User [admin] failed to log in from [180.170.197.219] via [DSM]

[Dyslexia]

Hallo Synology experts,

Sinds een paar weken krijg ik in mijn logfile met enige regelmaat de boodschap:
User [admin] failed to log in from [180.170.197.219] via [DSM], waarbij het IP adres steeds weer een ander is.
Het zijn steeds adressen uit IP blokken uit het Verre Oosten (China, Korea, enz.)
Mijn security instellingen staan op Block bij 3 foutieve logins binnen 5 minuten.

Mijn NAS staat achter de 'wat simpele' standaard Ziggo modem/router (EPC3925 EuroDocsis 3.0), dus niet direct rechtstreeks in het internet, maar toch.
Om hem dan toch maar van buitenaf toegankelijk te hebben moest ik daar wel Port Forwarding op instellen van en naar de poorten 5000 en 5001.

Misschien niet de meest ideale oplossing, maar de afgelopen jaren heb ik daar blijkbaar geluk mee gehad, want nu pas begint ineens de ellende.

De huidige intrusions worden dan wel gestopt, maar de boodschap: User [admin] login failed duidt er in mijn beleving op dat via mijn externe router adres deze poorten gescanned zijn en er dus via de port forwarding een loginpoging voor 'admin' wordt iutgevoerd door DSM.

Mijn vraag is wellicht wat basaal, maar wat kan ik in mijn bestaande omgeving (nog) instellen om dit soort praktijken tegen te gaan zonder meteen andere modems en/of routers te moeten aanschaffen.

Jullie inzichten en adviezen m.b.t. mijn vraag zijn erg welkom.

Groet,
Dyslexia

[Birdy]

Mijn security instellingen staan op Block bij 3 foutieve logins binnen 5 minuten.

Dit is al een prima instelling.

User [admin] login failed

Ervoor zorgen dat User admin niet actief is.

Maak eerst, als admin, een nieuwe User (liefst met een lange naam) aan met admin rechten en met een moeilijk password.
Admin uitloggen.
Inloggen met die nieuwe user en zet admin inactief.

[Dyslexia]

Dank je Birdy,

Ik had ook al overwogen om de standaard poorten 5000/5001 te veranderen naar bijv. 54321/54322 (of zoiets) en dan te forwarden naar de 5000/5001, maar bedacht me dat dit met poort scanning van buitenaf misschien ook niets oplevert.

Klopt dat?

Groet,
Dyslexia

[Robert Koopman]

3 foutieve pogingen in 180 minuten zou een nog veel betere instelling zijn.
Ik zie ze voorbijkomen die om het uur een poging wagen.
En met 3 pogingen in 5 minuten vang je die niet af, komen ze niet in de blokkadelijst.

[Birdy]

Ik had ook al overwogen om de standaard poorten 5000/5001 te veranderen naar bijv. 54321/54322 (of zoiets) en dan te forwarden naar de 5000/5001, maar bedacht me dat dit met poort scanning van buitenaf misschien ook niets oplevert.

Als men port scanning doet, dan heeft het wijzigen van de poorten niet zoveel zin maar, je kunt het wel doen en maar zien wat er gebeurt.

[Dyslexia]

Hi Robert,

Da's een goeie en ondervangt idd zoals je zegt de wat 'hardnekkige' portscanners.

Nu ik het over port scanning heb, voor de 'externe' toegang kom ik er toch niet onderuit om dat ingesteld te hebben, right???

Groet,
Dyslexia

[Birdy]

(Als ik voor Robert mag spreken) OpenVPN (1 UDP poort forwarden waar men niets mee kan) of Quick Connect gebruiken (geen poort forwarding), dan kan je het omzeilen.

[Dyslexia]

...Quick Connect klinkt wel heel mooi; geen port forwarding meer nodig dus geen 'luisterende poortjes' meer op m'n router. Yeah!
Moest ik me maar eens op inlezen.

Bedankt voor de insights/adviezen.

Groet,
Dyslexia

Synology Rocks!

[Birdy]

1 ding nog: QC is/kan wel wat langzamer zijn dan je gewend bent.

[Dyslexia]

Dankewel Birdy voor de 'Heads Up'.

Ik zal eens kijken of het dan nog acceptabel voor me werkt.

Groet,
Dyslexia