Inbraakpogingen ?

[dirklammers]

Hallo allemaal,

ik lees de laatste tijd op dit forum veel over inbraakpogingen op onze Nassen. Nu volgt mijn "domme" vraag: hoe kan ik zien of die pogingen ook bij mij plaatsvinden ?
Overigens heb ik al eerder de volgende beveiligingsmaatregelen getroffen:

Admin staat uit
Firewall staat aan en laat alleen de IP-range toe die gebruikt wordt voor VPN én mijn interne IP-adressen. Al het overige verkeer wordt geblokkeerd.

Groet,

Dirk

[Sylvester]

Je kunt dat als dusdanig instellen, zodat je na een aantal keren automatisch een mail krijgt

[ufosyno]

Zien of er pogingen gedaan zijn kan je in het log was toch de vraag?

Open Log center, kies dan Logboeken en dan waar rechts bovenin "Algemeen" staat kiezen voor "Verbinding" Daar zie je alle inlogpogingen, goed en kwaad... de goeie als "info" in het groen, de mislukte als Waarschuwing"in het oranje.

Maar als je de nas dicht zet als de topicstarter doet zal je er weinig in zien, verwacht ik.

[mchp92]

Je kunt dat als dusdanig instellen, zodat je na een aantal keren automatisch een mail krijgt

Ik krijg sinds een week of 2 ca 25 inbraakpogingen per dag. Hebben jullie dat ook? Ik wil wat geoblocking in mijjn usg opzetten voor de meest vervuilende regios. Nog andere dingen die ik kan doen?

[bussie]

Ja heb ik ook (al jaren lang)  en maak ik me niet druk om, hoort er bij.

Wat kan je doen.. NAS niet bereikbaar maken vanaf internet?

[mchp92]

Ja maar dan kan ik m evengoed uitzetten....
Is ergens te zien over welke poort dit gebeurt / via welke applicatie?
Ik heb nog een andere nas staan met n andere poort open en daar wordt nooit aan de poort gerommeld

[dirklammers]

Zien of er pogingen gedaan zijn kan je in het log was toch de vraag?

Klopt, dat is inderdaad de vraag. Als ik in het verbindingenlogboek kijk zie ik alleen mijn eigen (interne) verbindingen gemaakt worden (in groen) en verder helemaal niets.
Kan ik dan concluderen dat de firewall z'n werk goed doet ? Ik zou toch wel eens ergens (log van firewall ??) willen zien hoe vaak geprobeerd wordt binnen te komen. Ik heb nu het gevoel van òf perfect alles geregeld te hebben òf van alles en nog wat over het hoofd te zien.

Groet,

Dirk

[Babylonia]

Je zou bij "Beveiliging" ---> Firewall ---> twee tabs verder naar rechts "Account" nog kunnen kijken of er IP-adressen zijn geblokkeerd.
(Hoop tenminste dat je die functie ook hebt aangezet.  "Automatisch blokkeren inschakelen"  ).

Iets verder naar beneden vind je een knop "Lijst toestaan/blokkeren"

Het venijn kan overigens ook via een andere weg plaatsvinden, via "open shares" vanuit een PC.
Dat overkwam een kennis van mij.  Zie onderwerp < HIER >  en  < HIER >

[dirklammers]

Bedankt voor de verdere tips. Zal er vanavond thuis even naar kijken.

Het venijn kan overigens ook via een andere weg plaatsvinden, via "open shares" vanuit een PC.

Ja snap ik, maar ik weet niet hoe je dit anders kunt voorkomen dan uiterst voorzichting te zorgen dat de gekoppelde PC's niet besmet worden.
Om nu alle shares dicht te zetten en steeds in te loggen vind ik ook wel een gedoe. Dan gaat het nut/plezier van een NAS als centrale opslag wel omlaag.

Virusscanner op de NAS draaien houdt dat nog wat tegen vanuit de PC's ?

En ja, ik heb altijd een recente backup

Groet,

Dirk

[ufosyno]

En ook als je automatisch blokkeren aan hebt staan verschijnen de eerste pogingen in het log "Verbindingen"en de definitieve blokkade in het log "algemeen".

En van 25 pogingen per dag lig ik op zich niet wakker, tenzij ze van hetzelfde IP-adres komen, want dan omzeilt een slimme jongen de blokkade door langere termijnen tussen de pogingen te gebruiken. In dat geval kan je dat IP-adres nog handmatig blokkeren.

En ik mag aannemen dat de virusscanner toch ook het verkeer uit de PC checkt, alleen houdt hij - natuurlijk - alleen virussen tegen. Het is een grotere vraag of de ransomware daar ook door gevangen wordt.

[Briolet]

Een virusscanner kan ook bekende ransomeware herkennen. Veel ransomeware installeer je zelf door besmette e-mail bijlagen te starten die kwaadaardige code bevatten. Die code herkent een virusscanner.

Ander ransomeware zit verstopt in illegale software de je zelf toestemming geeft om te starten. De makers weten dat de gebruiker toestemming zal geven om de illegale software met ransomware te starten.

Maar dat is een ander verhaal en geen inbraakpoging. Die ransomeware start de gebruiker zelf en zijn geen inbraken.

[dirklammers]

Dank voor al jullie reacties. Ik zie geen gekke inlogpogingen bij mijn NASsen, de firewalls staan "op scherp" en de instellingen om accounts zonodig te blokkeren staan ook goed.
Ik ben weer gerustgesteld 


Groet,

Dirk

[stapper]

Geen idee of dit hout snijd
Ik had dat gedonder om de haverklap op de admin account.(ondanks dat deze uit staat)

Sinds ik die standaard poorten 5000/5001 heb vervangen voor gekozen nummers, en die heb geforward heb ik nergens meer last van...