DSM 6.x und darunter Automatische Blockierung

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Hallo Gemeinde,

weis jemand von Euch ob es für den Benachrichtigungstext eine Variable gibt die mir den bei der automatischen Blockierung verwendeten Benutzernamen anzeigt?
Das würde auf die schnelle helfen zu sehen ob tatsächlich ein Hackveruch vorliegt oder Oma (etc..) nur mal wieder ihr Passwort vergessen hat.

Gruß
Wolfgang
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Da das ja eine IP-basierte Blockierung ist, greift der verwendete Benutzername gar nicht - es würde ja auch blockiert, wenn ich von einer IP aus nacheinander immer unterschiedliche Benutzer für jeden einzelnen Anmeldeversuche verwenden würde.
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Das ist schon richtig. Aber wenn ich mich richtig erinnere sehe ich für die missglückten Versuche in den Systemprotokollen durchaus den verwendeten Benutzernamen. Die DS könnte ja zumindest den verwendeten Namen des Connectversuches mitliefern, der dann zur Sperrung geführt hat. Das fände ich einen echten Mehrwert, da ich die Meldungen in die Arbeit gesendet bekomme und dort erst anhand der IP analyieren muss, ob die überhaupt aus dem deutschen Netz kommt. (Angriffe sind bei mir zumindest bisher alle aus dem Ausland gekommen).

Gruß
Wolfgang
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Hab grade noch mal nachgesehen. Der Name steht doch nicht im Log. Hätte schwören können, das das mal so war :(
Schön wäre es trotzdem, da die Syno den Namen ja hat. Sonst könnte sie den Versuch ja auch nicht verifizieren.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Schlag's doch einfach mal als Feature dem Synology-Support vor ;)
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Ob die sich für solche "Kleinigkeiten" interessieren?
Ich werds im nächsten Forumsrequest mit einbringen :)
 
Zuletzt bearbeitet:

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Ich habe jetzt mal folgendes als Feature Request abgesetzt :)

Wäre es möglich bei der Benachrichtigung bei Blockierung von IPs (Automatische Blockierung) den Benutzernamen mit anzugeben, der beim Anmeldeversuch der zur Sperrung geführt hat verwendet wurde? Dadurch könnte schneller ermittelt werden ob ein Benutzer sein Passwort vergessen hat oder ein echter Angriff auf Admin-Account vorliegt. Ausserdem erleichtert das Rückfragen bei dem betroffenen Benutzer. Zusätzlich wäre der Eintrag des Benutzernamens in das Systemlog wünschenswert.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Rückfragen werden erleichtert, das klingt vordergründig logisch - allerdings bezweifle ich, dass es Dir effektiv mehr bringt, wenn Du den Benutzernamen siehst. Du kannst ja nicht einmal ausschließen, dass sich die echten User nicht auch mit einer ausländischen IP bei Dir anmelden, ob sie nun tatsächlich im Ausland sind oder nur wegen der hirnverbrannten Youtube-Sperre einen ausländischen Proxy nutzen. Wie willst Du dann unterscheiden, ob ein Angriff vorliegt oder nicht? Immer gleich den Betreffenden anrufen (der dann vielleicht doch gerade in der Türkei ist und Urlaub macht)?

Lediglich die Info, ob Anmeldeversuche auf den admin-Account kommen, wäre mit einem Mehrwert verbunden, da er ja in der Regel authentisch nur von Dir kommen sollte. Doch den admin-User deaktiviert man gewöhnlich ohnehin als einer der ersten Aktionen, wenn man so etwas vermeiden möchte...
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Naja, realistisch gesehen ist es doch recht unwarscheinlich das sich ein Hacker versucht mit OpaPeter einzuloggen
Und wenn dann versucht das warscheinlich OmaMaria, weil sie das auch sehen will was OpaPeter immer sieht. :)
Wenn da aber Accouts wie root, admin, administrator durchprobiert werden ist die Sachlage schon ein wenig klarer.

In der Regel (bei mir) haben irgend welche User das Passwort vergessen und rufen aber nicht an weil sie sich
schämen das das schon wieder passiert ist. Jaja, ich rede mir den Mund fuselig wegen aufschreiben.
Aber wo nun der Zettel schon wieder liegt...

Admin deaktivieren heist aber gleichzeitig, das ich von extern (bsw. Urlaub) niemandem mehr einen Account enrichten oder
Zugriffrechte verändern kann. etc...

Die meißten von mir untersuchten Angriffe kamen aus dem Ostblock, China oder Südost Asien

Gruß
Wolfgang
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Wenn da aber Accouts wie root, admin, administrator durchprobiert werden ist die Sachlage schon ein wenig klarer.
Yep, aber das macht Dein Ansinnen doch wieder wenig nachvollziehbar - denn welcher Deiner echten User würde sich über root oder admin anmelden wollen?

Admin deaktivieren heist aber gleichzeitig, das ich von extern (bsw. Urlaub) niemandem mehr einen Account enrichten oder
Zugriffrechte verändern kann. etc...
Wie kommst Du darauf? Selbstredend kannst Du einen beliebig benannten User als Mitglied der Administratoren einrichten und darüber alles regeln (und wenn Du 'admin' deaktivieren willst, musst Du das ja auch). Und den Namen errät eigentlich niemand, trägt also auch nicht zu erhöhter Sorge nach mißbräuchlicher Anmeldung bei...
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
> Yep, aber das macht Dein Ansinnen doch wieder wenig nachvollziehbar - denn welcher Deiner echten User würde sich über root oder admin anmelden wollen?

doch grade, deshalb könnte ich einen Hackversuch und ein vergessenes Passwort ja auch schon zu 95% an der Nachricht erkennen :)

> beliebig benannten User als Mitglied der Administratoren einrichten...

Au ja, klar, das ist die Geschichte mit dem Wald und den Bäumen.
Daran hatte ich gar nicht gedacht.

Gruß
Wolfgang
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo,

ohne das jetzt geprüft zu haben. Mal versucht folgende Variable in die Benachrichtigung einzufügen:

Rich (BBCode):
%USER_NAME%

Gruß Frank
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Versuche ich, danke.
 

derlaie

Benutzer
Mitglied seit
01. Mai 2013
Beiträge
425
Punkte für Reaktionen
0
Punkte
16
Zum Thema User erstellen und Adminrechte geben darf ich kurz folgendes bei steuern:
Auch ich hatte diese Idee aus Sicherheitsgründen, musste aber feststellen das es Einstellungen gab, den der neu erstellte Benutzer trotz Adminrechten nicht ändern konnte, bzw. nicht angezeigt bekam. Bin mir ziemlich sicher, dass das aktivieren der persönlichen Photostations dazu gehörte...
War allerdings unter 4.3


Gruß

Stefan
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Kleines Experiment...

ich hatte jetzt den Text mit folgenden Variablen garniert %USER_NAME% und %USERNAME% da %HOSTNAME% auch zusammen geschrieben ist.

Dann von einem zweiten Rechner den bösen User Peter mehrmals ein falsches Passwort eingegeben.

Und....

06-09-2014 20-08-25.jpg

Ich hatte die Infos ausgeblendet.
Man sieht hier aber wer es vorher versucht hat.

Aber... es kam keine Mail.
Möglicherwise haben die ungültigen?? Variablen zu einem Abbruch im Mailversand geführt.

Weitere Sache die nicht schön ist:
Der Eintrag in die Liste der blockierten IPs ist erst nach einem Neustart des DSM angezeigt worden.

Am Montag mal schauen ob auf dem zweiten Mailaccount in der Arbeit was angekommen ist...

Gruß
Wolfgang
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
War allerdings unter 4.3

Hier läuft die 4.3.
Läuft auch so gut das ich mich nicht traue auf 5+ zu Updaten

Gruß
Wolfgang
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
.... Bin mir ziemlich sicher, dass das aktivieren der persönlichen Photostations dazu gehörte...
Aber das sind dann ja nun keine Dinge, die man jeden Tag - und schon gar nicht von unterwegs - machen müßte...
 

night2day

Benutzer
Mitglied seit
07. Mai 2008
Beiträge
229
Punkte für Reaktionen
0
Punkte
22
Also die Mail kam doch an. Hatte ganz vergessen, das ich zuhause einen Mailfilter (Folderforwarding) eingerichtet hatte.

Varriablen haben aber nichts gebracht siehe:

Die IP-Adresse [192.168.1.106] hat 3 vergeblich versucht sich beim Dienst DSM auf DiskStation innerhalb von 5 Minuten anzumelden und wurde um Sat Sep 6 19:52:58 2014 blockiert. %USER_NAME% %USERNAME%

Gruß
Wolfgang
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat