Sicherheitsberater - Bei jeder Anmeldung Hinweis zu Anmeldeverhalten

Daedalus · 17. Jan 2021

Hallo zusammen,
da ich meine Synology u.a. zur Synchronisation von Fotos über Moments nutze habe ich diese mittels DynDNS /NoIP erreichbar gemacht.
Ich hatte vor einiger Zeit immer mal wieder Anmeldeversuche aus China, Russland, Iran, Ukraine und auch einige erfolgreiche Zugriffe aus dem Ausland, trotz einem langen, völlig wahrlos zusammengestelltem Passwort aus Zeichen, Buchstaben, Sonderzeichen.
Inzwischen nutze ich zusätzlich die zwei Faktorenauthentifizierung mittels Google Authenticator.
Dennoch erhalte ich bei jeder Anmeldung über die Weboberfläche, obwohl ich mich im selben Netzwerk befinde, Warnungen zum Anmeldeverhalten.
Hierbei wird im Sicherheitsberater immer mein Benutzer, mit dem ich mich angemeldet habe angezeigt. Die IP entspricht immer meiner eigenen, wird aber tlw. einem Standort im Ausland zugeordnet.
Ist der Sicherheitsberater also zumindest was das Anmeldeverhalten betrifft nicht zu gebrauchen? Oder muss ich irgendeine Einstellung treffen damit der Sicherheitsberater wirklich nur wichtige Ereignisse anzeigt?

Anzeige · 17. Jan 2021

Hallo Daedalus,

Bücher und Hardware zum Thema gibt es bei Amazon: Sicherheitsberater - Bei jeder Anmeldung Hinweis zu Anmeldeverhalten

Stationary · 18. Jan 2021

Du könntest mal versuchen, in der Firewall im Profil alle Länder außer Deutschland zu blocken. Und dann mal sehen, was passiert.

Daedalus · 23. Jan 2021

Habe meine Firewalleinstellungen gerade nochmal überprüft und festgestellt, dass ich einige Länder vergangendes Jahr schon gesperrt habe, u.a. auch "Russische Förderation". Dennoch habe ich am 14.1 im Anmeldeberater einen Hinweis auf eine Anmeldung aus "Russische Förderation". Vermutlich weil meine eigene IP wieder falsch lokalisiert wurde.
Auch gerade eben wieder 2 Minuten nach meiner Anmeldung eine Hinweismeldung aus dem Sicherheitsberater; jedoch aus Deutschland.

ottosykora · 23. Jan 2021

und was siehst du im Logfile?
Also Log Center , unter Verbindungen?
Auf welchen Port oder welche App versuchen sich die Jungs zu verbinden?
Hast du ev so was wie SSH eingeschaltet?

Schwarte · 23. Jan 2021

Als erstes eine Regel für "Alles" und das ganze Heimnetz 192.168.x.0 bis 192.168.x.255 - sonst sperrst Du Dich evtl aus.
Die restlichen Einträge löschen, bzw den Haken weg, wenn Du doch eine Regel behalten willst (für temporären externen Zugriff). Dann alles andere auf verweigern - per Haken unten oder als Regel als letztes hinzufügen.

SSH oder SFTP ist auch eine Möglichkeit für die Einloggversuche. SSH kann aber aktiviert bleiben, SFTP zieht auch Gesindel magisch an

Hab das bei mir inzwischen entfernt und hab mein Krusch für unterwegs auf der Fritzbox abgelegt.

stefan_lx · 23. Jan 2021

im Router sollten eh nur die Ports weitergeleitet werden, die benötigt werden, wenn man ssh (=sftp) dort nicht weiterleitet, kommt auch nichts über den Port bei der Syno an...
Da ein Zugriff von außen erfolgen soll, muss der ja zugelassen werden, also für Fotos/Moments 443, aber z.B. nur für Deutschland.. wie es @Stationary vorgeschlagen hat...

Aber zu eigentlich Frage des TE...
Der Sicherheitsberater ist ganz nett... aber nur brauchbar, wenn man ihn anpasst... also der Hinweis, dass der Standardport für ssh (22) nicht geändert wurde, obwohl der Port eh nicht von außen erreichbar ist, ist völlig überflüssig... und noch dazu "irreführend", weil selbst wenn der Port geändert wurde und von außen dann erreichbar wäre, ein potentieller Angreifer halt 5 Minuten länger benötigen würde, um den geänderten ssh-Port zu finden...
Diesen Hinweis zum Anmeldeverhalten hatte ich auch, bis ich ihn bei den Benachrichtigungen ausgeschaltet habe, bzw. im Sicherheitsberater den Punkt "Nicht normale Anwendungsaktivitäten..." deaktiviert habe..
Da ist es besser die "Automatische Blockierung" zu aktivieren, damit die entsprechende IP blockiert wird. Dort kann man übrigens auch die internen IP-Adressen hinterlegen, damit bei diesen die Blockierung nicht zuschlägt...

Stefan