Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Gaffel op 08 juni 2022, 09:38:11
-
Beste mensen, wie heeft nog een tip, ik heb constante inlogpogingen van over heel de wereld.
In de firewall van mijn DS720+ heb ik alle landen geblokkeerd behalve Nederland, toch gaat het gewoon door, iedere 5 a 10 minuten staat er weer 1 in mijn log.
O.a. van China enz.
Wat kan ik nog doen?
-
Firewall dan toch niet goed ingesteld?
-
Inderdaad wat @Birdy aangeeft, wellicht niet de goede firewall regels opgesteld?
In de firewall van mijn DS720+ heb ik alle landen geblokkeerd behalve Nederland,.....
Beter "andersom" werken, je staat alleen toe welk land wel toegang mag hebben = Nederland (slechts één land om te kiezen).
De rest sluit je uit. Daar vallen dan alle andere landen onder.
Meer over firewall regels, maar afgestemd op een Synology router, zie: < DIT onderwerp > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/)
Het principe is vergelijkbaar als bij een NAS, alleen is de firewall van de router uitgebreider - en werkt naar twee kanten toe.
Als het te complex is, zijn er nog wel oudere onderwerpen te vinden met meer makkelijk te begrijpen dagelijkse begrippen. Bijv. < DEZE > (https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887)
(Overigens de nieuwe SRM 1.3 interface die in de jongste RT6600ax router zit, is de firewall nog een stuk verder uitgebreid.
Daar zal ik te zijner tijd nog wel een heel nieuw hoofdstuk aan wijden - want ook de RT2600ac en MR2200ac krijgen vergelijkbare functies).
-
Ik heb de firewall in DSM aangezet en een profiel "Nederland" aangemaakt.
Verder heb ik voor dit profiel alleen Nederland als locatie ingevuld en op toegestaan geklikt.
Dan dit profiel geactiveerd.
Dat zou het toch moeten zijn dan, de andere landen zouden dan toch geweigerd moeten worden!!
Ik zal kijken of het nu wel werkt.
-
heb ik alle landen geblokkeerd behalve Nederland
Dat is wat anders dan "alleen Nederland als locatie ingevuld en op toegestaan geklikt" ;)
-
Ik had eerder al in een ander profiel alle landen in groepen van 15 ingesteld met de optie weigeren.
In een van die groepen had ik Nederland wel toegestaan gegeven.
En dat werkte ook niet!!
Wat doe ik dan nog verkeerd?
-
Heb de NAS nu maar eens een herstart gegeven, helpt het niet geeft het toch moed!!
-
Waarom maak je allemaal nieuwe profielen aan? Volgens mij kan er maar 1 profiel actief zijn.
Dus in 1 profiel vul je alles in wat je wil dat de firewall doet.
Als je wil dat alles enkel bereikbaar is vanuit NL zet je NL op toestaan en dan onderaan 'indien niet voldaan wordt aan de regels : toegang weigeren.
En best is dat uw eerste regel alles toelaat binnen uw eigen intern netwerk.
-
…Verder heb ik voor dit profiel alleen Nederland als locatie ingevuld en op toegestaan geklikt.…
Dit is sowieso fout, want dan blokkeer je ook lokale toegang vanuit de lan omdat dit niet als Nederland gezien wordt.
Zoals anderen aangeven, heb je iets niet goed ingesteld.
Over het goed instellen zijn gelukkig handenvol goede instrukties op dit forum geschreven.
-
De regel - indien niet voldaan wordt aan de regels toegang weigeren- kan ik nergens vinden!
Waar staat dat dan?
-
[attach=1]
-
Bedankt Tazmanian, ik heb het gevonden bij de afzonderlijke interfaces!
Ik heb nu Lan 1 ingegeven en dan werkt het wel!!!
Ik had daar Alle interfaces laten staan en dan zie je dat item niet.
En dan kun je invullen wat je wilt blijkbaar, maar dan werkt de firewall niet.
Dat vind ik wel vreemd, maar zal wel z'n redenen hebben.
-
Die button onderaan is ook een beetje een onzin button. Het enige wat die doet is impliciet de regel "deny alles" toe te voegen. Dat kun je ook binnen de reguliere regels toevoegen en heb je niet meer iets afwijkends nodig dat je kunt/moet instellen.
-
@Gaffel
Gezien verdere reacties in het onderwerp, met name de schermafdruk die een ander nog heeft geplaatst,
vraag ik me af of het allemaal goed is binnengekomen met wat je eerder al is aangereikt?
Ik zie geen afsluitende eindregel staan om "alles te weigeren" (buiten de regels erboven, waar men het een en ander toestaat).
Er zit onderaan dan wel een button, maar is specifiek gekoppeld aan de LAN interface, en niet aan "alle interfaces".
(Alle interfaces heeft die button niet).
Er zijn natuurlijk allerlei varianten mogelijk, hoe men het een en ander opzet.
Aparte interfaces geven IMO geen goed totaal overzicht hoe de onderlinge functionaliteiten met elkaar zijn gelinkt.
Men ziet instellingen sneller over het hoofd die met een andere interface zijn gelinkt, omdat men elke interface apart moet oproepen / controleren.
(Om die reden zou het niet mijn keus zijn).
-
@Briolet en Babylonia , ik denk toch wel te begrijpen hoe die firewall werkt, maar alleen krijg ik het niet werkend als ik in 1 profiel alle landen blokkeer en bij Nederland aangaf dat deze wel toegestaan is. Daarbij gaf ik aan dat dit voor alle interfaces moest gelden!
Doe ik dat echter voor Lan 1 dan krijg ik die ene regel wel te zien en dan geef ik de landen aan die wel toegestaan zijn en dan werkt het bij mij wel.
Ra ra!!
-
Mijn eerdere verwijzingen (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/) naar uitleg van firewall regels gaat juist uit van alleen de instellingen bij alle interfaces.
Daarbij één menu het totaaloverzicht op alle geldende regels - (En werkt toch echt als zodanig).
Houd wel de juiste volgorde van firewall regels in de gaten. De werking gaat van boven naar beneden.
(En bij ontbreken van die aparte button onderaan - Regel "J" benoemd in die omschrijving als eind-regel).
-
@Babylonia
Jouw verhaal gaat toch over routers!!
Ik lees daar toch niets over mijn DS720+
-
Dan heb je de informatie (https://www.synology-forum.nl/firmware-algemeen/constante-pogingen-om-in-te-loggen/msg313003/#msg313003) niet goed gelezen.
Het principe is vergelijkbaar als bij een NAS, alleen is de firewall van de router uitgebreider - en werkt naar twee kanten toe.
(Idem bij de handleiding zelf van het betreffende onderwerp (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/) waar dat ook daar duidelijk wordt vermeld).
Het gaat beide om Synology producten waarvan de werking van de firewall vergaand met elkaar is te vergelijken.
(Een klein beetje door de verschillen heenkijken en men zou beide benaderingen direct kunnen opmerken / begrijpen).
In de vervolgreacties in dit onderwerp m.b.t. de "diverse interfaces" richt ik me specifiek op de firewall regels van een NAS,
(op het moment hier 3 stuks aangesloten). Met wat ik eerder omschreef kun je de betreffende menu's in de NAS zelf aanroepen,
en daarin de nodige instellingen ingeven.
Ik had er nog aanvullende schermafdrukken bij kunnen maken, maar dat ging me voor nu net even te ver.
-
Babylonia, hartelijk dank voor je uitgebreide ondersteuning, ik zal alles nog eens goed doornemen en kijken wat ik er mee kan.
Het zal niet makkelijk zijn om alles te ondervangen want ik kan de Verenigde Staten niet blokkeren omdat ik daar gebruik maakt van Zoneedit.
Ook let's Encrypt is daar gevestigd volgens mij, dus alles tegenhouden zal niet makkelijk zijn.
Nogmaals bedankt!!
-
Als je naast Nederland, de Verenigde Staten ook niet wilt blokkeren, (of bijv. een vakantieland waar je een aantal weken naar toe gaat),
plaats je die er extra bij om toegang te geven, en is het daarmee ook weer opgelost. 8)
-
Bedankt voor de tip!! :D
-
Eén van mijn toestellen ervaar sinds een paar dagen hetzelfde - meerdere honderden pogingen per dag, uit verschillende landen, en steeds wisselende IPs.
En, steeds op de "admin" account (die disabled is).
-
Dus de Firewall tips opvolgen.
-
Bij een goed wachtwoord en 2fa op de administrator accounts is er niets om je zorgen te maken. Zelf heb ik de mail notificatie al vanaf het begin uit staan. Dan heb je ook geen last van al die pogingen. :P
-
Maar zelfs in die omstandigheden "dat" inlogpogingen worden vastgelegd (en geblokkeerd),
is dat -in mijn geval- (gebruik geen e-mail server op de thuis locatie) slechts beperkt tot een "handjevol" per jaar.
Die kan ik doorgaans ook nog voor het grootste deel traceren als "bekend" binnen mijn familie- en kennissenkring.
Bij ruggespraak heeft men meestal "teveel" met verkeerde gegevens geprobeerd om in te loggen.
(Bellen ze mij op dat ze geen contact kunnen maken). Echter voordat het zover is,
heb ik dan inmiddels al getraceerd waar het IP-adres vandaan komt, en heb dan reeds een "vermoeden" wie het kan zijn.
(Na verificatie zet ik ze dan in een whitelist - zodat ze niet nog een keer erna met hetzelfde euvel komen aanzetten).
-
Sinds een week wordt er 2 a 3 keer per uur gepoogd om in te loggen op het admin account met een scala van IP adressen wereldwijd.
Deze worden keurig netjes voorgoed geblokkeerd door de firewall 8)
Vraag me af is dit weer een poging van een aantal scriptkiddi's wereldwijd aan de poorten te rammelen of ben ik alleen het mikpunt? :wtf:
Grtx
-
Hier ook al enkele dagen. Je bent zeker niet alleen ;)
-
of ben ik alleen het mikpunt?
Nee hoor, daarom heb ik jouw Topic maar even samengevoegd, dan kan je het zien.
-
Er zijn gewoon stapels zoekmachines wereldwijd die constant bezig zijn om alles te indexeren wat er aan het web hangt. 'Shodan' is hiervan de bekendste.
Als er dan weer eens een lek in bepaalde software ontdekt wordt, dan gaan de criminelen naar zo'n zoekmachine, downloaden de lijst met apparaten die dat lek kunnen bevatten en lopen die allemaal af. En omdat er veel IP adressen gebruikt worden, kan dit zomaar via een botnet gaan. Maar het can ook een cascade van nassen zijn, waarbij een geïnfecteerde nas zelf weer op zoek gaat naar nieuwe nassen.
Als er plots meer aanvallen zijn, kan dat komen omdat er recent een nieuw lek ontdekt is. En volgens mij is dat ook zo, want Synology heeft recentelijk een lek gevonden en gedicht.
Maar het kan ook een lekke plugin zijn, waar ze naar op zoek zijn. b.v. een WordPress plugin.
-
Ik heb de firewall in DSM aangezet en een profiel "Nederland" aangemaakt.
Verder heb ik voor dit profiel alleen Nederland als locatie ingevuld en op toegestaan geklikt.
Dan dit profiel geactiveerd.
Dat zou het toch moeten zijn dan, de andere landen zouden dan toch geweigerd moeten worden!!
Ik zal kijken of het nu wel werkt.
De 2e regel (eigenlijk als laatste) moet je 'deny all' invullen...
Heb je dat niet dan staat de deur volgens mij gewoon wagenwijd open.
-
Ben ik de enige die last heeft van een sterke toename van het aantal inlogpogingen van derden na de upgrade naar DSM 7.1?
Ik heb eigenlijk nooit echt last gehad van dergelijke inlogpogingen. Mijn admin account staat uit, na 3 inlogpogingen wordt een ip-adres eeuwig geblokt etc. etc. Maar nu krijg ik echt elke dag meldingen van automatisch geblokkeerde ip-adressen die met het Admin account wilden inloggen. En de ip-adressen komen niet uit exotische landen, want die zijn sowieso uitgesloten, maar gewoon uit Nederland, Frankrijk en België.
Iemand enig idee wat de oorzaak hiervan kan zijn? Ik heb zelf geen instellingen in de firewall gewijzigd of nieuwe poorten geopend.
-
Ben ik de enige die last heeft van een sterke toename van het aantal inlogpogingen van derden
Nee hoor, daarom heb ik jouw Topic maar even toegevoegd aan dit Topic, dus lees even terug.
Gelijk dit Topic maar even Forum breed gemaakt, dan valt het eerder op, hopelijk.
-
@Birdy : Dit topic ken ik inderdaad en mijn firewall e.d. heb ik ook redelijk strak staan. Nu zelfs maar even alleen Nederland toegang gegeven om te kijken of dat helpt.
Waar het mij specifiek om gaat is dat de toename van het aantal inlogpogingen begonnen is op de dag dat ik de upgrade heb doorgevoerd naar DSM 7.1. Dat vind ik wel heel toevallig. Net alsof er met de upgrade een instelling is gewijzigd waardoor de NAS nu makkelijker vindbaar is op het internet of zo.
-
Het antwoord hierop, wordt gegeven in Reactie #28 door @Briolet.
Daarbij, het lijkt mij zeer onwaarschijnlijk dat DSM7 de NAS "meer zichtbaar" maakt op internet het is voor jou gewoon toevallig.
Als je de NAS goed beveiligd hebt, is er helemaal niets aan de hand.