Admin deaktivieren?

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich hab einmal ein paar von dir geposteten IP´s in der Liste (all) gesucht: ohne Erlfolg! Trotzdem ist du Liste und das Script wirklich gut um die Sicherheit anzuheben.
!
Du musst also ein besonderes Interesse bei bestimmten Usern haben welche aus Berlin, Düsseldorf oder Rosenheim stammen, sofern das deren echte IP ist und nicht weitergeleitet (was zutreffen wird).

Wenn du eine pn schreiben willst, kannst du es gerne machen...
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
ok, andere Portnummer ist mir klar aber wie mache ich das mit dem SSL? Ist das das hier?

1665658395694.png
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
Du musst also ein besonderes Interesse bei bestimmten Usern haben welche aus Berlin, Düsseldorf oder Rosenheim stammen
glaube ich nicht, kann sich doch jeder zB über hide.me eine fremde IP-Adresse zulegen, kostet ja nichts.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
SSL macht ja nur Sinn wenn du auch ein gültiges Zertifikat hast! Das findest du unter Sicherheit> Zertifikat. Dort kann man sich ein LE-Zertifikat für seine DynDNS ausstellen. Denn gibt es auch keine Fehlermeldung im Browser. beachte das dieses Zertifikat nur 90 Tage gültig ist und dann erneuert werden muss!

Das du nur die verschlüsselten (SSL) Ports verwenden sollst habe ich dir in #53 schon geschrieben.
 
  • Like
Reaktionen: HHE3eich

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.070
Punkte für Reaktionen
216
Punkte
83
offtopic: bzgl. Spamanrufe und Fritzbox, s. #97

mit der neuen Laborversion kann man unbekannte Nummern und Nummern, die nicht in den Kontaktbüchern sind, abweisen oder auf den AB lenken…
läuft genial, ist direkt in der Box, und seit der Aktivierung ist Ruhe bei mir….
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
habe gerade mal folgenden Test gemacht:
die zuvor genannten IP nummern aud DE und DK in die blacklist eingetragen
um 13:06 die Firewall für Anfragen aus DE und DK geöffnet
um 13:10 kann dann umgehend dies hier:

1665659565761.png

neue IP aus DE ...
also das wird wohl wirklich nur was mir dem script, der alle 10 Minuten die black-Liste erneuert ...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Nur mal so als Anhaltspunkt für den 'Aufwand' der anderen.... Nahe Null.
Sprich alle IPv4 sind öffentlich und in kürzester Zeit abgescannt.... Immer wieder... Egal wie oft man sie wechselt.
Also z.b. Alle Diskstations die auf 5001 lauschen zu suchen und zu finden, nachdem man einen neuen Bug/0-day exploit in den Fingern hat ist eine Zeitfrage einer Mittagspause, oder länger wenn man nicht zu sehr auffallen will.
Ist dann auch fast völlig (falls sich jemand eine kleine Liste mit speziellen Zielen anlegt hilft es vielleicht kurz) egal hinter welcher dyndns sich diese IP befindet.

https://www.heise.de/news/c-t-deckt...gen-ungeschuetzt-im-Netz-4931739.html?seite=2

Und Geo IP Datenbanken sind nicht absolut und fehlerfrei.
Das wären sie nur, wenn IP Adressen fest an Länder vergeben wären... Was sie aber nicht sind. Da wird ständig gekauft und verkauft... Und damit ändert sich auch die IP Zuordnung.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
mit der neuen Laborversion kann man unbekannte Nummern und Nummern, die nicht in den Kontaktbüchern sind, abweisen oder auf den AB lenken…
läuft genial, ist direkt in der Box, und seit der Aktivierung ist Ruhe bei mir….
das ging glaube ich immer schon, aber dann kann dich auch keiner mehr erreichen, der zum ersten mal (also noch unbekannt) anruft ...
und meine Frau hat an ihrem Handy eine permanente Rufnummernunterdrückung, da würde die auch gar nicht mehr durchkommen, wenn sie zuhause anruft. Das ist mir zu radikal.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
Also z.b. Alle Diskstations die auf 5001 lauschen zu suchen und zu finden, nachdem man einen neuen Bug/0-day exploit in den Fingern hat ist eine Zeitfrage einer Mittagspause, oder länger wenn man nicht zu sehr auffallen will.
das mit dem Bug/0-day exploit habe ich nicht verstanden oder ist das das Tool der anderen?
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.070
Punkte für Reaktionen
216
Punkte
83

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
meine Frau hat an ihrem Handy eine permanente Rufnummernunterdrückung, da würde die auch gar nicht mehr durchkommen, wenn sie zuhause anruft.
Das stimmt so nicht man kann die Rufnummerunterdrückung aushebeln mit Kurzahl oder Apps. Bei mir kommt auf der Fb ein Ansage mit den Hinweis bevor aufgelegt wird. Bei uns (Android) funktioniert das seit jahrein zuverlässig bei Kontakten und auch bei Gruppen!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
SSL macht ja nur Sinn wenn du auch ein gültiges Zertifikat hast!
Das Standard Synology Zertifikat tut's doch auch. Ist "ewig" gültig...
Eine die Warnmeldung des Browsers muss man ggf. wegklicken.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Übrigens: Port 5000 (der unverschlüsselte DSM Port ohne SSL) sollte meiner Meinung nach sowieso nichts im Internet zu suchen haben.

Sehe ich auch so, Port 5000 hat nach außen sowieso nie (nie nie!!) was draußen verloren.

@HHE3eich bitte tu den 5000er Port weg, maximal 5001. Aber auch hier gilt, nimm irgendwas hohes, alles ist besser als der Standardport.

Nochmal @HHE3eich: sorry irgendwie sehe ich hier schon etwas Gefahr im Verzug, bitte deaktiviere doch einfach mal die Router-Portweiterleitungen. Anscheinend brauchst du die eh nur im Urlaub. Also würde es dir jetzt gerade auch nicht weh tun. Deaktiviere es mal.

Als nächsten schritt wäre mein Tipp, mach dich mit der Materie vertraut.
Wenn nach außen verfügbar notwendig, dann nur das notwendigste nach außen, nur Verschlüsselt, am besten aber die Synology Diskstation nicht direkt nach außen (dafür VPN am Router).



Das Standard Synology Zertifikat tut's doch auch. Ist "ewig" gültig...
Eine die Warnmeldung des Browsers muss man ggf. wegklicken.

Stimmt, aber teilweise sind die neuinstallierten Browser da recht hartnäckig, was das da anbelangt, damit man die Warnung "einfach wegklicken" kann.
 
  • Like
Reaktionen: geimist

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das Standard Synology Zertifikat tut's doch auch. Ist "ewig" gültig...
Eine die Warnmeldung des Browsers muss man ggf. wegklicken.
Leider ist das nur die halbe Wahrheit, denn was man am Rechner noch kann muss man am Mobilteil mühevoll manuell installieren! Das macht das ganze unbequem und Apps wie z.B. Bitwarden funktionieren damit auch nicht!
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174
sollte ich vielleicht mal eine andere Portnummer verwenden? die 5000 ist bei der Disksstation ja inzwischen schon allseits bekannt.
Warum forwardest Du den originalen Port nach 'draussen'.
Ich hab nach aussen, wenn ich das brauche, stets einen hohen fünfstelligen Port an meiner FritzBox eingestellt, der nach innen dann den originalen DSM-Port ansteuert.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Leider ist das nur die halbe Wahrheit, denn was man am Rechner noch kann muss man am Mobilteil mühevoll manuell installieren!
Da kann ich dir nicht folgen. Ich nutze schon immer nur das Standardzertifikat und machen eigentlich das meiste vom Smartphone aus. Oder was verstehst du unter Mobilteil?
I.d.R. fragt jede App und auch jeder mobile Browser nach der Richtigkeit des Zertifikats.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Bei mein verwendeten Browser (Lineageos/Chromium) nicht. Auch funktionieren Apps z.B. Bitwarden nicht. Im Browser kann man das noch mit dem manuellen installieren des Zertifikats behelfen. Bei der Bitwarden App funktioniert das nicht! Mit einen LE Zertifikat und nur Netz intern funktioniert alles auf Anhieb und ohne Probleme. Somit gibt es sehr wohl Unterschiede, welche eventuell nicht jeden treffen.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
519
Punkte für Reaktionen
18
Punkte
44
Nochmal @HHE3eich: sorry irgendwie sehe ich hier schon etwas Gefahr im Verzug, bitte deaktiviere doch einfach mal die Router-Portweiterleitungen. Anscheinend brauchst du die eh nur im Urlaub. Also würde es dir jetzt gerade auch nicht weh tun. Deaktiviere es mal.
jepp, ist auch schon passiert ...
 
  • Like
Reaktionen: tproko


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat