SSH melding

[Theo Jr]

Ik kreeg vanochtend een melding via email geforward door mijn NAS dat er problemen zijn met mijn SSH poort instelling.
Met ernstigheid: hoog.

Dit deed mij schrikken en om die reden wil ik hier mijn vraag voorleggen nadat ik eerst de melding heb doorgegeven zoals ik die ontving:

Gebeurtenis: de standaardwaarde van de SSH-poort is niet gewijzigd.

Details:
Door de SSH-poort te wijzigen  voorkomt u dat onbevoegde gebruikers via het standaard poortnummer 22 uw systeem kunnen aanvallen.

Aanbevolen actie:
Ga naar configuratiescherm.Terminal en SNMP>Terminal om de standaardwaarde (22) van de SSH-poort te wijzigen.
wijzig ook de SSH-poortinstellingen voor SSH-clients.

Tot zover het email bericht.
Beide NASsen draaien op 7.0 beta. De beta versa op mijn eerste NAS vanaf het prille begin, probleemloos.
Tot voor kort heb ik deze melding nooit ontvangen, pas nadat ik mijn 2e NAS heb aangesloten, dit in combinatie met Hyperback up (deze software had ik gister geïnstalleerd ) en vannacht/vanochtend kreeg ik deze melding.
Meteen daarna heb ik Hyper Back up verwijderd. Ik weet absoluut niet of er een evt verband is tussen de melding en de geïnstalleerde software. Het vreemde: Ik heb de SSH veranderd naar een willekeurig nummer 731 en toen een veiligheidsscan uitgevoerd  kreeg ik daarna geen melding meer. (Ik heb nu de SSH uitgevinkt in afwachting op jullie advies)
Zette ik hem echter weer terug naar 22 icm een veiligheidsscan toen kreeg ik weer een alarm melding.
Mijn vraag is : moet ik nu per sé de SSH aangevinkt houden als ik bijvoorbeeld beide NASsen dan maar gebruik als stand alone. Als ik iets wil verplaatsen van a naar b, dan kan dit altijd manual. Werkend met Apple.
Het kan ook zijn dat ik op een volledig verkeerd spoor zit met mijn idee dat dit idd het onderliggende probleem is?
Beide NASsen werken beiden goed. Op mijn nieuwe NAS 720 heb ik via Apple een automatische back-up Time Machine weten te creëren. Ook Synology Secure Signin werkt op 1 op voor beide NASsen.
Alleen voor het SSH vraagstuk zou ik graag jullie expertise kunnen gebruiken, wat ik wel en NIET moet doen.
Als je het mij wil uitleggen in één zin, ben ik bang dat ik niet veel verder kom. Ik moet leren door vallen en opstaan, net als iedereen.
graag hoor ik van jullie,
fijn weekend
Theo.

[Birdy]

Poort 22 kan je rustig wijzigen naar een ander nummer.
Je moet dat alleen wel in Hyper Backup bekend maken, echter, als Hyper Backup alleen binnen je eigen netwerk gebruikt, dan is SSH encryptie helemaal niet nodig.

[Hofstede]

De vraag is of je deze poort hebt geforward naar internet in je router? M.a.w. heb je de SSH poort bereikbaar gemaakt vanaf internet?

Als je verder ssh alleen gebruikt op je eigen interne netwerk is deze waarschuwing van Synology een beetje overdreven.

[Briolet]

Het enige vreemde is dat je nu deze melding krijgt. Volgens mij geeft de "security advisor" dit al jaren aan. In elk geval als je zakelijk gebruik kiest.

Maar de adviezen zijn vaak onjuist/overbodig omdat hij niet naar de firewall instellingen kijkt bij zijn beoordeling. In mijn optiek is een goede firewall instelling beter dan een poort aanpassen. Met aangepaste poort kun je er nog steeds binnen komen als een aanvaller alle poorten test. Een goede firewalinstelling houd gewoon alles tegen, ongeacht de poort.

[Theo Jr]

Birdy,
dank voor je reactie.
Hyper Back up heb ik van beide nassen verwijderd. Ik denk nl dat ik deze software actief ga gebruiken.
Is het gebruik van SSH, dus het aanvinken ervan icm een ander nr ipv 22 een must en waar/hoe moet ik dan de poortinstellingen veranderen naar welk nummer. Staat dit los van mijn router? Of moet ik ook gaan morrelen in mijn router.

[Theo Jr]

Newbee,
als ondergetekende heeft tot gister nog niet eerder gehoord van SSH. Om diezelfde reden kan ik me ook niet herinneren dat ik  zelf iets heb veranderd aan de SSH instelling, deze stond op 22.  In de router zelf kom ik zo min als mogelijk. Juist om dit soort meldingen te voorkomen.
Belangrijkste is dat mijn firewall van zowel NAS als router goed dichtgetimmerd is, dat is primair.

[Briolet]

Een veel gemaakte fout is dat UPnP op de router aan blijft staan. Dat geeft apparaten in het netwerk de mogelijkheid om forwards in de router te creëren.
En als je dat de fout maakt om de routerconfiguratie op de nas in te stellen, dan kan het zo maar gebeuren dat de nas poort 22 naar het internet open zet, terwijl je alleen Hyper Backup installeert. (Synology moet hier eerst de hand in eigen boezen steken, voordat ze adviezen geeft)

Als poort 22 niet in de router geforward wordt, is al 99,9% van het risico weg.

Het beste is om in de firewall de expliciete toestemming te geven aan specifieke apparaten om die poort 22 te mogen gebruiken en dan een regel om poort 22 in het geheel te blokkeren. Dan komt er niemand van buiten meer bij.

Alternatieve poorten gebruiken klinkt leuk, maar als onervaren iemand loop je dan steeds weer tegen problemen aan om dit consistent te gebruiken. (Nu denk je er aan, maar als je over twee jaar een andere service via poort 22 wilt gaan gebruiken, ben je al lang weer vergeten dat dit niet meer standaard is)

[Theo Jr]

Hallo Briolet,
dank voor je reactie
vooral je opmerking:  "In mijn optiek is een goede firewall instelling beter dan een poort aanpassen" is voor mij van wezenlijk belang. Op beide NASsen moet deze natuurlijk identiek zijn, en wat ik mezelf dan afvraag is welke poortnummers ik dan  open/dicht richting router naar buiten en binnen. Op mijn router moet ik natuurlijk ook misschien nakijken of deze voldoende "beschermd" is. (Netgear RAX80) Ik maak veel gebruik van mijn iPhone om iets over te zetten naar de NAS en dan wil ik verzekerd blijven van een goede entree. Ik heb al een 2-traps geïnstalleerd op beide nas-sen, bereikbaar via mijn iPhone.
ds 918+ en ds 720+
Als ik in ieder geval volsta om op beide nas-sen mijn SSH te deactiveren dan heb ik dat probleem toch ook getackeld of zie ik het te symplistisch?

[Birdy]

wat ik mezelf dan afvraag is welke poortnummers ik dan  open/dicht richting router naar buiten en binnen.

Dat ligt eraan wat je van buitenaf wilt doen.

Maar goed, dit Topic het gaat over poort 22 SSH Encryptie.
Nogmaals, als Hyper Backup een lokaal gebeuren is, dan heb je SSH Encryptie niet nodig.

[Theo Jr]

Ik heb hem zeker niet op zakelijk gebruik ingesteld maar gewoon op "spruitjes"stand.
Dit om te voorkomen dat ik dan nog meer intern moet gaan uitdokteren. 

[Theo Jr]

Heel basaal, het ophalen/inzien van documenten, wanneer nodig. Het plaatsen van foto's in albums, of het tonen van foto's vanuit een album, dito met videoclips.

[Briolet]

Maar goed, dit Topic het gaat over poort 22 SSH Encryptie.
Nogmaals, als Hyper Backup een lokaal gebeuren is, dan heb je SSH Encryptie niet nodig.

Klopt, maar poort 22 is wel één van de drie poorten die HyperBackup kan gebruiken. En blijkbaar zet Synology alle 3 poorten automatisch open als je niet uitvinkt om alles automatisch te installeren.

Wat dat betreft is Synology inconsequent. Enerzijds waarschuwen ze voor poort 22 maar anderzijds zetten ze hem standaard open als dat niet eens nodig is. (En niet pas als je perse een backupfunctie kiest die dit gebruikt).

[Jerengina]

Hyperbackup kan via SSH werken  dacht dat Rsync hiermee werkt. Tussen twee nassen (in- of extern netwerk) werkt hij op poort 6281. SSH dus gewoon uitzetten en hyperbackup weer installeren.

[sciurius]

Met aangepaste poort kun je er nog steeds binnen komen als een aanvaller alle poorten test.

Hier zijn onderzoeken naar gedaan en steeds is de conclusie dat het wijzigen van het poortnummer slechts schijnveiligheid oplevert. Zelfs het zg. 'port knocking' levert maar marginaal meer veiligheid.

Zoals meestal: de script kiddies hou je een beetje tegen, de professionals niet.

[DSGebruiker]

Hier zijn onderzoeken naar gedaan en steeds is de conclusie dat het wijzigen van het poortnummer slechts schijnveiligheid oplevert. Zelfs het zg. 'port knocking' levert maar marginaal meer veiligheid.

Goh, dat zou ik niet beweren. Ik heb hier een 3-traps port-knocking setup alvorens je dus een bepaalde NAT kan bereiken (vb om Plex of LMS te gebruiken)
De kans dat je correct gaat gokken is : 1 op (65.000 x 65.000 x 65.000) = héééééééééél weinig ;-)
Doe je dit enkele keertjes foutief ga je direct op de ban-list voor een weekje. (ik heb constant 700-1000 IP's op m'n filters staan)


(65.000 = afgerond voor de 64K verschillende TCP/UDP poorten mogelijkheden die voor elke "knock" van toepassing zijn)