Synology-Forum.nl

Firmware => Synology DSM 6.2 => Topic gestart door: HenkGroen op 15 augustus 2019, 10:45:11

Titel: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 10:45:11
Ik kreeg vannacht het volgende mailtje:

Beste gebruiker
Het IP-adres [178.128.87.175] heeft 3 mislukte pogingen gedaan om aan te melden bij SSH die wordt uitgevoerd op DS412Plus binnen 9500 minuten, en werd geblokkeerd om Thu Aug 15 01:46:08 2019.

Ik heb echter mijn Firewall op de DSM goed ingesteld dacht ik. (zie bijlage)
Ik gebruik 2FA en de default 'admin' is uitgeschakeld.

Iemand een idee waarom ik ze dan toch krijg. (is overigens de 1e weer sinds maanden)
Het bovengenoemde IP-Adres komt uit Singapore, dus die zou geblokkeerd moeten worden bij de laatste regel in de DSM Firewall
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Birdy op 15 augustus 2019, 10:49:05
Het aankloppen blijft gewoon gebeuren echter, ze komen niet binnen.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 10:51:22
Hmm. ik zou verwachten dat ze eerst langs de DSM firewall moeten (en dat zou met regel 4 niet lukken)
Blijkbaar mogen ze eerst 'connecten', en dan pas worden de DSM firewal regels doorlopen.
Moet ik het zo zien ?
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 15 augustus 2019, 11:16:02
Volgorde van Firewall regels is niet juist.  (Firewall regels worden van boven naar beneden afgewerkt).

Je eerste regel weiger je specifiek een bepaald extern IP-bereik voor "alle poorten".
Wat er niet aan voldoet, mag dan dus nog wel allemaal doorgelaten worden "op alle poorten".
            Voor zover ze in de router zijn geport forwarded en bij de NAS aankomen.
            Kennelijk heb je ook SSH poort 22 doorgestuurd, want komt bij de NAS aan.  (Is dat wel handig ??).

Daar kan het IP-adres uit Singapore dan ook onder vallen.  En wordt dan alsnog opgevangen door de andere beveiliging.

Pas daarna ga je restricties maken voor toegang alleen voor Nederland.
Dat heeft dan niet meer zoveel zin.

Volgorde zou moeten zijn:
1. Toegang intern voor je eigen thuis sub-net
2. Toegang extern alleen voor bepaalde services binnen de regio Nederland
3. Nog eens extra beperking op een bepaald IP bereik.
            Waarvan ik dan uitga, dat het een IP-bereik is binnen Nederland.
            (Anders is het helemaal overbodig die regel te gebruiken).
4. Voor de rest alles weigeren.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Briolet op 15 augustus 2019, 11:58:23
Blijkbaar mogen ze eerst 'connecten', en dan pas worden de DSM firewal regels doorlopen?

Nee, met die firewall regels komt er alleen een eerste datapakketje van ca 40 bytes binnen. Op grond van dat datapakketje besluit de firewall vervolgens om er niet op te reageren. (Met darkstat zie je dat b.v. mooi gebeuren).

Ik snap het ook niet met die 4 regels. Als ik dat IP in de blokkeringslijst invul, zie ik ook dat hij bij dsm bekend is als niet-nederlands.

[attachimg=1]

Citaat
Het bovengenoemde IP-Adres komt uit Singapore,
Volgens DSM dus uit Griekenland.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 15 augustus 2019, 12:19:03
Volgens een IP whois lookup website uit Singapore:
http://whois.domaintools.com/178.128.87.175

Er zit in de database van regio's kennelijk dus ook nog iets fout?
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 12:32:59
@Babylonia : Ik ga de Firewall regels eens omdraaien zoals je aangeeft, waarvoor dank !

Ik heb bewust een extra IP-Bereik uit NL geblokkeerd, want daar heb ik uit het verleden heel veel aanvallen uit gehad.

en mbt. tot poort 22 (daar ga ik even achteraan waarom ik deze 'bewust' opengezet hebt, wat dat heb ik volgens mij niet nodig)
(wordt vervolgd mbt. poort 22)

@Briolet : Ik maak gebruik van https://db-ip.com/ en volgens hun is het Singapore.
Maar goed. Dit geeft Babylonia ook al aan
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Briolet op 15 augustus 2019, 12:42:51
Het gaat er natuurlijk niet om hoe anderen dat IP zien, maar hoe DSM dat in zijn database heeft staan. Volgens mij gebruikt DSM een gratis database die sinds 1 januari 2019 niet meer geupdate wordt. (Zie de help waar de database bron genoemd wordt) De makers hebben wel een v2 versie van de database.

Maar volgens beiden ligt het IP niet in Nederland en zou dus geen inlog mogelijkheid moeten krijgen met die 4 regels.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 12:45:12
@Babylonia
Toch nog even over de regels. (ik heb ze wel op advvies omgedraaid.)
Maar,
Het effect blijft toch hetzelfde. ?

'oude situatie'
Iemand uit Singapore komt aan, en voldoet niet aan een specifiek IP-Reeks uit NL
en gaat dus door naar de 2e regel. Daar voldoet hij ook niet aan, want hij komt niet uit NL
Vervolgens voldoet hij ook niet aan mij 3e (interne lan) rule, en gaat door naar de 4e regel.
En dat is weigeren.

'Nieuwe situatie'
Hij voldoet niet aan de 1e rule (interne lan|), en ook niet aan de 2e rule (NL), en ook niet aan de 3e rule (NL specifieke reeks)
Dan komt hij toch ook bij de 4e uit : Weigeren.

Ik probeer dus te begrijpen wat het verschil maakt in de nieuwe situatie tov. de oude situatie
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Briolet op 15 augustus 2019, 12:46:36
Is geen verschil. De volgorde was al goed.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 15 augustus 2019, 12:53:47
Volgorde maakt wel degelijk uit.
Heb er ooit eens een inzichtelijk "Jip & Janneke" uitleg aan gegeven met boodschappen in een boodschappentas:
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887

Als je twijfelt of Firewall regels goed zijn opgesteld kun je dat zelf uittesten met de volgende website in Amerika:
https://www.grc.com/x/ne.dll?bh0bkyd2

Test dan op specifieke poorten van de services die jezelf gebruikt.
Omdat de server in USA is gelegen zou alles "Stealth" moeten zijn, als je regio blocking hebt ingesteld,
waarbij alles buiten Nederlands wordt geblokt.

Voorbeeld van een vergelijkbaar resultaat m.b.t. de Firewall regels voor de Synology router, wat verder naar onderen
(Die wat uitgebreider is dan de Firewall voor een NAS, maar een vergelijkbare basis opzet heeft).
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 13:18:25
@Babylonia : Ik ga vanavond eens die test met de Amerika website doen vanuit huis (ben nu op werk)

Ik heb je tekst gelezen, en die is qua boodschappen wel helder.
Maar, als ik naar mijn 4 regels kijk, dan zie ik nog niet in, wanneer Singnapore in de oude vs. nieuwe situatie geblokkeerd wordt.
Ik ben benieuwd naar jou uitleg
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 15 augustus 2019, 13:38:58
Verdere uitleg om daar tijd in te steken of het wel of niet voldoet heeft niet zoveel zin.
Test het gewoon vanavond uit met "Shields Up".  Dat geeft meteen uitsluitsel.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 14:03:53
Ga ik vanavond zeker doen. Wordt vervolgd
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Briolet op 15 augustus 2019, 15:33:16
Ik zou gewoon de help lezen, want daar staat het goed uitgelegd. Zoals ik al scheef was het in het screenshot juist goed ingesteld en als je de volgorde veranderd zullen de regels juist niet meer werken. De eerste regel mag echt als eerste staan. In elk geval moet hij voor de Nederland regel staan.

Ik zie alleen niet waarom er toch een inlogpoging vanaf [178.128.87.175] heeft kunnen zijn.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 17:40:38
@Babylonia,
Ik heb de test gedaan, en met beide firewall rules : Totaal geen enkel verschil   !
Zie ook de bijlagen Check-1 en Check-2, wat in beide test situaties hetzelfde was.

>Verdere uitleg om daar tijd in te steken of het wel of niet voldoet heeft niet zoveel zin.
>Test het gewoon vanavond uit met "Shields Up".  Dat geeft meteen uitsluitsel.
Tja, dan zou ik je toch willen vragen of je mij toch kunt overtuigen van de oude & nieuwe situatie m.b.t.. Singapore
(het is niet rot bedoeld, maar ik probeer het verschil te begrijpen, zoals jij het ziet)

Want dat is dus nog steeds de vraag, die @Briolet ook terecht stelt:
Hoe komt het dat IP-Adres 178.128.87.175 zich aanmeld ?

mbt. Poort 22
Deze staat NIET in mijn router open, alleen gebruik ik poort 8022 voor rsync
(en de DSM combineert op 1 of andere manier de 22 en 8022 samen)
Zie hiervoor bijlage 1-...   t/m 5-....)

Als iemand daar nog een idee over heeft.....

Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Briolet op 15 augustus 2019, 19:23:23
Ik heb de test gedaan, en met beide firewall rules : Totaal geen enkel verschil   !

Zou er wel moeten zijn. Jou instelling was goed. De voorgestelde volgorde is fout omdat regel 3 daar niets meer doet. Als je eerste Nederland toestaat, dan komt hij er niet meer aan toe om binnen Nederland poorten te blokkeren. Dat is de reden dat is altijd schrijf om eerst de help te lezen. Daar staat het eigenlijk altijd correct uitgelegd. (En pas als het daar niet staat het forum te vragen)

Maar dat staat alles los van het niet blokkeren van jouw gevonden IP. Het lijkt er op dat dat IP misschien in twee databases staat. Dus ook nog in de lijst van Nederland waardoor het mis gaat.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 15 augustus 2019, 19:24:07
Want dat is dus nog steeds de vraag, die @Briolet ook terecht stelt:
Hoe komt het dat IP-Adres 178.128.87.175 zich aanmeld ?

mbt. Poort 22
Deze staat NIET in mijn router open....

Misschien probeert er wel iemand via een omweg vanuit "ransomeware" op je PC je NAS te bereiken??
Daar zijn al zoveel meldingen van binnengekomen.
https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 19:56:00
Dat lijkt mij sterk, want mijn laptop staat 's-nachts uit, en de fysieke PC gaat maar 1 keer per maand aan.

Buiten dat : 's-nachts om 01:46 uur staat er bij mij geen enkele Windows machine aan.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 15 augustus 2019, 19:57:39
@Briolet : Conclusie : Mijn oorspronkelijke Firewall settings in DSM waren dus juist.
incl. in de juiste volgorde dus. Begrijp ik het zo goed ?
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Briolet op 15 augustus 2019, 20:24:38
Daar was niets mis mee. Ze worden van boven naar beneden afgehandeld totdat er een treffer is.

Ik verdenk dus een fout in de IP database. (Maar bij mij komt hij met Griekenlandt erug en geen Nederland) Die database staat op /usr/share/geoip en /usr/share/??_geoip. Maar dat is in een custom database formaat. Die kun je niet zo uitlezen.

Wat me wel weer opvalt is dat de aanmaak datum 20 maart is bij mij. Ik heb niet de indruk dat DSM de database periodiek update. Ik vind ook geen cronjob entry voor een update actie.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 16 augustus 2019, 00:59:19
Misschien probeert er wel iemand via een omweg vanuit "ransomeware" op je PC je NAS te bereiken??

Dat lijkt mij sterk, want mijn laptop staat 's-nachts uit, en de fysieke PC gaat maar 1 keer per maand aan.

Tja, heel het voorval "is sterk".  (Het is ook een vraag, geen veronderstelling).
Vanuit de extra info die je hebt geplaatst
Poort 22 is niet niet eens geactiveerd in de NAS.  Die poort ook niet doorgestuurd.

Je hebt wel poort 8022 (https://www.synology-forum.nl/index.php?action=dlattach;ts=1565883638;topic=38151.0;attach=45699;image) in gebruik als SSH (met port forwarding).  Maar met "Shields Up" niet op die poort getest.
Alleen de eerste 1055 poorten zijn getest.  De meeste poorten die je in gebruik hebt zitten boven de 1055.
Je kunt bij die test ook een zelf samengesteld lijstje aan poorten ingeven waarop wordt getest.
Je zou dat in ieder geval voor alle gebruikte poorten kunnen ingeven en testen.
(Lijstje met poorten gescheiden door een komma).
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 16 augustus 2019, 06:24:02
@Babylonia : Hierboven (Reactie #15) zie je in de Check-2 als de specifieke poort check volgens mij.
Tenzij je nog een andere bedoeld.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 16 augustus 2019, 08:24:51
Nee, dat bedoel ik niet.

Bij "Shieldss Up" heb je slechts getest op de eerste 1055 poorten ----> Bij reactie #15 jou  < eerste plaatje > (https://www.synology-forum.nl/index.php?action=dlattach;ts=1565883637;topic=38151.0;attach=45689;image).
De poorten vanaf 1055 en hoger zijn niet gecheckt.
Dat zou met die standaard check te lang duren als die allemaal getest zouden moeten worden.
(Zo is dat bij de interface van "Shieldss Up" nu eenmaal geregeld.
Dat zou teveel bronnen opeisen van de server, als "tig" gebruikers daarop zouden controleren).

Maar zoals aangehaald kun je wel een specifieke lijst aan poorten opgeven om die te testen:
Bijvoorbeeld met < DIT > (https://www.synology-forum.nl/index.php?action=dlattach;ts=1551883983;topic=37131.0;attach=44305;image) als resultaat (als voorbeeld uit een heel andere situatie en andere poortlijst).
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 16 augustus 2019, 08:30:22
Dit staat toch als 2e plaatje bij Reactie 15 (oke, alleen als tekst versie dan)
Hierbij ook de GUI versie
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Babylonia op 16 augustus 2019, 08:34:46
OKE, zover was me dat eerdere resultaat niet opgevallen.

Blijft dan nog steeds de vraag hoe een buitenlands IP-adres (ook Griekenland is buiten Nederland),
dan nog steeds in de blocking list kan voorkomen?

Misschien een idee om daaar toch bij Synology Support een ticket in te schieten?
Worden ze mogelijk getriggerd meer vaart te zetten aan die database die ze gebruiken, om die te veranderen naar versie 2 ??
(Als daar het probleem in zou schuilen).
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 16 augustus 2019, 08:38:46
Klopt, dat blijft de grote vraag.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: Briolet op 16 augustus 2019, 09:56:36
Probeer zelf eens dat IP in de bloklijst op te zoeken. Eens kijken of daar bij jou ook Griekenland staat. Voor het geval hier verschil in zit door tijdstip van installatie omdat er volgens mij niet (goed) geupdate wordt.

Ik vind het toch vaag hoe Synology het doet. De firma waar zij de database vandaan halen (maxmind (http://www.maxmind.com.)) heeft twee versies. Een op landen niveau en een op steden niveau. De versie met steden is wel 100x zo groot. Toch is het die zeer grote database database die in "/usr/share/geoip" staat. Jammer als je er dan niets mee doet.
Titel: Re: Ondanks firewall blokkade, toch een poging tot inloggen
Bericht door: HenkGroen op 16 augustus 2019, 10:07:29
Ja, ook griekenland.