Admin deaktivieren?

[EDvonSchleck]

Nein, denn würde es über die anderen Regeln laufen, somit wäre die statische Adresse obsolet. Außer das du mehr Arbeit hast würde es nichts ändern. Wenn du also keine richtige statische Adresse hast - lass sie weg!

Nein die Adresse hat keine Subnet - einfach nur die IP.

 

[HHE3eich]

gut, dann sieht es jetzt bei mir so aus ...



Zeile 2 wäre meine statische IP aber diese Zeile ist nicht aktiv, also sollte sie auch nicht stören ...
Dann werde ich das im Router mal wieder freigeben und das Ergebnis abwarten ....

 

[EDvonSchleck]

genau so ist richtig, auch wenn es lange gedauert hat
Zusätzlich kannst du wenn es Probleme gibt noch das Script #65 ansehen. damit kannst du noch das Ganze "optimieren".

P.s.: ohne zu wissen wie oft du in DK bist kannst du für DK auch eine extra Regel anlegen und nur im Urlaub aktivieren. Das gleiche gilt natürlich auch für Deutschland. Wenn du in DK bist un keine Zugriff in der Zeit aus Deutschland erwartest, kannst du diese Regel für diesen Zeitraum auch deaktivieren. Umso enger diese Regeln sind, umso sichere wird es! Auch in DK und D git es böse Buben!

 

[HHE3eich]

supi, meine Firewall läuft jetzt seit ca 20 Minuten ohne Probleme
kann von den Windows-PC im LAN auf die verbundenen Ordner zugreifen und die illegalen Anmeldeversuche bleiben aus.
Und ja, es hat lange gedauert. Das war wohl auch der Grund, warum ich mich an die Firewall nie rangetraut habe.

Also vielen vielen Dank an Dich @EDvonSchleck und natürlich auch alle anderen Beteiligten.

vielleicht schreibe ich ein kurzes Tutorial als PDF denn die schnelle Lösung geht hier ja etwas in der Diskussion unter, oder gibt es sowas schon?

 

[EDvonSchleck]

Letztendlich sollte man nur sein Netzwerk oder mindestens bestimmte IPs erlauben und den Rest verbieten. Wenn neue regeln dazu kommen entsprechend neu erstellen und über der "Verbotenliste" positionieren. Das war es auch schon.

Du musst eher die Wirkungsweise verstanden haben.

Natürlich kannst du eine einfache Anleitung schreiben. Es gibt jedoch hier keinen richtigen Bereich dafür und im Thread geht diese unter. Wie gut du Anleitung nachher findest hängt von der Suche ab. Du kannst das File auch nicht im ersten beitrag anhängen - somit musst du trotzdem den Thread lesen oder einen neuen erstellen, welcher nicht unbedingt gefunden wird. Einen bestimmten Eintrag zu sichern kannst du auf das Lesezeichensymbol drücken und einen entsprechenden Hinweis dazu eingeben. Auch der Thread dient auch als Anleitung und mit der 5 Seiten noch übersichtlich - wobei ab der 3. Seite ja eigentlich alles schon gesagt wurde.

Ansonsten ist hier ja alles gesagt und somit erst einmal gelöst - viel Spaß damit.

 

[HHE3eich]

Du musst eher die Wirkungsweise verstanden haben.

also der wichtigste Punkt ist mE daß die Regeln von oben nach unten abgearbeitet werden und wenn ein Kriterium zutrifft, steigt die Firewall aus und die folgenden Regeln haben dann keine Bedeutung mehr. Wenn man das so sieht, ist es auch logisch ...
also nochmals Danke.

 

[EDvonSchleck]

Hier noch einmal die Anleitung direkt von Synology - schau mal im "Hinweis" (graues Kästchen unten)

Ich denke es ist alles gesagt und andere User können sich hier schnell einlesen oder das Problem abstellen,

 

[tproko]

allerdings erlaubt auch nicht jeder fremde Router alles. Im letzten Ferienhaus lief eine Fritzbox mit Gäste-Konto

Halte ich für ein Gerücht.

Fahre selber mit OpenVpn und via https-Port 443.
Habe bisher noch keine Sperre in Ö oder DE erlebt.

Ggf. wäre noch UDP ein Thema, dass das eher mal blockiert wird. Aber mit openvpn via 443/udp ging es bei mir stets. Denke die meisten so Teile/Router/Firewalls erlauben einfach 443.

Ansonsten würde ich mit 443/tcp fahren. Wenn das blockiert wird, ist sowieso alles vorbei.

 

[HHE3eich]

@tproko
ich hab ja auch nichts von OpenVpn oder überhaupt VPN geschrieben.
ich wollte im Laptop-Browser einfach nur die Weboberfläche der Diskstation ansurfen und habe nie eine Verbindung bekommen.
Was der Ferienhaus-Betreiber da gemacht hat, kann ich nicht sagen.
An meiner Diskstation lag es jedenfalls nicht, denn mit meinem Handy ging es ja.

 

[tproko]

Okay, rund um deinen Post wurde schon VPN in den Raum gestellt.
Das die ganzen anderen Ports oftmals gesperrt werden (5000, 5001), ist in der Regel so, ja...

 

[HHE3eich]

kA ob das in der Regel so ist, war jetzt der erste Fall, daß ich von aussen (in einem Ferienhaus oder Hotel) keinen Zugriff auf meine DS hatte.

 

[HHE3eich]

Moin Leute,
da bin ich wieder immer noch mit demselben Thema.
Die bösen Buben haben 2 Tage gebraucht, um herauszufinden, das mein GEO-Blocking Anfragen aus [DE] erlauben und schon geht es wieder los ...




alle IP-Adressen komme jetzt aus Deutschland ....

so what next?

sollte ich vielleicht mal eine andere Portnummer verwenden? die 5000 ist bei der Disksstation ja inzwischen schon allseits bekannt.
Das hätte aber sicher auch Auswirkungen im LAN oder nicht?

 

[EDvonSchleck]

Hast du jetzt langsam auch das Script mit den geblockten IPs installiert?
Habe ich dir auch schon geschrieben.

Sind es denn jetzt weniger geworden?

 

[HHE3eich]

vielleicht sind es weniger geworden, ich habe aber auch sofort nach der ersten Attacke die Firewall angepasst und DE und DK blockiert.
Brauche ich eh nur, wenn ich im Urlaub bin. Allerdings befürchte ich, das derjenige meine Diskstation-Adresse jetzt in einer Liste hat und immer wieder versuchen wird, mit der ihm bekannten Adresse und dem Konto ADMIN einen Zugriff zu bekommen und sicherlich würde das dann auch alles wieder neu starten, wenn ich später nur für meine 3 Wochen Urlaub das freischalte. Evtl. werden solche Listen auch im darknet gehandelt und weitergegeben.

Das Script habe ich noch nicht installiert einfach aus dem Grund, weil ich davon auch nicht wirklich überzeugt bin. Was nützt mir eine black-list von geblockten IP-Adressen wenn sich diese Leute ständig neue IP-Nummern generieren? Das ist genau so wie der Kampf gegen Spam-Anrufe. Meine FritzBox hat mehrere Listen mit über 800 geblockten Telefonnummern, trotzdem kommen immer wieder neue.

und wie ich gerade sehe, kann die Diskstation doch offensichtlich auch eine eigene Blacklist führen

 

[HHE3eich]

und kann es evtl. sein, das die DS nicht alle IP-Adressen korrekt einem Land zuordnen kann. Ich habe gerade alle 7 IP-Adressen von vorhin in meine black-list eingetragen und das sieht dann so aus:

 

[EDvonSchleck]

Der Sinn hinter den Script ist es die IPs vorher zu blocken bevor sie ausfallen. Die Daten stammen von fail2ban. Das ist ein sehr weit verbreitetes Sicherheitstool, welches aber bei der DSM so nicht im Einsatz komm und wenn nur mit Umwegen über Docker.

Ich habe kein Spamliste auf meiner Fritzbox und bekomme auch keine Spannanrufe. Denn gehst du mit den Daten nicht richtig um.
Wenn du meinst deine Dyndns-Adresse ist verbrannt ersetze sie doch einfach gegen eine ander. Am besten ohne Qiuckconnect das dieser Dioesnt zweifelhaft ist. Wenn man öffters in Denemak Urlaub mach, kann man sich auch eine eigen Domain für ein paar Euros pro jahr leisten (z.B. bei Netcup).

 

[HHE3eich]

tja, das mit den Spam-Anrufen haben wir meiner lieben Frau zu verdanken, die zuviel "Höhle der Löwen" geschaut hat und meinte das man da dann kostenlos bitcoins bekommt. Immerhin ist kein finanzieller Schaden entstanden, ist einfach nur nervig.

Was das script betrifft, verstehe ich das richtig, daß dadurch im voraus bereits bekannte Hacker IPs in die o.g. blacklist der Diskstation eingetragen werden? Das wäre natürlich in der Tat ein gute Ansatzpunkt. Da würde mir dann aber eine Liste nur für DE und DK ausreichen, weltweit brauche ich nicht und dann wird die Liste sicherlich auch ewig lang und bremst vielleicht das System aus. Wenn Du Dich damit so gut auskennst, könntest Du die Liste so anpassen, daß da nur DE und DK drin vorkommt, dann würde ich das mit dem scrip auch machen.
Oder kann ich die Liste auch selbst editieren?
Nächster Schritt wäre natürlich, das diese List vermutlich auch ständig aktuell gehalten werden muss, wie geht denn das?

Bei meiner Fritzbox macht das die kostenlose App SpamBlockUp
https://spamblockup.jimdofree.com/
solltest Du das noch nicht kennen ist es wert, es sich mal anzuschauen...

Wenn du meinst deine Dyndns-Adresse ist verbrannt

und würde es da jetzt nicht helfen, für die Diskstation eine andere Portfreigabe als die bekannte 5000 zu verwenden?
Oder kann man sich für die DynDns-Adresse ein Alias zulegen, welches dann nur für diesen Zweck verwendet wird?

 

[EDvonSchleck]

Was das script betrifft, verstehe ich das richtig, daß dadurch im voraus bereits bekannte Hacker IPs in die o.g. blacklist der Diskstation eingetragen werden? Das wäre natürlich in der Tat ein gute Ansatzpunkt.

Die Liste stammt von hier. Standardmäßig ist das Scipt auf "all" eingestellt, Wenn du nur bestimmte Listen haben willst kannst du das entsprechend im Script abändern! Die Liste aktualisiert dei Einträge aus deiner DS. Also kommen zu deiner persönlichen Blocklist weitere dazu! In der Summe hast du denn viel mehr!

Bei meiner Fritzbox macht das die kostenlose App SpamBlockUp
https://spamblockup.jimdofree.com/
solltest Du das noch nicht kennen ist es wert, es sich mal anzuschauen...

Schaue ich mir an, obwohl ich es nicht nutze, da unsere Telefonnummern nur provat vergeben werden. Für den Mülleimer haben wir Trashnummern bei Sipgate. Bei meine FB sind unbekannte geblockt und es kommt eine Ansage das: "unbekannte die Nummer unterdrücken und diese aktivieren sollen!. Ansonsten habe ich nur keine Auslandsanrufe und gut ist! Viel wichtiger ist der Umgang mit seinen privaten Daten (Nummern)!

und würde es da jetzt nicht helfen, für die Diskstation eine andere Portfreigabe als die bekannte 5000 zu verwenden?
Oder kann man sich für die DynDns-Adresse ein Alias zulegen, welches dann nur für diesen Zweck verwendet wird?

Kannst du probieren, wenn du irgendwo in einer Liste bist wird das aber nicht ändern. Ein Portscanner könnte hier andere Ports ausfindig machen. Jetzt kommt es natürlich immer noch darauf an wie viel der "Andere" als Aufwand betreiben will.. Ein Alias funktioniert nicht, da ein Ailas nur eine Weiterleitung ist. Der Sinn dahinter ist ja das die DynDNS abgeschaltet wird und nicht eine neue unbekannte praktisch als CNAME drauf geschaltet wird!

Wie verbindest du dich denn? DynDNS oder Quickconnect?

 

[HHE3eich]

Quickkonnect ist bei mir zwar eingerichtet aber wenn ich von aussen komme immer über DynDNS ...

Randbemerkung: Ich will diesen Post jetzt auch nicht überbeanspruchen mit zu viel OT, kann Dir auch gerne eine PN dazu schicken ....

Der Aufwand beim "Anderen" wird ja vermutlich nichts anderes als ein sniffer oder bot sein ....

 

[geimist]

sollte ich vielleicht mal eine andere Portnummer verwenden? die 5000 ist bei der Disksstation ja inzwischen schon allseits bekannt.

Auf jeden Fall. Das ist ja quasi eine Einladung, wo drauf steht: "Hallo, ich bin eine Synology Diskstation. Probiere doch mal, ob du dich anmelden kannst. Hier entlang bitte … ".

Übrigens: Port 5000 (der unverschlüsselte DSM Port ohne SSL) sollte meiner Meinung nach sowieso nichts im Internet zu suchen haben.

Und noch etwas:
Alle IP-Adressen aus deinem letzten Screenshot konnte ich in der Blocklist nicht finden. Ein Grund könnte sein, dass es sich nicht um einen 'gewöhnlichen' Bot handelt.