Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Tegels op 21 maart 2018, 09:23:12
-
Een paar keer in korte tijd krijg ik een bericht van mijn NAS dat een IP adres 10 X heeft geprobeerd in te loggen met een verkeerd wachtwoord. Het IP adres wordt geblokt. Ik heb eens een track gedaan van één van deze IP adressen en kom uit ergens in Rusland.
Natuurlijk is het fijn dat dit niet gelukt is maar moet ik er verder wat mee met het oog op verdere beveiliging? Is dit te voorkomen?
-
Die blokkade zou ik in ieder geval krapper zetten, 3 pogingen in een uur bijvoorbeeld.
Verder overal en altijd sterke wachtwoorden gebruiken.
Je nas alleen via VPN bereikbaar maken is ook een goede optie.
Dan zijn alle poorten gesloten behalve die voor VPN natuurlijk.
-
En eventueel in je firewall adressen uit Rusland en China blokkeren.
-
En hoe doe je dat?
-
Excuus, misschien zelf ff googelen....!
http://www.mysynology.nl/bepaalde-landen-blokkeren-via-de-synology-firewall/
-
Ook hier een poging tot hacken.
Gelukkig niet gelukt.
Ip nummer 95.70.72.183. Is nu geblokkeerd.
Bedankt Hofstede en Koopman. Ga er gelijk mee aan de slag. Die buitenlanders en vreemden hebben niets te zoeken op mijn Nas. Gewoon van afblijven.
-
Gewoon niet open zetten vanaf het internet blijft gewoon de beste bescherming.
-
Gebruik alleen maar OpenVPN op m'n Router.
Op m'n Router heb ik ingesteld 3 pogingen in 2 uur.
-
Ook hier een poging tot hacken.
Gelukkig niet gelukt.
Ip nummer 95.70.72.183. Is nu geblokkeerd.
Bedankt Hofstede en Koopman. Ga er gelijk mee aan de slag. Die buitenlanders en vreemden hebben niets te zoeken op mijn Nas. Gewoon van afblijven.
Bij mij precies hetzelfde IP adres!
-
Die buitenlanders en vreemden hebben niets te zoeken op mijn Nas.Als ik pogingen doe om op jou NAS in te loggen lijk ik uit Nederland te komen, schijn bedriegt want ik woon er niet.
-
@MMD
Dank voor je mooie uitleg. Ga er mee aan de slag.
Ben ook maar een uitgewerkte ICT opa.
Maar opa heeft nu weer iets te doen.
Maar dat ip nummer is van Rusland. En doet vele hackpogingen op synology servers. Whohas ipnummer en je ziet het.
Moet ik verder blij voor je zijn dat je niet in nederland woont of verdrietig.
-
Maar hoe lang heb je deze nas al?
Ik heb mijn lijst met geblokkeerde ip adressen 1 januari van dit jaar eens opgeschoond en nu staan er al weer ruim 800 in.
De lijst van daarvoor was vanaf 2012 en ik stond bijna op 20.000 adressen.
Nas aan het internet is nu eenmaal pogingen tot “inbraak”.
-
Deze nas heb ik 2 jaar.
Daarvoor vanaf 2012 meerdere synologies gehad.
3 pogingen tot inbraak.
Maak me er verder dus maar niet druk om als ik lees dat duizenden best wel normaal is.
-
Normaal, normaal, wat is normaal?
Ik draai een mailserver en meerdere websites.
Meerdere open poorten dus krijg je inlog pogingen.
-
die ip nummers beginnende met 95 heb ik hier ook al zien passeren.
-
En eventueel in je firewall adressen uit Rusland en China blokkeren.
Je kunt beter de situatie "andersom" instellen, door alleen die landen toe te staan die je wel toegang wilt verlenen, en de rest van de regio's (landen) te weigeren. Dat stelt een stuk makkelijker in, en je bereik van geblokkeerde landen is groter.
Zelf gebruik ik doorgaans alleen toegang voor Nederland, de rest blokkeren.
Alleen als ik op vakantie ga, stel ik nog een paar extra landen in, die ik tijdens de vakantie aandoe.
Bij mijn ex met familie in het buitenland die de familie-foto's bekijken, nog extra de landen België, Engeland, Australië en Nieuw Zeeland.
Dat werkt tot nog toe prima. Sinds die Firewalls al verscheidene jaren krapper voor die regio's zijn ingesteld, komen er in het geheel geen aanvullingen voor in de blokkeringslijst. Sporadisch wel eens ééntje omdat een van de mensen binnen die familie zich teveel heeft vergist.
-
Alleen als ik op vakantie ga, stel ik nog een paar extra landen in, die ik tijdens de vakantie aandoe.
Alleen vervelend als je dat in de haast vergeet. Daarom heb ik VPN wel iets ruimer opgezet met meer landen die er ook buiten de vakantie in blijven staan. Dan kan ik altijd in het land van bestemming iets aanpassen.
Voor mail moet b.v. de SMTP poort wereldwijd open blijven, maar de IMAP poorten heb ik wel alleen op Nederland staan.
De SSH poort is een heel gewilde poort, die je zelfs niet voor Nederland open wilt zetten. Uit ervaring weet ik dat je dan ook inbraakpogingen krijgt. SSH staat hier alleen voor specifieke IP adressen open. b.v. die van Synology, as ze er bij moeten voor een bug.
In zijn algemeenheid stellen die inbraakpogingen niets voor als je een goed wachtwoord gebruikt en het admin account uit zet. De naam van het admin account is nm te raden. Dan hoeven ze alleen nog wachtwoorden te proberen en niet combinaties van account en wachtwoord.
En of je nu 10 of 3 pogingen toelaat maakt ook niet veel uit. Zelfs bij een matig wachtwoord is de kans erg klein dat je dit binnen 10 pogingen raad.
Sporadisch wel eens ééntje omdat een van de mensen binnen die familie zich teveel heeft vergist.
Er is een nieuwe account beveiliging bij gekomen die alleen voor browser inlogs geldt. Die maakt onderscheid tussen inloggers via bekende en onbekende apparaten. Bij bekende apparaten, kun je het aantal pogingen iets hoger zetten.
-
Die extra account beveiliging is me bekend. Maar voor sommige accounts werkt dat bij mij niet, want in het geval van een gastles op een middelbare school wordt één "klas" account misschien gebruikt door 30 leerlingen (met 30 verschillende apparaten). :o :D
-
Ook al gebruiken 30 mensen dat account (ik gebruik mijn account ook al vanaf 5 apparaten), dan zou dat ook geen probleem moeten zijn. Hij slaat de karakteristieken van de browser op waarmee successvol ingelogd is. Zelfs voor 3 browsers vanaf 1 apparaat zijn dit al 3 karacterestieken.
Als je het maximale aantal inlogs kleiner zet dat de IP beveiliging, dan zal dat IP niet steeds geblokkeerd worden, maar krijgt die browser een blokkering van een aantal uren.
Hetzelfde IP en hetzelfde account kan dan nog steeds inloggen vanaf een ander apparaat. (zelfs met een andere browser op hetzelfde apparaat).
Ik denk dat zo'n account beveiliging met 30 personen juist praktisch is omdat jantje dan niet pietje blokkeert door een verkeerde inlog.
-
OK, nu denk ik beter te begrijpen hoe het in zijn werk gaat. Maar een keer gaan uittesten dan.
-
Hier hetzelfde ip, ondertussen al 4 van dit type ip's (beginnende met 95.70.) geblokkeerd na een week. Ze proberen steeds op het admin account en dit heb ik uitgeschakeld. In principe kunnen ze er dus nooit in geraken. Heb al wel gedacht om voor de grap mijn inkomend verkeer op poort 80 om te leiden naar een "dubieuze" site om ze zelf een koekje van eigen deeg te geven. Weet wel niet of dit gaat werken.
-
Zou het geen goed idee zijn om binnen de Synology de mogelijkheid te hebben om een volledig IP range uit te sluiten?
-
Dat kun je toch doen in de Firewall van je NAS ?
-
Die staat volgens mij af omdat ik een 'firewall' heb in mijn router. Maar misschien toch een goed idee om in te schakelen? Soms zie je simpele dingen over het hoofd.
-
Dan kan zeker geen kwaad op de NAS maar, je Router heeft die mogelijkheid niet ?
-
Ik ben er niet zo goed in, maar ik vermoed van niet.
Ik heb een Asus RT-AC68u.
-
Mijn vraag is: hoe deblokkeer ik een geblokkeerd ip-adres. Ik lees op een topic: in DSM.
Maar DSM is geblokkeerd.
Weet iemand een oplossing?
-
Een andere computer met een ander IP adres gebruiken.
-
Of een enkele reset uitvoeren. Dan wordt je admin wachtwoord gewist, netwerk op dhcp gezet én je blocklist geleegd.
-
Inloggen via een ander IP is toch simpeler dan een hele reset.
Als je een reset kunt uitvoeren ben je in de buurt van de nas. Dus kun je altijd vanaf een ander IP adres binnen je lan inloggen. Er zullen nog 250+ adressen bruikbaar zijn.
Of je logt via je WAN IP in als je geen zin hebt het lan-IP van je PC aan te passen.
---
Edit: dat is de reden waarom ik hierboven aanbeviel de andere accountbeveiliging te activeren. Die blokkeert niet op IP niveau en verloopt na een paar uur. En hij werkt met vertrouwde gebruikers die wel veel meer pogingen krijgen.
-
Jaren lang heb ik nooit last gehad en nu klopt er elke week wel een rus aan mijn voordeur. Ik heb in dsm landen aangegeven die niet mogen inloggen. Ik las ook dat het andersom kan. Dus enkel aantal landen “toestaan”. Ik kom er niet achter hoe dat te doen.
Tweede is ook opvallend wat ik wil voor leggen. Ik heb natuurlijk ook mijn admkn account uit staan en een lange admin account gemaakt. Wat mij opviel is dat men op dat account (dus door mij gemaakte admin account die dus anders heet) probeerde in te loggen. Hoe komen ze nou aan die naam?
-
Kwestie van een sniffer op jouw externe ipadres zetten en kijken waar er mee ingelogd wordt.
De accountnaam waar je mee inlogt wordt bij een gewone inlog niet encrypted enkel het password is encrypted.
Dat is ook een reden waarom al die goed bedoelde adviezen over veranderen van admin account en andere dan standaard poorten gebruiken vrij nutteloos zijn.
Als iemand (of een bot) bij je binnen wil, kijkt hij gewoon even naar je binnenkomende internet verkeer en voila, hij heeft alle gegeven zo gauw je inlogt of zou gauw zo'n poort gebruikt wordt.
Beste bescherming is niet van buiten naar je Nas gaan noch toestaan.
En na beste bescherming is alleen toegang verlenen via een VPN verbinding en OpenVpn gebruiken.
-
Super helder dank je wel. Dan zoek ik nog even verder voor dat landen verhaal dank je wel.
-
Ik blijf dit toch een lastig verhaal vinden. Ik heb maar één poort open staan voor VPN via mijn router. Daarnaast heb ik mijn firewall zo ingesteld dat VPN alleen vanuit Nederland benaderd kan worden. Al weet ik dat het niet zo moeilijk is om je voor te doen alsof je in Nederland bent. Hoe dan ook, met deze instellingen heb ik zeer zelden (1 keer per half jaar) een poging tot inloggen van een niet bekend adres. En daarvoor heb ik uiteraard automatisch blokkeren ingeschakeld, 2 FA ingesteld, enz. Waar ik toch altijd huiverig voor blijf is security issues en eventuele achterdeurtjes. Misschien wel heel voorzichtig, maar sinds kort zet ik mijn VPN per dag open als ik weet dat ik die dag van afstand in moet loggen.
-
Kwestie van een sniffer op jouw externe ipadres zetten en kijken waar er mee ingelogd wordt.
De accountnaam waar je mee inlogt wordt bij een gewone inlog niet encrypted enkel het password is encrypted.
Als men een beveiligde https verbinding gebruikt (waar ik even uit ga dat de gewone DSM webgebaseerde portal wordt gebruikt van de NAS), worden naar ik denk ook inlognamen versleuteld verstuurd. Dat is namelijk de essentie van een versleutelde verbinding.
Ik vermoed eerder dat de topic starter geen versleutelde verbinding gebruikt? (Poort 5000 in de plaats van poort 5001).
Voor de DSM inlog kan men http automatisch laten omleiden naar https
Dan zoek ik nog even verder voor dat landen verhaal dank je wel.
Een aantal verwijzingen bij elkaar < HIER > (https://www.synology-forum.nl/firmware-algemeen/ip-adres-geblokkeerd-viassh/msg203461/#msg203461)
-
Ook helder. Dank je wel ga ik allemaal controleren. Dank.
-
Aanvullend m.b.t. een praktisch voorval met hacking van een NAS,
zie relaas van een gebruiker, en aanbevelingen in vervolgreacties < HIER > (https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all)