Hallo,
ich probiere schon eine ganze Weile an dem Thema herum und glaube langsam, dass der Sicherheitsmechanismus von Qnap gar nicht richtig funktioniert.
Mein NAS ist ein QNAP TS-119 mit der aktuellsten Firmware 3.8.2 (mit älteren Versionen hatte ich die gleichen Probleme).
Das NAS hängt hinter einer Fritzbox Cable und es ist nur ein einziger Port freigegeben um das NAS von Außen über FTP zu erreichen, wobei nur FTP über SSH eingerichtet ist (man kann also nur als Administrator zugreifen). Das Passwort hat 16 Stellen die zufällig aus Groß- und Kleinbuchstaben sowie Zahlen generiert wurde. Es sollte also ausreichend sicher sein und bis heute habe ich auch keinen erfolgreichen login von Außen in den Logs gefunden.
Der Netzwerkzugangsschutz ist wie folgt eingestellt:
wobei für den Zugriff von Außen hier nur FTP wichtig ist.
Unter Sicherheitsstufe habe ich folgendes eingestellt:
Die Blackliste, dessen Einträge in der Datei ipsec_deny.conf zu finden sind ist übrigens mittlerweile auf über 1200 Einträge angewachsen.
Wenn ich mir nun das Systemereignislog anschaue:
fällt auf, dass das NAS immer wieder die gleiche IP-Adresse in die Ban-Liste aufnehmen will.
Das dürfte doch eigentlich gar nicht passieren. Sobald die IP-Adresse in der Ban-Liste ist sollte doch jeder Loginversuch - auch einer mit richtigen Zugangsdaten - geblockt werden
und durch eine entsprechende Fehlermeldung protokolliert werden.
Wenn ich mir das zugehörige Systemverbindungsprotokoll ansehe
sieht man, dass trotzdem die IP-Adresse geblockt ist und in der Ban-Liste eingetragen ist, die Zugriffsversuche munter weiter gehen.
Ich wollte es dann mal genau wissen und habe mich über mein Handy über das UMTS-Netz auf dem NAS erfolgreich eingeloggt.
Der Versuch wurde im Verbindungsprotokoll erfolgreich angezeigt.
Danach habe ich genau diese IP-Adresse in die Bann-Liste manuel eingetragen und mit "übernehmen" aktiviert.
Jetzt müsste ja ein weiterer Login-Versuch geblockt werden, auch dann wenn die Zugangsdaten stimmen.
Ist aber bei mir nicht so, der Login funktionierte prima, so als gäbe es keine Blacklist.
Für mich sieht es daher erst mal so aus, als würde dieser Mechanismus überhaupt nicht funktionieren.
Weiterhin ist mir aufgefallen, dass es im Verzeichnis \etc\config\ drei Dateien gibt
1.) ipsec_deny.conf
2.) ipsec_allow.conf
3.) ipsec.conf
Was ich überhaupt nicht verstehe ist, dass immer wenn die Automatik eine IP-Adresse in die Datei ipsec_deny.conf schreibt,
gleichzeitig der gleiche Eintrag in der Datei ipsec_allow.conf erzeugt wird. Das macht für mich irgend wie keinen Sinn.
Wäre super wenn es jemanden gäbe der mein Verständnis hier erhellen könnte oder aber
bestätigen kann, dass die Blacklist und Whitelist gar nicht richtig funktionieren und damit ein wichtiger Sicherheitsmechanismus des Qnap NAS unbrauchbar ist.
Ich habe auch schon die Suchen in diesem und auch in den englischen Foren bemüht, aber nichts wirklich Passendes bzw. Verwertbares gefunden, was irgendwie auch merkwürdig ist, da so ein Bug doch schon mal aufgefallen sein müsste.
Es könnte daher auch noch sein, dass mit meinem NAS etwas nicht stimmt, nur wo soll man da anfangen zu suchen :roll: ?
Viele Grüße