Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Jan01 op 17 juli 2019, 17:41:05
-
Ik weet dat dit een bekend onderwerp is maar ik blijf sinds enkele dagen enkele malen per dag die ip meldingen krijgen.
Daarvoor heb ik zo goed als geen last hiervan gehad.
Wat ik eerder al gedaan had :
de beruchtste landen geblokkeerd
admin uitgezet
na drie aanmeldingspogingen binnen de 15 min worden de ip adressen geblokkeerd
accountbeveiliging annuleren na 60 min.
firewall staat aan
Vandaag nog gedaan :
ssh uitgezet
ftp uitgezet
bonjour uitgezet
tftp staat uit
rsync staat uit
SMB staat nog aan en ook AFP.
Kan ik anders nog iets doen ?
-
Op zich zijn die meldingen niet erg, ze worden geblokkeerd dus, login/password(s) zijn sterk.
drie aanmeldingspogingen binnen de 15 min worden de ip adressen geblokkeerd
Om dit nog beter te maken, zou ik die 15 min. hoger instellen naar b.v. 60 min.
Daarnaast, heb je wel dingen uitgezet maar waren deze van buitenaf bereikbaar dus, poorten doorgestuurd naar je NAS b.v. SSH.
Dit soort pogingen worden n.l. op poorten die open staan voor de buitenwereld.
-
Of naar 24 uur!
En minder dan 3 keer proberen.
Blijven er ook 999 dagen instaan 8)
Ik heb al bij één foute poging dat het ip adres geblokt wordt.
Handig? Ik gebruik een password manager dus typefouten zijn uitgesloten.
-
Heb het op 24u gezet en 2x proberen.
Alhoewel dat weinig zin heeft denk ik want ik veronderstel dat zij wel software gebruiken die constant hun ip adres wijzigt.
In mijn Telenet modem staan poorten 5000 en 5005 en 5006 geforward.
DSM 5000 (HTTP), 5001 (HTTPS) TCP
WebDAV, CalDAV 5005, 5006 (HTTPS) TCP
-
Klopt, ip adressen zijn voor kwaadwillenden eenvoudig te wijzigen.
Zorg voor sterke wachtwoorden.
Een nas aan het internet is erg handig maar zorgt ook voor gerammel aan de poorten.
DSM up to date houden is uiteraard ook verstandig!
-
Toch vreemd, heb nu in twee jaar zo goed als geen melding gehad en nu blijven de meldingen maar komen.
Moeten die poorten zo allemaal blijven ?
-
DSM 5000 (HTTP), 5001 (HTTPS) TCP
WebDAV, CalDAV 5005, 5006 (HTTPS) TCP
Je gebruikt voor beide Services HTTPS (neem ik aan) dus, 5000 en 5005 zijn onnodig en kunnen verwijderd worden.
-
Ok, dat ga ik nu doen.
De voorbije nacht weer 23 mails ontvangen en ze blijven binnen komen.
Paswoord is ook aangepast naar één van 50 tekens.
-
Ze blijven het gewoon proberen maar worden keurig geblokkeerd, zoals het hoort, je kunt het gewoon niet tegenhouden tenzij je helemaal geen poorten meer forward.
-
En geen mailtje laten sturen bij een poging.
Dat scheelt in de gemoedsrust 8)
-
Mailtjes laten sturen heeft alleen zin als je er zelf ook aktie op neemt. b.v. het abuse adres opzoekt en dan een mailtje naar de eigenaar van het IP stuurt in de (ijdele) hoop dat ze iets gaan ondernemen.
-
Heb ik een paar keer gedaan maar als je nooit enig respons krijgt denk ik van laat maar.
-
Het lijkt dat ik mijn wachtwoord niet kan wijzigen, telkens ik terug naar het veld ga kijken staat er terug een kort wachtwoord.
Ook ik wachtwoord altijd geldig aangevinkt en dat kan ik niet uitvinken.
-
Hoe klein of groot het password ook is, het aantal stippen die je ziet blijft gelijk dus, daar niet opletten.
-
…staat er terug een kort wachtwoord.
De nas kent jouw wachtwoord niet en kan dus ook niet het oude korte wachtwoord invullen. Dit zal je browser doen via de autofill optie.
-
Ok, we zijn er bijna.
Nu nog even die poorten op mijn modem/router.
Ik gebruik op mijn smartphone 3 app's van Synology en dat geeft het volgende.
poort 5005 toe :
ds cam werkt
ds finder
ds file werkt
poort 5006 toe :
ds cam werkt
ds finder werkt
ds file werkt
poort 5000 toe :
ds cam werkt maar wel melding :u maakt een verbinding via de quickconnect service. Voor betere prestaties raden wij u aan om poort doorsturen van uw router te gebruiken.
ds finder werkt
ds dile werkt
-
Wat is precies je vraag?
-
Wat is met die poort 5000 best kan doen ?
-
Heb ik al gezegd toch? Geldt ook voor die andere poort.
-
Heb ik al gezegd toch? Geldt ook voor die andere poort.
Ok, en dit maakt niet uit ?
ds cam werkt maar wel melding :u maakt een verbinding via de quickconnect service. Voor betere prestaties raden wij u aan om poort doorsturen van uw router te gebruiken.
-
QC werkt ook met https.
-
Ok, gisterenavond de drie poorten dichtgezet.
Vanmorgen 80 mails binnengekregen van pogingen tot.
Ik ga zoals eerder voorgesteld de meldingen maar uitzetten.
Het blijft een raadsel waarom ik op twee jaar maar 10 meldingen heb gekregen en ze nu constant binnenlopen.
Misschien nog één vraag. Wanneer ik in de firewall al de landen behalve België wil blokkeren krijg ik de melding dat er maar 15 per regel zijn toegestaan.
Hoe lossen jullie dat op?
-
Je hoeft toch maar één land toe te staan als de rest niet nodig is?
-
Dom van me, ik had weigeren daar ingesteld, heb dit nu aangepast naar alleen België toestaan.
Dat is ook weer opgelost.
De firewallmeldingen heb ik ook uitgezet.
-
Toch nog een laatste vraagje.
1.Firewallmeldingen zijn uitgezet
2.e-mailmeldingen bij security advisor heb ik volgende uitgezet : beveiligingsrisico's + nieuw aanmeldingsgedrag + er is een securityadvisor rapport gegenereerd.
3.bij meldingsinstellingen dsm-bureablad heb ik security advisor uitgevinkt.
Toch blijven nog steeds deze meldingen komen :
Beste gebruiker
Het IP-adres [52.234.224.154] heeft 2 mislukte pogingen gedaan om aan te melden bij DSM die wordt uitgevoerd op Synology binnen 120 minuten, en werd geblokkeerd om Fri Jul 19 11:38:48 2019.
met vriendlijke groeten,
Synology DiskStation
Beste gebruiker
Het IP-adres [34.238.40.70] heeft 2 mislukte pogingen gedaan om aan te melden bij DSM die wordt uitgevoerd op Synology binnen 120 minuten, en werd geblokkeerd om Fri Jul 19 11:49:57 2019.
met vriendelijke groeten,
Synology DiskStation
Wat moet ik nog uitzetten om die meldingen weg te krijgen ?
-
Het wordt tijd dat er screenshots komen van alle regels zoals ze nu zijn...
-
Zal ik eerst eens van alles maken.
-
Waarschijnlijk wordt er niets geblokt wat niet aan de regels voldoet. Terwijl dat toch een heel logische optie is als je naar de afsluitende twee radiobuttons kijkt.
En hier de handleiding overschrijven is ook een beetje overdreven.
-
(https://www.mupload.nl/img/4tsjvrq05kh9i.jpg)
(https://www.mupload.nl/img/8o4ncocy.jpg)
(https://www.mupload.nl/img/w3de97t3x.jpg)
(https://www.mupload.nl/img/vihork.jpg)
(https://www.mupload.nl/img/wx26f4ucr.jpg)
(https://www.mupload.nl/img/aaza27.jpg)
-
Het zal nu wel opgelost zijn. :)
(https://www.mupload.nl/img/cdke6zp.jpg)
-
Heeft een week goed gegaan tot het vanmorgen weer begon :
Beste gebruiker,
Het aantal mislukte aanmeldingspogingen vanaf niet vertrouwde apparaten op uw account [admin] op Synology heeft de limiet overschreden van (2 pogingen binnen 120 minuten). U kunt zich alleen vanaf vertrouwde apparaten bij uw account aanmelden die u eerder voor succesvolle aanmeldingen hebt gebruikt.
De beveiliging wordt automatisch geannuleerd om Thu Jul 25 18:10:15 2019 Om de beveiliging handmatig te annuleren, klikt u op het persoonspictogram in de rechterbovenhoek van het DSM-bureaublad en gaat u naar Persoonlijk > Accountbeveiliging.
Met vriendelijke groeten,
Synology DiskStation
-
Tja, het is niet anders, je hebt het in ieder geval goed beveiligd.
-
Jan als je de port-forwards uit je router haalt, dan zijn je meldingen weg en kan je via quickconnect verbinden vanuit je mobiele Apps.
Zolang je login pogingen ziet; wordt je nog steeds aangevallen en heb je ergens een zwakte. Voor de meeste niet ICT'ers is het gebruik van quickconnect een stuk veiliger dan port-forwards direct naar de NAS.
-
@Jan01
Wat voor mij heeft gewerkt (werd nu sinds 3 dagen gebashed en continue meldingen) is de firewall rules instellen op NAS.
Daarin heb ik alleen aangegeven vanuit welke landen ik toegang wil hebben.
Bijv:
Ports all -> Source IP (keuze Netherlands) -> Allow
Ports all -> Source IP all -> Deny
In die volgorde ook als opbouw.
Security advisor had om de 2 min logs ivm met brute force attacks.
Nu de laatste 20 min, geen ;)
Voor mij werkt het in ieder geval en heb dit remote uitgevoerd op de NAS.
Dus als ik een foutje had gemaakt,, dan had ik dat gelijk gemerkt 8)
-
@wopper,
port-forwards zijn allemaal weg sinds vorige week.
@Weerz,
Jouw aanpassing heb ik ook gedaan.
Maar dan krijg ik volgende melding.
[attachimg=1]
Daarnaast heb ik ook nog een melding uitgeschakeld.
[attachimg=2]
-
@Jan01 Liever geen externe print screens toevoegen, werk heel lastig en die info raken we kwijt, zodat niemand meer weet waar het over gaat.
Ik heb je bericht aangepast.
-
Bedankt voor het aanpassen, maar naar waar upload jij de foto's zodat deze hier zichtbaar zijn ?
-
Gewoon in je reacties naar het Forum uploaden, onderin zie je Bijlage:
[attach=1]
-
Aha, als bijlage dus.
Ik zat steeds bovenaan zoals op de meeste forums op het afbeelding icon te klikken. ;)
-
@Jan01
De melding kreeg ik ook. Wat dat betekent is dat je huidige ip-adres, die je gebuikt met instellen, vanuit een land komt dat je blokkeert als de firewall instellingen doorvoert.
Veiligheidje van Synology om je niet buiten te sluiten. Kan zijn Great Brittain. Maar het is even testen ;-)
-
Een LAN ligt ook niet in Nederland. Althans niet in de firewall.
-
Maar jij weigert in de tweede regel niet al de landen maar al de ip-adressen.
Om dit te omzeilen zou ik dan nog een extra regel moeten maken met al de ip-adressen van al mijn apparaten zodat deze toegang hebben.
-
@wopper,
port-forwards zijn allemaal weg sinds vorige week.
@Weerz,
Jouw aanpassing heb ik ook gedaan.
Maar dan krijg ik volgende melding.
(Link naar bijlage)
Daarnaast heb ik ook nog een melding uitgeschakeld.
(Link naar bijlage)
Als je hier je LAN reeks toevoegt 192.168.x.y bv dan kan je er vanaf je laptop gewoon bij, op "alles toestaan"
Ik begrijp je niet, als je de alerts uitzet dan wordt je toch nog steeds gehacked alleen zie je het niet meer...?
-
als je de alerts uitzet
Als iets aan het internet hangt dan wordt er altijd geprobeerd in te breken. Bij een mailserver gaat het ook om grote hoeveelheden per dag. Het is onzinnig om voor elke poging een melding te ontvangen.
Gewoon sterke wachtwoorden en 2FA gebruiken en je kunt die meldingen uitzetten.
-
De ene zegt meldingen uit de andere zegt meldingen aan.
Ik heb alles al geprobeerd om de meldingen uit te zetten maar dat lukt niet of er moet nog ergens iets verborgen zitten?
Nu blijven die mails van "Synology meldingUw account [admin] op Synology is beveiligd" maar binnenstromen.
Maar zoals wopper zegt is ook een optie. Elk ip-adres blokkeren en mijn eigen ip-adressen van pc's en gsm's toestaan. Probleem is dan wanneer je ergens aan een vreemde pc zit je ook niet aan je bestanden kan komen natuurlijk.
En ik denk dat dan ook nog de meldingen blijven komen.
-
Sinds vandaag iets vreemds. Nu krijg ik telkens exact om het uur de melding ; synology melding, u account is beveiligd.
-
Blijkbaar een bug bij Synology, dit wordt bij de volgende update opgelost.
Hello,
Thanks for your patience.
Developpers confirmed the bug about the email sending even if the notification is disable.
It will be fixed in a future update.
Unfortunatly, there is not workaround for now, except create a web filter in your email account.
Let me know if I can help you further.
Best regards,
-
Dat over het elke uur een e-mail zag ik ook diverse keren op het engelse forum voorbij komen. Goed te horen dat dit niet een uurlijkse aanval is en dat dit opgelost gaat worden.
Maar waarom alleen bij sommigen. Dit staat bij mij ook uit. Wat als je de notifcatie weer aan zet, opslaat en weer uit zet?
Een future update zal niet eerder komen dan begin september. In elk geval heeft Synology met een andere bug aangegeven dat die in de update van begin sept verholpen zal zijn.