DSM 7.2 IP gesperrt nach Zugriff

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.201
Punkte für Reaktionen
519
Punkte
184
Sitz ja aktuell auf Malle und gestern Nachmittag ne Mail von der 224+ bekommen :

IP xx.xxx.xxx.xxx hat innerhalb von 2 Minuten 3mal vergeblich... bei SHARING auf der DS224+ anzumelden und wurde um xx.xxUhr gesperrt.

Seit dem ich die 224+ habe ist dass das erste Mal das ne IP gesperrt wurde. Meine Nutzer incl. ich selber haben zum Zeitpunkt nicht zugegriffen.
Dumme Frage... Aufgrund meiner Einstellungen alles ok oder soll/muss was getan werden ?
Nur 443 ist offen alles andere ist zu, von Unterwegs über VPN/Wireguard und nur Nutzer
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Warum ist da der Port offen, wenn du eh nur VPN nutzt?
Wenn das aber alles über den Reverse Proxy läuft und du starke Passwörter + 2FA hast, dann ist das ok.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Ist das eine öffentliche IP?
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.201
Punkte für Reaktionen
519
Punkte
184
alles läuft über Reverse Proxy, starke Passes mit allem an Zeichen was geht (selbst ausgedacht, minimum 20stellig) Alle haben die 2FA.
Port, vielleicht blöd von mir erklärt.
Der einzigste Port der in der Fritz drin ist ist der 443. Die 5000/5001 sind unbenutzt nicht da.
Zertifikat LE vorhanden. Alle greifen Mobil über xxxxx.myxx.me zu.
öffentliche ... fängt an mit 79.xxx.xxx.134

Internetdienstanbieter:
DNS:NET Internet Service
Land:
Germany, Land Berlin, Berlin
Ort:
Berlin
Hostname:
-
Region/Bundesland:
Land Berlin
Postleitzahl:
13355

Ergebnis über NordVPN deren Möglichkeit der Suche
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468
Und was sind die Ziele hinter dem Reverse Proxy? Wenn eines davon auf den DSM oder die Filestation führt, kann man sich trotzdem falsch anmelden und gesperrt werden.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Vielleicht scannen sie inzwischen aber auch die Certificate Transparency logs und filtern alle synology.me, myds.me und andere typische NAS Hersteller Domains um sich dann Ziele auszusuchen.
 

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
147
Punkte für Reaktionen
40
Punkte
28
Ich hoffe, du hast deine Firewall ordentlich eingestellt und nutzt gleichzeitig das Update-Blocklist-Script von @geimist. Die Daten daraus stammen von gesammelten fail2ban-Servern.

Aber wo ist jetzt dein Problem genau? Der eingestellte Schutz hat doch funktioniert, wie er soll! Wenn man seine DS ins Internet hängt, kann es schon einmal passieren, dass ein anderer unbefugter User versucht auf die DS zuzugreifen. Beachte aber bitte, dass der Schutz nur für die Synology-Apps funktioniert. Für andere Software z.B. Docker muss man z.B. fail2ban einsetzten ums sich gegen unbefugte Logins zu schützen.

Wer diese Gefahr nicht möchte, muss seine Box nicht im Internet verfügbar machen und VPN nutzen. Oft handelt es sich aber bei den Scans nur um einfache Bots, welche versuchen eine bestimmte Anwendung (meist SSH) mit den gängigsten User/Passwort-Kombinationen auszuprobieren. Wenn man also bestimmte Adressen oder Ports nutzt, muss man sich nicht wunder!

Wenn du alles richtig eingestellt hast, musst du dir keine Gedanken machen. Auch eine DynDNS, die nicht auf Synology schließen lässt, kann hilfreich sein. Es gibt genügend Alternativen wie z.B. dynv6.com welches auch achme.sh unterstützt. Selbst eine eigene Domain bei Netcup im Angebot kostet gerade einmal 1,58 € im Jahr.
 
  • Like
Reaktionen: diver68

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468
Was mir grad noch dazu einfällt:
Viele definieren sich einen ganzen Sack voll Reverse Proxys und vergessen ganz die Hauptdomain selbst (also https://example.com). Das geht dann am Reverse Proxy vorbei und ohne installierte Webstation landet man auf dem DSM.
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Da muss aber dann in DSM konfiguriert sein, auf Port 443 mit dieser Domain ansprechbar zu sein. Ansonsten wird man auf 5001 weitergeleitet und wenn der Dicht ist, passiert nix
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.767
Punkte für Reaktionen
3.740
Punkte
468
Mmh, stimmt. Aber irgendwas war da mal :unsure:

Edit: Wieder eingefallen. Da hatte mal jemand seine Hauptdomain im Anmeldeportal, DSM eingetragen. Dann entsteht auch sowas wie ein Reverse Proxy dafür. Auf jeden Fall sollte man das mal testen.
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ja genau. Wenn man die dort einträgt, ist dass wie wenn man sich einen Reverse Proxy für's DSM baut. Entspricht dann etwa dem Konstrukt wie der Reverse Proxies im Anmeldeportal
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.201
Punkte für Reaktionen
519
Punkte
184
@Janüscht , das Script von @geimist läuft. Eingestellt alle 10 Minuten.
Das der Mechanismus funktioniert hat ist ja gut.
Problem ? Ich dachte mir, kann ja nicht schaden mal zu posten. Immerhin das erste Mal sowas seit dem ich die 224+ habe (knappes ½ Jahr).
VPN wird ja in der Regel haupsächlich genutzt wenn es darum geht Handy-Fotos auf die 224+ zu sichern (aktuell ja Malle und da kommt einiges täglich zusammen. Tägliches HyperBackup auch am laufen und am Ende wird die dafür genutzte HDD ausgeworfen).
Für das viele Andere thx ... muss dann mal später lesen wenn ich wieder @zuHause bin.
EDIT : SSH ist natürlich deaktiviert. Nur wenn nötig wird solange aktiviert wie es notwendig ist (in letzterer Zeit nicht nötig gewesen).
 
Zuletzt bearbeitet:

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
147
Punkte für Reaktionen
40
Punkte
28
Dafür ist der Schutz ja da und arbeitet wie berichtet, ja richtig. Ich würde mir erst einmal keine Gedanken machen. Eventuell kannst du ja noch einmal nachsehen, welcher Dienst genau aufgerufen wurde. Das kannst du im Protokollcenter sehen. Du kannst auch deine ganze Kommunikation dauerhaft über VPN senden und den externen Zugriff abschalten. Ansonsten gilt so wenig wie möglich freigeben (Subdomains).
 
  • Like
Reaktionen: wegomyway

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.201
Punkte für Reaktionen
519
Punkte
184
sodele, hab nun mal das Protokoll-Center "besucht" :
Mehr wie das folgende ist dort nicht drin.
Vom dortigen Datum bis aktuell heut/jetzt ist diese Art des Eintrags der einzigste.
Warnung​
System​
2024/05/08 17:12:37​
SYSTEM​
Host [79.140.117.134] was blocked via [SHARING].​
 
Zuletzt bearbeitet:

Janüscht

Benutzer
Mitglied seit
13. Sep 2020
Beiträge
147
Punkte für Reaktionen
40
Punkte
28
Es gibt 2 Protokollcenter. Einmal das "normale" und das "erweiterte", was du aus dem Paket-Zentrum laden kannst. Eventuell bekommst du mit dem 2. mehr Informationen über den versuchten Login angezeigt.

Ich sehe es aber als erfolgreicher Test deiner getätigten Sicherheitseinstellungen. Dieser Test hat ja funktioniert. Wenn du weiterhin Bedenken hast, solltest du lieber auf VPN ausweichen.

Wegen eines "verirrten" würde ich mir jetzt aber keine Gedanken machen. Eventuell kann eine andere Adresse, die nicht auf die Synology schlieen lässt, aber auch schon helfen.
 
  • Like
Reaktionen: wegomyway

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.201
Punkte für Reaktionen
519
Punkte
184
Ich hatte schon vor einiger Zeit das "PC" aus dem Paketzentrum geladen und installiert. Aber ich schau da nochmals hin.
Ja, @Janüscht , hast aber völlig recht. Einstellungen haben gegriffen und es gut zu wissen das es funktioniert hat und sicherlich auch wird.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.473
Punkte für Reaktionen
3.510
Punkte
344
Da Du ja per VPN Verbindung hast
kannst Du Dich doch auch auf Deiner Fritzbox einloggen und den eigentlich nicht benötigen Port 443 auch dicht machen, dann brauchen Dich diese Sorgen nicht mehr im Urlaub plagen ;)
 
  • Haha
Reaktionen: wegomyway

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.473
Punkte für Reaktionen
3.510
Punkte
344
Das war ernst gedacht und auch so gemeint .
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.201
Punkte für Reaktionen
519
Punkte
184
@Benie ... Ich bezog das :ROFLMAO: Auf "Urlaub" 😉
 
  • Haha
Reaktionen: Benie


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat