Netzwerkzugangsschutz greift nicht wie erwartet.

    Ich habe Probleme den Menüpunkt "Netzwerkzugangsschutz" zu intepretieren oder zu deuten.

    Meine TS-253B ist über eine sub.domain.de erreichbar. Ausschließlich per SSL/TLS. Das Zertifikat kommt von LE.

    Die Auflösung macht meine Syno per rProxy.


    q2.PNG


    Das ganze läuft wunderbar.

    Auf der TS-253B habe ich bei dem Netzwerkzugangsschutz HTTP(S) aktiviert. 1 Minute, 5 Versuche, gesperrt für 5 Minuten.

    Spaßeshalber mal auf Funktion überprüft und weit mehr als 5x falsch versucht anzumelden.

    Die Versuche werden auch protokolliert.


    Code
    Schweregrad    Datum    Uhrzeit    Benutzer    Quellen-IP    Anwendung    Kategorie    Inhalt    
Warnung    16.08.2019    23:13:20    System    127.0.0.1    Security    Security Level    [Security] Added IP address "95.117.xx.xx" to IP block list. Duration: for 5 minutes.

    Die sub.domain.de kann ich nach wie vor aufrufen und mich so oft (bewusst falsch) anmelden, wie ich lustig bin.


    Meine Intepretation, bzw. Wunschvorstellung: Bei erreichen der definierten Anzahl an Falschmeldungen den Client, bzw die IP sperren. Meinetwegen wirft der Browser einen Timeout. Und erst nach Ablauf von xMinuten darf der Client/die IP wieder die URL aufrufen.


    Es bringt nichts, wenn QTS zwar Protokolliert, aber ohne jedwede Konseqenzen ein Aufruf/Anmeldung trotzdem weiterhin möglich ist.


    Kann mir das bitte jemand erklären? Auch an euren Deutungen wäre ich sehr interessiert.

    Kann man das evtl. noch sicherer gestalten? Klar, per VPN zum Beispiel. :)

    Aber ich will ergründen wie QNAP den Zugangsschutz intepretiert, und wo unsere Meinungen auseinandergehen.

    Ich hatte das gleiche Problem, mit der Sophos als Proxy. Die QNAP scheint wohl auch die interne IP der Sophos (Proxy) auszuwerten.

    Bedeutet für mich, dass er zwar die öffentlich IP erkennt und sperrt, aber immer noch denkt, dass die Anfrage von der Sophos kommt.


    Ich hab seitdem die Zusatz Authentifizierung der Sophos aktiviert. Das gibt mir ein bisschen mehr vermeintliche Sicherheit.


    P.S.: Das Wort Sophos kannst du hier dann bei dir mit rProxy ergänzen ;)

    Hallo Stefan,


    Danke für das Feedback. Irgendwie so in die Richtung dachte ich auch schon.

    Aber im Prinzip sollte es egal sein, von welcher IP (WAN oder Intern) die Anmeldungen kommen. Nach xVersuchen muß blockiert werden.

    Ich hab das ganze auch bereits mit Sophos UTM probiert.

    Hier, -wie bei Dir- das gleiche Verhalten. X(

    Dokumentiert das und macht ein Ticket für die Entwicklung auf.


    Ich nutze die Funktion auch intern nicht mehr, Firewall + VPN reicht mir.

    Einzig Plex hat eine Weiterleitung.

    Kann es sein, dass dann nur das entsprechende Protokoll blockiert wird? Bin gerade am Überlegen wie es bei mir war. 5 mal falsch anmelden über SMB > IP auf Blacklist > Anmeldung über SMB funktioniert nicht mehr und wird definitiv blockiert. Aber ich glaube, ich konnte mich weiterhin über HTTP (intern) über die WebGUI anmelden.

    Du musst der QNAP eigentlich nur klar machen, das die interne IP ein Reverse Proxy ist.

    Die Frage an welcher Stelle...

    Bei der Nextcloud kannst du das ja auch einstellen( config.php), sonst erkennt sie auch immer nur Anmelde Versuche von intern...


    Lustiger wird es, wenn du die Virtualisation Station über den Proxy schickst. Hier geht dann keine Anmeldung über ssl sondern nur unverschlüsselt.


    Crazyhorse: Mit dem Thema Ticket hab ich abgeschlossen. Es werden nur noch workarrounds gebastelt. Geht schneller und nervt nicht so. Sorry

    Zitat von Mavalok2

    Kann es sein, dass dann nur das entsprechende Protokoll blockiert wird?

    Das würde mir ja auch schon reichen. Leider ist dass nicht der Fall.

    Zitat von rednag

    Die sub.domain.de kann ich nach wie vor aufrufen und mich so oft (bewusst falsch) anmelden, wie ich lustig bin.

    Es scheint als wären nur wir 3 User davon betroffen. :)

    Direkt per Port will ich nicht gehen. Da ist mir das Risiko doch zu groß.

    Zitat von rednag

    Meine Intepretation, bzw. Wunschvorstellung: Bei erreichen der definierten Anzahl an Falschmeldungen den Client, bzw die IP sperren. Meinetwegen wirft der Browser einen Timeout. Und erst nach Ablauf von xMinuten darf der Client/die IP wieder die URL aufrufen.


    Richtig. Vor Jahren habe ich noch Fern-Backups per rsync ohne VPN gemacht und auch mit dem Netzzugangsschutz gearbeitet. So hat es funktioniert.

    Sehr schön.

    Warum geht das aber nicht über rProxy?

    Das Setup ist doch nichts ungewöhnliches.

    Die Frage ist doch, ob es überhaupt an rProxy liegt. Wie reagiert der Zugangsschutz denn, wenn du über die interne IP des QNAP durch mehrere Fehlanmeldungen die Sperre provozierst?

    Kann ich schwer testen, weil der Aufruf der internen IP mit einer Umleitung auf die Public Domain geht.


    Code
    'overwriteprotocol' => 'https',
  'overwritehost' => 'cloud.xx.de',