Synology-Forum.nl

Hardware ondersteuning => Netwerk algemeen => Topic gestart door: Henk-ie op 06 februari 2020, 21:21:38

Titel: aanvallen op nas en hoe dit te blokkeren
Bericht door: Henk-ie op 06 februari 2020, 21:21:38
Beste mensen,

ik heb de laatste tijd heel veel last van aanvallen op mijn nas, ik heb de firewall al zo ingesteld dat hij die weert (maar ik weet niet of ik het goed gedaan heb)

maar ik blijf maar meldingen krijgen van de nas.

hebben jullie advies hoe ik de firewall juist instel.

van mij mogen alle landen behalve natuurlijk NL geblokkeerd worden.

graag jullie advies.

gr.
henk


Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: error33 op 06 februari 2020, 21:47:35
Zelf zit ik ook met wat bezoek,

Maar ik heb het omgedraaid. Ik laat alleen NL,BE,DE en AT naar binnen. Zo sluit je de rest van de landen uit
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: error33 op 06 februari 2020, 21:54:26
Ik weet niet of je het wenselijk vind om je eigen IP adres te tonen. Staat nu wel in je afbeelding
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Birdy op 06 februari 2020, 22:09:22
Heb het plaatje aangepast ;)
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Henk-ie op 06 februari 2020, 22:11:44
haha is misschien wel handig om het weg te halen. maar ik kon het zelf niet meer aanpassen.
maar Birdy heeft het al aangepast.
@Birdy thank

gr.
henk
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Henk-ie op 06 februari 2020, 22:13:28
thanks.

error33

ik zal het eens in gaan stellen.

heb je misschien een voorbeeld hoe jou firewall er uit zien???


thanks

gr.
henk
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Birdy op 06 februari 2020, 22:20:54
Met deze instelling heeft alleen Nederland toegang:

[attachimg=1]
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Henk-ie op 06 februari 2020, 22:44:56
oke Birdy thanks.

maar nu is alles buiten nederland geblokt.
dus ook vpn?
en ik neem aan dat ik dan de regel moet toevoegen van de vpn verbinden om die in het buitenland te laten werken.
is dan de volgorde van de regels van belang?

ik kom namenlijk regelmatig in de duitsland en belgië voor mijn werk en gebruik vaak dan mijn eigen vpn verbinding.

thanks

gr
henk
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Benjamin op 07 februari 2020, 08:41:18
Citaat
ik kom namenlijk regelmatig in de duitsland en belgië voor mijn werk en gebruik vaak dan mijn eigen vpn verbinding.

Dan voeg je die landen toe.

Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: ufosyno op 07 februari 2020, 11:54:09
Sowieso kan je open poorten voor SSH zo ongeveer als de strooppot voor strontvliegen beschouwen... Als je 'm niet nodig hebt: dichtzetten en anders overwegen om het over een niet standaard poort te laten lopen.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: error33 op 08 februari 2020, 19:34:08
heb je misschien een voorbeeld hoe jou firewall er uit zien???

Die van mij ziet er hetzelfde uit als die van Birdy, alleen heb ik de benoemde landen er bij staan.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: blaaspijp op 10 februari 2020, 07:47:04
Ik denk dat ik de sjaak ben, mijn admin account is buitengesloten.
Ik had sinds zaterdag aanvallen van een IP adres uit amsterdam.
Dus alleen NL toelaten heeft geen zin.

Nu de stroom er af gehaald en vanavond maar even kijken of ik er leven in krijg.
Misschien nog tips?
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: BigDogDomain op 10 februari 2020, 07:53:30
Jazeker internet eraf en reset doen zodat admin paswoord gereset wordt
En dan admin account uitschakelen en een ander account admin rechten geven ze brutforcen bijna altijd de admin account
En als je geen admin account heb is het veel moeilijker de pass te raden

Verder de 5000 poort dicht gooien vanaf buiten en die poort vanaf buiten berijdbaar maken op bv poort 18989 ( bijvoorbeeld)

Succes :)

GreetZ

Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk

Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: blaaspijp op 10 februari 2020, 08:12:56
Ik had dus al geen admin account meer die "admin" heet.
En ik had wel een gewijzigde poort 15001, misschien was die te voor de hand liggend.

Vreemd is dat ik er ook 2FA op heb zitten, voor mijn admin account.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: BigDogDomain op 10 februari 2020, 08:19:58
En de https poort? Ook veranderd?
En de FTP poort?

Verder SSH en telnet poort service uitgeschakeld?


Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk

Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: blaaspijp op 10 februari 2020, 08:22:19
Http 15000
https 15001
FTP uit
SSH en telnet uit.

ik begrijp daarom ook niet zo goed waarom dit nu gebeurt is bij mij.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: BigDogDomain op 10 februari 2020, 08:24:36
Vreemd .. je kan wel internet uitzetten en een reset doen van admin account en dan in de loge kijken wat er nou is gebeurt, ben erg benieuwd

Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk

Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: blaaspijp op 10 februari 2020, 08:26:32
Het ip-adres van de vermoedelijke aanvaller was 77.247.181.163 
Als je deze opzoekt op internet wordt er een verhoogt risico vermeld.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Babylonia op 10 februari 2020, 08:39:25
Ondanks de maatregelen van gebruik met andere poorten en F2A etc.
De aanval kan ook zijn uitgevoerd via een achterdeurtje met de vaak "open connectie" over het netwerk tussen PC en NAS.
Dus vanuit de PC.

Dat is een kennis van mij vorig jaar overkomen, waarbij alle data van zowel PC als NAS werd versleuteld.
(En werd gevraagd BITCOINS te betalen).
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: blaaspijp op 10 februari 2020, 08:44:50
ik heb thuis maar 1 pc, de laptop waar ik nu op werk.
Van emails heb ik nu geen last, de server staat uit.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Babylonia op 10 februari 2020, 08:53:00
Één PC / laptop is voldoende waarbij dat kan gebeuren.  Bij die kennis was het ook maar één PC / laptop die het veroorzaakte.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: BigDogDomain op 10 februari 2020, 09:14:09
De admin paswoord is aangepast dat kan je alleen doen door toegang te hebben tot DSM of SSH telnet  en heb je nog steeds paswoord nodig okal zit je lokaal

Verstuurd vanaf mijn ONEPLUS A5000 met Tapatalk

Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: BigDogDomain op 10 februari 2020, 09:14:18
ter info tussendoor : Dat ip is trouwens van een Tor server dat kan nog steeds iedereen zijn
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Briolet op 10 februari 2020, 10:19:19
Daarom haal ik periodiek de lijst met tor exit nodes (https://www.dan.me.uk/torlist/) op en zet die in de blokkeringslijst. (bewaren als tekstbestand en dan importeren in de blokkeringslijst).

Het betreffende IP stond ook in mijn lijst. Dat IP was in 2015 ook al een exitnode. Maar omdat de lijst met exit nodes regelmatig veranderd moet je hem van tijd tot tijd updaten.

Anonieme mensen hebben niets op mijn nas te zoeken en tor trekt juist de verkeerde mensen aan.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: blaaspijp op 10 februari 2020, 10:32:43
Dank je wel voor de lijst, zijn er nog meer van dit soort handige lijstjes?
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Birdy op 10 februari 2020, 10:42:34
Over beveiligingen (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/Security).
En dit Topic over een aanval met nuttige tips (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/).
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Briolet op 10 februari 2020, 11:19:27
Ik denk niet dat hier iets via poorten 50000 en 50001 gebeurd is. Zoals geschreven heeft het admin account een andere naam en is 2FA gebruikt. Dat moet gewoon veilig zijn.

Er is waarschijnlijk iets anders aan de hand of er is een ander onveilig pakket in het spel. b.v. veel docker software is door amateurs geprogrammeerd, vol met programmeerfouten. Zij zijn allang blij dat het pakket werkt en security is bijzaak. En dat terwijl docker wel root rechten aan software geeft.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: blaaspijp op 10 februari 2020, 11:35:13
Plex stond open :o
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: error33 op 18 februari 2020, 11:05:18
Mooi dat je de oorzaak hebt gevonden.  :thumbup:

Wat ik wel steeds apart vind is dat geadviseerd wordt om poort 5000 te blokkeren. Heb dit zelf geprobeerd maar dan werken de filmpjes via de DS photo app niet meer.

Standaard moeten degene die gebruik maken van (mijn nas) DS Photo https aanvinken om in te kunnen loggen. Maar blijkbaar werken filmpjes toch gewoon via poort 5000. Uitschakelen heeft dan ook geen zin mijns inzien. Ja het wordt veiliger maar niet echt werkbaar.

En zelf adviseert Synology ook om poort 5000 en 5001 te veranderen. Maar ja dan werken hun eigen apps niet meer  :(
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Briolet op 18 februari 2020, 11:13:19
Natuurlijk werken de apps bij andere poorten. De nieuwe poorten kun je gewoon opgeven.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: error33 op 18 februari 2020, 11:17:46
door achter de domein naam de nieuwe poort te zetten denk ik dat je bedoeld?

www.domein.nl:12345

Zo doe ik het voor mijn DS Cam. maar die poort hoef alleen ik te weten/gebruiken.

of zie ik iets over het hoofd ?
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Birdy op 18 februari 2020, 11:19:04
Poort wijziging(en) moet(en) natuurlijk ook gewijzigd worden in je router (forwarding).
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: error33 op 18 februari 2020, 11:45:04
Dat snap ik, maar de DS Photo app kijkt blijkbaar standaard naar 5001 bij gebruik.

Ik kan in de app toch niks veranderen mbt weke poort er gebruikt wordt. of er moet omslachtig een poortnummer achter .nl gezet worden.

Dat maakt het niet gebruiksvriendelijk
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Briolet op 18 februari 2020, 12:06:38
Poortnummers opgeven moet atijd, tenzij je default poorten gebruikt. Bij een brouwser zijn poort 80/443 de defaults. Bij de ds apps zijn dat 5000/5001.  Zelfs als je poort 80/443 gebruikt bij de ds apps (wat ik doe) moet je die poorten mee opgeven.
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: error33 op 18 februari 2020, 14:25:22
dus jij vult in de DS photo app in :

www.domein.nl:443 ?

wat maakt dit veiliger dan als je www.domein.nl met https ingeschakeld gebruikt ?

Alleen dat poort 5001 niet open staat ?
Titel: Re: aanvallen op nas en hoe dit te blokkeren
Bericht door: Briolet op 18 februari 2020, 14:56:29
Dat maakt het niet veiliger, maar in foto's zie ik ook geen risico. Ten slotte loopt PhotoStation in de browser ook al via poort 443.