DSM 7.2 IP gesperrt nach Zugriff

[wegomyway]

Sitz ja aktuell auf Malle und gestern Nachmittag ne Mail von der 224+ bekommen :

IP xx.xxx.xxx.xxx hat innerhalb von 2 Minuten 3mal vergeblich... bei SHARING auf der DS224+ anzumelden und wurde um xx.xxUhr gesperrt.

Seit dem ich die 224+ habe ist dass das erste Mal das ne IP gesperrt wurde. Meine Nutzer incl. ich selber haben zum Zeitpunkt nicht zugegriffen.
Dumme Frage... Aufgrund meiner Einstellungen alles ok oder soll/muss was getan werden ?
Nur 443 ist offen alles andere ist zu, von Unterwegs über VPN/Wireguard und nur Nutzer

 

[plang.pl]

Warum ist da der Port offen, wenn du eh nur VPN nutzt?
Wenn das aber alles über den Reverse Proxy läuft und du starke Passwörter + 2FA hast, dann ist das ok.

 

[ctrlaltdelete]

Ist das eine öffentliche IP?

 

[wegomyway]

alles läuft über Reverse Proxy, starke Passes mit allem an Zeichen was geht (selbst ausgedacht, minimum 20stellig) Alle haben die 2FA.
Port, vielleicht blöd von mir erklärt.
Der einzigste Port der in der Fritz drin ist ist der 443. Die 5000/5001 sind unbenutzt nicht da.
Zertifikat LE vorhanden. Alle greifen Mobil über xxxxx.myxx.me zu.
öffentliche ... fängt an mit 79.xxx.xxx.134

Internetdienstanbieter:
DNS:NET Internet Service
Land:
Germany, Land Berlin, Berlin
Ort:
Berlin
Hostname:
-
Region/Bundesland:
Land Berlin
Postleitzahl:
13355

Ergebnis über NordVPN deren Möglichkeit der Suche

 

[Benares]

Und was sind die Ziele hinter dem Reverse Proxy? Wenn eines davon auf den DSM oder die Filestation führt, kann man sich trotzdem falsch anmelden und gesperrt werden.

 

[Fusion]

Vielleicht scannen sie inzwischen aber auch die Certificate Transparency logs und filtern alle synology.me, myds.me und andere typische NAS Hersteller Domains um sich dann Ziele auszusuchen.

 

[Janüscht]

Ich hoffe, du hast deine Firewall ordentlich eingestellt und nutzt gleichzeitig das Update-Blocklist-Script von @geimist. Die Daten daraus stammen von gesammelten fail2ban-Servern.

Aber wo ist jetzt dein Problem genau? Der eingestellte Schutz hat doch funktioniert, wie er soll! Wenn man seine DS ins Internet hängt, kann es schon einmal passieren, dass ein anderer unbefugter User versucht auf die DS zuzugreifen. Beachte aber bitte, dass der Schutz nur für die Synology-Apps funktioniert. Für andere Software z.B. Docker muss man z.B. fail2ban einsetzten ums sich gegen unbefugte Logins zu schützen.

Wer diese Gefahr nicht möchte, muss seine Box nicht im Internet verfügbar machen und VPN nutzen. Oft handelt es sich aber bei den Scans nur um einfache Bots, welche versuchen eine bestimmte Anwendung (meist SSH) mit den gängigsten User/Passwort-Kombinationen auszuprobieren. Wenn man also bestimmte Adressen oder Ports nutzt, muss man sich nicht wunder!

Wenn du alles richtig eingestellt hast, musst du dir keine Gedanken machen. Auch eine DynDNS, die nicht auf Synology schließen lässt, kann hilfreich sein. Es gibt genügend Alternativen wie z.B. dynv6.com welches auch achme.sh unterstützt. Selbst eine eigene Domain bei Netcup im Angebot kostet gerade einmal 1,58 € im Jahr.

 

[Benares]

Was mir grad noch dazu einfällt:
Viele definieren sich einen ganzen Sack voll Reverse Proxys und vergessen ganz die Hauptdomain selbst (also https://example.com). Das geht dann am Reverse Proxy vorbei und ohne installierte Webstation landet man auf dem DSM.

 

[plang.pl]

Da muss aber dann in DSM konfiguriert sein, auf Port 443 mit dieser Domain ansprechbar zu sein. Ansonsten wird man auf 5001 weitergeleitet und wenn der Dicht ist, passiert nix

 

[Benares]

Mmh, stimmt. Aber irgendwas war da mal

Edit: Wieder eingefallen. Da hatte mal jemand seine Hauptdomain im Anmeldeportal, DSM eingetragen. Dann entsteht auch sowas wie ein Reverse Proxy dafür. Auf jeden Fall sollte man das mal testen.

 

[plang.pl]

Ja genau. Wenn man die dort einträgt, ist dass wie wenn man sich einen Reverse Proxy für's DSM baut. Entspricht dann etwa dem Konstrukt wie der Reverse Proxies im Anmeldeportal

 

[wegomyway]

@Janüscht , das Script von @geimist läuft. Eingestellt alle 10 Minuten.
Das der Mechanismus funktioniert hat ist ja gut.
Problem ? Ich dachte mir, kann ja nicht schaden mal zu posten. Immerhin das erste Mal sowas seit dem ich die 224+ habe (knappes ½ Jahr).
VPN wird ja in der Regel haupsächlich genutzt wenn es darum geht Handy-Fotos auf die 224+ zu sichern (aktuell ja Malle und da kommt einiges täglich zusammen. Tägliches HyperBackup auch am laufen und am Ende wird die dafür genutzte HDD ausgeworfen).
Für das viele Andere thx ... muss dann mal später lesen wenn ich wieder @zuHause bin.
EDIT : SSH ist natürlich deaktiviert. Nur wenn nötig wird solange aktiviert wie es notwendig ist (in letzterer Zeit nicht nötig gewesen).

 

[Janüscht]

Dafür ist der Schutz ja da und arbeitet wie berichtet, ja richtig. Ich würde mir erst einmal keine Gedanken machen. Eventuell kannst du ja noch einmal nachsehen, welcher Dienst genau aufgerufen wurde. Das kannst du im Protokollcenter sehen. Du kannst auch deine ganze Kommunikation dauerhaft über VPN senden und den externen Zugriff abschalten. Ansonsten gilt so wenig wie möglich freigeben (Subdomains).

 

[wegomyway]

sodele, hab nun mal das Protokoll-Center "besucht" :
Mehr wie das folgende ist dort nicht drin.
Vom dortigen Datum bis aktuell heut/jetzt ist diese Art des Eintrags der einzigste.

Warnung​

System​

2024/05/08 17:12:37​

SYSTEM​

Host [79.140.117.134] was blocked via [SHARING].​

 

[Janüscht]

Es gibt 2 Protokollcenter. Einmal das "normale" und das "erweiterte", was du aus dem Paket-Zentrum laden kannst. Eventuell bekommst du mit dem 2. mehr Informationen über den versuchten Login angezeigt.

Ich sehe es aber als erfolgreicher Test deiner getätigten Sicherheitseinstellungen. Dieser Test hat ja funktioniert. Wenn du weiterhin Bedenken hast, solltest du lieber auf VPN ausweichen.

Wegen eines "verirrten" würde ich mir jetzt aber keine Gedanken machen. Eventuell kann eine andere Adresse, die nicht auf die Synology schlieen lässt, aber auch schon helfen.

 

[wegomyway]

Ich hatte schon vor einiger Zeit das "PC" aus dem Paketzentrum geladen und installiert. Aber ich schau da nochmals hin.
Ja, @Janüscht , hast aber völlig recht. Einstellungen haben gegriffen und es gut zu wissen das es funktioniert hat und sicherlich auch wird.

 

[Benie]

Da Du ja per VPN Verbindung hast
kannst Du Dich doch auch auf Deiner Fritzbox einloggen und den eigentlich nicht benötigen Port 443 auch dicht machen, dann brauchen Dich diese Sorgen nicht mehr im Urlaub plagen

 

[Benie]

Das war ernst gedacht und auch so gemeint .

 

[wegomyway]

@Benie ... Ich bezog das Auf "Urlaub"