Merkwürdige Einträge im Verbindungsprotokoll

[heino]

Hallo,

nach dem ich mal wieder mein Verbindungsprotokoll gecheckt habe ( War im Urlaub ) von der DS-710+ vielen mir ein paar viele merkwürdige Einträge auf mit der IP 93.113.212.120

Die DS habe ich so eingestellt das nach 3 Fehlversuchen die entsprechende IP gesperrt wird was bis jetzt auch ganz gut funktionierte.

Das sich öfter mal welche als Administrator einlogen wollen hatte ich schon öfter aber halt nur 3mal mit der gleichen IP.

Aber was hat es mit Benutzer "System" auf sich das der sich so oft und in so kurzer Zeit versucht hat sich einzuloggen auf meiner DS.

Muss ich mir Sorgen machen um die Sicherheit meiner DS 710+ Firmwareversion DSM 3.1-1613

 

[Rolfi]

Hallo Heino,

das war sehr wahrscheinlich kein Freund aus Rumänien?

inetnum: 93.113.212.0 - 93.113.212.255
netname: SC-EGAZDA-SRL
descr: SC EGAZDA SRL
descr: str. 1907, nr. 46-48-50
descr: Turnu Magurele Teleorman 145200
country: ro
admin-c: MB17635-RIPE
tech-c: MB17635-RIPE
status: ASSIGNED PA
remarks: Registered through http://www.jump.ro/ip.html
mnt-by: RO-MNT
mnt-lower: RO-MNT
mnt-routes: SIMPLIQ-MNT
source: RIPE # Filtered
person: MARTINESCU BOGDAN
address: SC EGAZDA SRL
address: str. 1907, nr. 46-48-50
address: Turnu Magurele Teleorman 145200
phone: +40.347567049
fax-no: +40.347810504
e-mail: 9b4e40296bbd16fc7e7b9cb25ef72b48@protected-email.eu
nic-hdl: MB17635-RIPE
mnt-by: RO-MNT
source: RIPE # Filtered
% Information related to '93.113.212.0/24AS39758'
route: 93.113.212.0/24
descr: SC SimpliQ SRL
origin: AS39758
mnt-by: SIMPLIQ-MNT
source: RIPE # Filtered

Evtl. Search Bots am laufen :-(. Evtl. noch die Macsperre einrichten?

 

[heino]

Hallo Heino,

das war sehr wahrscheinlich kein Freund aus Rumänien?

Evtl. Search Bots am laufen :-(. Evtl. noch die Macsperre einrichten?

Hallo Rolfi,

deshalb ja auch meine Frage ob ich mir Sorgen machen sollte um meine Ds-710+
Kannst du das mit der Macsperre mal näher erleutern, und wo ich die Einstellungen in der DS-710+ vornehmen müsste....

 

[Rolfi]

Kann ich leider nicht, habe meine Diskstation die nächsten 2 Wochen nicht zur Hand. Aber es sollte eine Zugriffsbegrenzung möglich sein in dem nur gewisse Mac-Adressen auf die Diskstation zugreifen dürfen. Sprich die eindeutige Kennzeichnung deiner Netzwerkkarte.

 

[Ap0phis]

Also merkwürdig finde ich schon, dass die DS bzw. die Firewall die IP nicht automatisch gesperrt hat.
Gedanken würde ich mir allerdings um die Sicherheit erst dann wirklich machen, wenn das mit der gleichen IP mehrfach vorkommt, also an unterschiedlichen Tagen oder Stunden.

Um völlig sicher zu gehen, kannst du dieser IP ja auch manuell den "Zugang verweigern".

 

[Matthieu]

Eine MAC-Sperre hat die DS nicht.
Wer FTP nach außen zugänglich macht, muss mit solchen "Attacken" rechnen. Solche Fälle haben wir hier immer mal, kannst ja mal ein wenig suchen. Im Grunde ist das wenig gefährlich. Zweifelhafte Personen aus Osteuropa und Asien scannen IP-Adressen nach FTP-Diensten und probieren dann wahllos Passwörter. Der Schriftzug "rejected to log in" zeigt, dass die DS die IP nach 3 Versuchen geblockt hat und - egal ob Passwort richtig oder nicht - nie mehr Zugang gewähren wird. Gesteuert wird das über die Funktion "Automatische Blockierung" (siehe Bedienfeld).

MfG Matthieu

 

[heino]

Was mich nur stutzig macht ist das die IP nicht beim 3 mal geblockt wurde.
Es wurde mit der selben IP 93.113.212.120
von 19.28.04 Uhr bis 19.28.11 Uhr versucht
1 mal als Anonymous
79 mal als System
5 mal als Administrator versucht sich anzumelden.
0 mal als admin
Ist die automatische IP Blockierung vieleicht zu langsam um so einen schnellen Angriff zu erkennen und abzuwehren?
Die IP Blockierung setzte dem Spiel nach 85 erfolglosen Versuchen letztendlich um 19.28.11 Uhr ein Ende.

Ist es eigentlich möglich den Benutzer "admin" durch eine eigene Zeichenkette zu ersetzen?

 

[goetz]

Hallo,
die automatische Blockierung hat gar nicht zugeschlagen. Bist Du sicher, daß die wirklich eingeschaltet ist? Rejected wurde immer nur der root Zugriff (System ist nur der Name vom user root), root-Zugriff ist per default ausgeschaltet.

Gruß Götz

 

[jahlives]

Es ist nicht gesagt dass die Autoblock ned gegriffen hätte. Als Kritrium werden ja die Loginversuche pro Minute hergenommen. Und 7 Sekunden sind keine Minute. imho konnte da Autoblock gar nicht zuschlagen ;-)

 

[Ap0phis]

... Als Kritrium werden ja die Loginversuche pro Minute hergenommen. Und 7 Sekunden sind keine Minute. imho konnte da Autoblock gar nicht zuschlagen ;-)

Würdest du mir diese Logik bitte genauer erklären?

Was würde das bedeuten, wenn ich 5 Versuche in 5 Minuten einstelle?

 

[heino]

Es ist nicht gesagt dass die Autoblock ned gegriffen hätte. Als Kritrium werden ja die Loginversuche pro Minute hergenommen. Und 7 Sekunden sind keine Minute. imho konnte da Autoblock gar nicht zuschlagen ;-)

Das könnte die Erklärung sein.

@goetz

da ich gerade nicht weiß wie ich noch ein Bild hier einbinden kann hier ein Link
Diese Einstellungen benutze ich seit dem ich die DS-710+ besitze, war ein Weihnachtsgeschenk meiner Frau letztes Jahr.

 

[jahlives]

Was würde das bedeuten, wenn ich 5 Versuche in 5 Minuten einstelle?

Dann würde Autoblock fühestens nach 5 Minuten greifen, sofern nicht bereits mehr als 5 Login Versuche gescheitert sind. Meine "Logik" ist es, dass Autoblock wohl periodisch die Logs prüft ob Verstösse vorliegen. Ich weiss ned genau wie Autoblock funzt, aber ich nehme an da läuft im Hintergrund ein Dienst der regelmässig die Logs nach Loginfehlern durchsucht. Wenn bei jedem Zugriff (Login) auch der Autoblock prüfen würde, dann hätte es ja definitiv schneller zuschlagen müssen. wenn ich die Screenshots richtig gedeutet habe, dann erfolgten diese Zugriffe ja innert sehr kurzer Zeit. Eventuell ist Autoblock bei sovielen Versuchen in so kurzer Zeit schlicht zu langsam. Eine gewisse Zeit dauert es ja bis die Blockregeln erstellt sind und greifen.

 

[heino]

Eventuell ist Autoblock bei sovielen Versuchen in so kurzer Zeit schlicht zu langsam. Eine gewisse Zeit dauert es ja bis die Blockregeln erstellt sind und greifen.

Werde jetzt die Zeit auf 1min. runter setzen, weniger leider geht nicht.

 

[heino]

Werde jetzt die Zeit auf 1min. runter setzen, weniger leider geht nicht.

Wie ich gerade sehe funktioniert die neue Einstellung mit 1min.

Dear user,

IP [217.118.137.143] had 3 failed login attempts within 1 minutes, and has been blocked at Fri Jun 17 16:11:38 2011.

Sincerely,
Synology DiskStation

 

[Alfons403]

Mache ich oder Ihr einen Gedankenfehler?

Wenn ich die DS auf 5 Fehlversuche innerhalb 5 Minuten einstelle dann wird 5 Minuten
lang ein Zähler bei Fehlversuchen hochgesetzt.
Beispiel: Alle 30 Sekunden erfolgt ein Login versuch, dann findet der der 5te Zugriff nach
0 - 30 - 60 - 90 - 120 Sekunden oder 2 Minuten statt und die DS sollte blockieren.
Setze ich den Zeitraum auf eine Minute, würde dieser Rhythmus nicht greifen, den nach
dem ~3ten Versuch ist die 1 Minute ja abgelaufen.
Jetzt müsste man aber die Logik dieser Abfrage kennen!
Was macht die DS? 1 Fehlversuch und die Stoppuhr tickt, dann wird jeder weitere
Fehlversuch gezählt bis die eingestellte Zeit abgelaufen ist und dann ????
Ja, was dann? Zähler wird auf 0 gesetzt oder die "(ewas) bessere" Methode
der erste Versuch fällt heraus und der Timer zählt jetzt ab dem 2ten Versuch, schiebt also
quasi ein Zeitfenster von 5 Minuten hinter sich her.
Wenn man eine DS gezielt angreifen will und die Default Einstellungen kennt
würde ich also nach 4 Versuchen die 5 Minutengrenze abwarten und es dann neu versuchen.
Der sichere Weg ist also immer das Zeitfenster so groß wie möglich zu machen um auch
Versuche über einen längeren Zeitraum oder einem längeren Angriffsrhythmus abzufangen.

Also wenn ich nichts falsch gemacht habe, scheint die DS ein Fenster über den Zeitraum
zu legen und der älteste Versuch fällt dann heraus. ohne Gewehr

 

[heino]

Hallo Alfons403,

bei mir waren es 85 Login Versuche in 7 Sek. und da war die DS noch auf 2 Minuten eingestellt, die einzige Erklärung für mich ist das die DS zu langsam reagiert für solche schnellen Angriffsversuche.....

 

[itari]

Falls man selbst eingreifen möchte:

Syno> ls -l /usr/syno/bin/synoautoblock
lrwxrwxrwx    1 root     root             9 May  6 19:45 /usr/syno/bin/synoautoblock -> synosubox
Syno> synoautoblock
Copyright (c) 2003-2011 Synology Inc. All rights reserved.

usage: synoautoblock
        --help
        --attempt ip
        --deny ip
        --reset ip

Itari

 

[Matthieu]

Ich hatte und habe mit der Funktion eigentlich keine solche Probleme, obwohl ich 10min eingestellt habe. Ich kann euch nur raten den Support zu verständigen, denn diese Funktion ist absolut kritisch für die Sicherheit - einen Fehler sollte man sich da nicht erlauben.

MfG Matthieu

 

[heino]

Hallo Matthieu,

da ich dem englischen leider nicht so mächtig bin wäre es möglich das es einer von euch dem Support einen entsprechenden Hinweis schickt.
Würde auch meine DS-710+ Log-Datei die ich gerade gesichert habe zur Verfügung stellen.

 

[Matthieu]

Kannst dem Support auch in Deutsch schreiben, entgegen dem was dort steht.

MfG Matthieu