Admin deaktivieren?

[EDvonSchleck]

Ich hab einmal ein paar von dir geposteten IP´s in der Liste (all) gesucht: ohne Erlfolg! Trotzdem ist du Liste und das Script wirklich gut um die Sicherheit anzuheben.
!
Du musst also ein besonderes Interesse bei bestimmten Usern haben welche aus Berlin, Düsseldorf oder Rosenheim stammen, sofern das deren echte IP ist und nicht weitergeleitet (was zutreffen wird).

Wenn du eine pn schreiben willst, kannst du es gerne machen...

 

[HHE3eich]

ok, andere Portnummer ist mir klar aber wie mache ich das mit dem SSL? Ist das das hier?

 

[HHE3eich]

Du musst also ein besonderes Interesse bei bestimmten Usern haben welche aus Berlin, Düsseldorf oder Rosenheim stammen

glaube ich nicht, kann sich doch jeder zB über hide.me eine fremde IP-Adresse zulegen, kostet ja nichts.

 

[EDvonSchleck]

SSL macht ja nur Sinn wenn du auch ein gültiges Zertifikat hast! Das findest du unter Sicherheit> Zertifikat. Dort kann man sich ein LE-Zertifikat für seine DynDNS ausstellen. Denn gibt es auch keine Fehlermeldung im Browser. beachte das dieses Zertifikat nur 90 Tage gültig ist und dann erneuert werden muss!

Das du nur die verschlüsselten (SSL) Ports verwenden sollst habe ich dir in #53 schon geschrieben.

 

[Mahoessen]

offtopic: bzgl. Spamanrufe und Fritzbox, s. #97

mit der neuen Laborversion kann man unbekannte Nummern und Nummern, die nicht in den Kontaktbüchern sind, abweisen oder auf den AB lenken…
läuft genial, ist direkt in der Box, und seit der Aktivierung ist Ruhe bei mir….

 

[HHE3eich]

habe gerade mal folgenden Test gemacht:
die zuvor genannten IP nummern aud DE und DK in die blacklist eingetragen
um 13:06 die Firewall für Anfragen aus DE und DK geöffnet
um 13:10 kann dann umgehend dies hier:



neue IP aus DE ...
also das wird wohl wirklich nur was mir dem script, der alle 10 Minuten die black-Liste erneuert ...

 

[Fusion]

Nur mal so als Anhaltspunkt für den 'Aufwand' der anderen.... Nahe Null.
Sprich alle IPv4 sind öffentlich und in kürzester Zeit abgescannt.... Immer wieder... Egal wie oft man sie wechselt.
Also z.b. Alle Diskstations die auf 5001 lauschen zu suchen und zu finden, nachdem man einen neuen Bug/0-day exploit in den Fingern hat ist eine Zeitfrage einer Mittagspause, oder länger wenn man nicht zu sehr auffallen will.
Ist dann auch fast völlig (falls sich jemand eine kleine Liste mit speziellen Zielen anlegt hilft es vielleicht kurz) egal hinter welcher dyndns sich diese IP befindet.

https://www.heise.de/news/c-t-deckt...gen-ungeschuetzt-im-Netz-4931739.html?seite=2

Und Geo IP Datenbanken sind nicht absolut und fehlerfrei.
Das wären sie nur, wenn IP Adressen fest an Länder vergeben wären... Was sie aber nicht sind. Da wird ständig gekauft und verkauft... Und damit ändert sich auch die IP Zuordnung.

 

[HHE3eich]

mit der neuen Laborversion kann man unbekannte Nummern und Nummern, die nicht in den Kontaktbüchern sind, abweisen oder auf den AB lenken…
läuft genial, ist direkt in der Box, und seit der Aktivierung ist Ruhe bei mir….

das ging glaube ich immer schon, aber dann kann dich auch keiner mehr erreichen, der zum ersten mal (also noch unbekannt) anruft ...
und meine Frau hat an ihrem Handy eine permanente Rufnummernunterdrückung, da würde die auch gar nicht mehr durchkommen, wenn sie zuhause anruft. Das ist mir zu radikal.

 

[HHE3eich]

Also z.b. Alle Diskstations die auf 5001 lauschen zu suchen und zu finden, nachdem man einen neuen Bug/0-day exploit in den Fingern hat ist eine Zeitfrage einer Mittagspause, oder länger wenn man nicht zu sehr auffallen will.

das mit dem Bug/0-day exploit habe ich nicht verstanden oder ist das das Tool der anderen?

 

[Mahoessen]

keiner mehr erreichen

doch, dann gehts auf den AB,
die Funktion ist neu, s. Featurelist der Laborversion, zuvor konnte ich nur Unbekannte blockieren.

 

[EDvonSchleck]

meine Frau hat an ihrem Handy eine permanente Rufnummernunterdrückung, da würde die auch gar nicht mehr durchkommen, wenn sie zuhause anruft.

Das stimmt so nicht man kann die Rufnummerunterdrückung aushebeln mit Kurzahl oder Apps. Bei mir kommt auf der Fb ein Ansage mit den Hinweis bevor aufgelegt wird. Bei uns (Android) funktioniert das seit jahrein zuverlässig bei Kontakten und auch bei Gruppen!

 

[Puppetmaster]

SSL macht ja nur Sinn wenn du auch ein gültiges Zertifikat hast!

Das Standard Synology Zertifikat tut's doch auch. Ist "ewig" gültig...
Eine die Warnmeldung des Browsers muss man ggf. wegklicken.

 

[tproko]

Übrigens: Port 5000 (der unverschlüsselte DSM Port ohne SSL) sollte meiner Meinung nach sowieso nichts im Internet zu suchen haben.

Sehe ich auch so, Port 5000 hat nach außen sowieso nie (nie nie!!) was draußen verloren.

@HHE3eich bitte tu den 5000er Port weg, maximal 5001. Aber auch hier gilt, nimm irgendwas hohes, alles ist besser als der Standardport.

Nochmal @HHE3eich: sorry irgendwie sehe ich hier schon etwas Gefahr im Verzug, bitte deaktiviere doch einfach mal die Router-Portweiterleitungen. Anscheinend brauchst du die eh nur im Urlaub. Also würde es dir jetzt gerade auch nicht weh tun. Deaktiviere es mal.

Als nächsten schritt wäre mein Tipp, mach dich mit der Materie vertraut.
Wenn nach außen verfügbar notwendig, dann nur das notwendigste nach außen, nur Verschlüsselt, am besten aber die Synology Diskstation nicht direkt nach außen (dafür VPN am Router).

Das Standard Synology Zertifikat tut's doch auch. Ist "ewig" gültig...
Eine die Warnmeldung des Browsers muss man ggf. wegklicken.

Stimmt, aber teilweise sind die neuinstallierten Browser da recht hartnäckig, was das da anbelangt, damit man die Warnung "einfach wegklicken" kann.

 

[EDvonSchleck]

Das Standard Synology Zertifikat tut's doch auch. Ist "ewig" gültig...
Eine die Warnmeldung des Browsers muss man ggf. wegklicken.

Leider ist das nur die halbe Wahrheit, denn was man am Rechner noch kann muss man am Mobilteil mühevoll manuell installieren! Das macht das ganze unbequem und Apps wie z.B. Bitwarden funktionieren damit auch nicht!

 

[AndiHeitzer]

sollte ich vielleicht mal eine andere Portnummer verwenden? die 5000 ist bei der Disksstation ja inzwischen schon allseits bekannt.

Warum forwardest Du den originalen Port nach 'draussen'.
Ich hab nach aussen, wenn ich das brauche, stets einen hohen fünfstelligen Port an meiner FritzBox eingestellt, der nach innen dann den originalen DSM-Port ansteuert.

 

[Puppetmaster]

Leider ist das nur die halbe Wahrheit, denn was man am Rechner noch kann muss man am Mobilteil mühevoll manuell installieren!

Da kann ich dir nicht folgen. Ich nutze schon immer nur das Standardzertifikat und machen eigentlich das meiste vom Smartphone aus. Oder was verstehst du unter Mobilteil?
I.d.R. fragt jede App und auch jeder mobile Browser nach der Richtigkeit des Zertifikats.

 

[synfor]

Das Standard Synology Zertifikat tut's doch auch. Ist "ewig" gültig...

Seit DSM7 nur noch ein Jahr und erneuern ist nicht einfach möglich.

 

[EDvonSchleck]

Bei mein verwendeten Browser (Lineageos/Chromium) nicht. Auch funktionieren Apps z.B. Bitwarden nicht. Im Browser kann man das noch mit dem manuellen installieren des Zertifikats behelfen. Bei der Bitwarden App funktioniert das nicht! Mit einen LE Zertifikat und nur Netz intern funktioniert alles auf Anhieb und ohne Probleme. Somit gibt es sehr wohl Unterschiede, welche eventuell nicht jeden treffen.

 

[EDvonSchleck]

Seit DSM7 nur noch ein Jahr und erneuern ist nicht einfach möglich.

Du brauchst nur Zertifikat zurücksetzen, denn wird das automatisch erneuert.

 

[HHE3eich]

Nochmal @HHE3eich: sorry irgendwie sehe ich hier schon etwas Gefahr im Verzug, bitte deaktiviere doch einfach mal die Router-Portweiterleitungen. Anscheinend brauchst du die eh nur im Urlaub. Also würde es dir jetzt gerade auch nicht weh tun. Deaktiviere es mal.

jepp, ist auch schon passiert ...