Ik ben wat benieuwd naar jullie ervaringen en wat ik verder nog kan doen.
Ik heb een HA installatie en heb deze een paar weken geleden "op internet gezet" zodat ik van buitenhuis hieraan kan. Ik maak gebruik van Cloudflare en freenom om dit mogelijk te maken.
Lange tijd heb ik HA enkel intern gehouden vanwege het risico op niet uitgenodigde gasten die hierop zouden komen. Heb finaal toch de stap gezet om dit te doen omdat het mij interessant leek.
Misschien een paar dagen na dit te doen kreeg ik een notificatie in HA van een mislukte login poging (misschien wat naïef verschoten hoe snel dit was). Ik heb toen meteen in Cloudflare de logs wat zitten nakijken en daar zag ik dat ik al wat "bezoekers" zat aan te trekken. Naast "palo alto" dat dagelijks een bezoekje brengt krijg ik veel bezoekers van Amerika en de UK die URL's zitten te testen (aan de URL te zien, waren ze op zoek naar een Wordpress kwestbaarheden of slechte configs).
Een simpele Google search op internet naar de IP's leert ook dat andere mensen gelijkaardige ervaringen delen over die IP's (vaak met feedback dat ze scannen naar publieke configs enz).
Ik heb meteen actie ondernomen en heb volgende dingen ingeschakeld (of waren al actief):
Vandaag log ik nog eens in en zie ik plots dat ik op maandag 129 requests heb gekregen (die allemaal geblokkeerd zijn door de strikte "BE only" regel) maar naast enkel Amerika/UK komen ze nu ook uit landen als India, Singapore, Rusland. Daarnaast komen ze ook fel wat dichter want ook Frankrijk, Nederland en (vooral) Duitsland komt in de logs terecht.
Belgische bezoekers (buiten mezelf) zie ik momenteel nog niet.
Het is duidelijk dat die cryptische URL niets uitmaakt (misschien zelf contraproductief). Is het zinvoller dit te wijzigen?
Ik gebruik een .ml domein (freenom). Zou dit een reden kunnen zijn en is het beter als ik een simpel .eu of .be domeintje neem?
Zijn er nog acties die ik kan ondernemen ter beveiliging (eventueel wat opties in Cloudflare)? Momenteel is de "block alle niet BE landen" zeer effectief al is de vraag hoe lang het zal duren voordat men door heeft dat BE toch toegelaten is.
Tot slot, is dit normaal? Ervaren jullie hetzelfde?
Aan allen die hiervan verschieten, best ook je eigen install nakijken
Bedankt alvast
Ik heb een HA installatie en heb deze een paar weken geleden "op internet gezet" zodat ik van buitenhuis hieraan kan. Ik maak gebruik van Cloudflare en freenom om dit mogelijk te maken.
Lange tijd heb ik HA enkel intern gehouden vanwege het risico op niet uitgenodigde gasten die hierop zouden komen. Heb finaal toch de stap gezet om dit te doen omdat het mij interessant leek.
Misschien een paar dagen na dit te doen kreeg ik een notificatie in HA van een mislukte login poging (misschien wat naïef verschoten hoe snel dit was). Ik heb toen meteen in Cloudflare de logs wat zitten nakijken en daar zag ik dat ik al wat "bezoekers" zat aan te trekken. Naast "palo alto" dat dagelijks een bezoekje brengt krijg ik veel bezoekers van Amerika en de UK die URL's zitten te testen (aan de URL te zien, waren ze op zoek naar een Wordpress kwestbaarheden of slechte configs).
Een simpele Google search op internet naar de IP's leert ook dat andere mensen gelijkaardige ervaringen delen over die IP's (vaak met feedback dat ze scannen naar publieke configs enz).
Ik heb meteen actie ondernomen en heb volgende dingen ingeschakeld (of waren al actief):
- 2FA stond sowieso al aan op zowel HA als Cloudflare
- Na 3 mislukte login pogingen gaat HA het IP automatisch blokkeren
- Enkel België is als land toegelaten verbinding te maken (al de rest wordt door Cloudflare geblokkeerd)
- De URL die ik heb genomen is een zeer cryptische. Ik heb simpelweg een password generator gebruikt om een URL te maken voor mij, ik dacht alvast zo geen verdwaalde bezoeker te zien ofzo want wie gaat er nu iets in de aard van lr8Q5CxAoTaQIKzUapRN per ongeluk typen als URL?
Vandaag log ik nog eens in en zie ik plots dat ik op maandag 129 requests heb gekregen (die allemaal geblokkeerd zijn door de strikte "BE only" regel) maar naast enkel Amerika/UK komen ze nu ook uit landen als India, Singapore, Rusland. Daarnaast komen ze ook fel wat dichter want ook Frankrijk, Nederland en (vooral) Duitsland komt in de logs terecht.
Belgische bezoekers (buiten mezelf) zie ik momenteel nog niet.
Het is duidelijk dat die cryptische URL niets uitmaakt (misschien zelf contraproductief). Is het zinvoller dit te wijzigen?
Ik gebruik een .ml domein (freenom). Zou dit een reden kunnen zijn en is het beter als ik een simpel .eu of .be domeintje neem?
Zijn er nog acties die ik kan ondernemen ter beveiliging (eventueel wat opties in Cloudflare)? Momenteel is de "block alle niet BE landen" zeer effectief al is de vraag hoe lang het zal duren voordat men door heeft dat BE toch toegelaten is.
Tot slot, is dit normaal? Ervaren jullie hetzelfde?
Aan allen die hiervan verschieten, best ook je eigen install nakijken
Bedankt alvast
[ Voor 7% gewijzigd door SMGGM op 21-09-2022 14:35 ]
:strip_exif()/u/804215/crop5d2c30de69577_cropped.gif?f=community)
:strip_icc():strip_exif()/u/180748/avatar%2520nieuw%252060x60.jpg?f=community){kind=avatar}
/u/11917/cheshirecat.png?f=community)
