maandag 21 juli 2014 10:43

Acties:
  • 0 Henk 'm!
  • DJH
  • Registratie: Oktober 2000
  • Laatst online: 13-07 00:54

DJH

Topicstarter
Ik checkte vanmorgen de logs even van mijn router (WNDR3700). Daar staat veel "LAN connecties" in met IP nummers die ik niet ken.

Een paar als voorbeeld:

code:
1
2
3

[LAN access from remote] from 145.x.x.x:41232 to 192.168.x.x:80, Monday, July 21,2014 07:02:17
[LAN access from remote] from 145.x.x.x:40774 to 192.168.x.x:80, Monday, July 21,2014 07:01:25
[LAN access from remote] from 145.x.x.x:60331 to 192.168.x.x:80, Monday, July 21,2014 07:01:25


Vannacht een stuk of 30 van dit soort regels. Wordt er hier geprobeerd om connectie te maken (port sniffing)? Of heb ik met iemand te maken die al inlogt? Wat kan ik hier tegen doen?

[ Voor 3% gewijzigd door DJH op 21-07-2014 10:46 ]

maandag 21 juli 2014 10:49

Acties:
  • 0 Henk 'm!
  • -Colossalman-
  • Registratie: Augustus 2007
  • Laatst online: 21-08 20:29

-Colossalman-

Hangt er wat vanaf of je daadwerkelijk ook een webserver/service hebt draaien op je locale IP.
Portscans zijn aan de orde van de dag.

Staat poort 80 bijvoorbeeld open in je firewall?

maandag 21 juli 2014 10:50

Acties:
  • 0 Henk 'm!
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Als je geen webserver op poort 80 hebt draaien, staat mogelijk je management-interface naar buiten open. Die zou ik dichtzetten en/of op een alternatieve poort draaien. Daarmee voorkom je dat de scriptkiddies jouw router vinden.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

maandag 21 juli 2014 10:50

Acties:
  • 0 Henk 'm!
  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 02:42

The Realone

Verbinding maken is niet hetzelfde als inloggen natuurlijk. Als er niks draait op dat interne IP op poort 80 (webserver?) dan valt er weinig in te loggen. Wat krijg je zelf als je in de browser http://192.168.x.x intypt?

Dit geeft wel aan dat poort 80 open staat/geforward is naar dat IP.

maandag 21 juli 2014 10:52

Acties:
  • 0 Henk 'm!
  • DJH
  • Registratie: Oktober 2000
  • Laatst online: 13-07 00:54

DJH

Topicstarter
-Colossalman- schreef op maandag 21 juli 2014 @ 10:49:
Hangt er wat vanaf of je daadwerkelijk ook een webserver/service hebt draaien op je locale IP.
Portscans zijn aan de orde van de dag.

Staat poort 80 bijvoorbeeld open in je firewall?
Ja, naar m'n NAS. Via poort 80 bied ik soms (grote) bestanden aan, aan een specifieke iemand.

maandag 21 juli 2014 10:56

Acties:
  • 0 Henk 'm!
  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 02:42

The Realone

Dan zou ik overwegen een andere externe poort te kiezen die je forward naar poort 80 van je NAS. Portscans zijn aan de orde van de dag en vaak wordt er een brute force attack gedaan om ook daadwerkelijk in te loggen. Met enigzins fatsoenlijke login credentials is dat natuurlijk niet echt een probleem.

Als het toch maar voor een specifiek iemand is kan je die best vertellen dat ie voortaan via poort 20000 (of welke dan ook) verbinding moet maken ipv 80. Een andere mooie oplossing zou zijn om enkel zijn IP-adres te whitelisten zodat verbindingen van alle andere IP's bij voorbaat niet lukken.

maandag 21 juli 2014 11:13

Acties:
  • 0 Henk 'm!
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

DJH schreef op maandag 21 juli 2014 @ 10:52:
[...]


Ja, naar m'n NAS. Via poort 80 bied ik soms (grote) bestanden aan, aan een specifieke iemand.
Ik zou dat sowieso via SSL (poort 443) doen.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

maandag 21 juli 2014 16:01

Acties:
  • 0 Henk 'm!
  • DJH
  • Registratie: Oktober 2000
  • Laatst online: 13-07 00:54

DJH

Topicstarter
The Realone schreef op maandag 21 juli 2014 @ 10:56:
Dan zou ik overwegen een andere externe poort te kiezen die je forward naar poort 80 van je NAS. Portscans zijn aan de orde van de dag en vaak wordt er een brute force attack gedaan om ook daadwerkelijk in te loggen. Met enigzins fatsoenlijke login credentials is dat natuurlijk niet echt een probleem.

Als het toch maar voor een specifiek iemand is kan je die best vertellen dat ie voortaan via poort 20000 (of welke dan ook) verbinding moet maken ipv 80. Een andere mooie oplossing zou zijn om enkel zijn IP-adres te whitelisten zodat verbindingen van alle andere IP's bij voorbaat niet lukken.
Room42 schreef op maandag 21 juli 2014 @ 11:13:
[...]

Ik zou dat sowieso via SSL (poort 443) doen.
Bedankt! Dat begrijp ik, maar heb mijn NAS IP gekoppeld aan een domeinnaam, zodat mijn klanten eenvoudig grote bestanden kunnen downloaden. Soms zit een klant in een bedrijfsnetwerk waar alleen poort 80 en 21 werken. Als ik dus via andere poorten ga werken krijg ik sowieso klachten.

Of kan ik net zogoed SSL gebruiken, zonder dat je hier extern last van krijgt?

p.s. whitelisten is in dit geval helaas geen optie

maandag 21 juli 2014 16:06

Acties:
  • 0 Henk 'm!
  • Compizfox
  • Registratie: Januari 2009
  • Laatst online: 15-09 23:14

Compizfox

Bait for wenchmarks

Tja, portscans en brute-force attacks. Dat heb je nou eenmaal, maar als je gewoon fatsoenlijke wachtwoorden gebruikt moet dat geen probleem zijn.

Op mijn eigen server gebruik ik als extra beveiliging nog fail2ban, software die IP-adressen na een x aantal verkeerde inlogpogingen automatisch bant. Ik ban op die manier vaak wel zo'n 2 IP-adressen per dag die bij mij op SSH proberen in te loggen. In 90% van de gevallen gaat het om Chinezen trouwens.

SSL gaat niets aan dit probleem veranderen, maar het is überhaupt slim om SSL te gebruiken (voor alles, eigenlijk). Wel moet je hiervoor een SSL-certificaat regelen. Je kunt ook een self-signed certificaat gebruiken, maar dan krijg je browserwaarschuwingen als je de site probeert te bezoeken (wat voor je klanten niet zo handig zal zijn). Daarnaast voorziet een SSL-verbinding met self-signed certificaat niet in authenticatie (je weet niet of de server die je bezoekt, wel degelijk de server is die je wilt bezoeken).

Als poort 80 open staat, staat poort 443 ook zeker open. Anders is het voor die klanten onmogelijk om HTTPS-sites bezoeken. Je kunt ook gewoon HTTP hosten op poort 443 als je dat wilt.

[ Voor 41% gewijzigd door Compizfox op 21-07-2014 16:10 ]

Gewoon een heel grote verzameling snoertjes

maandag 21 juli 2014 16:27

Acties:
  • 0 Henk 'm!
  • DJH
  • Registratie: Oktober 2000
  • Laatst online: 13-07 00:54

DJH

Topicstarter
Compizfox schreef op maandag 21 juli 2014 @ 16:06:
Tja, portscans en brute-force attacks. Dat heb je nou eenmaal, maar als je gewoon fatsoenlijke wachtwoorden gebruikt moet dat geen probleem zijn.

Op mijn eigen server gebruik ik als extra beveiliging nog fail2ban, software die IP-adressen na een x aantal verkeerde inlogpogingen automatisch bant. Ik ban op die manier vaak wel zo'n 2 IP-adressen per dag die bij mij op SSH proberen in te loggen. In 90% van de gevallen gaat het om Chinezen trouwens.

SSL gaat niets aan dit probleem veranderen, maar het is überhaupt slim om SSL te gebruiken (voor alles, eigenlijk). Wel moet je hiervoor een SSL-certificaat regelen. Je kunt ook een self-signed certificaat gebruiken, maar dan krijg je browserwaarschuwingen als je de site probeert te bezoeken (wat voor je klanten niet zo handig zal zijn). Daarnaast voorziet een SSL-verbinding met self-signed certificaat niet in authenticatie (je weet niet of de server die je bezoekt, wel degelijk de server is die je wilt bezoeken).

Als poort 80 open staat, staat poort 443 ook zeker open. Anders is het voor die klanten onmogelijk om HTTPS-sites bezoeken. Je kunt ook gewoon HTTP hosten op poort 443 als je dat wilt.
Duidelijk! Dankjewel! :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq