Kann mir das jemand erklären?

[jahlives]

Heute habe ich auf der DS was ganz komisches festgestellt. Es geht um die automatische Blockierung bei zuvielen falschen Logins. Ich verwende bei mir ssh via xinetd und wollte mal zu Spass probieren ob auch telnet via xinetd funzen würde. Also flugs einen Service für telnet im xinetd angelegt und den inetd (mit dem default telnet) beendet. Dann ein erneuter telnet Login, alles funzte wie erwartet über xinetd.
Jetzt dachte ich ich sollte mal schauen ob telnet via xinetd mehr in die Logs schreibt, also via ssh das Log offen gehalten und mit telnet ein paar Fehlversuche produziert. Wie erwartet wurde nach 3 Versuchen die Verbindung gekappt und ich war gesperrt.
Weder in den DSM noch mit telnet komme ich noch rein. Witzigerweise funzt ssh via xinetd weiterhin wunderbar.
Eigentlich dachte ich der Lock würde über eine Rule in iptables gemacht, also habe ich mal nachgeschaut mit iptables -L. Zu meinem Erstaunen war dort keine Rule eingetragen.
Und ganz komischerweise kann ich zu jedem beliebigen Dienst ausser Port 23 und Port 5000/5001 problemlos verbinden.
Irgendwie sehe ich den Sinn eines Blocks nicht so ganz, wenn dem bösen "Hacker" nur gerade telnet verboten wird. Wieso sollte der noch auf den Mailserver zugreifen dürfen, nachdem er gerade x-mal das falsche PW beim root Login verwendet hat??

Und weiss jemand wie mal den Block eines Client wieder entfernen kann? Auf der Konsole? Klar am schnellsten wäre ich wenn ich schnell eine andere IP beim Client einstelle, aber irgendwie muss doch das über die Konsole möglich sein.

Danke + Gruss

tobi

 

[itari]

Schau dir mal das Programm /usr/syno/bin/synosubox mit all seinen symbolische Links an. Damit wird die User-Zugangsgeschichte eingerichtet. Vermutlich werden direkt im inetd, telnetd, ftpd usw. von Synology Sperrmechanismen bzw. Protokollmechanismen für die User-Kontrolle durchgeführt.

Soweit ich weiß, kann iptables ja nicht auf Usernames-Ebene blocken, sondern nur IP(-Range) und Protokoll/Port(-Range). Kenn aber iptables insgesamt zu wenig (ist ja auch ein kleines Monster). Normalerweise würde man allgemeine Zugangskontrollen auf Anwendungsebene (Authentifizierungen würden dazu gehören) ja nur durch einen Application-Proxy in den Griff bekommen.

Itari

 

[jahlives]

Vermutlich werden direkt im inetd, telnetd, ftpd usw. von Synology Sperrmechanismen bzw. Protokollmechanismen für die User-Kontrolle durchgeführt.

Komisch finde ich ja dass telnet via xinetd (ipkg) blockiert wird, ssh via xinetd jedoch nicht.
Persönlich würde ich lieber die IP blocken, von wo ein "Angriff" stattgefunden hat. Ich weiss, dass man damit z.B. bei einem Proxy auch "Unschuldige" treffen würde.
Btw: Die Blocks sind sehr wohl auf IP Basis aufgesetzt, jedoch nicht in IP Tables. Denn wenn ich die IP meines geblockten Clients im LAN ändere komme ich sofort wieder rein. Also scheint da eine Mischung aus Useraccount und IP zu greifen.