Der Hersteller Synology stellt in deren DSM (Disk Station Manager) auf ihren NAS (Network Attached Storage) eine Blockierungsdatenbank bereit, die so konfiguriert werden kann, dass IP Adressen von denen fehlgeschlagene Anmeldeversuche registriert werden, für einen bestimmten Zeitraum oder dauerhaft blockiert werden. Diese Funktion findest du im Bereich Systemsteuerung -> Sicherheit -> Schutz -> Automatische Blockierung.

Als Auslöser für eine automatische Blockierung, empfiehlt es sich eine relative geringe Anzahl von Login-Versuchen in einem relativ großen Zeitfenster einzustellen (zum Beispiel 3 fehlgeschlagene Login-Versuche in einem Zeitraum von 240 Minuten).

Die Freigabe-/Blockierungsliste der Blockierungsdatenbank lässt sich an dieser Stelle auch einsehen und anpassen. Es können IP Adressen und/oder Subnetze jeweils der Freigabe- oder der Blockierungsliste hinzugefügt werden. Dies geschieht unabhängig vom automatischen Hinzufügen blockierter IP Adressen zur Blockierungsliste.

Um größere Mengen an Daten zu bearbeiten, oder ein Bearbeiten zu automatisieren (wie zum Beispiel ein automatisches Auffüllen der Blockierungsliste mit IP Adressen die von blocklist.de bereitgestellt werden) empfiehlt sich die Nutzung von Skripten. Diese können entweder direkt auf dem NAS per Aufgabenplaner oder per Secure-Shell-Zugriff (SSH) ausgeführt, oder zentral verwaltet über zum Beispiel CMS (Central Management System) oder Ansible angestoßen werden.

Hinweis: für das Ausführen der nachfolgenden Skripte oder der jeweiligen einzelnen Befehle, werden root-Berechtigungen benötigt. Hierzu muss im Aufgabenplaner, als ausführender Benutzer, root gewählt werden. Wenn die Skripte oder die jeweiligen einzelnen Befehle per Secure-Shell-Zugriff (SSH) ausgeführt werden, muss dieses entweder unter der Verwendung von sudo, oder eben entsprechend auch als Benutzer root ausgeführt werden.

Leeren (flush) der Sperrliste

Das nachfolgende Skript löscht alle Einträge des ausgewählten Listentyp aus der Blockierungsdatenbank. Durch anpassen des Schalters export listentyp= (Freigabeliste=0, Sperrliste=1) wird bestimmt aus welchem Bereich die Einträge in der Blockierungsdatenbank gelöscht werden sollen.

Dies ist eventuell dann nützlich wenn du von deinem NAS die Information erhältst, dass deine Blockierungsliste auf eine enorme Größe angewachsen ist. Der Lauf des Skriptes security_blocklist_flush_deny.sh sollte von einem Aufruf des Skriptes security_blocklist_update.sh gefolgt werden um die Datenbank nicht nur zu leeren, sondern diese anschließend mit den aktuellen, zu blockierenden IP Adressen zu bestücken.

#!/bin/bash
# Titel: 'security_blocklist_flush_deny.sh'
# Autor: 'Holger Näther'
# Version: '1.0'

# Welcher Listentyp soll verwendet werden: Freigabeliste=0, Sperrliste=1
export listentyp="1"

# Pfad und Name der Blockierungsdatenbank
export datenbank=/etc/synoautoblock.db

# Datenbank leeren
sqlite3 $datenbank "DELETE FROM AutoBlockIP WHERE Deny IS $listentyp"

Hinzufügen von auf blocklist.de gelisteten Adressen

Auf der Webseite von blocklist.de gibt es verschiedene Blockierungslisten, die mit dem nachfolgenden Skript abgefragt und deren Einträge, abhängig vom gesetzten Schalter export blockliste= (zur Auswahl stehen unter anderen all, apache, bots, bruteforcelogin, ftp, imap, ircbot, mail, sip, ssh, strongips), in die Blockierungsdatenbank hinzugefügt werden können.

Dieses Script könnte automatisch, einmal täglich mit dem Aufgabenplaner laufen gelassen werden, um somit eine ständig aktualisierte Blockierungsdatenbank zu erhalten.

#!/bin/bash
# Titel: 'security_blocklist_update.sh'
# Autor: 'Holger Näther'
# Version: '2.3'

# Welcher Adressentyp soll verwendet werden: Einzeladresse=0, Subnetzadresse=3
export adressentyp="0"

# Welche Blockierungsliste soll von blocklist.de geladen werden: "all", "apache", "bots", "bruteforcelogin", "ftp", "imap", "ircbot", "mail", "sip", "ssh", "strongips"
export blockliste="all"

# Welcher Listentyp soll verwendet werden: Freigabeliste=0, Sperrliste=1
export listentyp="1"

# Pfad und Name der Blockierungsdatenbank
export datenbank=/etc/synoautoblock.db

# Zeitstempel in Sekunden seit 1970-01-01 00:00:00 UTC (UNIX Time) setzen
export systemzeit=`date +%s`

# Gewählte Blockliste von blocklist.de herunterladen und in temporäre Datei schreiben
wget -q "https://lists.blocklist.de/lists/$blockliste.txt" -O /tmp/blockliste.txt

# Enthaltene IPv4-Adressen aus der temporären Datei auslesen
cat "/tmp/blockliste.txt" | while read blockierte_ip

do
  # Überprüfen ob die gelistete IPv4-Adresse im richtigen Format vorliegt
  validiere_ipv4=`echo "$blockierte_ip" | grep -Eo "^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$" | wc -l`
    if [[ $validiere_ipv4 -eq 1 ]]; then
      # Die gelistete IPv4-Adresse in eine IPv6 Adresse umwandeln
      ipv4=`echo $blockierte_ip | sed 's/\./ /g'`
      ipv6=`printf "0000:0000:0000:0000:0000:FFFF:%02X%02X:%02X%02X" $ipv4`
      # Überprüfen ob die gelistete IPv4-Adresse bereits in der Blockierungsdatenbank vorhanden ist
      validiere_existenz=`sqlite3 $datenbank "SELECT DENY FROM AutoBlockIP WHERE IP = '$blockierte_ip'" | wc -l`
      if [[ $validiere_existenz -lt 1 ]]; then
        # Wenn die gelistete IPv4-Adresse nicht vorhanden ist, diese in die Blockierungsdatenbank schreiben
        INSERT=`sqlite3 $datenbank "INSERT INTO AutoBlockIP VALUES ('$blockierte_ip','$systemzeit','0','$listentyp','$ipv6','$adressentyp','')"`
        # Informationsausgabe das die gelistete IPv4-Adresse der Datenbank hinzugefügt wurde
        echo "IPv4-Adresse wurde der Datenbank hinzugefügt!   -->  $blockierte_ip"
      else
        # Informationsausgabe das die gelistete IPv4-Adresse bereits in der Datenbank vorhanden ist
        echo "IPv4-Adresse bereits in der Datenbank vorhanden! -->  $blockierte_ip"
      fi
    else
      # Informationsausgabe das die gelistete IPv4-Adresse nicht im erwarteten Format vorliegt
      echo "IPv4-Adresse liegt nicht im erwarteten Format vor! -->  $blockierte_ip"
    fi
done

# Löschen der temporären Datei
rm /tmp/blockliste.txt

exit 0