Admin User login Honeypot

[QuickMik]

hi all, ich frage mich gerade, ob schon jemand mal einen honeypot für die syno gefunden/gebaut/etc. hat.

wie wir alle wissen, sollte man den admin user ja deaktivieren. ok. firewall ist natürlich auch ein thema...
jetzt aber mal ganz einfach gedacht.
warum nicht einen login versuch als admin user, in die IP blacklist laufen lassen?
hat das schon jemand mal gemacht?

 

[ottosykora]

kannst du natürlich machen, Autoblock auf 1 stellen
aber wozu genau?

 

[QuickMik]

dann gilt das doch für alle accounts. das möchte ich nicht.
es geht ganz einfach darum, user komplett in eine blacklist zu geben, die sich als admin einloggen wollen.
weil dieser standard admin deaktiviert ist, schafft er es ja sowieso nie. will aber nicht warten, bis er in den autolock läuft. beim admin user kann das sofort greifen. logisch?

 

[ottosykora]

für so was ist die Autoblock Einrichtung halt nicht vorgesehen, das analysiert nicht den Grund für die Ablehnung
warum sollte es auch nur einen nicht vorhanden User anders behandeln als alle anderen?
Kann den Sinn davon nicht entdecken

 

[whitbread]

Ich finde die Idee interessant, eine Umsetzung sehe ich mit Bordmitteln auch nicht. Der Kontoschutz kommt den Anforderungen etwas näher, blockiert dann aber den Account und nicht die IP ...

 

[Gulliver]

Man könnte einen Honeypot (als DS getarnt) z. B. auf einem RPi als exposed host laufen lassen mit geöffnetem Lockport 5001 - sicherheitshalber aber im separaten Netz. Kann man auswerten und dann in die Firewall packen. Ob das hier aktuell noch geht, weiß ich nicht, klingt aber gut.

 

[stulpinger]

Hatte das ganze Zeugs mit honeybot auf der Unifi UDM Pro für ein halbes Jahr am laufen ...
Ergebnis 0
Der einzige der auf der der IP ( honeybot) war, war ich, daneben ein paar Zugriffsversuche (Bots) von extern auf die Syno , fingierte Österreichische IPs, Rest wurde durch die Firewall von Unifi abgefangen, IPS