Benachrichtigung bei User Login oder FTP Zugriff

  • Ist bei Dir bei den Sicherheitseinstellungen das Sperren der IP nach einer gewissen Anzahl aktiviert? Wenn Du z.B. 5 Fehlerversuche innerhalb von 5 Minuten hast, dann wir der Benutzer gesperrt und es wird eine Fehlermeldung ausgegeben. Das müsste meiner Meinung nach auch mit FTP funktionieren. Da FTP ein altes Protokoll ist, eigentlich ein veraltetes, würde ich dies nicht empfehlen nach Außen zu öffnen und zu verwenden.

    Ich verwende FTP zu wenig also dass ich hier aus dem Gedächtnis alles sagen könnte. Das muss ich mir mal in einer ruhigen Minute ansehen. Ich weiß, das habe ich oben auch schon geschrieben und irgendwann kommt diese ruhige Minute auch, vielleicht. :)

  • Ist bei Dir bei den Sicherheitseinstellungen das Sperren der IP nach einer gewissen Anzahl aktiviert?

    Ja, ist aktiviert.

    Wenn Du z.B. 5 Fehlerversuche innerhalb von 5 Minuten hast, dann wir der Benutzer gesperrt und es wird eine Fehlermeldung ausgegeben.

    Ist bekannt und war meinerseits sogar exakt so eingestellt.

    Screen.png

    Das müsste meiner Meinung nach auch mit FTP funktionieren.

    Das kann durchaus sein, aber das Thema hier heißt ja "Benachrichtigung bei User Login oder FTP Zugriff", und mir persönlich ging es jetzt tatsächlich einzig um Ersteres (HTTPS Login Fails). Benachrichtigungen bei FTP-Zugriff sind mir persönlich egal. Ich nutze FTP so gut wie nie.

    Da FTP ein altes Protokoll ist, eigentlich ein veraltetes, würde ich dies nicht empfehlen nach Außen zu öffnen und zu verwenden.

    Sehe ich ähnlich, löst das Problem aber leider auch nicht, dass es im Systemverbindungsprotokoll ordnungsgemäß geloggte Warnungen bei HTTPS Login Fails niemals bis in das Benachrichtigungszentrum schaffen, damit eine entsprechende Benachrichtigungsregel greifen könnte ?(

  • So, hatte mal eine ruhige Minute. :D Ich kann Euer Problem bestätigen. Es werden keinerlei Meldungen des Verbindungsprotokolls per E-Mail weitergeleitet, sogar wenn ich den Umweg über den Syslog-Server gehe. Dies hat QNAP wohl schlichtweg vergessen. Ich bekomme zwar Meldungen wegen jeder kleinsten Einstellung die ich angepasst habe, aber dass ich gerade möglicherweise gehackt werde hält QNAP scheinbar nicht für eine Benachrichtigung wert. :cursing:


    Im Detail:

    Selbst wenn ich alles einstelle und weiterleite was irgendwie per E-Mail weiterleitbar ist kommt nichts aus dem Verbindungsprotokoll an. Man kann ja nachsehen, welche Meldungen das Notifications Center verarbeitet hat. Hier werden keinerlei Meldungen des Verbindungsprotokoll gelistet. Fehlerhafte Anmeldungen werden jedoch im Verbindungsprotokoll und nicht im Systemereignisprotokoll verarbeitet. Deshalb müsste das Verbindungsprotokoll auch über das Notifications Center laufen - tut es aber scheinbar nicht. Das selbe Spiel auch mit dem Syslog-Server, da dieser nun auch über das Notifications Center läuft. Der Syslog-Server erhält zwar die Meldung der Fehlanmeldung, verarbeitet diese jedoch nicht per Mail weiter.

    Getestet habe ich das ganze unter QTS 4.4.1.1064 mit HTTP-Zugriffen - sollte eigentlich keine Rolle spielen welches Protokoll, aber HTTP wäre ja extrem kritisch und wichtig zum melden - und mit E-Mailbenachrichtigung. Kann sein, dass dies mit SMS-, Instant- oder Push-Dienst funktioniert, nutzt aber sehr wenig wenn man die E-Mailbenachrichtigung benötigt. Auch nicht ganz auszuschließen, dass in der vor ein paar Tagen veröffentlichten Version 4.4.1.1081 dieser Fehler schon behoben wurde. Im Changelog ist dazu jedoch nichts zu finden. Jemand diese Version schon im Einsatz?


    Meine Empfehlung: Alle ein Ticket beim QNAP-Support öffnen und diesen Fehler melden, damit sie sehen, dass dies kein Einzelfall ist. Je mehr desto besser.


    Edit:

    Selbes Bild, wenn eine IP-Adresse auf der Ban-List landet, obwohl hier noch ein Eintrag im Systemereignisprotokoll gemacht wird und die Meldung im Notifications Center landet. Aber weitergeleitet per E-Mail wird sie bei mir nicht.


    Edit2:

    Das mit der Ban-List zurück. Da hat von einem anderen Versuch noch ein Häkchen gefehlt. Die Meldung mit der gesperrten IP auf der Ban-List funktioniert bei mir. Hier wird sogar gemailt wenn diese IP wieder von der Ban-Liste genommen wurde. Wäre schon mal ein Ansatz, wenn man die Sicherheit auf 5 Fehlversuche setzt - gehe davon aus, dass ein Hackerangriff mit Brute Force mehr als 5 Versuche braucht.

    2 Mal editiert, zuletzt von Mavalok2 ()

  • Ich kann Euer Problem bestätigen.

    Danke dafür!


    Es werden keinerlei Meldungen des Verbindungsprotokolls per E-Mail weitergeleitet, sogar wenn ich den Umweg über den Syslog-Server gehe.

    Letzteres hätte selbst ich zunächst nicht vermutet. Damit ist der vermeintliche Workaround nun leider auch schon gestorben.


    Ich bekomme zwar Meldungen wegen jeder kleinsten Einstellung die ich angepasst habe, aber dass ich gerade möglicherweise gehackt werde hält QNAP scheinbar nicht für eine Benachrichtigung wert.

    Und nur deswegen hätte ich persönlich die Benachrichtigungsregel ja einrichten wollen.

    Auch nicht ganz auszuschließen, dass in der vor ein paar Tagen veröffentlichten Version 4.4.1.1081 dieser Fehler schon behoben wurde. Im Changelog ist dazu jedoch nichts zu finden. Jemand diese Version schon im Einsatz?

    Ja, ich hatte und habe QTS 4.4.1.1081 im Einsatz und mich erst danach mit dem besagten Problem hier zu Wort gemeldet. Daher kann ich aus sicherer Quelle sagen, dass das Problem auch in der aktuellsten Version eben noch nicht behoben wurde. Leider.


    Kann sein, dass dies mit SMS-, Instant- oder Push-Dienst funktioniert

    Push funktioniert (zumindest unter iOS 13) leider auch nicht. Zu SMS und Instant kann ich nichts sagen.

    Selbes Bild, wenn eine IP-Adresse auf der Ban-List landet, obwohl hier noch ein Eintrag im Systemereignisprotokoll gemacht wird und die Meldung im Notifications Center landet. Aber weitergeleitet per E-Mail wird sie bei mir nicht.

    Danke für den Hinweis. Auf meiner Ban-List befinden sich nämlich bereits IP-Adressen aus (vermutlich) China und Italien. Umso tragischer, dass offenbar noch nicht mal DANN eine Beachrichtigung erfolgt.

  • Die Ban-List funktioniert doch. Da hat sich Dein Beitrag und das Editieren meines Beitrages überschnitten. Ich hatte da ein Häkchen falsch gesetzt.

    Edit2:

    Das mit der Ban-List zurück. Da hat von einem anderen Versuch noch ein Häkchen gefehlt. Die Meldung mit der gesperrten IP auf der Ban-List funktioniert bei mir. Hier wird sogar gemailt wenn diese IP wieder von der Ban-Liste genommen wurde. Wäre schon mal ein Ansatz, wenn man die Sicherheit auf 5 Fehlversuche setzt - gehe davon aus, dass ein Hackerangriff mit Brute Force mehr als 5 Versuche braucht.


    Damit ist der vermeintliche Workaround nun leider auch schon gestorben.

    Muss das mit dem Syslog-Server mal in der Firma überprüfen, denn hier läuft der Syslog-Server nicht unter QTS 4.4.1. Aber ja, unter QTS 4.4.1 ist dies demnach auch kein Workaround.

  • Ich habe das Problem nun als solches abgehakt und werde als nächste NAS keine Qnap mehr nehmen. Muss nur warten bist diese abgeschrieben ist.

    Vielen Dank ans Forum !!!

  • Hallo in die Runde,

    ich wünsche mir auch gern so eine Funktionalität: Warnungen / Errors aus dem "System Connection Log" werden via E-Mail signalisiert.

    Leider ist auch meine Beobachtung, dass im aktuellen QTS (meine Version: 4.4.1.1146) gar-nichts aus dem System Connection Log in das Notification Center fließt (und damit keine der Infos als Notification / Email weiterverarbeitet werden).


    Komischerweise habe ich als einzigstes hinbekommen: wenn der default user "admin" (den ich eig. gar nicht so aktiv lassen wollte) einen Login-Fehlversuch macht, dann wird das auch in den System Events als Error geloggt. und dafür kann man dann Emails erhalten. Aber bei selbst erstellten Admins klappt das nicht (kein Extra Eintrag in den System Logs)


    Ich habe auch schon mal ein Ticket bei QNAP aufgemacht - habe dieses issue (nix aus "System Connection Log" fließt in Notification Center) genau beschrieben aber leider wollten die dann eine Screenshare Login auf mein NAS machen - das fand ich irgendwie nicht gut.


    Also noch mal in die Runde gefragt: Kennt keiner einen Weg derartige Notifications über User Logins / Connection Attempts zu erhalten?


    das ist doch echt eine sehr unschöne Lücke die QNAP da lässt.... es gibt ein Logging ("System Connection Log") - aber benachrichtigen lassen kann man sich damit nicht. :(

  • Okay danke.. also wir halten fest: mit aktuellen QNAP Boardmitteln sind solche Notifications nicht möglich.


    Sind wir uns da einig, dass es eigentlich ein Bug ist? (ich mache noch mal ein Ticket auf :) )


    PS: IP blocker: ja - danke habe ich aufmerksam gelesen. Ich habe doch noch eine IP Whitelist im Einsatz (das gibt mir irgendwie mehr gefühlte SIcherheit ;) ). Wenn diese Aktiv ist, ist übrigens die Lasche zu "IP Access Protection" ausgegraut.

  • Sind wir uns da einig, dass es eigentlich ein Bug ist?

    Bin nicht sicher. Möglicherweise wird die Benachrichtigung jeder Fehlanmeldung in Taiwan als störend und nicht notwendig angesehen. Wenn Du jede Meldung im Verbindungsprotokoll per Mail bekommst, na dann aber Mahlzeit. Ich bin der Meinung, dass dies jeder selber für sich wissen muss und selbst entscheiden können sollte. Ich würde es eher als ein nicht vorhandenes Features sehen, denn mit der richtigen Konfiguration bekommt man ja die notwendigen Meldungen. Und einen regelmäßigen Blick in die Logs sollte man ohnehin werfen.

    Aber warten wir mal ab was QNAP dazu sagt. Aber vermutlich habe die ihre NAS auch nicht einfach so offen im Internet stehen und dann gibt es so gut wie keine Fehlanmeldungen. :evil::D

  • Okay danke.
    Verstehe Deinen Punkt. Für mich wäre der beschriebene Weg über einen „dann gesperrten“ User/ip m.E. Ein workaround.


    Als Quelle kann man ja in Notification Center konkret System Connection auswählen... (Event Notification > Edit rule for Event Notification > System Logs > System Connection). Es wird jedoch rein gar nix aus dem System Connection Logs weiterverarbeitet.


    Und wenn es diese umfassende Auswahl der Events + dann noch mal Filter auf error warning info und keywords gibt, dann kann ja echt jeder selber entscheiden was man sich senden lässt.


    Ich bin mal gespannt was letztendlich wieder der support sagt.

  • Habe mir gestern auch Mal die Mühe gemacht und per Ticket nachgefragt, warum man über Login/Logouts nicht benachrichtigt werden kann...

    Mal sehen wann, ob und was für eine Antwort ich bekomme :-/

  • Die Antwort würde mich an dieser Stelle auch interessieren.

  • Danke für die Antwort.

    Wenn ich schon lese "wenn sie wünschen".

    Warum nicht gleich?

    Aber ich denke das hat für QNAP keine Priorität.

    Wenn es aber genügend Leute "wünschen", wirds vielleicht was.

  • Bei meinem request kam jetzt folgendes: (und ich gehe davon aus es wird nicht helfen - probiere es am WE mal):


  • ich gehe davon aus es wird nicht helfen

    Nachdem diese "Funktion" bei niemanden zu funktionieren scheint wirst Du wohl bedauerlicherweise recht behalten. Sehr interessant, wie unterschiedliche Lösungen man von den unterschiedlichen Support-Mitarbeitern für das selbe Problem erhält. Ich tippe da aber eher auf den Feature Request als Lösung.

  • Kenn mich ehrlich gesagt nicht im Detail aus.

    Deswegen frage ich mit meinem gefährlichen Halbwissen nach.

    Der erste Befehl stoppt das NotificationCenter. Der zweite löscht die Ereignisdatenbank, und der dritte startet das NotificationCenter wieder. Wie soll dadurch der fehlenden Trigger hinzukommen?!

  • Das ist die große Frage. Vor allem wäre dann die Datenbank bei vielen und unterschiedlichen Modellen defekt. Aber auf der anderen Seite, Bugs in der QTS Firmware kommt ja so gut wie nie vor. :evil: :)Migrationsprobleme? Ausprobieren.