Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Killerman op 22 april 2018, 11:46:01
-
Hallo iedereen,
Vandaag zat ik eens te kijken in mijn Log Center. Daarin zag ik dat iemand root toegang probeert te krijgen via ssh.
Ik heb het Ip adres nagetrokken en dat lijkt uit China te komen. Zie onderstaande afbeeldingen.
Moet ik actie nemen hierop? Ik weet niet of mijn beveiliging beter kan/moet?
(https://www.mupload.nl/img/hwp3fq3.jpg)
(https://www.mupload.nl/img/ra456e3a.jpg)
-
Eerste actie zou moeten zijn:
Betere screenshots. Bij jou is alles zo klein dat er niets te lezen is. En ik wil zelf geen moeite doen dat leesbaarder te krijgen als de poster al niet de moeite wil doen.
-
Ik heb beide screenshots aangepast, hoop dat het zo beter is.
-
Heb je geen automatische blokkering aangezet?
Zodra je nas aan het internet krijg je dit.
Zo min mogelijk poorten forwarden en altijd met sterke wachtwoorden werken.
-
Heb je geen automatische blokkering aangezet?
Zodra je nas aan het internet krijg je dit.
Zo min mogelijk poorten forwarden en altijd met sterke wachtwoorden werken.
Op aanvulling hierop zou ik zelfs de SSH port (22) nooit blootstellen op het internet, wat blijkbaar bij jou (Killerman) wel het geval is. Als ik mijn NAS over het internet met SSH wil benaderen, doe ik dat wel via VPN.
-
In elk geval is het iemand, of een bot, die niet weet waar hij mee te maken heeft. Sinds dsm 6 kan root niet meer rechtstreeks inloggen.
Maar poort 22 is ook te gevaarlijk om zo aan het internet te hangen. Ik heb hem extern nodig, maar geef alleen specifieke IP adressen toegang.
-
Heb je geen automatische blokkering aangezet?
Ik zie dat hetzelfde IP-Adres 26 pogingen heeft gedaan binnen 10 minuten dus, ik zou verwachten dat deze allang geblokkeerd zou zijn.
Standaard staat deze beveiliging aan in DSM:
[attachimg=1]
Dus, zou ik dat even checken.
-
Zoals @Robert Koopman al aangaf maak een blokering na enkele pogingen:
IP adressen blokeren (https://www.synology.com/nl-nl/knowledgebase/SRM/help/SRM/RouterApp/security_autoblock)
een simpele actie voor al betere bescherming
-
Inmiddels de automatische blokkering aangezet. Dank voor de uitleg!
Heb even in de firewall gekeken, maar heb alleen voor een paar ip adressen alles toegankelijk.
Voor de rest is poort 22 niet bereikbaar voor overige ip adressen.
Alleen onderstaande poorten zijn voor iedereen toegankelijk:
5000, 5001, 80, 443, 6690, 5005, 5006, 5050, 8080 en 8083.
Weet niet of dit nog problemen kan geven wat betreft beveiliging?
-
Ik denk dat je geen last zult krijgen met die poorten echter, als er via die poorten moet worden ingelogd (die staan er tussen n.l.) dan zorgen voor sterke wachtwoorden.
-
Alleen onderstaande poorten zijn voor iedereen toegankelijk:
5000, 5001, 80, 443, 6690, 5005, 5006, 5050, 8080 en 8083.
Je kunt voor die poorten als toegang ook nog "regio" keuzes maken met de Firewall regels van de NAS.
Bijv. alleen toegang voor Nederland (en mogelijk aanvullende landen waar je op vakantie bent of familie hebt), de rest uitsluiten.
(Zie ook < HIER > (https://www.synology-forum.nl/firmware-algemeen/hackers/msg246944/#msg246944) )