Synology-Forum.nl
Hardware ondersteuning => Netwerk algemeen => Topic gestart door: Henk-ie op 06 februari 2020, 21:21:38
-
Beste mensen,
ik heb de laatste tijd heel veel last van aanvallen op mijn nas, ik heb de firewall al zo ingesteld dat hij die weert (maar ik weet niet of ik het goed gedaan heb)
maar ik blijf maar meldingen krijgen van de nas.
hebben jullie advies hoe ik de firewall juist instel.
van mij mogen alle landen behalve natuurlijk NL geblokkeerd worden.
graag jullie advies.
gr.
henk
-
Zelf zit ik ook met wat bezoek,
Maar ik heb het omgedraaid. Ik laat alleen NL,BE,DE en AT naar binnen. Zo sluit je de rest van de landen uit
-
Ik weet niet of je het wenselijk vind om je eigen IP adres te tonen. Staat nu wel in je afbeelding
-
Heb het plaatje aangepast ;)
-
haha is misschien wel handig om het weg te halen. maar ik kon het zelf niet meer aanpassen.
maar Birdy heeft het al aangepast.
@Birdy thank
gr.
henk
-
thanks.
error33
ik zal het eens in gaan stellen.
heb je misschien een voorbeeld hoe jou firewall er uit zien???
thanks
gr.
henk
-
Met deze instelling heeft alleen Nederland toegang:
[attachimg=1]
-
oke Birdy thanks.
maar nu is alles buiten nederland geblokt.
dus ook vpn?
en ik neem aan dat ik dan de regel moet toevoegen van de vpn verbinden om die in het buitenland te laten werken.
is dan de volgorde van de regels van belang?
ik kom namenlijk regelmatig in de duitsland en belgië voor mijn werk en gebruik vaak dan mijn eigen vpn verbinding.
thanks
gr
henk
-
ik kom namenlijk regelmatig in de duitsland en belgië voor mijn werk en gebruik vaak dan mijn eigen vpn verbinding.
Dan voeg je die landen toe.
-
Sowieso kan je open poorten voor SSH zo ongeveer als de strooppot voor strontvliegen beschouwen... Als je 'm niet nodig hebt: dichtzetten en anders overwegen om het over een niet standaard poort te laten lopen.
-
heb je misschien een voorbeeld hoe jou firewall er uit zien???
Die van mij ziet er hetzelfde uit als die van Birdy, alleen heb ik de benoemde landen er bij staan.
-
Ik denk dat ik de sjaak ben, mijn admin account is buitengesloten.
Ik had sinds zaterdag aanvallen van een IP adres uit amsterdam.
Dus alleen NL toelaten heeft geen zin.
Nu de stroom er af gehaald en vanavond maar even kijken of ik er leven in krijg.
Misschien nog tips?
-
Jazeker internet eraf en reset doen zodat admin paswoord gereset wordt
En dan admin account uitschakelen en een ander account admin rechten geven ze brutforcen bijna altijd de admin account
En als je geen admin account heb is het veel moeilijker de pass te raden
Verder de 5000 poort dicht gooien vanaf buiten en die poort vanaf buiten berijdbaar maken op bv poort 18989 ( bijvoorbeeld)
Succes :)
GreetZ
Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk
-
Ik had dus al geen admin account meer die "admin" heet.
En ik had wel een gewijzigde poort 15001, misschien was die te voor de hand liggend.
Vreemd is dat ik er ook 2FA op heb zitten, voor mijn admin account.
-
En de https poort? Ook veranderd?
En de FTP poort?
Verder SSH en telnet poort service uitgeschakeld?
Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk
-
Http 15000
https 15001
FTP uit
SSH en telnet uit.
ik begrijp daarom ook niet zo goed waarom dit nu gebeurt is bij mij.
-
Vreemd .. je kan wel internet uitzetten en een reset doen van admin account en dan in de loge kijken wat er nou is gebeurt, ben erg benieuwd
Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk
-
Het ip-adres van de vermoedelijke aanvaller was 77.247.181.163
Als je deze opzoekt op internet wordt er een verhoogt risico vermeld.
-
Ondanks de maatregelen van gebruik met andere poorten en F2A etc.
De aanval kan ook zijn uitgevoerd via een achterdeurtje met de vaak "open connectie" over het netwerk tussen PC en NAS.
Dus vanuit de PC.
Dat is een kennis van mij vorig jaar overkomen, waarbij alle data van zowel PC als NAS werd versleuteld.
(En werd gevraagd BITCOINS te betalen).
-
ik heb thuis maar 1 pc, de laptop waar ik nu op werk.
Van emails heb ik nu geen last, de server staat uit.
-
Één PC / laptop is voldoende waarbij dat kan gebeuren. Bij die kennis was het ook maar één PC / laptop die het veroorzaakte.
-
De admin paswoord is aangepast dat kan je alleen doen door toegang te hebben tot DSM of SSH telnet en heb je nog steeds paswoord nodig okal zit je lokaal
Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk
-
ter info tussendoor : Dat ip is trouwens van een Tor server dat kan nog steeds iedereen zijn
-
Daarom haal ik periodiek de lijst met tor exit nodes (https://www.dan.me.uk/torlist/) op en zet die in de blokkeringslijst. (bewaren als tekstbestand en dan importeren in de blokkeringslijst).
Het betreffende IP stond ook in mijn lijst. Dat IP was in 2015 ook al een exitnode. Maar omdat de lijst met exit nodes regelmatig veranderd moet je hem van tijd tot tijd updaten.
Anonieme mensen hebben niets op mijn nas te zoeken en tor trekt juist de verkeerde mensen aan.
-
Dank je wel voor de lijst, zijn er nog meer van dit soort handige lijstjes?
-
Over beveiligingen (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/Security).
En dit Topic over een aanval met nuttige tips (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/).
-
Ik denk niet dat hier iets via poorten 50000 en 50001 gebeurd is. Zoals geschreven heeft het admin account een andere naam en is 2FA gebruikt. Dat moet gewoon veilig zijn.
Er is waarschijnlijk iets anders aan de hand of er is een ander onveilig pakket in het spel. b.v. veel docker software is door amateurs geprogrammeerd, vol met programmeerfouten. Zij zijn allang blij dat het pakket werkt en security is bijzaak. En dat terwijl docker wel root rechten aan software geeft.
-
Plex stond open :o
-
Mooi dat je de oorzaak hebt gevonden. :thumbup:
Wat ik wel steeds apart vind is dat geadviseerd wordt om poort 5000 te blokkeren. Heb dit zelf geprobeerd maar dan werken de filmpjes via de DS photo app niet meer.
Standaard moeten degene die gebruik maken van (mijn nas) DS Photo https aanvinken om in te kunnen loggen. Maar blijkbaar werken filmpjes toch gewoon via poort 5000. Uitschakelen heeft dan ook geen zin mijns inzien. Ja het wordt veiliger maar niet echt werkbaar.
En zelf adviseert Synology ook om poort 5000 en 5001 te veranderen. Maar ja dan werken hun eigen apps niet meer :(
-
Natuurlijk werken de apps bij andere poorten. De nieuwe poorten kun je gewoon opgeven.
-
door achter de domein naam de nieuwe poort te zetten denk ik dat je bedoeld?
www.domein.nl:12345
Zo doe ik het voor mijn DS Cam. maar die poort hoef alleen ik te weten/gebruiken.
of zie ik iets over het hoofd ?
-
Poort wijziging(en) moet(en) natuurlijk ook gewijzigd worden in je router (forwarding).
-
Dat snap ik, maar de DS Photo app kijkt blijkbaar standaard naar 5001 bij gebruik.
Ik kan in de app toch niks veranderen mbt weke poort er gebruikt wordt. of er moet omslachtig een poortnummer achter .nl gezet worden.
Dat maakt het niet gebruiksvriendelijk
-
Poortnummers opgeven moet atijd, tenzij je default poorten gebruikt. Bij een brouwser zijn poort 80/443 de defaults. Bij de ds apps zijn dat 5000/5001. Zelfs als je poort 80/443 gebruikt bij de ds apps (wat ik doe) moet je die poorten mee opgeven.
-
dus jij vult in de DS photo app in :
www.domein.nl:443 ?
wat maakt dit veiliger dan als je www.domein.nl met https ingeschakeld gebruikt ?
Alleen dat poort 5001 niet open staat ?
-
Dat maakt het niet veiliger, maar in foto's zie ik ook geen risico. Ten slotte loopt PhotoStation in de browser ook al via poort 443.