Was heißt "Synology Ihr Konto [admin] auf Synalogy wird geschützt" für mein Passwort

[Benjamin83]

Hallo Zusammen,

ich hab einige Dienste auf meinem Heimanschluss laufen, in der Syno und per Docker auf der Syno, dementsprechend bin ich Emails wie "Synology IP-Adresse [45.78.194.253] wurde von Synalogy via SSH blockiert" gwöhnt, da kommen täglich ein duzend, manchmal in einer Stunde.

Gestern hatte ich dann aber dreimal in kurzer Zeit eine andere Mail:
"Synology Ihr Konto [admin] auf Synalogy wird geschützt"
"Es gab 6 fehlgeschlagene Anmeldeversuche von nicht vertrauenswürdigen Geräten bei Ihrem Konto [admin] auf Synalogy innerhalb der letzten 120 Minuten.
Als Vorsichtsmaßnahme können Sie sich jetzt bei Ihrem Konto nur von vertrauenswürdigen Geräten aus anmelden, auf denen Sie sich zuvor erfolgreich angemeldet haben."

Ich hab dann erstemal die DSL-Verbindung neu eigewählt --> neue IP. Seither ist ruhe.

Ich kann mir da aber nicht so wirklich einen Reim drauf machen. Grundsätlich habe ich die 2fA für das Admin-Konto eingeschaltet. Zumindest für neue Geräte.
Heist das jetzt, dass ein angreifer durch den Ersten Faktor (Passwort) gelanggt ist, und nur an dem zweiten Faktor (TOTP) gescheitert ist? Da hieße ja, dass mein admin-passwort kompromitiert ist...

Oder interpretiere ich die Meldung einfach Falsch?
Viele Grüße

 

[ottosykora]

Heisst einfach jemand hat mehrmals versucht sich mit dem User admin anzumelden
Das ist ganz normal

 

[maxblank]

Was ist daran ganz normal?

 

[RichardB]

Das admin-Konto - also das kleingeschriebene sollte man sowieso deaktivieren und mit einem User mit Admin-Rechten arbeiten, wenn es was zu administrieren gibt.

 

[Ronny1978]

wurde von Synalogy via SSH blockiert

SSH Port "verlegen", wäre eine zusätzliche Option (auf 22222 oder sowas). Hilft aber auch nicht ewig und immer. Ist aber weg vom Standard.

neue IP. Seither ist ruhe

Das kommt wieder... Also bitte wie auch schon von @RichardB gesagt, umsetzen:

- Standard "admin" deaktivieren -> wird auch von Synology empfohlen
- separaten Admin-User anlegen und nur mit dem Arbeiten, wenn nötig
- zusätzlichen "Normal-User" anlegen und für produktive Aufgaben nutzen -> ggf. noch Rechte einschränken und nur das Freigeben, was sein muss
- ggf. Firewall aktivieren und Dienst für bestimmt Länder blockieren (bitte aber in die Firewall Einstellungen einlesen)
- nur Dienste erreichbar machen, die sein müssen und ggf. mal über Reverse Proxy oder VPN nachdenken (sicherer)
- Falschversuche runter- und Blockzeit hochsetzen

dass mein admin-passwort kompromitiert ist

nein

Oder interpretiere ich die Meldung einfach Falsch?

ja

Die Anmeldeversuche scheitern, weil Benutzer und Passwort nicht stimmen. Wenn du Secure Sign In nutzt und eine Anfrage bekommst, obwohl du nix gemacht hast, sollten die Alarmglocken richtig läuten.

 

[ottosykora]

daran ganz normal?

Wenn ein schlechter Bot anklopft dann halt nur ganz einfach, auch das kein Sinn macht weil kaum ein Server noch auf admin hört
Das ist je normal

 

[Skyhigh]

Die meisten Zugriffsversuche stammen sowieso aus China und Russland,
Ich empfehle einen Geo-Block in der Firewall der Synology einzurichten.
(Alle Länder blockieren, außer die in denen du dich aufhältst. Bei mir damals als ich noch offene ports nutzte z.B alles außer Deutschland Frankreich Schweiz)

Oder noch besser:
Wenn der Zugriff von aussen nur durch dich oder Personen aus deinem Haushalt genutzt wird: VPN verwenden und im Router die anderen Ports wieder schließen.

Nutzen andere Haushalte das mit, ist es meines Erachtens nicht zu empfehlen, da diese Personen meist technisch unversierter sind.

Edit: deine im Eingangspost gezeigte ip (45.78.194.253) stammt übrigens aus Singapur

 

[Ronny1978]

Nutzen andere Haushalte das mit, ist es meines Erachtens nicht zu empfehlen, da diese Personen meist technisch unversierter sind

Hier käme dann Reverse Proxy mittels SSL ins Spiel. Setzt aber voraus, dass der Betreuer des NAS sich damit auseinander setzt und vorab einige Dinge abprüft. Dann wird nur 443 weitergeleitet und sonst nix. Wäre auch noch eine Option. VPN ist natürlich das sicherste.

 

[w00dcu11er]

einen Geo-Block

Die Lösung hier von @geimist wäre ein guter Ansatz:
https://www.synology-forum.de/threads/staendige-anmeldeversuche-am-dsm.122250/page-2#post-1015901

 

[maxblank]

Wenn ein schlechter Bot anklopft dann halt nur ganz einfach, auch das kein Sinn macht weil kaum ein Server noch auf admin hört
Das ist je normal

Bei mir klopft der Bot allerdings, zumindest bisher, nur an der Firewall oder Router.
Von daher ist das, zumindest für mich, nicht ganz normal. Wenn es soweit ist, sollte man sich dringend Gedanken machen.

 

[Ronny1978]

Hallo @maxblank ,

ich denke, der TE leitet auf die DS weiter. Dann blockt auch die Firewall nix weg, oder? Wenn ich Port 22 weiterleite, heißt das doch: "Freie Fahrt zum Endgerät. Das wird schon damit was anfangen können."

Wenn du vorher blockst, dann natürlich nicht. Und wenn auf dem Router/Firewall ein Geoblock läuft oder Crowdsec, dann vielleicht auch nicht. Aber das glaube ich hier beim Ersteller nicht.

Aber Wissen ist Macht. Ich weiß nichts, macht nichts.

 

[maxblank]

Das mag sein, macht das Ganze aber nicht sicherer und trotzdem ist es nicht normal, so wie es salopp geschildert wurde.
Der TE hat allerdings auch deutlich zu wenig Infos über die Art der Dienste, Netzwerkaufbau usw. gegeben.