DSM 6.x und darunter Automatische Blockierung

[night2day]

Hallo Gemeinde,

weis jemand von Euch ob es für den Benachrichtigungstext eine Variable gibt die mir den bei der automatischen Blockierung verwendeten Benutzernamen anzeigt?
Das würde auf die schnelle helfen zu sehen ob tatsächlich ein Hackveruch vorliegt oder Oma (etc..) nur mal wieder ihr Passwort vergessen hat.

Gruß
Wolfgang

 

[Frogman]

Da das ja eine IP-basierte Blockierung ist, greift der verwendete Benutzername gar nicht - es würde ja auch blockiert, wenn ich von einer IP aus nacheinander immer unterschiedliche Benutzer für jeden einzelnen Anmeldeversuche verwenden würde.

 

[night2day]

Das ist schon richtig. Aber wenn ich mich richtig erinnere sehe ich für die missglückten Versuche in den Systemprotokollen durchaus den verwendeten Benutzernamen. Die DS könnte ja zumindest den verwendeten Namen des Connectversuches mitliefern, der dann zur Sperrung geführt hat. Das fände ich einen echten Mehrwert, da ich die Meldungen in die Arbeit gesendet bekomme und dort erst anhand der IP analyieren muss, ob die überhaupt aus dem deutschen Netz kommt. (Angriffe sind bei mir zumindest bisher alle aus dem Ausland gekommen).

Gruß
Wolfgang

 

[night2day]

Hab grade noch mal nachgesehen. Der Name steht doch nicht im Log. Hätte schwören können, das das mal so war
Schön wäre es trotzdem, da die Syno den Namen ja hat. Sonst könnte sie den Versuch ja auch nicht verifizieren.

 

[Frogman]

Schlag's doch einfach mal als Feature dem Synology-Support vor

 

[night2day]

Ob die sich für solche "Kleinigkeiten" interessieren?
Ich werds im nächsten Forumsrequest mit einbringen

 

[night2day]

Ich habe jetzt mal folgendes als Feature Request abgesetzt

Wäre es möglich bei der Benachrichtigung bei Blockierung von IPs (Automatische Blockierung) den Benutzernamen mit anzugeben, der beim Anmeldeversuch der zur Sperrung geführt hat verwendet wurde? Dadurch könnte schneller ermittelt werden ob ein Benutzer sein Passwort vergessen hat oder ein echter Angriff auf Admin-Account vorliegt. Ausserdem erleichtert das Rückfragen bei dem betroffenen Benutzer. Zusätzlich wäre der Eintrag des Benutzernamens in das Systemlog wünschenswert.

 

[Frogman]

Rückfragen werden erleichtert, das klingt vordergründig logisch - allerdings bezweifle ich, dass es Dir effektiv mehr bringt, wenn Du den Benutzernamen siehst. Du kannst ja nicht einmal ausschließen, dass sich die echten User nicht auch mit einer ausländischen IP bei Dir anmelden, ob sie nun tatsächlich im Ausland sind oder nur wegen der hirnverbrannten Youtube-Sperre einen ausländischen Proxy nutzen. Wie willst Du dann unterscheiden, ob ein Angriff vorliegt oder nicht? Immer gleich den Betreffenden anrufen (der dann vielleicht doch gerade in der Türkei ist und Urlaub macht)?

Lediglich die Info, ob Anmeldeversuche auf den admin-Account kommen, wäre mit einem Mehrwert verbunden, da er ja in der Regel authentisch nur von Dir kommen sollte. Doch den admin-User deaktiviert man gewöhnlich ohnehin als einer der ersten Aktionen, wenn man so etwas vermeiden möchte...

 

[night2day]

Naja, realistisch gesehen ist es doch recht unwarscheinlich das sich ein Hacker versucht mit OpaPeter einzuloggen
Und wenn dann versucht das warscheinlich OmaMaria, weil sie das auch sehen will was OpaPeter immer sieht.
Wenn da aber Accouts wie root, admin, administrator durchprobiert werden ist die Sachlage schon ein wenig klarer.

In der Regel (bei mir) haben irgend welche User das Passwort vergessen und rufen aber nicht an weil sie sich
schämen das das schon wieder passiert ist. Jaja, ich rede mir den Mund fuselig wegen aufschreiben.
Aber wo nun der Zettel schon wieder liegt...

Admin deaktivieren heist aber gleichzeitig, das ich von extern (bsw. Urlaub) niemandem mehr einen Account enrichten oder
Zugriffrechte verändern kann. etc...

Die meißten von mir untersuchten Angriffe kamen aus dem Ostblock, China oder Südost Asien

Gruß
Wolfgang

 

[Frogman]

...Wenn da aber Accouts wie root, admin, administrator durchprobiert werden ist die Sachlage schon ein wenig klarer.

Yep, aber das macht Dein Ansinnen doch wieder wenig nachvollziehbar - denn welcher Deiner echten User würde sich über root oder admin anmelden wollen?

Admin deaktivieren heist aber gleichzeitig, das ich von extern (bsw. Urlaub) niemandem mehr einen Account enrichten oder
Zugriffrechte verändern kann. etc...

Wie kommst Du darauf? Selbstredend kannst Du einen beliebig benannten User als Mitglied der Administratoren einrichten und darüber alles regeln (und wenn Du 'admin' deaktivieren willst, musst Du das ja auch). Und den Namen errät eigentlich niemand, trägt also auch nicht zu erhöhter Sorge nach mißbräuchlicher Anmeldung bei...

 

[night2day]

> Yep, aber das macht Dein Ansinnen doch wieder wenig nachvollziehbar - denn welcher Deiner echten User würde sich über root oder admin anmelden wollen?

doch grade, deshalb könnte ich einen Hackversuch und ein vergessenes Passwort ja auch schon zu 95% an der Nachricht erkennen

> beliebig benannten User als Mitglied der Administratoren einrichten...

Au ja, klar, das ist die Geschichte mit dem Wald und den Bäumen.
Daran hatte ich gar nicht gedacht.

Gruß
Wolfgang

 

[fpo4711]

Hallo,

ohne das jetzt geprüft zu haben. Mal versucht folgende Variable in die Benachrichtigung einzufügen:

%USER_NAME%

Gruß Frank

 

[night2day]

Versuche ich, danke.

 

[derlaie]

Zum Thema User erstellen und Adminrechte geben darf ich kurz folgendes bei steuern:
Auch ich hatte diese Idee aus Sicherheitsgründen, musste aber feststellen das es Einstellungen gab, den der neu erstellte Benutzer trotz Adminrechten nicht ändern konnte, bzw. nicht angezeigt bekam. Bin mir ziemlich sicher, dass das aktivieren der persönlichen Photostations dazu gehörte...
War allerdings unter 4.3


Gruß

Stefan

 

[night2day]

Kleines Experiment...

ich hatte jetzt den Text mit folgenden Variablen garniert %USER_NAME% und %USERNAME% da %HOSTNAME% auch zusammen geschrieben ist.

Dann von einem zweiten Rechner den bösen User Peter mehrmals ein falsches Passwort eingegeben.

Und....



Ich hatte die Infos ausgeblendet.
Man sieht hier aber wer es vorher versucht hat.

Aber... es kam keine Mail.
Möglicherwise haben die ungültigen?? Variablen zu einem Abbruch im Mailversand geführt.

Weitere Sache die nicht schön ist:
Der Eintrag in die Liste der blockierten IPs ist erst nach einem Neustart des DSM angezeigt worden.

Am Montag mal schauen ob auf dem zweiten Mailaccount in der Arbeit was angekommen ist...

Gruß
Wolfgang

 

[night2day]

War allerdings unter 4.3

Hier läuft die 4.3.
Läuft auch so gut das ich mich nicht traue auf 5+ zu Updaten

Gruß
Wolfgang

 

[Frogman]

.... Bin mir ziemlich sicher, dass das aktivieren der persönlichen Photostations dazu gehörte...

Aber das sind dann ja nun keine Dinge, die man jeden Tag - und schon gar nicht von unterwegs - machen müßte...

 

[night2day]

Also die Mail kam doch an. Hatte ganz vergessen, das ich zuhause einen Mailfilter (Folderforwarding) eingerichtet hatte.

Varriablen haben aber nichts gebracht siehe:

Die IP-Adresse [192.168.1.106] hat 3 vergeblich versucht sich beim Dienst DSM auf DiskStation innerhalb von 5 Minuten anzumelden und wurde um Sat Sep 6 19:52:58 2014 blockiert. %USER_NAME% %USERNAME%

Gruß
Wolfgang