Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: leonardus op 20 februari 2023, 16:38:11
-
Mensen, sinds een paar dagen zie ik op mijn nas een paar x per uur inlogpogingen om root access te krijgen via ssh. Dat gaat ze niet lukken want ik heb ssh op disabled staan. Verder geen standaard admin account en aanmeld pogingen op 2 staan binnen een minuut. Geo blokkade heb ik op mijn prima werkende maar oude ds213 met DSM 6.2.4-25556 Update 6 nog niet kunnen ontdekken. Zie ik iets over het hoofd of heeft iemand nog meer beveiligingstips? (2-traps staat ook aan :) Tnks voor het meedenken alvast!
(http://)
Hieronder een tracert van een paar dagen geleden. Wijzen richting Verweggistan en China. Mijn provider Solcon kan er helaas verder niets mee.
C:\Users\Leotracert 125.228.10.11
Tracing route to 125-228-10-11.hinet-ip.hinet.net [125.228.10.11]
over a maximum of 30 hops:
1 2 ms 1 ms 5 ms fritz.box [192.168.178.1]
2 3 ms 2 ms 2 ms te3-1.ars01.har1.network.solcon.net [83.247.24.1]
3 3 ms 11 ms 6 ms te-1-2.ars01.ams2.network.solcon.net [212.45.45.62]
4 4 ms 3 ms 5 ms cr1.ams2.network.solcon.net [212.45.33.193]
5 4 ms 4 ms 3 ms adm-b1-link.ip.twelve99.net [62.115.165.82]
6 3 ms 3 ms 3 ms adm-bb4-link.ip.twelve99.net [62.115.137.64]
7 * * * Request timed out.
8 * * * Request timed out.
9 152 ms 151 ms 152 ms sjo-b23-link.ip.twelve99.net [62.115.118.111]
10 151 ms 153 ms 152 ms [b]chunghwa[/b]-svc072178-ic359457.ip.twelve99-cust.net [62.115.165.51]
11 276 ms 292 ms 297 ms r4002-s2.tp.hinet.net [202.39.91.30]
12 279 ms 277 ms 272 ms r4102-s2.tp.hinet.net [220.128.31.10]
13 250 ms 254 ms 272 ms tpdb-3031.hinet.net [220.128.13.94]
14 * * * Request timed out.
15 274 ms 261 ms 257 ms skc1-3331.hinet.net [220.128.24.33]
16 * 259 ms 262 ms h109.s32.ts.hinet.net [168.95.32.109]
17 265 ms 270 ms 254 ms 125-228-10-11.hinet-ip.hinet.net [125.228.10.11]
Trace complete.
C:\Users\Leotracert 61.177.172.87
Tracing route to 61.177.172.87 over a maximum of 30 hops
1 13 ms 1 ms 2 ms fritz.box [192.168.178.1]
2 4 ms 4 ms 2 ms te3-1.ars01.har1.network.solcon.net [83.247.24.1]
3 3 ms 3 ms 3 ms te-1-2.ars01.ams2.network.solcon.net [212.45.45.62]
4 4 ms 3 ms 4 ms cr1.ams2.network.solcon.net [212.45.33.193]
5 3 ms 4 ms 3 ms adm-b1-link.ip.twelve99.net [62.115.165.82]
6 5 ms 3 ms 3 ms adm-bb1-link.ip.twelve99.net [62.115.136.194]
7 12 ms 12 ms 11 ms ldn-bb1-link.ip.twelve99.net [213.155.136.98]
8 9 ms 9 ms 9 ms ldn-b2-link.ip.twelve99.net [62.115.122.189]
9 12 ms 14 ms 12 ms [b]chinatelecom[/b]-ic335946-ldn-b2.ip.twelve99-cust.net [62.115.14.114]
10 231 ms * * 202.97.93.153
11 * * * Request timed out.
12 * * * Request timed out.
13 239 ms 240 ms * 202.97.52.122
14 * * 252 ms 61.155.75.218
15 * 254 ms 253 ms 61.177.160.210
16 * * * Request timed out.
17 241 ms 240 ms 240 ms 61.177.172.87
Trace complete.
C:\Users\Leotracert 143.198.20.62
Tracing route to 143.198.20.62 over a maximum of 30 hops
1 1 ms 1 ms 1 ms fritz.box [192.168.178.1]
2 2 ms 3 ms 2 ms te3-1.ars01.har1.network.solcon.net [83.247.24.1]
3 3 ms 3 ms 3 ms te-1-2.ars01.ams2.network.solcon.net [212.45.45.62]
4 3 ms 3 ms 2 ms cr1.ams2.network.solcon.net [212.45.33.193]
5 4 ms 3 ms 3 ms adm-b1-link.ip.twelve99.net [62.115.165.82]
6 10 ms 3 ms 3 ms adm-bb4-link.ip.twelve99.net [62.115.137.64]
7 * * * Request timed out.
8 * * 81 ms nyk-bb1-link.ip.twelve99.net [62.115.112.244]
9 78 ms 77 ms 79 ms nyk-b3-link.ip.twelve99.net [62.115.115.9]
10 91 ms 91 ms 96 ms digitalocean-ic306497-nyk-b3.ip.twelve99-cust.net [62.115.45.6]
11 103 ms * 79 ms 138.197.248.19
12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 107 ms 105 ms 108 ms 143.198.20.62
Trace complete.
C:\Users\Leo
Microsoft Windows [Version 10.0.19045.2546]
(c) Microsoft Corporation. Alle rechten voorbehouden.
C:\WINDOWS\system32tracert 114.34.92.23
Tracing route to 114-34-92-23.hinet-ip.hinet.net [114.34.92.23]
over a maximum of 30 hops:
1 9 ms 3 ms 3 ms laptopleo.fritz.box [192.168.178.1]
2 4 ms 5 ms 5 ms te3-1.ars01.har1.network.solcon.net [83.247.24.1]
3 6 ms 5 ms 5 ms te-1-2.ars01.ams2.network.solcon.net [212.45.45.62]
4 6 ms 6 ms 9 ms cr1.ams2.network.solcon.net [212.45.33.193]
5 7 ms 5 ms 5 ms adm-b1-link.ip.twelve99.net [62.115.165.82]
6 9 ms 5 ms 5 ms adm-bb1-link.ip.twelve99.net [62.115.136.194]
7 14 ms 15 ms 15 ms ldn-bb1-link.ip.twelve99.net [213.155.136.98]
8 120 ms 113 ms 87 ms nyk-bb2-link.ip.twelve99.net [62.115.113.20]
9 156 ms 157 ms 156 ms sjo-b23-link.ip.twelve99.net [62.115.119.229]
10 158 ms 156 ms 159 ms [b]chunghwa[/b]-svc072178-ic359457.ip.twelve99-cust.net [62.115.165.51]
11 283 ms 282 ms 282 ms r4002-s2.tp.hinet.net [202.39.91.30]
12 279 ms 284 ms 282 ms r4102-s2.tp.hinet.net [220.128.31.26]
13 248 ms 245 ms 244 ms tpdt-3032.hinet.net [220.128.14.94]
14 245 ms 244 ms 249 ms kh-crs12.router.hinet.net [220.128.2.77]
15 254 ms 245 ms 244 ms h77.s83.ts.hinet.net [168.95.83.77]
16 272 ms 268 ms 278 ms 114-34-92-23.hinet-ip.hinet.net [114.34.92.23]
Trace complete.
C:\WINDOWS\system32tracert 209.141.57.100
Tracing route to networkhell.org [209.141.57.100]
over a maximum of 30 hops:
1 3 ms 5 ms 4 ms laptopleo.fritz.box [192.168.178.1]
2 5 ms 3 ms 4 ms te3-1.ars01.har1.network.solcon.net [83.247.24.1]
3 10 ms 5 ms 4 ms te-1-2.ars01.ams2.network.solcon.net [212.45.45.62]
4 31 ms 43 ms 5 ms cr1.ams2.network.solcon.net [212.45.33.193]
5 * * * Request timed out.
6 * * * Request timed out.
7 6 ms * * speed-ix.he.net [185.1.222.6]
8 * * * Request timed out.
9 81 ms * * port-channel4.core2.nyc5.he.net [184.105.81.41]
10 * * * Request timed out.
11 * * * Request timed out.
12 * 127 ms * port-channel2.core3.mci3.he.net [184.104.198.34]
13 * * * Request timed out.
14 138 ms 126 ms 128 ms port-channel10.core2.slc1.he.net [72.52.92.42]
15 136 ms 135 ms 134 ms 100ge0-35.core1.las1.he.net [184.104.194.82]
16 141 ms 140 ms 174 ms 172.18.0.30
17 140 ms 139 ms 139 ms networkhell.org [209.141.57.100]
Trace complete.
C:\WINDOWS\system32tracert 220.135.199.221
Tracing route to 220-135-199-221.hinet-ip.hinet.net [220.135.199.221]
over a maximum of 30 hops:
1 3 ms 5 ms 3 ms laptopleo.fritz.box [192.168.178.1]
2 6 ms 5 ms 4 ms te3-1.ars01.har1.network.solcon.net [83.247.24.1]
3 22 ms 4 ms 6 ms te-1-2.ars01.ams2.network.solcon.net [212.45.45.62]
4 9 ms 14 ms 10 ms cr1.ams2.network.solcon.net [212.45.33.193]
5 7 ms 5 ms 5 ms te0-2-0-1.ccr21.ams04.atlas.cogentco.com [149.11.38.169]
6 6 ms 9 ms 5 ms be3457.ccr41.ams03.atlas.cogentco.com [130.117.1.9]
7 90 ms 90 ms 89 ms be12265.ccr41.par01.atlas.cogentco.com [130.117.2.142]
8 93 ms 93 ms 93 ms be2315.ccr31.bio02.atlas.cogentco.com [154.54.61.113]
9 92 ms 92 ms 93 ms be2331.ccr41.dca01.atlas.cogentco.com [154.54.85.241]
10 108 ms 110 ms 112 ms be2112.ccr41.atl01.atlas.cogentco.com [154.54.7.158]
11 122 ms 122 ms 121 ms be2687.ccr41.iah01.atlas.cogentco.com [154.54.28.70]
12 142 ms 138 ms 138 ms be2927.ccr21.elp01.atlas.cogentco.com [154.54.29.222]
13 146 ms 146 ms 151 ms be2930.ccr32.phx01.atlas.cogentco.com [154.54.42.77]
14 162 ms 157 ms 156 ms be2932.ccr42.lax01.atlas.cogentco.com [154.54.45.162]
15 159 ms 158 ms 158 ms be3359.ccr41.lax05.atlas.cogentco.com [154.54.3.70]
16 159 ms 164 ms 159 ms 38.19.140.138
17 288 ms 288 ms 289 ms tylc-4012.hinet.net [202.39.91.70]
18 256 ms 256 ms 255 ms tyfo-3031.hinet.net [220.128.8.78]
19 * * * Request timed out.
20 258 ms 256 ms 256 ms skc1-3332.hinet.net [220.128.24.21]
21 255 ms 255 ms 263 ms h21.s33.ts.hinet.net [168.95.33.21]
22 262 ms 261 ms 264 ms 220-135-199-221.hinet-ip.hinet.net [220.135.199.221]
Trace complete.
C:\WINDOWS\system32tracert 175.144.33.235
Tracing route to 175.144.33.235 over a maximum of 30 hops
1 5 ms 4 ms 4 ms laptopleo.fritz.box [192.168.178.1]
2 4 ms 3 ms 3 ms te3-1.ars01.har1.network.solcon.net [83.247.24.1]
3 5 ms 4 ms 4 ms te-1-2.ars01.ams2.network.solcon.net [212.45.45.62]
4 6 ms 4 ms 6 ms cr1.ams2.network.solcon.net [212.45.33.193]
5 163 ms 164 ms 160 ms tm.net.my [80.249.209.91]
6 * * * Request timed out.
7 191 ms 183 ms 200 ms 175.144.33.235
Trace complete.
C:\WINDOWS\system32
-
aanmeld pogingen op 2 staan binnen een minuut.
Dat is een verkeerde tijd die je hebt ingegeven, want na 2 minuten kan men dan weer opnieuw proberen in te loggen.
Zet het beter op bijv. 1440 minuten (is een hele dag - 24 uur). Kan men pas de volgende dag een nieuwe poging doen.
Geo blokkade heb ik op mijn prima werkende maar oude ds213 met DSM 6.2.4-25556 Update 6 nog niet kunnen ontdekken.
Dan zie je inderdaad nogal wat over het hoofd, want die functie is al jaren.... aanwezig.
Meer uitleg:
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
Is wel vanuit de functie van een Synology router beschreven. Maar de basis principes werken op dezelfde manier.
Firewall regels eenvoudig beschreven:
1. Eerste regel = geef het eigen LAN thuisnetwerk toegang
(Alles - Alles - Bron IP = je LAN netwerk - Toestaan)
2. Services die je van buitenaf wilt benaderen, bijv. alleen voor Nederland sta je toe,
voor de poorten die voor de services worden gebruikt. (Lijst gebruikte poorten (https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services)).
= Selecteren uit een lijst van ingebouwde toepassingen - protocol (TCP / UDP of beide) - Toestaan = Locatie Nederland
of net die pakweg handvol extra landen erbij waar je familie hebt, of op vakantie bent.
3. Laatste regel = Alles - Alles - Alles - Weigeren
Alles wat aan de voorgaande regels niet voldoet, wordt geblokkeerd.
Dus buiten het handvol landen die je eerder mogelijk wel toegang hebt gegeven, wordt verder alles geblokkeerd
voor alle protocollen en landen die je eerder NIET hebt benoemd. Dat is dus de rest van de wereld.
-
@ Babylonia, Tnks voor je antwoorden, ga ik vanavond eens goed voor zitten.
-
Je hebt SSH disabled staan ? Waarom dan druk maken ? Die inkomende packets gaan nergens heen hoor. Is geen enkel veiligheidsrisico.
Da's gewoon Internet RUIS , ik heb duizenden & duizenden van dit soort dingen dagelijks.
Wel niet zo optimaal dat dit packet tot op de NAS komt ? Waarom laat je packets door tot op je NAS als er geen service achter hangt ?
-
Tja, zelf zou ik toch proberen zo "incognito" als mogelijk services te laten draaien.
Kun je daar wel laconiek over doen omdat het geen veiligheidsrisico zou zijn.
Tot het moment dat er een knappe jongen een veiligheidslek vind in DSM of je per ongeluk een kleine vergissing maakt met een instelling.
En je NAS alsnog bloot staat aan hackers. Ofwel "de goden verzoeken".
-
Wel mijn NAS hangt allesinds niet eens direct toegangkelijk aan Internet...de enige entrypoint is een VPN op m'n router.
DSM is best secure, maar een zeroday kan altijd natuurlijk.
Als je inderdaad SSH wil draaien, doe het dan aub niet op de standaard TCP/22 (perspectief buitenwereld bedoel ik dan)
-
Met "duizenden & duizenden van dit soort dingen dagelijks" heb ik daar toch sterk mijn twijfels over.
-
om root access te krijgen via ssh. Dat gaat ze niet lukken want ik heb ssh op disabled staan.
???? hoe weet je dan dat ze ssh proberen? Het lijkt me dat als ssh uit staat, je het in de router ook niet naar de nas geforward is. Hoe weet je dan dat het om root access gaat, want ze komen niet eens tot een inlogpoging.
en aanmeld pogingen op 2 staan binnen een minuut.
Dat is ook zinloos, want als ssh uit staat, kunnen ze niet eens een 1e inlogpoging doen.
-
Of het er duizenden, duizenden zijn weet ik niet maar in iedergeval heeeeeeeeel veel. Moet je maar eens een keer je lan poort van je router gaan monitoren op binnenkomend verkeer.
Maar even tot de orde van de dag.
Het lijkt erop dat je poort 22 op je router niet tegenhoud maar forward naar je NAS.
Ik zou als eerste eens beginnen om poort 22 op je router dicht te zetten.
Alleen poorten openzetten die je echt nodig hebt.
-
[attachimg=1]
EDIT : Deze screenshot komt van m'n eigen omgeving/firewall. Ik zie dus "alles" passeren wat er aan het proberen zijn.
Hmm, niet erg groot die screenshot, maar rechts heb je dus de "usual suspects" poorten waaronder TCP/22 en TCP/2222 waarop wel eens een SSH-service kan zitten bij sommigen. Verder natuurlijk alles van 80/23/3389/8080/8081/...
-
@ Briolet, check de afbeelding ;)
-
De afbeelding had ik niet geopend. Ik zie nu dat hij ook tegenstrijdig is met je tekst. Daar schrijf je dat SSH uit staat. Als dat echt zo is, dan kan er ook geen inlogpoging zijn.
want ik heb ssh op disabled staan.
Maar goed. Je hebt dus SSH wel aan staan en doorverwezen naar de nas. Dan is het heel normaal dat er elk uur vele inlogpogingen gedaan worden. SSH is gewoon interessant voor hackers. Er is wel onderzoek gedaan waaruit blijkt dat een nieuwe SSH server die on-line gaat, al binnen 15 minuten bezocht wordt.
-
Waar nog steeds geen antwoord op is gegeven: Hoe is de toegang vanaf internet geconfigureerd?
Met port forwarding? Of heb je soms de NAS in DMZ gezet zodat die volledig open staat richting internet.
-
@ Briolet, tnks voor je antwoord maar toch ook interessante materie. SSH is uitgeschakeld, hoe kan dat dan? Plaatje bijgevoegd.
-
@ zandhaas, tnks man, heb ff op mijn fritz.box gekeken. 22 stond open naar de nas, heb ik een week geleden open gezet op sftp uit te testen. Nu dichtgezet, schijnt te stoppen nu. Wordt vervolgd.
-
Waar nog steeds geen antwoord op is gegeven: Hoe is de toegang vanaf internet geconfigureerd?
Met port forwarding? Of heb je soms de NAS in DMZ gezet zodat die volledig open staat richting internet.
Vanaf mijn fritz.box alleen vpn en cloudstation. Sftp draaide op 22, die heb ik net dichtgezet en pogingen schijnen nu te stoppen. Wvv.
-
SFTP is FTP over een SSH verbinding. (Uitleg (https://www.hostnet.nl/academy/ssh-en-sftp))
Als je SSH uit hebt staan, maar SFTP wel aan, dan kunnen ze nooit echt inloggen met SSH en rootaccess. Er wordt wel via het SSH protocol ingelogd, maar je kunt dan alleen het SFTP commando gebruiken en geen andere shell commando's. Een aanvaller ziet deze beperking natuurlijk niet voordat hij daadwerkelijk ingelogd zou zijn. Vandaar dat ze het wel blijven proberen.
Iets vergelijkbaars zie je bij GIT op de nas. Die gebruikt ook een SSH inlog waar ook gewone gebruikers met SSH kunnen inloggen, maar je kunt dan alleen de GIT commando's gebruiken.
-
Tnks, probleem heeft zich opgelost door de gebruikte sftp-poort op mijn fritz.box te disabelen. Hartelijk bedankt voor het meedenken allemaal en weer wat geleerd! ;)