Beveiliging, ik maak me zorgen

[jackcybre]

Hallo,

Sinds enkele dagen krijg ik systeem mails van mislukte inlogpogingen waarvan het ip geblokkeerd is. Deze ip's komen uit Taiwan, Korea en nog wat meer verwegistan.
Ik heb de firewall setting gezet op blokkeren als er binnen 5 minuten 5 foute inlogpogingen worden gedaan.

Is dit afdoende, moet ik nog wat meer doen, en moet ik me zorgen maken ?

Grt. Jack

[Robert Koopman]

Krijg ik ook dagelijks.
Zorg voor sterke wachtwoorden is het enige wat je kan doen.
Beetje vreemd dat ze proberen in te loggen met "administrator"  

Blijkbaar scannen ze grote ranges met IP adressen op zoek naar slachtoffers?

[jackcybre]

Ik heb het standaard admin / wachtwoord account vervangen door eentje met een andere inlognaam / wachtwoord.

Dus ik hoef niet de instelling 5x fout inloggen is permanente ban te verlagen naar 3 of zo ?

Het is de laatste tijd inderdaad redelijk druk van Azie met pogingen. Het kan natuurlijk ook zijn dat ze op 1 van de 5 websites proberen te komen. Kan ik dat nog nagaan waarop ze probeerden in te loggen overigens ?
Dat zou me helpen de beveiliging op die punten onder de loep te nemen.

Grt. Jack

[Robert Koopman]

Verlagen naar 3 pogingen kan nooit kwaad denk ik, minder kansen.
Volgens mij is het meestal via FTP wat ze proberen.
Komt inderdaad meestal uit China. Ik heb de ip adressen wel eens op de wereldkaart laten plaatsen, 95% van de pogingen komt daar vandaan.
Wat ze nu precies willen weet ik eigenlijk niet, misschien open mail servers om te spammen?

[jackcybre]

Ik heb gelukkig sterke wachtwoorden, dus dat zal ze veel moeite kosten.
In de settings ga ik het naar 3 aanpassen, als het een legitieme gebruiker is kan ik dat nagaan via het ip en de persoon mailen.
Bedankt voor het antwoord, ik kan weer rustig ademhalen.  

[Joster]

Ik heb hetzelfde en maak me op zich geen zorgen maar wat ik wel fijn zou vinden is het blokkeren van bepaalde ip ranges. Van mij mag heel Azië geblokkeerd worden, geen probleem. Iemand die daar een oplossing voor kent?

[davey]

Ik heb ingesteld dat ik alleen kan inloggen vanaf buitenaf met me telefoon ( Mac adress ) werkt goed   tot nu toe moet je wel een router hebben die dat ondersteund

[jackcybre]

Is er nog op een of andere manier na te gaan waar ze proberen op in te loggen ?
d.w.z. website / ftp / admin gedeelte synology ?

[Joster]

Ik heb hetzelfde en maak me op zich geen zorgen maar wat ik wel fijn zou vinden is het blokkeren van bepaalde ip ranges. Van mij mag heel Azië geblokkeerd worden, geen probleem. Iemand die daar een oplossing voor kent?

Iemand die hier ideeën over heeft?

[Nelesss]

Ik heb hier zelf nooit echt een site over gevonden. Daarnaast heb ik zelf gemerkt dat die ip adressen ook geen ruk kloppen qua logica. Zolang je gewoon andere gebruikersnamen gebruikt dan admin,administrator,gast,guest dan komt het goed icm sterke wachtwoorden!

Ik heb zelf de blokkering aangepast naar 3 pogingen in 10 minuten.

[cyrus1977]

Ik heb hetzelfde en maak me op zich geen zorgen maar wat ik wel fijn zou vinden is het blokkeren van bepaalde ip ranges. Van mij mag heel Azië geblokkeerd worden, geen probleem. Iemand die daar een oplossing voor kent?

Iptables kan dat er zijn diverse sites waar je per land de betreffende iprange kunt opzoeken en naar iptables formaat kan laten genereren.

[jackcybre]

Is dat een programma, of iets wat je zelf moet uitvoeren ?
Ik heb even geen flauw idee wat Iptables inhoud. Beetje dom misschien...

[Joster]

Dit is wel zo'n site waar je eenvoudig een land naar IP range kan blocken. De vraag is voor mij dan alleen nog hoe ik zo'n IP range moet inkloppen in DSM.

[Plerry]

Ik heb hetzelfde en maak me op zich geen zorgen maar wat ik wel fijn zou vinden is het blokkeren van bepaalde ip ranges. Van mij mag heel Azië geblokkeerd worden, geen probleem. Iemand die daar een oplossing voor kent?

Iemand die hier ideeën over heeft?

Een beetje hacker werkt via een (regionale) proxy.
Dat maakt hem (haar?) niet of moeilijk te achterhalen en verhult de oorspronkelijke locatie.
Diegenen die je het meest dringend buiten de deur moet houden, houd je dus niet buiten door regio gebonden IP blocking.

De beste remedie is en blijft:
Zet alleen poorten en services open die beslist open moet staan, en laat de rest dicht.
Zo is bijv. het aantal gevallen waarin het noodzakelijk is om remote het management van je DS
te kunnen doen op de vingers van één hand te tellen. Dichtlaten dus die poort 5000 en/of 5001.

Dus: doe je voordeur dicht en op slot, maar spijker niet je brievenbus dicht als je post wil kunnen ontvangen. Vergeet echter ook je achterdeur en ramen niet ...

Voor dat wat wel doorgelaten moet worden is je Firewall dan een bruikbare tweede-lijn verdediging.

Plerry

[cyrus1977]

Voor spam werkt het blocken van ranges prima Maar ssh etc is dit Niet voldoende