Hack aanval op account niveau

[Tonie_R]

De laatste paar weken wordt er geprobeerd om via een admin account in te breken op mijn synology nas. Ik heb de beveiliging nu zo strak gezet dat na x milukte pogingen binnen y tijd de account wordt geblokkeerd.
Hiervan heb ik op zich geen last, alleen dat er op account niveau wordt geprobeerd in te breken geeft mij geen fijn gevoel. Inmiddels heb ik al een aardige lijst met ip adressen die ik blokkeer.

suggesties?

[Birdy]

https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271130/#msg271130

[Briolet]

Zo werkt internet nu eenmaal. Stel je een eigen apparaat open, dan moet je ervan uitgaan dat er geprobeerd wordt in te breken. Enige remedie: goed beveiligen. Zie verder de link van Birdy.

alleen dat er op account niveau wordt geprobeerd in te breken

Dit is bij mij niet echt accountniveau omdat er alleen met default account namen geprobeerd wordt. Er wordt niet geprobeerd andere inlognamen te bemachtigen.

Er is de laatste tijd vergrote interesse in nassen. Niet alleen de synology assen worden intensiever aangevallen dan in het verleden.

[ufosyno]

Je kan de firewall wat strakker zetten. Zelf heb ik daar China, India, Russische fedratie, Oekaïne, Turkije, Thailand en Brazilië al helemaal buitengesloten (scheelde al gauw zo'n 60% in aantal pogingen). Wel (voor de zekerheid) mijn eigen (interne) IP adresrsange op Altijd toestaan gezet.

Daarnaast automatisch blok op 3 inlogs binnen 30 minuten en nooit weer opgeheven. En ook daar mijn eigen IP-adres opgenomen onder Lijst toestaan. Dit om mezelfs door een domme actie niet buiten te sluiten.

Verder controleer ik regelmatig het logboek verbindingen op slimme jongens... hackertjes hebben al snel in de gaten dat ze er na 3 pogingen binnen een half uur uit liggen en gaan dan met een ander IP-adres over op tragere schema's, bijv. één keer per uur en soms op één keer per dag. Zo een voeg ik dan handmatig toe aan de bloklist.

Heel af en toe loop ik de bloklist nog 's door, daar staat vrijwel altijd het land van herkomst erachter, zou ik weer een land zien, dat me toch wel erg overdadig van blocks voorziet, dan zal ik dat land weer toevoegen aan de firewall-uitsluiting. En als ik er dan de moed voor zou hebben zou ik alle IP-blokkades uit dat land in de bloklist dan verwijderen. Daar heb je moed voor nodig, want dat verwijderen kan alleen maar een voor een... ach, en wat is voor een goede NAS nou het werk op duizend IP's te controleren? Dat stelt niets voor.

Mijn bloklist is dus intussen ruim 1000 IP's groot... maar de acties hebben wel tot gevolg, dat het aantal pogingen tot een enkele per dag is afgenomen. En daarvoor ben ik niet zo bang. We hebben allemaal sterke wachtwoorden, het adminaccount is uitgeschakeld, dus de kans dat hij met één poging per dag erdoor komt (als het al dezelfde is) is nagenoeg nul.

[Briolet]

Mijn bloklist is dus intussen ruim 1000 IP's groot...

Is dat veel? Ik zit over de 10 000. 

Omdat aanvallers anoniem willen zijn, gebruiken ze ook vaak het tor netwerk. Ik download periodiek de actuele IP nummers van de tor exit nodes en importeer die in mijn bloklist. Dat zijn er dan direct 7000 die je buiten de deur houdt. Die lijst met tor exit nodes vind je o.a. hier als tekst formaat.

De huidige grote aanval komt echter niet via tor, maar via een botnet van besmette PC's.

[ufosyno]

Dat van TOR: leerzaam... maar ik zie nu niet in waarom ik die 7000 zou toevoegen, als ik met de 1000 van mij al nagenoeg "schoon" ben.

En ook het via sleutel in een bestand van 10.000 adressen zoek stelt inderdaad niets voor.

[Babylonia]

Je kan de firewall wat strakker zetten. Zelf heb ik daar China, India, Russische fedratie, Oekaïne, Turkije, Thailand en Brazilië al helemaal buitengesloten.

Dat is eigenlijk net precies "verkeerd om" gebruik maken van je firewall opties.  Niet handig en inefficiënt.

Het is makkelijker juist alleen toegang te verlenen voor de regio / land waar je bent (Nederland), een land waar familie woont,
--tenminste als je die toegang wilt geven,-- en eventueel tijdelijk nog een land waar je op vakantie bent.
En de rest uit te sluiten.  Ofwel de rest van de wereld wordt dan geblokkeerd.

Is de "buitenland" regio van familie erg groot,
kun je mogelijk beter de "losse" IP-adressen van hun internetaansluiting selectief toegang geven.

Mijn bloklist is dus intussen ruim 1000 IP's groot... maar de acties hebben wel tot gevolg, dat het aantal pogingen tot een enkele per dag is afgenomen.

Met regio blocking voor alleen toegang voor Nederland (en sporadisch even een ander land erbij), is mijn blocklist  0
Of sporadisch toevallig een enkele keer dat een bekende van mezelf (die toegang mag hebben),
net teveel pogingen heeft gedaan om in te kunnen loggen.  Ik controleer dan even welk IP-adres,
(bijv. de onderwijsinstelling waar mijn dochter op school zit is een keer geblokkeerd),
of het IP-adres van de bekende zelf, en bel dan ter controle even op, als ze zelf al niet hebben gebeld.
Die IP-adressen deblokkeer ik dan weer.  Daarna blijft het rustig.  Al jaren zo.

[Briolet]

…Of sporadisch toevallig een enkele keer dat een bekende van mezelf (die toegang mag hebben),
net teveel pogingen heeft gedaan om in te kunnen loggen.  Ik controleer dan even welk IP-adres,

Daarom vind ik de blokkade via accountbeveiliging handiger. (Iets lager op de pagina waar je blokkeren ip IP niveau instelt).

Als je die iets strakker instelt dan de gewone blokkade, zal hij hier op blokkeren. Deze blokkade wordt na 1 uur automatisch weer vrijgegeven. Dan heb je er zelf minder werk aan als gebruikers vaak tikfouten maken.

[ufosyno]

Babylonia, ijk begrijp je reactie volledig, maar als je een toch licht internationaal georiënteerde website hebt lopen, dan wil je toch ook dat de buitenlanders erbij kunnen? Ik sluit dus zo weinig mogelijk uit... dat was dus een keuze, ook nog 's gemaakt nadat ik zo goed mogelijk had bestudeerd in de statistieken waarvandaan de bezoeken daarop komen.

Blijkt maar weer eens te meer, dat het in de ICT wereld eigenlijk nooit draait om dé oplossing, maar om een oplossing.

[Babylonia]

Babylonia, ijk begrijp je reactie volledig, maar als je een toch licht internationaal georiënteerde website hebt lopen,...

Dan doe je als enige die regio blocking voor poort 80 / 443 niet.
Wel voor de andere services die je mogelijk van buiten wilt benaderen.

[Pippin]

Het probleem van zwak wachtwoord los je alleen op door het sterk te maken.

Als je vaak logs leest/email krijgt eventueel poort wijzigen maar vergeet niet dat het wachtwoord dan nog steeds zwak is...niet veiliger dus.
Hetzelfde geldt natuurlijk ook voor applicaties die publiek toegankelijk zijn, die worden niet veiliger door de poort te wijzigen waarop ze luisteren... up-to-date houden dus.

En zoals @ufosyno reeds aangeeft is dat een one solution for all niet bestaat.
Laten we ook niet vergeten dat verreweg de meeste besmettingen door gebruikers zelf naar binnen worden getrokken.

[Babylonia]

Daarom vind ik de blokkade via accountbeveiliging handiger. (Iets lager op de pagina waar je blokkeren ip IP niveau instelt).

Als je die iets strakker instelt dan de gewone blokkade, zal hij hier op blokkeren. Deze blokkade wordt na 1 uur automatisch weer vrijgegeven. Dan heb je er zelf minder werk aan als gebruikers vaak tikfouten maken.

Voor dat handjevol in enkele jaren is dat eigenlijk niet eens de moeite waard.

In een andere situatie waar ik het beheer over een NAS heb "zou het handig kunnen zijn",
maar heb daarbij dan minder controle of niet op andere wijze verkeerd gebruik wordt gemaakt van een account?
In de slordigheid zouden gegevens daarbij ook in verkeerde handen kunnen vallen.
Dus wil juist expliciet op de hoogte zijn van de betreffende persoon zelf of het klopt.

Maar bedankt voor deze suggestie.   

[Briolet]

In een andere situatie waar ik het beheer over een NAS heb "zou het handig kunnen zijn",
maar heb daarbij dan minder controle of niet op andere wijze verkeerd gebruik wordt gemaakt van een account?

Volgens mij zijn beide methoden van goed. Als je accountbeveiliging aanzet dan maakt hij onderscheid tussen apparaten die al eens succesvol ingelogd zijn (vertrouwde cliënten) en apparaten die voor het eerst inloggen (onbetrouwbare cliënten).

Ik heb zelf gekeken en zie dat ik vertrouwde cliënten toesta om 4x fout in te loggen en dan al weer na 5 minuten deblokkeer. Onbetrouwbare cliënten blokkeer ik na 2 foute pogingen en dan een vol uur. En met slechts 2 pogingen per uur werkt een bruteforce aanval niet echt.

Merk wel op dat hij cliënten aan de browser karakteristieken herkent. Dus na een browser update of andere grote verandering aa de brouwer, ziet hij het weer als een nieuw cliënt.

Wel jammer dat dit niet in het standaard log komt. Ik gebruik al jaren de syslog server op de nas. Ik laat de meldingen op de hoofdnas ook naar zijn eigen syslog server schrijven. Daar komen al deze geblokkeerde inlogs wel in terecht met de geprobeerde accountnaam.

En de accountbeveiliging is alleen voor inloggen met browsers en ds apps. Voor ftp, ssh, mailserver etc gebruikt hij alleen de gewone blokkeer optie.

[Babylonia]

Als je accountbeveiliging aanzet dan maakt hij onderscheid tussen apparaten die al eens succesvol ingelogd zijn (vertrouwde cliënten) en apparaten die voor het eerst inloggen (onbetrouwbare cliënten).

Ik heb bij de organisatie m.b.t. die NAS wel eens briefjes gevonden met wachtwoorden.
Ook worden "opengeklapt" laptops op een bureau wel eens even alleen gelaten,
en zou een ander er gebruik van kunnen maken die niet bevoegd is.
Vandaar dat bij een blocking van een account ik zelf wil controleren bij de persoon in kwestie wat er aan de hand is.

[Pippin]

Ja briefjes en open PC's gebeurt veel.
Werk veel bij verbouwingen en als ik zou willen... ook in server ruimten!