[Synology] mislukte inlogpogingen SSH, hoe is dat mogelijk?

Vraag

woensdag 26 september 2018 10:30

Acties:

+1 Henk 'm!

Topicstarter

Mijn Synology Diskstation DS214 (met de meest recente DSM 6.2-23739 Update 2) heb ik aan het internet gekoppeld via 2 poorten. De rest is allemaal afgesloten.

port 443 is gekoppeld aan https van dsm
port 8443 is gekoppeld aan https van domoticz

Nu krijg ik echter sinds vannacht meldingen dat er mislukte inlogpogingen zijn op de SSH server. Echter is deze niet verbonden met de openbare wereld. Het betreft ip's uit Rusland en USA.

De instellingen in mijn router heb ik nagelopen en andere poorten staan er inderdaad niet open.

Heeft iemand enig idee hoe het komt dat ik toch meldingen krijg over mislukte inlogpogingen op SSH, terwijl SSH niet publiekelijk toegankelijk is?

Beste antwoord (via bartbh op 26-09-2018 23:42)

woensdag 26 september 2018 23:34

Nielson

Mogelijk dat je Synology de poort zelf via uPnP open gezet heeft in de router.

Alle reacties

woensdag 26 september 2018 10:57

Acties:

0 Henk 'm!

SpoekGTi

Hmmz, wat ik merkte afgelopen weekend is dat ik bij 2 nassen die ik voor andere beheer hetzelfde had, nu blijft dat bij de firewall instellingen als je de global functie hebt voor je regels je NIET kan aanzetten of hij bij voldoen aan de regels moet toestaan of blokkeren, dit kan wel als je in de dropdown voor LAN kiest of VPN. Misschien dat daar iets mee is?

Always tell people you have a plan even if you don't. People will always love to hear that you have a plan. It gives hope.

woensdag 26 september 2018 11:19

Acties:

0 Henk 'm!

bartbh

Topicstarter

De firewall instellingen regel ik op mijn modem/router, dus mijns inziens zou SSH verkeer nooit bij de Synology uit mogen komen.

Maar blijkbaar komt er toch SSH verkeer bij de Synology, dat vind ik vreemd.

woensdag 26 september 2018 13:56

Acties:

+1 Henk 'm!

Mijzelf

bartbh schreef op woensdag 26 september 2018 @ 10:30:
De instellingen in mijn router heb ik nagelopen en andere poorten staan er inderdaad niet open.

Heb je al getest of die poort inderdaad dicht is van buitenaf?

Het betreft ip's uit Rusland en USA.

We hebben het hier over IPv4, neem ik aan?

woensdag 26 september 2018 18:09

Acties:

0 Henk 'm!

Renault

En je hebt geen andere apparaten met een door een onverlaat benutte vulnerability in huis?

woensdag 26 september 2018 22:07

Acties:

0 Henk 'm!

bartbh

Topicstarter

Vreemd, ik kom erachter dat poort 2022 open staat op mijn router, zonder dat deze zichtbaar is in de instellingen. Het lijkt dus geen probleem met een ander apparaat binnen het netwerk te zijn.

Staat me vaag bij dat ik ooit poort 2022 wel eens open heb gezet. Maar als ik nu echter vanaf een externe locatie een SSH verbinding opzet naar mijn ipadres op poort 2022, krijg ik netjes een SSH inlog te zien.

Zie hieronder een screenshot van de instellingen in het Ziggo modem. Hoe kan deze de portforwarding toch onthouden?

Afbeeldingslocatie: https://tweakers.net/ext/f/R1ILbegwlutpnrlrKVxeuefU/thumb.png

woensdag 26 september 2018 22:15

Acties:

0 Henk 'm!

jeroen3

Het modem van je provider heeft vaak een poort open voor remote management.

woensdag 26 september 2018 23:00

Acties:

0 Henk 'm!

bartbh

Topicstarter

Dat kan inderdaad, maar deze poort 2022 komt wel uit bij de Synology. Als ik namelijk een foutieve inlog geef, zie ik die terug in het log op de Synology. Dus ergens gaat iets niet goed.

woensdag 26 september 2018 23:05

Acties:

0 Henk 'm!

bartbh

Topicstarter

Ik heb het nu opgelost door in het Ziggo modem opnieuw een portforward aan te maken voor poort 2022 en deze vervolgens het vinkje bij 'enabled' eruit te halen.

Waarom is mij onduidelijk, maar het probleem is nu opgelost en Synology is niet meer vanaf de buitenwereld bereikbaar.

Enige punt dat overblijft is of er dan ongemerkt nog niet meer poorten open staan in de firewall van het Ziggo modem.

woensdag 26 september 2018 23:15

Acties: