendes importieren (Browser/Geräte) ist auch möglich.

 

[SiNUS]

Ich bin ebenfalls seit einigen Stunden Ziel eines Angriffs. Konkret wird alle 30-35 minuten versucht mit dem Admin Account (bereits deaktiviert und 2FA aktiviert) einzuloggen und DSM sperrt automatisch.
Laut Security Advisor erfülle ich alle Sicherheitsanforderungen.
Gibt es trotzdem weitere Dinge die Helfen können die Threat einzudämmen oder gar zu vermeiden?

 

[Synchrotron]

Falls die Angriffe von einer bestimmten IP kommen: Sperren, oder gleich Ländersperren reinhauen.

 

[SiNUS]

Es sind laufend andere IPs.
Ich werde zusätzlich mal Ländersperren aktivieren.

 

[dimuscio]

Seit gestern hatte ich so um die 100 Angriffe. Die meisten kommen aus China, Vietnam, Thailand und Korea.

Wie kann ich Ländersperren machen?
Danke für die Hilfe.

 

[Benie]

Google machts auch möglich

 

[dimuscio]

Danke, sehr hilfsbereit!