Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Stef012 op 27 juli 2021, 20:38:18
-
Vandaag al 5 meldingen ontvangen van IP adressen die zijn geblokkeerd. De pogingen komen uit diverse landen, dus waarschijnlijk via een vpn... Direct heb ik het aantal mogelijke aanmeldingen op 1 gezet.
Om de toegang een beetje te beperken heb ik nu dan maar alle landen (muv Nederland) in de firewall geblokkeerd. Dit zijn veel regels, omdat je maar 15 landen tegelijk kan blokkeren.
Nu maar even afwachten... :oops:
Iemand hier ervaring mee?
-
Dit zijn veel regels,
Dat hoeven er maar 2 te zijn.
-
Doe gewoon andersom : laat NL toe en blokkeer de rest ? (= 2 regels zoals hierboven aangehaald)
-
Top, bedankt voor de tip, ik heb het gelijk aangepast.
Blijkbaar heeft die kerel het ook al door, vannacht 3 pogingen van een NL IP...
-
Het zijn eigenlijk 3 regels, omdat je eerst de LAN moet toestaan. (Is geen onderdeel van NL)
-
Tja, je zal het natuurlijk nooit volledig kunnen stoppen, tenzij je iets van een VPN-kanaal gaat gebruiken.
Maar indien de NAS goed ingeregeld is komen die IP's alleen maar op de "ban-list" denk ik?
Je kan de settings streng maken...
-
Bij mij loopt het storm qua aanvallen.
Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?
De één zegt alle landen blokkeren, de ander zegt alleen NL toestaan.
Bedankt alvast.
-
De vraag is : WIE moet er op je NAS zijn van buitenaf ? (en waarom is de NAS potentieel "toegangkelijk" vanaf Internet)
Hebben die partijen geen "vast" IP zodat je gericht(er) kan toelaten ?
Uiteindelijk blokkeer je / laat je toe wie je wil, dat kan niemand voor je bepalen.
In principe geen ramp dat er 1000x per dag een poging gedaan zou worden indien :
-> gebruiker "admin" niet bruikbaar is een een nieuwe complex admin-account bestaat met complex password
-> Je de IP's bij foutief proberen op de ban-list zwiert (vb 2 inlog-pogingen foutief op 24uur tijdsvenster = op de "banned" list)
-
Het zijn eigenlijk 3 regels, omdat je eerst de LAN moet toestaan. (Is geen onderdeel van NL)
Klopt! uit een ander topic op dit forum gevonden ;D
Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?
Zie hier; eerst de uitzonderingen toevoegen (lokaal en NL), daarna de rest blokkeren
[attach=1]
-> gebruiker "admin" niet bruikbaar is een een nieuwe complex admin-account bestaat met complex password
-> Je de IP's bij foutief proberen op de ban-list zwiert (vb 2 inlog-pogingen foutief op 24uur tijdsvenster = op de "banned" list)
Inderdaad, volgens mij is het verwijderen van het Admin account het eerste wat je leert als je een NAS koopt :D
Het is alleen jammer dat je niet kunt terugzoeken wat zij ingevoerd hebben, daar ben ik wel benieuwd naar!
-
Bij mij loopt het storm qua aanvallen.
Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?
De één zegt alle landen blokkeren, de ander zegt alleen NL toestaan.
Bedankt alvast.
Eigenlijk heel simpel, en ook in deze volgorde:
Alle poorten, LAN IP adres range (s) -> toestaan.
Geselecteerde poorten, IP-regio Nederland -> Toestaan.
Alle poorten, Alle IP adressen -> Blokkeren.
3 regels, en klaar...
-
Inderdaad, volgens mij is het verwijderen van het Admin account het eerste wat je leert als je een NAS koopt :D
En dat kan bij Syno dus niet. Je kunt 'Admin' wel disabelen.
-
Het is alleen jammer dat je niet kunt terugzoeken wat zij ingevoerd hebben, daar ben ik wel benieuwd naar!
Dat is wel terug te vinden in het log center. Elke inlog-poging op dsm wordt daar gelogd. Als voorbeeld heb ik met het niet bestaande account "geenaccount' proberen in te loggen:
[attachimg=1]
Goed dat ik daar keek, want ik ze dat er iets geks gaande is op mijn nas. Elke minuut is er iets dat onder mijn naam vanaf ht IP van de nas, probeert in te loggen (Omcirkeld). Geen idee wat daar aan de hand is. In 6 dagen bijna 9000 meldingen en alle oude entries zijn weg. (Edit: Bekende bug. Geen inlog op dsm, maar Surveillance Station die wil archiveren via een account met 2fa. Eens in de paar maand faalt dat en moet ik inloggen om een nieuwe code in te voeren))
-
ook een leuk iets:
Als je een laptop van de zaak heb, komt het ook nog wel eens voor dat deze ineens je NAS op virussen wil scannen.
Ja ik weet het gaat nu ineens over het SMB (samba) protocol, en niet meer over http......
-
Zie hier; eerst de uitzonderingen toevoegen (lokaal en NL), daarna de rest blokkeren
(Link naar bijlage)
Beslist NIET alle poorten openzetten voor Nederland.
Alleen die poorten (en protocollen TCP of UDP) die je ook werkelijk nodig hebt voor externe benadering.
Dat zijn er slechts enkele. "Allen" zijn in principe 65.535 poorten (https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers).
Nu is dat tevens afhankelijk wat je in de router aan port forwarders hebt ingesteld.
Maar als je bijv. "DMZ" door zou zetten naar je NAS, heb je met die twee instellingen tezamen de poppen wel aan het dansen.
(Ja, het komt echt geregeld voor dat mensen DMZ naar hun NAS doorzetten). Verder UPnP ook uitzetten in een router.
-
Het zijn eigenlijk 3 regels, omdat je eerst de LAN moet toestaan. (Is geen onderdeel van NL)
Klopt! uit een ander topic op dit forum gevonden ;D
Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?
Zie hier; eerst de uitzonderingen toevoegen (lokaal en NL), daarna de rest blokkeren
[attach=1]
-> gebruiker "admin" niet bruikbaar is een een nieuwe complex admin-account bestaat met complex password
-> Je de IP's bij foutief proberen op de ban-list zwiert (vb 2 inlog-pogingen foutief op 24uur tijdsvenster = op de "banned" list)
Inderdaad, volgens mij is het verwijderen van het Admin account het eerste wat je leert als je een NAS koopt :D
Het is alleen jammer dat je niet kunt terugzoeken wat zij ingevoerd hebben, daar ben ik wel benieuwd naar!
Ik heb hier wat vragen over, want ik wordt ook gek van een hacker die probeert in te loggen op de "admin" account (die uitstaat), maar omdat je de admin niet kan verwijderen valt ie onder de "beveiligde accounts" en blokkeert ie het ip adres niet (enkel blokkeert ie de hacker voor een bepaalde tijd).
Ik heb dus de geo-ip blokkade zoals hierboven ingevoerd, maar wij gebruiken een VPN om in te loggen op de NAS. De ip range die we als VPN gebruiker gebruiken is 10.0.2.0/29 en daarmee kunnen we naar de internet LAN 192.168.20.1/24. Moet ik beide ip ranges dan toevoegen voordat ik alles blokkeer?
-
maar omdat je de admin niet kan verwijderen valt ie onder de "beveiligde accounts"
Ook al zou je het account geheel kunnen verwijderen, dan nog zullen hackers dat account proberen te benaderen. Een hacker weet niet of dat account wel/niet bestaat en probeert het gewoon.
maar omdat je de admin niet kan verwijderen valt ie onder de "beveiligde accounts"
Waarom heb je de DSM poorten geforward in de router? Want zonder forwards komen ze niet eens bij het inlogscherm. Of wordt de inlog op VPN steeds geblokkeerd?
-
maar omdat je de admin niet kan verwijderen valt ie onder de "beveiligde accounts"
Ook al zou je het account geheel kunnen verwijderen, dan nog zullen hackers dat account proberen te benaderen. Een hacker weet niet of dat account wel/niet bestaat en probeert het gewoon.
Maar waarom blokkeert ie het IP adres dan niet na die foute inlogs en zet ie m op de geblokkeerde lijst van vertrouwde clients?
Naar mijn inziens omdat "admin" een bestaand account is. Het liefste heb ik dat de NAS het ip adres meteen blokkeert, maar dat doet ie dus niet en krijg ik na het aflopen van de timer weer inlogpogingen.
-
Je kan er voor kiezen om het via een VPN te doen. (OpenVPN op de Synology). Zet je alleen die open en je interne reeks. Verder alle poorten dicht en je bent klaar.
-
Je kan er voor kiezen om het via een VPN te doen. (OpenVPN op de Synology). Zet je alleen die open en je interne reeks. Verder alle poorten dicht en je bent klaar.
Ik maak nu gebruik van een Quick Connect ID icm een DynDNS (geen vast IP). Moet ik dat dan ook opzeggen als ik enkel bij de NAS kan via VPN?
-
maar omdat je de admin niet kan verwijderen valt ie onder de "beveiligde accounts"
Ook al zou je het account geheel kunnen verwijderen, dan nog zullen hackers dat account proberen te benaderen. Een hacker weet niet of dat account wel/niet bestaat en probeert het gewoon.
maar omdat je de admin niet kan verwijderen valt ie onder de "beveiligde accounts"
Waarom heb je de DSM poorten geforward in de router? Want zonder forwards komen ze niet eens bij het inlogscherm. Of wordt de inlog op VPN steeds geblokkeerd?
Als ik het goed begrijp (correct me if im wrong), valt de admin inlog onder de "beveiligde clients" omdat de admin bestaat (ook al staat ie uitgeschakeld) in de lijst met gebruikers. Als iemand probeert in te loggen met Pietjepuk dan wordt zijn ip wél geblokkeerd want Pietjepuk staat niet in de lijst met gebruikers.
Ik heb nu een Quick ID aanstaan met DynDNS koppeling naar server.bedrijfsnaam.nl zodat ik daar makkelijk bij kan om bv gebruikers aan te maken etc. Misschien moet ik dat anders instellen? Stel de VPN werkt niet goed, dan kan ik nog wel bij de NAS via de web inlog om bv te kijken of daar iets mis gaat.
Maar ik hoor graag of jullie advies hebben om het anders in te richten, het gaat mij er in eerste instantie om dat hackers zo snel mogelijk geblokkeerd worden bij foute inlogs, maar misschien heb ik het niet veilig genoeg ingesteld..?
-
Als ik het goed begrijp (correct me if im wrong), valt de admin inlog onder de "beveiligde clients"
omdat de admin bestaat (ook al staat ie uitgeschakeld) in de lijst met gebruikers.
Wat heet "beveiligd"?? Uitgeschakeld betekent voor zowel de buitenwereld als de "binnenwereld" (LAN)
een "niet bestaand account" of "niet bestaande" inlogmogelijkheid.
Men kan simpelweg niet inloggen op niet bestaande of niet geactiveerde accounts.
Bij "wel" bestaande en actieve accounts, moet het wachtwoord daarbij ook nog eens overeenstemmen.
Is dat niet het geval, ook dan kan men niet inloggen. Dat maakt op zichzelf voor een blokkade niet uit.
Synology heeft daar nog eens extra keuze mogelijkheden bij gegeven waarop gecontroleerd kan worden,
Met bijv. "normaal" wel gebruikelijke logins e.d. waarbij dan een vergissing wordt gemaakt, hoe dan te reageren.
Maakt het mijns inziens alleen maar meer ingewikkeld om te begrijpen wat wel of niet wordt geaccepteerd?
Heb die extra functies voor mezelf nooit geactiveerd. Is het meteen duidelijk wel- of niet login.
Bij een onterechte blokkade (teveel door een gebruiker geprobeerd), neemt degene zelf wel contact met mij op, en kan ik de blokkade opheffen.
(In de regel ben ik via e-mail al sneller op de hoogte gesteld van wat er aan de hand is, dan degene die daarvoor met mij contact opneemt).
-
Het klopt toch wat ik zeg?
Admin staat in de lijst met gebruikers dus wordt een Ip niet geblokt als deze meerdere keren verkeerd in probeert te loggen.
Een inlog poging op een gebruiker die niet in de lijst staat wordt wel geblokt op ip.
Is toch onhandig?
-
Het klopt toch wat ik zeg?
Admin staat in de lijst met gebruikers dus wordt een Ip niet geblokt als deze meerdere keren verkeerd in probeert te loggen.
Zie mijn vorige reactie. (https://www.synology-forum.nl/firmware-algemeen/alle-landen-maar-geblokkeerd/msg302112/#msg302112)
Daarbij "ten overvloede" als je in de firewall, regels hebt ingesteld m.b.t. "regio blocking", waarbij alles wordt geblokkeerd buiten Nederland,
(of voor mijn part nog wat extra landen waar je familie of connecties hebt), dan "besta je niet eens",
voor inlogpogingen buiten Nederland (en evt. die extra landen), ongeacht welke inlognaam.