DSM 6.x und darunter Geo Blocking Bypass ? (Hack Versuch von meiner DS)

[paradox_hackz]

Hallo zusammen,

seit 2 Tagen versucht jemand sehr hartnäckig sich in mein DSM zu hacken. Es scheint eine automatisierte Software zu sein. Alle paar Minuten bekomme ich ein Login Versuch für den Benutzer "admin" von einer beliebigen IP. Da jede IP anders zu sein scheint wird bei mir kein Alarm geschlagen da es nicht mehr als 5 fehlgeschlagene Anmeldeversuche innerhalb von 20 min gibt (meine Einstellung). Habe das dann zwischenzeitlich so eingestellt, dass jeder fehlgeschlagene Versuch automatisch geblockt wird da ich schauen wollte wie viele IP's es tatsächlich sind. Es scheinen tausende zu sein.



Das aber nur kurz vorab. Und ja... der admin User ist bei mir standardmäßig deaktiviert

Nun zu meiner eigentlichen Frage: Alle aufgeführten Länder habe ich in meiner Firewall geblockt. Wie kann es daher sein, dass dennoch Anmeldeversuche aus diesen Ländern durch kommen ? Gibt es hier einen Bypass den Hacker nutzen können ? Ich verstehe das einfach nicht.

 

[ComputerNope]

Interessant, bei mir hat es auch vor zwei Tagen angefangen.
Leider sitze ich an einem DS-Lite Anschluss und arbeite mit einem Portmapper für IPV4. Damit kommt quasi der ganze Verkehr über eine IP rein und ich kann diese leider nicht blocken.
Ich habe mir damit geholfen, den Standard-Port für die DSM zu ändern. Hätte ich eigentlich vorher schon machen sollen, aber bisher war nie was.
Jetzt ist wieder Ruhe

 

[paradox_hackz]

Ja das habe ich gestern Abend auch gemacht. Wollte ich ohnehin schon seit längerem machen und jetzt ist tatsächlich Ruhe.

Dennoch würde mich sehr interessieren wieso diese IP's bei mir überhaupt durchkommen. Ist Geo Blocking so unzuverlässig und einfach zu umgehen ?

 

[Fusion]

Was sind denn deine drei ersten Firewall Regeln?
Wenn dort etwas erlaubt ist und die Regel zutrifft kommen die weiteren Regeln gar nicht mehr zur Anwendung.
Du musst also entweder die Geo-deny Regeln ganz nach oben, oder du benutzt Geo-allow Regeln für wenige Länder.

 

[Tommes]

…oder du benutzt Geo-allow Regeln für wenige Länder.

Ich erachte es auch als sinnvoller, nur die Dinge zu erlauben, die man wirklich braucht und der ganze Rest wird blockiert. Beim Geo-Blocking hieße das bei mir… erlaube Deutschland und blockiere den Rest.

 

[AndiHeitzer]

… erlaube Deutschland und blockiere den Rest.

Angepasst durch Ergänzungen, wenn Urlaub im Ausland ansteht oder eben VPN nutzen ...

 

[Tommes]

Ja. Natürlich.

 

[stulpinger]

Die obersten drei Regeln nur für z.B. Deutschland erlauben
Wenn keine Regel zutrifft, verweigern ...
Nur aufpassen, dass Du dich nicht selbst durch eine fehlerhafte Regel aussperrst

 

[AndiHeitzer]

Nur aufpassen, dass Du dich nicht selbst durch eine fehlerhafte Regel aussperrst

Da hilft dann eine 'erste Regel' für das lokale Netz oder benannte IPs mit 'ALLOW'

 

[Kachelkaiser]

Nur LE Zertifikatsupdate ist immer schwierig bei geo blocking.oder wie macht ihr es?

 

[geimist]

Sofern man eine Website nutzt, sind ja die Ports 443 (ggf. 80) eh offen. Andererseits stellen diese ja auch kein Login für den DSM bereit.

 

[Benares]

@Kachelkaiser meinte wohl eher das Geo-Blocking. Die LE-Server stehen m.W. im Ausland.

 

[Fusion]

Jo, leider gibt es auch weder IPs noch Domainlisten (für die besseren Firewalls) auf die man sich stützen kann, außer halt ständig die üblichen Verdächtigen Abzugrasen und zu aktualisieren.
https://letsencrypt.org/de/docs/integration-guide/

Mit US erlaubt ging es dann immer, obwohl LE ja eigentlich auch in Europa schon Server stehen haben sollte.

Da ich eh Wildcard Zertifikate (von Syno Seite geht das ja nur mit synology.me weil sie dort den DNS Server kontrollieren) wollte habe ich acme.sh im Einsatz, halt auf der Konsole.
Mit alternativen Validierungsmethoden dns-01 und/oder Domain-alias, oder Challenge-alias muss das System selbst nicht Mal mehr von außen erreichbar sein.
Aktuell noch nix für den 0815 Anwender.
Mache das auch noch Semi-Automatisch, weil ich noch keine Muse hatte das alles in ein einziges Script zu gießen und auch Fehler abzufangen etc.

 

[florian78]

abgesehen von Geo-Blocking...wobei das schwierig wird wenn jemand VPN Dienste nutzt und im Grunde jedes Land vortäuschen kann...

Standard-Port abändern / Standard admin User abändern / 2-Faktor Authentifizierung aktivieren...
Dann müsste schon ein böser Bug in der DSM sein damit ein potentieller Hacker Erfolg haben kann...unmöglich ist es aber trotzdem nicht.

 

[Benares]

wenn jemand VPN Dienste nutzt und im Grunde jedes Land vortäuschen kann...

Verrat doch nicht alles . Wie soll ich sonst Formel 1 bei ORF und ServusTV schauen?
Aber du hast Recht, noch nie war es so leicht seine eigene IP zu faken wie heutzutage.

 

[florian78]

ja, wobei z.B. bei NordVPN schiebt amazon schon ziemlich effektiv einen Riegel vor...also wenn die Anbieter nur wollen, können sich die auch vor VPN Diensten gut schützen. Denn die Server sind schlussendlich auch endlich bei VPN Diensten...aber ein dummer Geo-Filter ist damit ruckzuck umgangen und somit wenig hilfreich.

 

[paradox_hackz]

Achso jetzt verstehe ich es erst. Ich habe eine Firewall Regel, dass auf DSM von jedem Land aus zugegriffen werden kann. Dann bringt es natürlich nichts wenn ich in einer anderen Regel gewisse Länder blockiere wenn ich es vorher explizit freigegeben habe. Manchmal ist es so offensichtlich, dass man es selber nicht sieht. Habe nun angepasst, dass nur von Deutschland aus auf DSM zugegriffen werden kann. Danke für die Hinweise

 

[the other]

Moinsen,
first rule wins...

 

[AndiHeitzer]

FIFO halt ?

 

[Tommes]

Äm… Klugscheißermodus an:

Das heißt nicht „first rule wins" sondern „first match wins", da ja nicht die erste Regel gewinnt, sondern die erste zutreffende Regel. Und FIFO (First In, First Out) trifft es in diesem Zusammenhang auch irgendwie nicht wirklich.

Sorry… Klugscheißermodus aus!