Benachrichtigung bei User Login oder FTP Zugriff

  • Ist bei Dir bei den Sicherheitseinstellungen das Sperren der IP nach einer gewissen Anzahl aktiviert? Wenn Du z.B. 5 Fehlerversuche innerhalb von 5 Minuten hast, dann wir der Benutzer gesperrt und es wird eine Fehlermeldung ausgegeben. Das müsste meiner Meinung nach auch mit FTP funktionieren. Da FTP ein altes Protokoll ist, eigentlich ein veraltetes, würde ich dies nicht empfehlen nach Außen zu öffnen und zu verwenden.

    Ich verwende FTP zu wenig also dass ich hier aus dem Gedächtnis alles sagen könnte. Das muss ich mir mal in einer ruhigen Minute ansehen. Ich weiß, das habe ich oben auch schon geschrieben und irgendwann kommt diese ruhige Minute auch, vielleicht. :)

  • Ist bei Dir bei den Sicherheitseinstellungen das Sperren der IP nach einer gewissen Anzahl aktiviert?

    Ja, ist aktiviert.

    Wenn Du z.B. 5 Fehlerversuche innerhalb von 5 Minuten hast, dann wir der Benutzer gesperrt und es wird eine Fehlermeldung ausgegeben.

    Ist bekannt und war meinerseits sogar exakt so eingestellt.

    Das müsste meiner Meinung nach auch mit FTP funktionieren.

    Das kann durchaus sein, aber das Thema hier heißt ja "Benachrichtigung bei User Login oder FTP Zugriff", und mir persönlich ging es jetzt tatsächlich einzig um Ersteres (HTTPS Login Fails). Benachrichtigungen bei FTP-Zugriff sind mir persönlich egal. Ich nutze FTP so gut wie nie.

    Da FTP ein altes Protokoll ist, eigentlich ein veraltetes, würde ich dies nicht empfehlen nach Außen zu öffnen und zu verwenden.

    Sehe ich ähnlich, löst das Problem aber leider auch nicht, dass es im Systemverbindungsprotokoll ordnungsgemäß geloggte Warnungen bei HTTPS Login Fails niemals bis in das Benachrichtigungszentrum schaffen, damit eine entsprechende Benachrichtigungsregel greifen könnte ?(

  • So, hatte mal eine ruhige Minute. :D Ich kann Euer Problem bestätigen. Es werden keinerlei Meldungen des Verbindungsprotokolls per E-Mail weitergeleitet, sogar wenn ich den Umweg über den Syslog-Server gehe. Dies hat QNAP wohl schlichtweg vergessen. Ich bekomme zwar Meldungen wegen jeder kleinsten Einstellung die ich angepasst habe, aber dass ich gerade möglicherweise gehackt werde hält QNAP scheinbar nicht für eine Benachrichtigung wert. :cursing:


    Im Detail:

    Selbst wenn ich alles einstelle und weiterleite was irgendwie per E-Mail weiterleitbar ist kommt nichts aus dem Verbindungsprotokoll an. Man kann ja nachsehen, welche Meldungen das Notifications Center verarbeitet hat. Hier werden keinerlei Meldungen des Verbindungsprotokoll gelistet. Fehlerhafte Anmeldungen werden jedoch im Verbindungsprotokoll und nicht im Systemereignisprotokoll verarbeitet. Deshalb müsste das Verbindungsprotokoll auch über das Notifications Center laufen - tut es aber scheinbar nicht. Das selbe Spiel auch mit dem Syslog-Server, da dieser nun auch über das Notifications Center läuft. Der Syslog-Server erhält zwar die Meldung der Fehlanmeldung, verarbeitet diese jedoch nicht per Mail weiter.

    Getestet habe ich das ganze unter QTS 4.4.1.1064 mit HTTP-Zugriffen - sollte eigentlich keine Rolle spielen welches Protokoll, aber HTTP wäre ja extrem kritisch und wichtig zum melden - und mit E-Mailbenachrichtigung. Kann sein, dass dies mit SMS-, Instant- oder Push-Dienst funktioniert, nutzt aber sehr wenig wenn man die E-Mailbenachrichtigung benötigt. Auch nicht ganz auszuschließen, dass in der vor ein paar Tagen veröffentlichten Version 4.4.1.1081 dieser Fehler schon behoben wurde. Im Changelog ist dazu jedoch nichts zu finden. Jemand diese Version schon im Einsatz?


    Meine Empfehlung: Alle ein Ticket beim QNAP-Support öffnen und diesen Fehler melden, damit sie sehen, dass dies kein Einzelfall ist. Je mehr desto besser.


    Edit:

    Selbes Bild, wenn eine IP-Adresse auf der Ban-List landet, obwohl hier noch ein Eintrag im Systemereignisprotokoll gemacht wird und die Meldung im Notifications Center landet. Aber weitergeleitet per E-Mail wird sie bei mir nicht.


    Edit2:

    Das mit der Ban-List zurück. Da hat von einem anderen Versuch noch ein Häkchen gefehlt. Die Meldung mit der gesperrten IP auf der Ban-List funktioniert bei mir. Hier wird sogar gemailt wenn diese IP wieder von der Ban-Liste genommen wurde. Wäre schon mal ein Ansatz, wenn man die Sicherheit auf 5 Fehlversuche setzt - gehe davon aus, dass ein Hackerangriff mit Brute Force mehr als 5 Versuche braucht.

    2 Mal editiert, zuletzt von Mavalok2 ()

  • Ich kann Euer Problem bestätigen.

    Danke dafür!


    Es werden keinerlei Meldungen des Verbindungsprotokolls per E-Mail weitergeleitet, sogar wenn ich den Umweg über den Syslog-Server gehe.

    Letzteres hätte selbst ich zunächst nicht vermutet. Damit ist der vermeintliche Workaround nun leider auch schon gestorben.


    Ich bekomme zwar Meldungen wegen jeder kleinsten Einstellung die ich angepasst habe, aber dass ich gerade möglicherweise gehackt werde hält QNAP scheinbar nicht für eine Benachrichtigung wert.

    Und nur deswegen hätte ich persönlich die Benachrichtigungsregel ja einrichten wollen.

    Auch nicht ganz auszuschließen, dass in der vor ein paar Tagen veröffentlichten Version 4.4.1.1081 dieser Fehler schon behoben wurde. Im Changelog ist dazu jedoch nichts zu finden. Jemand diese Version schon im Einsatz?

    Ja, ich hatte und habe QTS 4.4.1.1081 im Einsatz und mich erst danach mit dem besagten Problem hier zu Wort gemeldet. Daher kann ich aus sicherer Quelle sagen, dass das Problem auch in der aktuellsten Version eben noch nicht behoben wurde. Leider.


    Kann sein, dass dies mit SMS-, Instant- oder Push-Dienst funktioniert

    Push funktioniert (zumindest unter iOS 13) leider auch nicht. Zu SMS und Instant kann ich nichts sagen.

    Selbes Bild, wenn eine IP-Adresse auf der Ban-List landet, obwohl hier noch ein Eintrag im Systemereignisprotokoll gemacht wird und die Meldung im Notifications Center landet. Aber weitergeleitet per E-Mail wird sie bei mir nicht.

    Danke für den Hinweis. Auf meiner Ban-List befinden sich nämlich bereits IP-Adressen aus (vermutlich) China und Italien. Umso tragischer, dass offenbar noch nicht mal DANN eine Beachrichtigung erfolgt.

  • Die Ban-List funktioniert doch. Da hat sich Dein Beitrag und das Editieren meines Beitrages überschnitten. Ich hatte da ein Häkchen falsch gesetzt.

    Edit2:

    Das mit der Ban-List zurück. Da hat von einem anderen Versuch noch ein Häkchen gefehlt. Die Meldung mit der gesperrten IP auf der Ban-List funktioniert bei mir. Hier wird sogar gemailt wenn diese IP wieder von der Ban-Liste genommen wurde. Wäre schon mal ein Ansatz, wenn man die Sicherheit auf 5 Fehlversuche setzt - gehe davon aus, dass ein Hackerangriff mit Brute Force mehr als 5 Versuche braucht.


    Damit ist der vermeintliche Workaround nun leider auch schon gestorben.

    Muss das mit dem Syslog-Server mal in der Firma überprüfen, denn hier läuft der Syslog-Server nicht unter QTS 4.4.1. Aber ja, unter QTS 4.4.1 ist dies demnach auch kein Workaround.

  • Ich habe das Problem nun als solches abgehakt und werde als nächste NAS keine Qnap mehr nehmen. Muss nur warten bist diese abgeschrieben ist.

    Vielen Dank ans Forum !!!