Ständige Anmeldeversuche am DSM

[plang.pl]

Synology Photos benötigt

Nein. Alternativen wurden genannt.
-Reverse Proxy (Vorteil: nur ein Port offen)
->idealerweise ist darüber nur Photos erreichbar und nicht DSM

 

[wise]

@geimist , ich habe das Skript zu Integratiojn der Blocklist nach deiner Anleitung implementiert, weil mir die vielen erfolglosen Login-Versuche im Protokoll auf den Nerv gingen. Die Versuche betreffen zwar den User admin und scheitern, aber diese Versuche bereits zuvor über die Blocklist zu blocken fand ich sehr charmant.

Die Blocklist enthält aktuell 25.767 Einträge.

Allerdings habe ich weiterhin relativ viele Login-Versuche. Gefühlt hat sich nichts im Vergleich zuvor geändert. Alle IPs sind nicht in der aktuellen Blockliste berücksichtigt. Weißt du zufällig woran das liegen kann und ob die Liste aktuell evtl. nicht so zuverlässig ist?

 

[metalworker]

kannst nur ports ändern

 

[ctrlaltdelete]

Auf welchem Port hast du die Anmeldeversuche?

 

[Benie]

Weißt du zufällig woran das liegen kann und ob die Liste aktuell evtl. nicht so zuverlässig ist?

Leute die so etwas tun treten ja auch nicht nur auf der Stelle.
Betrachte es als Katz und Mausspiel.

 

[wise]

Auf welchem Port hast du die Anmeldeversuche?

Wo kann ich das im Protokoll erkennen? Ich nutze aber noch die Standardports 5000/5001.

 

[metalworker]

im Protokoll nicht ,aber klar wenn du die Standardports nutzt ,

Die höher zulegen ist das mindeste . Gerade der DSM Port .
Schützt nicht , aber es fängt auch wieder etwas von den Anmeldungen ab.


Aber am ende stellst du einen Dienst ins Internet . damit musst rechnen.


Ein Reverseproxy würde auch noch weiter abfangen.

 

[wise]

Jo, das passt. Nur mache ich mir ein wenig Sorgen um weitere Anwendungen, die ich auf der DS betreibe. ;-)
Ich habe außerdem einen PiHole und unbound über portainer in einem MacVlan laufen auf der DS laufen und weiß nicht, ob ich mir da etwas zerschieße.

 

[metalworker]

gut unbound und PiHole ist ja intern , das hat ja nix mit deinem externen zugriff zu tun

 

[wise]

Habe jetzt erst einmal den Standard-Port geändert. Die Zugriffsversuche haben im Anschluss umgehend gestoppt.

 

[metalworker]

das macht sinn , denn das ist dort wo die meisten Bots immer probieren

 

[geimist]

Allerdings habe ich weiterhin relativ viele Login-Versuche. Gefühlt hat sich nichts im Vergleich zuvor geändert. Alle IPs sind nicht in der aktuellen Blockliste berücksichtigt.

Ändere den externen Port abweichend von 5001 (der unverschlüsselte http-Port 5000 gehört gar nicht nach außen). Alleine das genügt oft schon, um mehr Ruhe zu bekommen (= Schutz vor zufälligen Angriffen).

EDIT: Sehe gerade - hat schon geholfen

Weißt du zufällig woran das liegen kann und ob die Liste aktuell evtl. nicht so zuverlässig ist?

blocklist.de wird von fail2ban registrierter User 'gefüttert'. Erst wenn böse IPs ihr Unwesen treiben, werden sie erfasst und gelistet. Das dauert natürlich auch immer eine Weile und die bösen Bots sind sehr schnell wandelfähig. Deshalb sollte das Skript auch mehrmals stündlich laufen (dauert ja nur Sekunden).
Belies dich da mal ein: https://www.blocklist.de/

 

[wise]

Das Skript läuft bei mir alle 10 Minuten. Der 5000er war nicht nach außen freigegeben. Bisher war das nur 5001, 80 und 443. Jetzt habe ich 5001 auf einen individuellen Port umgestellt.

 

[NSFH]

80 gehört auch geblockt! Ggf für Cert Anforderungen öffnen und dann wieder schliessen.

 

[geimist]

Nur mal laut gedacht:
Eigentlich fände ich es eine gute Idee, wenn Synology dieses Konstrukt hier mit der Blocklist direkt im DSM implementiert.
Synology könnte alle geblockten IPs / fehlgeschlagene Logins (sofern der User dem zustimmt) global loggen und die DSM-Blocklist on the fly auf allen Geräten (sofern vom User gewünscht) aktuell halten.