Anmeldeversuche als Admin von unbekannt

watendaten

Benutzer
Mitglied seit
22. Apr 2016
Beiträge
386
Punkte für Reaktionen
43
Punkte
34
Habe gerade gemerkt das heute sich jemand fleißig bemüht als Admin anzumelden unter ständigem Wechsel der IP Adresse....

3.774 Versuche seit gestern habe ich gerade rausgefunden

Dank KeePass Pasword und 2 Faktor Authentifizierung sollte Ihm das nicht gelingen... so hoffe ich

Die Anzahl der Anmeldeversuche bei automatische Blockierung bezieht sich ja nur auf Versuche von einer IP-Adresse, somit bringt das bei wechselnder IP Adresse gar nix.

Gibts auch die Möglichkeit einfach nach 3 Versuchen Anmeldungen generell zu blocken ???
 
Zuletzt bearbeitet:

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
...falls es im obigen Link nicht behandelt wurde:

Die Synology default Werte sind im Universum bekannt - so also, dass der Default Admin User "admin" heisst und dass die DSM Ports, auf die eine Syno hört halt der 5000 und der 5001 ist.

Mit diesem Wissen ist also bekannt, wie man auf eine Syno kommt und es wird halt versucht. Mit 2FA bist Du ja (erstmal) fein raus, aber allein die Protokolleinträge nerven Dich :), also schonmal überlegt, ob:

- Du nicht die Ports 5001 und 5000 nach außen versteckst?
Das würde dann so aussehen, dass Du im Router zwei Portweiterleitungen von (von Dir ausgedachten Portnummern z.B. 45000 und 45001) auf die 5000 und 5001 der Diskstation machst.
Du musst dann natürlich dran denken, dass Du beim Aufruf des DSM von außen dann immer http://deine_URL_zur_DS.org:45000 (oder https://deine_URL_zur_DS.org:45001) eingibst.

- Du nicht einen neuen Benutzer (z.B. Benutzer0815) kreierst und den zum Admin machst und Dich dann damit an der Syno anmeldest - die 2FA einschaltest und dann das Adminkonto "admin" einfach deaktivierst (nicht löschst).

Durch die Portveränderungen sind die Zugriffe erstmal vorbei und würden sie noch da sein oder wiederkommen, dann beißen die sich "mit" Probieren von admin (als Benutzer) ein Leben lang die Zähne aus....
 
  • Like
Reaktionen: Mist und watendaten

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.069
Punkte
259
Es ist bekannt, dass gerade eine Angriffswelle auf die Synology Standardeinstellungen läuft.

Das ist der User Admin, und das sind die genannten Ports. Da es sich um automatisierte Flächenangriffe handelt, muss man im Moment nur die Angriffspunkte wegnehmen, damit Ruhe einkehrt.

Den Admin User deaktivieren, vorher natürlich einen (bzw. besser 2, einen als Reserve) neue User mit Adminrechten anlegen.

Bei den Ports würde ich überlegen, wozu die überhaupt zum Internet offen stehen müssen. Am besten auf ein VPN umstellen, oder einen Dienst wie z.B. Tailscale. Ports dicht machen, und UPnP auf der DS und vor allem dem Router deaktivieren.
 

watendaten

Benutzer
Mitglied seit
22. Apr 2016
Beiträge
386
Punkte für Reaktionen
43
Punkte
34
MERCI... das mit den Ports ist mir als normaler Anwender nicht wirklich nachvollziehbar
da müsste ich mal damit beschäftigen.
Den normalen Admin habe ich gleich am Anfang deaktiviert und einen neuen Namen für den Admin vergeben, 2F kam dann nach den ersten bemerkten versuchen Anfang des Jahres dazu.

Es ist ja offensichtlich das da einer über eine automatisierten Prozeß versucht unberechtigt einzudringen...
Das scheint ja mittlerweile ganz normal zu sein, ist halt so... oder unternimmt da irgendeiner was aktiv dagegen ?

Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
MERCI... das mit den Ports ist mir als normaler Anwender nicht wirklich nachvollziehbar
da müsste ich mal damit beschäftigen.
Das ist keine Kunst, du musst lediglich den Ausgangsport im Router ändern und in der Adresse den neuen Port mit angeben. Wenn alles eingerichtet ist dauert das keine Minute.
Es ist ja offensichtlich das da einer über eine automatisierten Prozeß versucht unberechtigt einzudringen...
Das scheint ja mittlerweile ganz normal zu sein, ist halt so... oder unternimmt da irgendeiner was aktiv dagegen ?
Wer sollte das machen? Scheinbar sind es nicht: Putin, Rechte, Coronagegner, Klimaleugner, Querdenker oder Patrioten - da wäre der Staatsschutz, BSI und Lauterbach schon aktiv geworden und hätten es in den Medien publiziert. Spaß beiseite (oder auch nicht), es sind viele Bots die es einfach automatisch abarbeiten, das wurde aber in den letzten tagen schon mehrfach diskutiert und unterschiedlichen Threads.
Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?
Sollte doch automatisch passieren wenn eingestellt. Zusätzlich kannst du noch weitere importieren z.B. mit den Script von @geimist.
Alternativ VPN nutzen und alle Ports zu lassen, wenn man nicht weis was man genau macht und wie etwas abzuwehren ist.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?
Das ist eigentlich das, was die "Automatische Blockierung" macht. Schau mal unter unter Systemsteuerung, Sicherheit hier:
1665756472822.png
Mit den Werten sollte man nicht zu kritisch sein, gelegentlich vertippt man sich ja auch selbst mal beim Login.
 

watendaten

Benutzer
Mitglied seit
22. Apr 2016
Beiträge
386
Punkte für Reaktionen
43
Punkte
34
gegen vertippen hilft ein Passwortmanager, man muß sich nur ein einziges Passwort merken und der Rest geht nach Auswahl automatisch
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Klar, löst aber das Problem nicht. Manche Apps merken sich das Passwort auch selbst. WinSCP ist so ein Beispiel.
Einmal das Passwort eines Users auf der DS geändert und vergessen, das in WinSCP nachzuziehen, schon ist man ruckzuck geblockt, denn WinSCP wiederholt die Login-Versuche ständig. Dann hilft es nur, entweder einen Tag zu warten, oder halt seine eigene IP temporär mal zu ändern.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Du denkst zu kurz. Auch bei einen Passwortmanager solltest du ein sicheres Passwort benutzen. Wenn du den Passwortmanager noch selbst hostest wie z.B. Bitwarden, dass ganze noch mit fail2ban absichert und am besten ohne Ablaufdatum (manuelle freigeben) der Sperre und dich jetzt doch einmal vertippst was machst du denn? Kommst ja denn nicht an den Passwortmanager und auch nicht an der Diskstation ohne diese zurück zu setzen.

Andere Passwortmanager in der Cloud oder Keepass(XC) mit den Datenbanken (manuelles kopieren) finde ich jetzt nicht als optimale Alternative. Weder ist die Handhabung mit unterschiedlichen Geräten einfach oder die Daten sind auf fremden Servern. Bitwarden ist in meinen Augen aktuell die beste Lösung.
 

watendaten

Benutzer
Mitglied seit
22. Apr 2016
Beiträge
386
Punkte für Reaktionen
43
Punkte
34
sicheres Passwörter macht der Passwortmanager (KeePass) , ich weiß selber nur das Hauptpasswort
 

watendaten

Benutzer
Mitglied seit
22. Apr 2016
Beiträge
386
Punkte für Reaktionen
43
Punkte
34
Das ist eigentlich das, was die "Automatische Blockierung" macht. Schau mal unter unter Systemsteuerung, Sicherheit hier:
Anhang anzeigen 74798
Mit den Werten sollte man nicht zu kritisch sein, gelegentlich vertippt man sich ja auch selbst mal beim Login.
also ohne Haken bei "Verfallen der Blockierung aktivieren" werden alle IP Adressen automatisch nicht mehr zugelassen ?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Keepass ist wohl nicht mehr auf Höhe der Zeit. Auch glaube ich nicht das du ein generiertes Passwort als Masterpasswort nutzt.
Davon abgesehen ist es eine Qual mit der Synchronisierung der Datenbank auf mehreren Geräten.

Ich hoffe du erkennst das deine zuvor getätigte Aussage so nicht übernommen werden kann.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Bringt nur leider nicht viel m´wenn man sie dauerhaft blockert, denn d´gerade die IPv4 sind endlich. Was ist wenn man diese IP vom Provider selbst zugewiesen bekommt oder auf ein Phone etc.?

Unerfahren User sollten lieber auf VPN (direkt im Router) setzen und erfahrene User wissen was sie tun und unternehmen müssen. Unterschiedliche Ansätze gibt es ja mehrere.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.524
Punkte für Reaktionen
3.528
Punkte
344

waldemard

Benutzer
Mitglied seit
12. Okt 2022
Beiträge
64
Punkte für Reaktionen
9
Punkte
58
Ist es gewollt, daß dein NAS direkt aus dem Internet erreichbar ist? Wie schon oben erwähnt: eine VPN Verbindung ist viel sicherer. Auf ein langes Passwort und geänderten Admin Namen würde mich nicht verlassen. Das ist nur so lange gut, bis die nächste Sicherheitslücke bekannt wird, die alle Hürden umschifft.
 
  • Like
Reaktionen: Synchrotron

watendaten

Benutzer
Mitglied seit
22. Apr 2016
Beiträge
386
Punkte für Reaktionen
43
Punkte
34
ein regnerisches WE... ich gehe das mit dem VPN mal an
KEEPASS ist in der Firma auch zugelassen, daher hab ich das vor Jahren mal genommen und schätzen gelernt
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
ein regnerisches WE... ich gehe das mit dem VPN mal an
Ein WE brauchst du dafür nicht, das ist eher eine Sache von ein paar Minuten bis zu 1 Stunde für Anfänger und wenn es wirklich sehr sehr lange dauert!
...daher hab ich das vor Jahren mal genommen und schätzen gelernt
Dus sagst es vor Jahren! Vautwarden (Bitwarden Server) macht vieles besser, probiere es doch einfach einmal aus, dort kann man auch leicht den Keepass-Tresor importieren. Für den ersten Test braucht man sich nur durch klicken (Docker-GUI) und danach einen Reverse Proxy Eintrag anlegen und schon kann das testen beginnen. Danach kann man die Emailbestätigung, Admin-Account, Personalisieren usw vornehmen.

Wenn ich schon an das Verbinden des Browserplugins von Keepass(XC) mit Keepass denke, reicht mir das schon. Das ist nicht wirklich gut gelöst. Teste es aus ;) Genug Videos und Anleitungen findest du auf Youtube und im Netz. Das ganze ist ebenfalls Open Source und Kostenlos und auf jeden Fall ein Blick wert!
 
  • Like
Reaktionen: watendaten

eMBae

Benutzer
Mitglied seit
06. Jul 2016
Beiträge
88
Punkte für Reaktionen
29
Punkte
18
KeePass wird weiterentwickelt und ist, richtig eingerichtet, problemlos über mehrere Geräte synchron. DB auf der Syno.

Es gibt bestimmt/wahrscheinlich besseres, aber so abzukanzeln ist es nicht.
 
  • Like
Reaktionen: D_Espero


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat