Habe genau die selben EintrĂ€ge und wĂŒrde gerne diesen Benutzernamen blockieren wollen, wenn es denn Sinn machen sollte.
Hallo Wotisrv
Du kannst keine Benutzernamen blockieren, nur IP-Adressen. Sobald ein Dienst aus dem Internet erreichbar ist, kann grundsÀtzlich jeder irgendwelche Benutzernamen-/Passwortkombinationen durchprobieren. Genauso wie du auf google.de, gmx.de, dropbox.com usw⊠gehen kannst und dort irgendwelche Benutzernamen und Passwörter eingeben kannst.
Schutzmassnahmen die du ergreifen kannst sind:
- Sichere Passwörter und Zweifaktorauthentifizierung verwenden.
- Fail2ban verwenden, so dass die IP-Adresse des âAngreifersâ nach einer definierten Anzahl Fehlversuchen geblockt wird.
- Die Nextcloud nicht aus dem Internet errreichbar machen und dich nur via VPN in dein lokales Netz verbinden.
Punkt 1 sollte selbstverstĂ€ndlich sein und Punkt 2 wĂŒrde ich dringend empfehlen. Punkt 3 ist die sicherste Variante, aber auch die unmstĂ€ndlichste, vorallem dann, wenn auch noch andere Leute als nur du selbst, auf die Nextcloud Zugriff haben sollen, ist das eigentlich nicht praktikabel.
1 Like
Guten Morgen,
danke fĂŒr die Hinweise. Von meinem aktuellen Aufenthaltsort aus werde ich keine Ănderungen vornehmen, also warten bis ich wieder zurĂŒck bin.
Fail2ban ist aber keine Lösung, denn die Zugriffe sind nicht innerhalb von Sekunden oder Minuten, sondern Stunden. Mittlerweile ca. 3 - 4 pro Tag im Abstand von 2 - 10 Stunden.
Das Blocken von IP-Ranges könnte Abhilfe schaffen. Der Zugriff auf NC geschieht nur innerhalb der EU heraus. Kann man IP-Ranges globalen Regionen zuordnen? Ein Anfang wĂ€re z.B. Asien auszuschlieĂen.
Wir können gern zum Thema noch weiter diskutieren, es scheint ja auch weitere Betroffene zu geben.
Viele GrĂŒĂe und Dank.
Thomas
Fail2ban ist eine âLösungâ, wenn du die Bantime sehr hoch oder auf unendlich eintellst. Wen die Idee ist, Zugrifsversuche komplett zu verhindern, wirst du immer einen Schritt hinterher sein. UnabhĂ€ngig davon erhöht aber Fail2ban die Sicherheit massiv, weil Bots, so nicht mehr automatisiert unendlich viele Benutzernamen-/Passwortkombinationen durchprobieren können. Es ist auf jedenfall mehr als nur empfehlenswert, Fail2ban aktiv zu haben.
Jup, kann man grundsĂ€tzlich. Blockt man Regionen grossflĂ€chig kann das sicher den âNoiseâ verringern. Die Asiatischen âHackerâ wissen aber natĂŒrlich auch, dass viele âRegion Blockingâ betreiben, darum nutzen sie natĂŒrlich auch EuropĂ€ische und Amerikanische VPS- und Cloud-Anbieter. Weiter gibt es natĂŒrlich nicht nur in Asien Leute mit bösen Absichten, wie dein Beispiel ja zeigt.
Hier kannst du dir Listen generieren https://www.countryipblocks.net/acl.php Habe das aber nicht selbst getestet, kann also nichts ĂŒber die QualitĂ€t der Listen sagen.
Schlussendlich sollte man sich aber nicht verrĂŒckt machen und sich bis zu einem gewissen Punkt vom Gedanken verabschieden, dass man völlig cleane Logs hat, und niemand ausser einem selbst, den Server finden und erreichen kann. So funktioniert das Internet nicht. Wenn man einen Dienst ins Internet stellt ist er grundsĂ€tzlich fĂŒr alle erreichbar, und solange es nur Login-Versuche und keine Logins gibt, ist ja alles ok. Wenn man seine Systeme âup to dateâ hĂ€lt, Webserver und Applikationen sicher konfiguriert sind, man sichere Passwörter, 2FA, und Fail2ban nutzt ist man schon sehr gut aufgestellt.
Region Blocking und/oder ganz generell das nutzen von Filterlisten, kann als zusĂ€tzliche Massnahme sicher Sinn machen. Imho aber schlussendlich nur in Verbindung mit einem âIntrusion Detetection/Prevention Systemâ, welches auf einer seperaten Proxy-/Firewalllösung lĂ€uft, mit der man das ganze auch irgendwie automatisch aktuell halten kann. (pfSense oder OPNsense bieten z.B solche Möglichkeiten) Solche Listen manuell aktuell zu halten, ist nicht wirklich praktikabel. Weiter kann man auch externe Dienste wie Cloudflare fĂŒr DDOS-Protection und Filterung verwenden. Will man Zugriffsversuche aber zu 100% verhindern, bleibt imho nur die Möglichkeit, dass man den Dienst nicht direkt ins Internet stellt und ein VPN oder Dienste wie Zerotier oder Ă€hnliches fĂŒr den Zugriff von aussen verwendet.
Hallo @dtb,
du meinst bestimmt so etwas wie die GeoBlocker-App aus dem Nextcloud-Appstore.
Im Grunde kannst du letztendlich auĂer den Punkten 1 & 2 aus @bb77âs Liste nur sicherstellen, dass alle beteiligten Systeme auf aktuellem Patchlevel sind. Sicher gibt es im Profi-Bereich spezielle intrusion detection systems, die noch mehr können, wie z.B. aus dem Anmeldeverhalten der Nutzer Abweichungen zu erkennen. @Work setzen wir auf einen globalen Bezahldienstleister, der uns die meisten Angriffe vom Leib hĂ€lt.
Wahre Netzwerksicherheit gibt es halt nur nach Ziehen den SteckersâŠ
GruĂ
Thomas
1 Like
Guter Einwand⊠Daran habe ich gar nicht gedacht.
@dtb:
Die Geo Blocking App, wĂ€re eine einfache Möglichkeit, noch etwas zusĂ€tzliche Sicherheit bzw. Region Blocking auf Applikationsebene zu betreiben. Ich wĂŒrde das aber nicht als Ersatz fĂŒr Fail2ban sehen, sondern als ErgĂ€nzung.
Eine Möglichkeit wĂ€re zudem geoblocking via webserver. Dann wĂŒrde nicht nur der login zu deiner Nextcloud geblockt werden sondern der komplette Zugriff was nochmal besser ist, IMO.
Danke fĂŒr die vielen Antworten und AnsĂ€tze. Die GeoBlocker-App wĂ€re mir der erste Ansatz. Und ja, mit Kanonen will man nicht auf Spatzen schieĂen, man muss immer mit Login-Versuchen rechnen, aber ein guter Schutz beruhigt. Die bantime auf unendlich stellen wĂ€re fĂŒr mich eine nĂ€chste Teststudie/-phase, um die Auswirkungen bei den Usern zu ermitteln.
Ich habe nun seit 4 Tagen die GeoBlocker-App aktiv. Dabei habe ich nur vier LÀnder aktiviert, welche ich auch bereise bzw. woher Zugriffe kommen können.
Das Ergebnis ist spĂŒrbar! Die versuchten Login-EintrĂ€ge im Log unter Einstellungen/Protokollierung haben mindestens um 2/3 abgenommen. Vereinzelt (ca. alle 3 Tage) kommt noch mal ein Eintrag.
In der Konfiguration kann man einstellen, dass abgewiesen Login-Versuche auch protokolliert werden mit Name, IP und Land. Nur wo?
Thomas