wired2051
Anmeldungsdatum: 28. Februar 2007
Beiträge: 2736
|
Ich habe bei meinem Synology NAS das Blockieren von IPs mit zu viel fehlgeschlagenen Anmeldeversuchen aktiviert (SSH, Telnet, rsync, FTP, WebDAV und DSM). Gestern habe ich das, aus eigener Blödheit, erstmals selbst ausgelöst. Ich konnte nicht mehr ins Webinterface (DSM) einloggen, Telnet misslang wegen Connection closed by foreign host und fish://admin@IP_DES_NAS:22/ ging auch nicht. Lediglich smb://admin@IP_DES_NAS/ funktionierte von meinem Produktivsystem aus. Daraus resultiert meine erste Frage: wie kann man in so einem Fall noch auf das NAS zugreifen? Oder andersherum, ist es ein Problem, dass Samba nicht gesperrt wurde? Lösen konnte ich das Problem, indem ich mich mit einem anderen PC, mit anderer IP, einloggte. Mich wundert aber, warum ich auch nach einem reboot wieder die gleiche IP bekommen habe. In den Netzwerkeinstellungen von Kubuntu ist bei IPv4 und IPv6 die Methode "Automatische" gewählt und im Router (FritzBox 7490) ist Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen deaktiviert. Moderiert von sebix: Thema in einen passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) in jedem Forenbereich. Danke.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
wired2051 schrieb: wie kann man in so einem Fall noch auf das NAS zugreifen?
Wenn du das koenntest, sind deine Vorkehrungen wohl nicht vollstaendig. Oder andersherum, ist es ein Problem, dass Samba nicht gesperrt wurde?
Ich wuerde auch Samba in deine fail2ban regeln aufnehmen und dabei auch gleich die maximal erlaubten Fehlversuche hochdrehen, damit dir das nicht passiert. Mich wundert aber, warum ich auch nach einem reboot wieder die gleiche IP bekommen habe. In den Netzwerkeinstellungen von Kubuntu ist bei IPv4 und IPv6 die Methode "Automatische" gewählt und im Router (FritzBox 7490) ist Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen deaktiviert.
Das zuweisen per DHCP macht dein DHCP-Server, vermutlich der Router. Und der merkt sich einfach welche MAC welche IP bekommen hat, auch wenn die Verbindung kurz unterbrochen ist. It's a feature, not a bug.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
wired2051 schrieb: Daraus resultiert meine erste Frage: wie kann man in so einem Fall noch auf das NAS zugreifen? Oder andersherum, ist es ein Problem, dass Samba nicht gesperrt wurde?
Vermutlich blockiert das System nur bestimmte Dienste, abhängig davon, welche Regel zugeschlagen hat. In deinem Fall hat das System vermutlich jeglichen administrativen Zugriff von dieser IP aus gesperrt. Das zumindest würde erklären, warum Telnet, das Webfrontend und SSH nicht zugreifbar war, Samba aber schon.
Mich wundert aber, warum ich auch nach einem reboot wieder die gleiche IP bekommen habe. In den Netzwerkeinstellungen von Kubuntu ist bei IPv4 und IPv6 die Methode "Automatische" gewählt und im Router (FritzBox 7490) ist Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen deaktiviert.
Nun, das heißt einfach, dass die Fritzbox keine Liste führt, welches Gerät welche IP bekommen soll. Wenn du trotzdem die gleiche IP bekommen hast, war das eben die nächste freie. Das abschalten dieser Merk-Funktion ist also nicht gleichbedeutend mit "verteile zufällige IPs".
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8558
Wohnort: Münster
|
wired2051 schrieb: […] Mich wundert aber, warum ich auch nach einem reboot wieder die gleiche IP bekommen habe. In den Netzwerkeinstellungen von Kubuntu ist bei IPv4 und IPv6 die Methode "Automatische" gewählt und im Router (FritzBox 7490) ist Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen deaktiviert.
Ein DHCP-Client fordert die letzte im bekannte (oder auch alle in seiner History aufgeführten) Adresse(n) vom Server an. Der Server muss diesem Vorschlag des Client nicht folgen, wird es aber in der Regel tun, d.h. sofern die angeforderte Adresse noch frei ist. Die alten DHCP-Konfigurationen findest Du als lease(s) im Verzeichnis /var/lib/dhcp/ für den freilaufenden dhclient oder in /var/lib/NetworkManager/ für einen von NetworkManager kontrollierten DHCP-Client.
|
wired2051
(Themenstarter)
Anmeldungsdatum: 28. Februar 2007
Beiträge: 2736
|
sebix schrieb: Ich wuerde auch Samba in deine fail2ban regeln aufnehmen und dabei auch gleich die maximal erlaubten Fehlversuche hochdrehen, damit dir das nicht passiert.
Naja, falls ich mich so wirklich dauerhaft ausgeschlossen hätte, hätte ich wenigstens noch via Samba auf meine Daten zugreifen können. Gibt es denn so etwas wie "übliche" Einstellungen? Bei mir sind es 5 Fehlversuche in 5 Minuten, das finde ich moderat. Aber ich habe nun eine Aufhebung der Blockade nach 1 Tag eingerichtet. Ist das eine doofe Idee? misterunknown schrieb: wired2051 schrieb: Mich wundert aber, warum ich auch nach einem reboot wieder die gleiche IP bekommen habe. In den Netzwerkeinstellungen von Kubuntu ist bei IPv4 und IPv6 die Methode "Automatische" gewählt und im Router (FritzBox 7490) ist Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen deaktiviert.
Nun, das heißt einfach, dass die Fritzbox keine Liste führt, welches Gerät welche IP bekommen soll. Wenn du trotzdem die gleiche IP bekommen hast, war das eben die nächste freie. Das abschalten dieser Merk-Funktion ist also nicht gleichbedeutend mit "verteile zufällige IPs".
Ah, ein Denkfehler von mir. Danke für den Klaps auf den Hinterkopf kB schrieb: Die alten DHCP-Konfigurationen findest Du als lease(s) im Verzeichnis /var/lib/dhcp/ für den freilaufenden dhclient oder in /var/lib/NetworkManager/ für einen von NetworkManager kontrollierten DHCP-Client.
/var/lib/dhcp/dhclient.leases ist leer, die Dateien in /var/lib/NetworkManager/ überfordern mich. Ist es wirklich erforderlich, dass ich mich da rein arbeite, oder reichen nicht die gemachten Änderungen (s.o.)?
|
nitimax
Anmeldungsdatum: 22. September 2016
Beiträge: 52
|
Hallo wired2051 Ich glaube nicht, dass du dich da einarbeiten musst... (wenn es nicht ums Wissen geht) Zur Not kann man auch den DHCP-Server einfach ignorieren, indem man die richtigen Einstellungen unter "Manuell" einstellt und dabei das richtige Subnetz und eine freie IP-Adresse wählt. VlG Nitimax
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
wired2051 schrieb: sebix schrieb: Ich wuerde auch Samba in deine fail2ban regeln aufnehmen und dabei auch gleich die maximal erlaubten Fehlversuche hochdrehen, damit dir das nicht passiert.
Naja, falls ich mich so wirklich dauerhaft ausgeschlossen hätte, hätte ich wenigstens noch via Samba auf meine Daten zugreifen können. Gibt es denn so etwas wie "übliche" Einstellungen? Bei mir sind es 5 Fehlversuche in 5 Minuten, das finde ich moderat. Aber ich habe nun eine Aufhebung der Blockade nach 1 Tag eingerichtet. Ist das eine doofe Idee?
Halte ich fuer eine doofe Idee. Die Intention von tempoeren Bans ist das Verhindern einer Ueberlastung des Servers und das Verhindern von Brute-Force-Attacken (fuer Passwoerter). Es ist damit nur marginal auch teilweise eine Sicherheitsfunktion. Bei so hohen Bantimes aergerst du dir nur selbst.
|
wired2051
(Themenstarter)
Anmeldungsdatum: 28. Februar 2007
Beiträge: 2736
|
nitimax schrieb: Ich glaube nicht, dass du dich da einarbeiten musst... (wenn es nicht ums Wissen geht)
Danke, das ist beruhigend. Wissen auf diesem Gebiet ist für mich nicht so wichtig, da gibt es genug anderes. 😉 sebix schrieb: Die Intention von tempoeren Bans ist das Verhindern einer Ueberlastung des Servers und das Verhindern von Brute-Force-Attacken (fuer Passwoerter). Es ist damit nur marginal auch teilweise eine Sicherheitsfunktion. Bei so hohen Bantimes aergerst du dir nur selbst.
Also besser nur 1 Stunde bannen? Andererseits sind bei Brute-Force-Angriffen wahrscheinlich schon 5 Minuten störend, oder? Leider kann ich mit der GUI bei meinem NAS nur Tage einstellen. 🙄 Danke für Eure Hilfe. 👍 Ich markiere als gelöst.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
wired2051 schrieb: Also besser nur 1 Stunde bannen?
Ich banne bis auf Ausnahmen 8 Stunden. Das ist eher eine Glaubensfrage.
|