Ständige Anmeldeversuche am DSM

[Synchrotron]

... Da ich aber die DSM-Ports auf andere Ports gelegt habe, habe ich keine "Angriffsversuche" mehr von außen.

Das klingt nach "Security by obscurity". Es mag wohl sein, dass es bei den aktuellen Angriffen hilft, weil die bots stumpf ihr Programm auf den Standardports runternudeln.

Als generelles Konzept taugt es nur sehr bedingt - gerne als Ergänzung zu anderen Maßnahmen, keinesfalls um diese zu ersetzen.

 

[MattCB]

Die IP-Blockierung ist natürlich trotzdem aktiv. Aber da wurde schon ewig nix mehr geblockt. Ausser ich selbst, als ich mal nicht bemerkt habe, dass Capslock aktiv ist.

 

[geimist]

Ob ich eine Geoverifizierung mal einbaue, muss ich mir erst mal angucken.

Ich hab das mal versucht umzusetzen.
Eigentlich wollte ich die entsprechende DSM-Implementierung anzapfen, was mir aber nicht gelang (ich hab das entsprechende Binary nicht finden können). Voraussetzung ist jetzt, dass Python3 installiert ist (bei DSM 7 automatisch). Es wird parallel zum Skript ein Ordner mit einer Pythonumgebung erstellt, sofern man die GeoIP-Verifizierung aktiviert.

Ihr müsst damit rechnen, dass die Ausführungszeit merklich ansteigt. Am elegantesten wäre es, die Quellliste entsprechend vorzufiltern. Das ist mir aber mit einem vernünftigen Aufwand nicht gelungen. Jetzt muss jede einzelne IP abgeglichen werden.

Schalten könnt ihr über die folgenden Variablen:

• useGeoIP
  Die ist standardmäßig auf off gestellt.
  Als weiteren Wert gibt es blockonly (nur definierte Länder werden aus der Blocklist verwendet) oder blockother (alle IPs außer aus den definierten Ländern werden verwendet).
• countries
  Das ist ein Array. Alle Länderkürzel (im ISO-Format) werden da mit Leerzeichen getrennt in die Klammer geschrieben.
  z.B. countries=(DE CN) für Deutschland und China
• GeoIP_DB
  Hier ist die GeoIP Datenbank des DSM 7 eingetragen (ob es auf DSM 6 der gleiche Pfad ist, weiß ich nicht).
  Wer möchte, kann sich aber auch bei maxmind.com eine eigene DB herunterladen und den Pfad zur .mmdb Datei anpassen.

 

[Gaba90]

Mega, danke fürs implementieren ! sobald mein Festplattenumzug vollzogen ist, versuche ich das gleich mal

 

[uglyguy]

Hallo zusammen,
hänge mich hier mal ran. Habe die letzten Tage auch viele Loginversuche auf dem deaktivierten Admin Konto. Ich verwende keine Standardports. Meine DS ist ne 918+ mit aktueller DSM Version (7.1.1 42962).
Kontoschutz ist aktiviert (3 Login Versuche in 1 Stunde), automatische Blockierung ist aktiviert (3 Login Versuche in 1 Stunde).
sobald der Kontoschutz (nach 10 h Sperre) wieder aufgehoben wird erfolgt sofort der nächste Angriff und der Kontoschutz wird wieder aktiviert (das passiert in der Regel innerhalb einer Minute momentan). Da das Konto deaktiviert ist und der Angreifer erstmal ausgebremst wird soweit erstmal alles gut.
Allerdings landen bei mir keine IPs auf der Blockierungsliste? Ist das bei euch genauso? Oder „beißen“ sich meine Einstellungen zum Kontoschutz/automatischer Blockierung?
Danke für eure Antworten

 

[Sequoia]

Seit ich das Script mit den blockieren der IPS habe, verzeichnete ich keinen einzigen Anmeldeversuch mehr.

 

[uglyguy]

Gerade nochmal geprüft…in der Anmeldeanalyse tauchen die Loginversuche auf das deaktivierte Admin-Konto auch nicht auf?

 

[uglyguy]

Seit ich das Script mit den blockieren der IPS habe, verzeichnete ich keinen einzigen Anmeldeversuch mehr.

Danke für die schnelle Antwort.
mich würde interessieren warum die IPs nicht automatisch blockiert werden? Das mit dem Script habe ich auch schon gelesen. Würde ich erstmal nicht machen wollen solange nicht die Bordmittel von DSM ausgeschöpft sind.

 

[tommytom79]

Ich verzeichne auch seit 06.04. sehr viele fehlgeschlagene Login Versuche, hauptsächlich mit dem deaktivierten Admin User.
Ich habe dazu auch einen Thread aufgemacht.
Meine Lösung dafür wäre vorerst einmal, dass ich bei der Firewall der DS Geoblocking für alle Länder, bis auf das, wo ich wohne, aktiviert habe.

 

[Sequoia]

Ich verstehe nicht ganz, was gegen das Script sprechen sollte?
Ich schließe die Tür nach einem Einbruchsversuch ja auch nicht nur ein mal ab, und sage: mal schauen, sollte schon gehen, erst wenn es wieder passiert, schließe ich sie zwei mal ab.

 

[Benie]

dito, wie meine Vorredner in Sachen Script.

das Script stammt aus sauberen bekannten Händen und ist nachvollziehbar.

 

[NSFH]

Mit Bordmitteln helfen zu 98% erstmal folgende Massnahmen:
Aktivierung der Länderkennung und nur noch D zulassen.
Das hilft nur nicht, wenn die Angreifer aus D oder via Proxy/VPN nach D kommen.
Als zweites in der zB Fritz die Portweiterleitung auf den Port der Syno in einen hohen 5-stelligen Bereich legen.
Ich sage mal als Beispiel 35172 für DSM Zugriff.
Mit https://meineIP:35172 komme ich dann bei der Fritz an und diese leitet auf zB https://192.168.1.10:5001 weiter.

Jede Wette, jetzt ist Ruhe im Karton vor den Scanbots die ununterbrochen Loginversuche machen.

 

[uglyguy]

Ich verstehe nicht ganz, was gegen das Script sprechen sollte?
Ich schließe die Tür nach einem Einbruchsversuch ja auch nicht nur ein mal ab, und sage: mal schauen, sollte schon gehen, erst wenn es wieder passiert, schließe ich sie zwei mal ab.

Naja mit einem Script ist das so ne Sache. Man könnte auch sagen, um bei dem Einbruchsbeispiel zu bleiben, die Haustür zwar zweimal zugeschlossen aber dafür das Fenster sperrangelweit aufgemacht. Ich kenne mich mit Scripten leider nicht so gut aus das ich das prüfen und als „ungefährlich“ bewerten kann…

 

[uglyguy]

dito, wie meine Vorredner in Sachen Script.

das Script stammt aus sauberen bekannten Händen und ist nachvollziehbar.

Okay , wichtige Info. Habt ihr das Script auch im Einsatz?

 

[uglyguy]

Mit Bordmitteln helfen zu 98% erstmal folgende Massnahmen:
Aktivierung der Länderkennung und nur noch D zulassen.
Das hilft nur nicht, wenn die Angreifer aus D oder via Proxy/VPN nach D kommen.
Als zweites in der zB Fritz die Portweiterleitung auf den Port der Syno in einen hohen 5-stelligen Bereich legen.
Ich sage mal als Beispiel 35172 für DSM Zugriff.
Mit https://meineIP:35172 komme ich dann bei der Fritz an und diese leitet auf zB https://192.168.1.10:5001 weiter.

Jede Wette, jetzt ist Ruhe im Karton vor den Scanbots die ununterbrochen Loginversuche machen.

Das mit der Länderkennung würde ich nochmal genauer betrachten. Habe heute früh einen schnellen Versuch gemacht und den Kontoschutz aufgehoben…war sofort wieder gesperrt…
Entweder habe ich was falsch gemacht oder zuviele Länder noch zugelassen. Da ich beruflich viel unterwegs bin und auf das System zugreifen können muss habe ich auch USA, Mexico und ein paar westeuropäische Länder noch zugelassen…

 

[EDvonSchleck]

Okay , wichtige Info. Habt ihr das Script auch im Einsatz?

Ja, kann ich nur empfehlen und mache es auch regelmäßig, fast täglich

 

[uglyguy]

Erstmal vielen Dank an alle für die schnellen Antworten. Um nochmal auf die eigentliche Frage zurück zu kommen, warum die (blockierten) IPs nicht auf der Blockierungsliste landen ist nicht bekannt?
danke

 

[ctrlaltdelete]

Ja, das script läuft hier auch.
@EDvonSchleck was machst du regelmäßig, fast täglich?

 

[Sequoia]

Das wollte ich auch gerade fragen. Bei mir läuft es auf allen Synology, und aktualisiert im 10 Minuten Takt.

 

[EDvonSchleck]

Was meinst du damit? Wenn IPs blockiert werden, kommen sie nach der Anzahl der Versuche auch in der Liste. Ansonsten starte, deine DS einmal neu. Nutze die aktuellste Software oder zeige deine Einstellungen mit Screens.

@ctrlaltdelete, ich empfehle es fast täglich. Das müsstest du aber schon mitbekommen haben