Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Proz op 28 juli 2021, 10:59:18
-
Goedemorgen,
ik heb een aantal NAS systemen waar ik sinds een paar dagen continu inlog pogingen op krijg.
Het is op de "admin" account die uitstaat maar ik wil toch even checken hoe je dit het veiligste kan weren.
Ik heb accountbeveiliging ingesteld, maar hij blokkeert het ip nu niet omdat de "admin" een bekend account is?
Dus nadat de verloop tijd afgelopen is krijg ik weer een mail dat er geprobeerd wordt in te loggen.
IP blokkering staat ook aan, maar dat werkt dan dus niet met "admin"?
Handmatig het IP adres blokkeren heb ik al gedaan, maar dan zie ik later een ander IP adres verschijnen.
-
Stel de tijdspanne van 300 minuten (=5 uur) eens terug naar 5 minuten.
Verder kun je de firewall ook blokkades opwerpen gebaseerd op geo-locatie. Ik heb alles geblokkeerd behalve de USA (i.v.m. Let's Encrypt), Nederland en Duitsland.
Daarbij kun je ook tijdelijk een land toestaan als je op vakantie bent ofzo.
-
Als ik deze terugzet naar 5 min, gaat dan de IP blokkade werken?
Zo niet, wat is daar dan de toegevoegde waarde van?
Geo-locatie is wel een goeie idd!
-
Stel de tijdspanne van 300 minuten (=5 uur) eens terug naar 5 minuten.
Wat is daar het nut van? Aanvallers meer kans geven?
-
Ik blok al bij één foutieve poging.
Iedereen die in mag loggen gebruikt een password manager dus fouten zijn vrijwel uitgesloten.
Is het toch fout dan heb je pech.
Met een eigen Mailserver zie je inderdaad 100-en pogingen per dag.
Nas aan het internet en de pogingen zullen komen.
-
Ja ok, dus wat moet ik dan instellen?
Accountbeveiliging inschakelen? Zo ja, dan blijf ik de meldingen krijgen als er met "admin" geprobeerd wordt in te loggen.
Automatisch blokkeren inschakelen? Lijkt me sowieso ja?
We draaien geen mailserver, enkel data (bereikbaar via VPN)
-
Stel de tijdspanne van 300 minuten (=5 uur) eens terug naar 5 minuten.
Wat is daar het nut van? Aanvallers meer kans geven?
Juist niet.. Veel hackers doen hun hack pogingen geautomatiseerd; veel en vlug proberen en bij geen succes door naar een volgend potentieel slachtoffer.
-
@André PE1PQX, Je maakt nog steeds een denkfout. Een tijdspanne van 300 minuten is echt veiliger dan 5 minuten. Denk nog maar eens na over het effect. Je part er echt meer mee.
En op de mailserver zie ik regelmatig dat er maar 1x per uur geprobeerd wordt. Juist om dit soort instellingen te omzeilen. Ze hebben een lange lijst, doen 1 poging per adres en als de lijst afgewerkt is, starten ze opnieuw met een volgende poging.
-
Ah, op die manier... Dat is duidelijk een 2e werkwijze die men hanteert.
Elkweg, een GEO-IP block is dan veel handiger.
-
Ok maar dat betekent dat geo block eigenlijk de enige goede oplossing is voor inlogpogingen met de admin account?
En aangezien je de admin account niet kan weinigen qua naam gebeurt dit toch heel vaak?
-
Juist niet.. Veel hackers doen hun hack pogingen geautomatiseerd; veel en vlug proberen en bij geen succes door naar een volgend potentieel slachtoffer.
Zoveel hackers zoveel pogingen.
Ik heb ze voorbij zien komen met één keer uur of zelf één keer per 3 uur.
Dus niet allemaal veel keren in een korte periode.
-
Opvallend is wel dat het met periodes lijkt te gaan. Bij mij is het nu al maanden rustig.
-
En aangezien je de admin account niet kan weinigen qua naam gebeurt dit toch heel vaak?
Je kan hem wel disablen natuurlijk! "weg" doen of veranderen van naam inderdaad niet. Hier staat hij allesinds "disabled"
Nu mijn NAS is niet bereikbaar op Internet om vb files te benaderen dus dat probleem heb ik niet.
-
Ik hbe dus 2 Syno's die de hele tijd door dezelfde computer worden "aangevallen".
IP adres wordt steeds veranderd als ie geblokkeerd wordt, dus ook het weigeren van alle landen behalve NL gaat op den duur ervoor zorgen dat ie gewoon een VPN in NL gaat gebruiken.
Dus is er geen mogelijkheid tot het blokkeren van een client's IP (automatisch) als die met de "admin" account probeert in te loggen?
Nu wordt ie namelijk steeds na verlooptijd X weer vrijgegegven.
Moet ik dan niet "accountbeveiliging" gewoon uitzetten en enkel "automatisch blokkeren" enkel aanzetten?
-
als die met de "admin" account probeert in te loggen?
Zolang de admin accounts dicht staan, dan is er niets aan de hand, je krijgt alleen die meldingen, maar die kan je of negeren of uitzetten.
-
Ok, dus verder niet naar omkijken dat dit gebeurt?
Admin staat standaard uit idd..
-
…gaat op den duur ervoor zorgen dat ie gewoon een VPN in NL gaat gebruiken.…
Dan is het helemaal snel voorbij. Zoveel VPN providers zijn er niet in NL.
Nu wordt ie namelijk steeds na verlooptijd X weer vrijgegegven.
Voor normaal gebruik is dat juist handig bij tikfouten. Maar als een aanvaller slechts een paar pogingen per uur heeft, komt die niet ver. En ik begrijp dat dit account uit staat? Dan is die bij voorbaat kansloos.
-
Ok top.
Waar staan eigenlijk de logs van de inlogs op de Syno?
En kan ik de melding uitzetten enkel van de "admin" logins?