Anmeldeversuche als Admin von unbekannt

[watendaten]

Habe gerade gemerkt das heute sich jemand fleißig bemüht als Admin anzumelden unter ständigem Wechsel der IP Adresse....

3.774 Versuche seit gestern habe ich gerade rausgefunden

Dank KeePass Pasword und 2 Faktor Authentifizierung sollte Ihm das nicht gelingen... so hoffe ich

Die Anzahl der Anmeldeversuche bei automatische Blockierung bezieht sich ja nur auf Versuche von einer IP-Adresse, somit bringt das bei wechselnder IP Adresse gar nix.

Gibts auch die Möglichkeit einfach nach 3 Versuchen Anmeldungen generell zu blocken ???

 

[ottosykora]

schau vielleicht hier:
Ständige Anmeldeversuche am DSM | Seite 2 | Das deutsche Synology Support Forum


ansonsten wenn Pass stark ist wird nichts passieren
wenn es nervt, dann kann man die Startseite auch auf anderen Port legen, also etwas 5-stelliges, dann wird wieder zeitlang Ruhe sein

 

[TheGardner]

...falls es im obigen Link nicht behandelt wurde:

Die Synology default Werte sind im Universum bekannt - so also, dass der Default Admin User "admin" heisst und dass die DSM Ports, auf die eine Syno hört halt der 5000 und der 5001 ist.

Mit diesem Wissen ist also bekannt, wie man auf eine Syno kommt und es wird halt versucht. Mit 2FA bist Du ja (erstmal) fein raus, aber allein die Protokolleinträge nerven Dich , also schonmal überlegt, ob:

- Du nicht die Ports 5001 und 5000 nach außen versteckst?
Das würde dann so aussehen, dass Du im Router zwei Portweiterleitungen von (von Dir ausgedachten Portnummern z.B. 45000 und 45001) auf die 5000 und 5001 der Diskstation machst.
Du musst dann natürlich dran denken, dass Du beim Aufruf des DSM von außen dann immer http://deine_URL_zur_DS.org:45000 (oder https://deine_URL_zur_DS.org:45001) eingibst.

- Du nicht einen neuen Benutzer (z.B. Benutzer0815) kreierst und den zum Admin machst und Dich dann damit an der Syno anmeldest - die 2FA einschaltest und dann das Adminkonto "admin" einfach deaktivierst (nicht löschst).

Durch die Portveränderungen sind die Zugriffe erstmal vorbei und würden sie noch da sein oder wiederkommen, dann beißen die sich "mit" Probieren von admin (als Benutzer) ein Leben lang die Zähne aus....

 

[Synchrotron]

Es ist bekannt, dass gerade eine Angriffswelle auf die Synology Standardeinstellungen läuft.

Das ist der User Admin, und das sind die genannten Ports. Da es sich um automatisierte Flächenangriffe handelt, muss man im Moment nur die Angriffspunkte wegnehmen, damit Ruhe einkehrt.

Den Admin User deaktivieren, vorher natürlich einen (bzw. besser 2, einen als Reserve) neue User mit Adminrechten anlegen.

Bei den Ports würde ich überlegen, wozu die überhaupt zum Internet offen stehen müssen. Am besten auf ein VPN umstellen, oder einen Dienst wie z.B. Tailscale. Ports dicht machen, und UPnP auf der DS und vor allem dem Router deaktivieren.

 

[watendaten]

MERCI... das mit den Ports ist mir als normaler Anwender nicht wirklich nachvollziehbar
da müsste ich mal damit beschäftigen.
Den normalen Admin habe ich gleich am Anfang deaktiviert und einen neuen Namen für den Admin vergeben, 2F kam dann nach den ersten bemerkten versuchen Anfang des Jahres dazu.

Es ist ja offensichtlich das da einer über eine automatisierten Prozeß versucht unberechtigt einzudringen...
Das scheint ja mittlerweile ganz normal zu sein, ist halt so... oder unternimmt da irgendeiner was aktiv dagegen ?

Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?

 

[EDvonSchleck]

MERCI... das mit den Ports ist mir als normaler Anwender nicht wirklich nachvollziehbar
da müsste ich mal damit beschäftigen.

Das ist keine Kunst, du musst lediglich den Ausgangsport im Router ändern und in der Adresse den neuen Port mit angeben. Wenn alles eingerichtet ist dauert das keine Minute.

Es ist ja offensichtlich das da einer über eine automatisierten Prozeß versucht unberechtigt einzudringen...
Das scheint ja mittlerweile ganz normal zu sein, ist halt so... oder unternimmt da irgendeiner was aktiv dagegen ?

Wer sollte das machen? Scheinbar sind es nicht: Putin, Rechte, Coronagegner, Klimaleugner, Querdenker oder Patrioten - da wäre der Staatsschutz, BSI und Lauterbach schon aktiv geworden und hätten es in den Medien publiziert. Spaß beiseite (oder auch nicht), es sind viele Bots die es einfach automatisch abarbeiten, das wurde aber in den letzten tagen schon mehrfach diskutiert und unterschiedlichen Threads.

Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?

Sollte doch automatisch passieren wenn eingestellt. Zusätzlich kannst du noch weitere importieren z.B. mit den Script von @geimist.
Alternativ VPN nutzen und alle Ports zu lassen, wenn man nicht weis was man genau macht und wie etwas abzuwehren ist.

 

[Benares]

Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?

Das ist eigentlich das, was die "Automatische Blockierung" macht. Schau mal unter unter Systemsteuerung, Sicherheit hier:

Mit den Werten sollte man nicht zu kritisch sein, gelegentlich vertippt man sich ja auch selbst mal beim Login.

 

[watendaten]

gegen vertippen hilft ein Passwortmanager, man muß sich nur ein einziges Passwort merken und der Rest geht nach Auswahl automatisch

 

[Benares]

Klar, löst aber das Problem nicht. Manche Apps merken sich das Passwort auch selbst. WinSCP ist so ein Beispiel.
Einmal das Passwort eines Users auf der DS geändert und vergessen, das in WinSCP nachzuziehen, schon ist man ruckzuck geblockt, denn WinSCP wiederholt die Login-Versuche ständig. Dann hilft es nur, entweder einen Tag zu warten, oder halt seine eigene IP temporär mal zu ändern.

 

[EDvonSchleck]

Du denkst zu kurz. Auch bei einen Passwortmanager solltest du ein sicheres Passwort benutzen. Wenn du den Passwortmanager noch selbst hostest wie z.B. Bitwarden, dass ganze noch mit fail2ban absichert und am besten ohne Ablaufdatum (manuelle freigeben) der Sperre und dich jetzt doch einmal vertippst was machst du denn? Kommst ja denn nicht an den Passwortmanager und auch nicht an der Diskstation ohne diese zurück zu setzen.

Andere Passwortmanager in der Cloud oder Keepass(XC) mit den Datenbanken (manuelles kopieren) finde ich jetzt nicht als optimale Alternative. Weder ist die Handhabung mit unterschiedlichen Geräten einfach oder die Daten sind auf fremden Servern. Bitwarden ist in meinen Augen aktuell die beste Lösung.

 

[watendaten]

sicheres Passwörter macht der Passwortmanager (KeePass) , ich weiß selber nur das Hauptpasswort

 

[watendaten]

Das ist eigentlich das, was die "Automatische Blockierung" macht. Schau mal unter unter Systemsteuerung, Sicherheit hier:
Anhang anzeigen 74798
Mit den Werten sollte man nicht zu kritisch sein, gelegentlich vertippt man sich ja auch selbst mal beim Login.

also ohne Haken bei "Verfallen der Blockierung aktivieren" werden alle IP Adressen automatisch nicht mehr zugelassen ?

 

[EDvonSchleck]

Keepass ist wohl nicht mehr auf Höhe der Zeit. Auch glaube ich nicht das du ein generiertes Passwort als Masterpasswort nutzt.
Davon abgesehen ist es eine Qual mit der Synchronisierung der Datenbank auf mehreren Geräten.

Ich hoffe du erkennst das deine zuvor getätigte Aussage so nicht übernommen werden kann.

 

[Benares]

also ohne Haken bei "Verfallen der Blockierung aktivieren" werden alle IP Adressen automatisch nicht mehr zugelassen ?

Ja, die muss man dann selbst wieder aus der Liste entfernen.

 

[EDvonSchleck]

Bringt nur leider nicht viel m´wenn man sie dauerhaft blockert, denn d´gerade die IPv4 sind endlich. Was ist wenn man diese IP vom Provider selbst zugewiesen bekommt oder auf ein Phone etc.?

Unerfahren User sollten lieber auf VPN (direkt im Router) setzen und erfahrene User wissen was sie tun und unternehmen müssen. Unterschiedliche Ansätze gibt es ja mehrere.

 

[Benie]

gegen vertippen hilft ein Passwortmanager

Und den hast Du grad nicht Parat, so die wichtigsten Paswörter hat man eh irgendwann im Kopf wenn man eben mal auch tippt.

 

[waldemard]

Ist es gewollt, daß dein NAS direkt aus dem Internet erreichbar ist? Wie schon oben erwähnt: eine VPN Verbindung ist viel sicherer. Auf ein langes Passwort und geänderten Admin Namen würde mich nicht verlassen. Das ist nur so lange gut, bis die nächste Sicherheitslücke bekannt wird, die alle Hürden umschifft.

 

[watendaten]

ein regnerisches WE... ich gehe das mit dem VPN mal an
KEEPASS ist in der Firma auch zugelassen, daher hab ich das vor Jahren mal genommen und schätzen gelernt

 

[EDvonSchleck]

ein regnerisches WE... ich gehe das mit dem VPN mal an

Ein WE brauchst du dafür nicht, das ist eher eine Sache von ein paar Minuten bis zu 1 Stunde für Anfänger und wenn es wirklich sehr sehr lange dauert!

...daher hab ich das vor Jahren mal genommen und schätzen gelernt

Dus sagst es vor Jahren! Vautwarden (Bitwarden Server) macht vieles besser, probiere es doch einfach einmal aus, dort kann man auch leicht den Keepass-Tresor importieren. Für den ersten Test braucht man sich nur durch klicken (Docker-GUI) und danach einen Reverse Proxy Eintrag anlegen und schon kann das testen beginnen. Danach kann man die Emailbestätigung, Admin-Account, Personalisieren usw vornehmen.

Wenn ich schon an das Verbinden des Browserplugins von Keepass(XC) mit Keepass denke, reicht mir das schon. Das ist nicht wirklich gut gelöst. Teste es aus Genug Videos und Anleitungen findest du auf Youtube und im Netz. Das ganze ist ebenfalls Open Source und Kostenlos und auf jeden Fall ein Blick wert!

 

[eMBae]

KeePass wird weiterentwickelt und ist, richtig eingerichtet, problemlos über mehrere Geräte synchron. DB auf der Syno.

Es gibt bestimmt/wahrscheinlich besseres, aber so abzukanzeln ist es nicht.