fail2ban installieren auf QNAP TS-473A mit QuTS hero (5.2.0.2782 build 20240601)

Installation von fail2ban auf einem QNAP NAS mit QuTS hero

Hallo zusammen,

ich würde gerne wissen ob man auf einem TS-473A mit QuTS hero (5.2.0.2782 build 20240601) fail2ban

installieren kann und wenn ja ob es dazu irgendwo eine Anleitung gibt. Ich habe zwar über eine

Suchmaschine mehrere Hinweise gesehen das so etwas möglich ist aber eben keine richtige

Anleitung dazu gefunden. Es wäre auch nett zu wissen, ob damit Probleme gibt die bekannt

sind oder aber ob das Programm vielleicht sogar bei mehreren Anwendern in Benutzung ist

und man mir hier und dort eine kleine Hilfestellung bei der Installation geben könnte.

(Wenn es sich denn installieren lässt)

Hallo und meinen Dank an Dich für die schnelle Antwort.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von mad99

Wenn der Angreifer schon soweit in deinem Netz ist,

Ich betreibe eine AVM FB 7590ax-S0 und verbinde mich nur mittels VPN aus dem Internet.

Dort sind keine Ports geöffnet, ich werde zum Einen die Firewall von QNAP installieren und

zum Anderen möchte ich gerne fail2ban installieren und das nur für das LAN Segment.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von mad99

das er sich auf dem NAS anmelden, bzw. es versuchen kann, hast du ein anderes Problem.

Das fail2ban ist für (gegen) Benutzer aus dem LAN und die haben nun einmal Zugang zum NAS

dafür wurde es ja angeschafft.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von mad99

Zuerst mal alle Portfreigaben (=forwardings) schliessen,

Am "Boardderrouter" mit Internetzugang sind keine Ports offen und das bringt mir auch nichts die dort alle

zu schließen, wenn jemand aus dem LAN versucht sich Zugang zu verschaffen

Hallo alle zusammen,

ok die Qfirewall kommt so oder so drauf, ist bei allen OS außer iOS auch immer der Fall

sei es denn nun Windows 10 x86_64Bit oder Apple Sonoma die bringen auch alle Ihre

Firewall mit. Aber das mit den Listen ist schon ein guter Ansatz denn ich habe folgendes

vor; Ich werde dort für jeden Zugang einen Benutzer anlegen und diesem dann Rechte

zuweisen, das mit dem Control Panel "Sicherheit" schaue ich mir auch einmal an, dort

kann man dann die IP Adressen der Geräte hinterlegen die im LAN vorhanden sind

gar keine Frage ist das schon nett, aber wenn jemand sie es nun extern oder intern

eine Brutforce-Attacke startet werden in der Regel mehrere Millionen Passwörter in

wenigen Sekunden durchprobiert und genau hier setzt fail2ban an, 1x falsche PW

5 Minuten warten, 2x falsches PW 10 warten und beim dritten Mal dann mindestens

24 Stunden, das hört sich zwar ganz einfach und schnöde an, aber wenn die Absender

IP des "Angreifers" auch noch wechselt dann sind das zig Millionen versuche in mehreren

Minuten und das wird dann eben auf ein Minimum an Versuchen mittels fail2ban herunter

gesetzt. Dazu kommt noch das das System agil bleibt und noch reagiert.

Jeder macht das so wie es für richtig hält ich sehe fail2ban auch eher als eine sagen wir mal

Bereicherung oder eine zusätzliche "Hilfe" die anderen Sachen zu unterstützen und nicht

als alleiniges Teil oder der alleinige Punkt in Sachen Sicherheit.

Ich wollte das wie folgt regeln;

- Aktuelle Firmware drauf (falls nötig)

- QuTS hero 5.2 (5.2.0.2782 build 20240601) installieren

- Keine Ports aufmachen

- Putty (SSH) mit Passwort und Schlüssel sichern

- Benutzer anlegen und Rechte vergeben

- Security Center

- Malware Remover

- QuFirewall installieren

- AV Lösung (McAffee, ClamAV oder QNAP intern)

- fail2ban installieren

Ich weiß da gibt es bessere Lösungen und sicherlich ist das auch nicht das "gelbe vom Ei"

nur das ist eben das was mir so durch den Kopf ging und ich habe halt auch im Internet

recherchiert und bin immer wieder auf Antworten mit "fail2ban drauf und fertig" gestoßen

und von daher kam bei mir eben die Frage auf, wie installieren und wo ist eine Quelle dazu!

Ist jetzt auch nicht der Weltuntergang wenn das nicht funktionieren sollte, wäre eben nur

schick gewesen wenn es sich denn einrichten ließe.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von tiermutter

... die Sperrliste vom OS an. X Fehllogins in Y Minuten = IP für Z Minuten/Stunden/immer gesperrt

War mir so nicht bekannt, das ist eigentlich genau das was fail2ban macht, das sollte dann schon reichen.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von tiermutter

Lediglich diese "Staffelung" die Du angesrpochen hast gibt es nicht.

Ah ok das ist aber trotz alledem schon ganz nett wenn man dann 30 minute eingibt sollte das auch schon

reichen. Klar wäre das mit 5 min, 30 min und komplett schon "nice to have" aber so passt das auch erst einmal.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von Becker2020

Privat oder um ein Firmennetzwerk

Privat, aber für 4 Personen.

Mod: Unnötiges Volltext-/Direktzitat entfernt! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

NaStrada

So sehe ich das auch, sollte eben so sicher wie möglich sein und da ist mir dann auch ein wenig

Leistungseinbuße "egal".

Zitat von tiermutter

Fang bei "so sicher wie möglich" jetzt aber bitte nicht mit so einem Unfug an wie den Resettaster und SSH zu deaktivieren

"Nichts ist sicher und alles ist möglich", ist mein Grundsatz und von daher fange ich eben

von "hinten" an die Sache "aufzurollen". Es ist 100 % unsicher, und dann mittels mehrerer

Maßnahmen geht man immer ein Stück mehr auf die Sicherheit zu. SSH wird mittels Key

und Passwort abgesichert. Und Kinder bleiben eben Kinder, sicherlich ist das eine

erzieherische Maßnahme, nur wie schon erwähnt Kinder bleiben eben immer Kinder.