vrijdag 14 oktober 2022 13:57

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
Hoi,

Afgelopen week had ik te maken met een brute force aanval op mijn NAS. Er werd voortdurend geprobeerd in te loggen op het admin account, van steeds wisselende IP-adressen. Nu heb ik het admin account al lang geleden gedeactiveerd en een account met een andere naam admin gemaakt. Dus het leidt niet direct tot problemen. Ik zie in de logs dat het gebeurt, en krijg af en toe meldingen van de NAS dat hij het gedetecteerd heeft dat er veel mislukte inlogpogingen zijn voor admin en het account daarom blokkeert. Wat natuurlijk geen effect heeft, omdat het al gedeactiveerd is.

Zoals gezegd speelde dit deze week. Na vele uren, stopte het spontaan. Vandaag zie ik weer hetzelfde. Ik wordt er toch een beetje zenuwachtig van.

Hebben meer mensen dit? Is dit "met hagel schieten" op Synology NAS-sen? Is er nog meer te doen dan de beveiliging van Synology, die tot nu toe blijkbaar prima werkt?

Bart

vrijdag 14 oktober 2022 14:00

Acties:
  • 0 Henk 'm!
  • GarBaGe
  • Registratie: December 1999
  • Laatst online: 21:33

GarBaGe

Je kan je Synology NIET aan de buiten wereld hangen.
Of een firewall ervoor die alleen verkeer toelaat van bekende (whitelisted) IP adressen.
Je kan ook 2FA aanzetten op je Synology accounts, zodat een username + password niet voldoende is om in te loggen

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

vrijdag 14 oktober 2022 14:03

Acties:
  • 0 Henk 'm!
  • Remi
  • Registratie: Januari 2001
  • Laatst online: 22:23

Remi

Moo!

Van tijd tot tijd zie ik ze voorbij komen. Meestal afkomstig uit de welbekende landen zoals Rusland/China.

De belangrijkste stap heb je al gezet door het admin account te vervangen.
Heb je 2FA ook aangezet op je echte admin account?

Verder heb ik het blocken van IP's met mislukte attempts zeer gevoelig ingesteld zodat ze geen kans krijgen om te brute-forcen.
Firewall staat op whitelist ipv blacklist dus er zijn nog maar weinig ip's die überhaupt kunnen praten met mijn NAS.
Verder heb ik de standaard poort waarop de NAS actief is ook veranderd.

vrijdag 14 oktober 2022 14:10

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
@Remi Bedankt voor je snelle reactie met nuttige ideeën!
Remi schreef op vrijdag 14 oktober 2022 @ 14:03:
Heb je 2FA ook aangezet op je echte admin account?
Ja, dat had ik ook al eerder eens gedaan.
Remi schreef op vrijdag 14 oktober 2022 @ 14:03:
Verder heb ik het blocken van IP's met mislukte attempts zeer gevoelig ingesteld zodat ze geen kans krijgen om te brute-forcen.
Staat bij mij nu op 10 pogingen binnen 5 minuten. Wat noem jij "zeer gevoelig"? 5 pogingen in een uur ofzo?
Remi schreef op vrijdag 14 oktober 2022 @ 14:03:
Firewall staat op whitelist ipv blacklist dus er zijn nog maar weinig ip's die überhaupt kunnen praten met mijn NAS.
Verder heb ik de standaard poort waarop de NAS actief is ook veranderd.
Dat zijn goede aanvullende ideeën. Ook maar eens naar kijken.

vrijdag 14 oktober 2022 14:14

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
GarBaGe schreef op vrijdag 14 oktober 2022 @ 14:00:
Je kan je Synology NIET aan de buiten wereld hangen.
Of een firewall ervoor die alleen verkeer toelaat van bekende (whitelisted) IP adressen.
Je kan ook 2FA aanzetten op je Synology accounts, zodat een username + password niet voldoende is om in te loggen
Niet aan de buitenwereld hangen is natuurlijk het beste, maar dat past niet bij hoe we hem gebruiken. Een private cloud die niet aan het internet hangt is natuurlijk geen cloud... ;)

Zelfde geldt voor whitelisten: als je niet van tevoren weet vanaf welke locaties je gaat werken en welke IP-adressen je klanten gebruiken, gaat dat ook niet werken.

2FA heb ik al gedaan inderdaad.

vrijdag 14 oktober 2022 14:21

Acties:
  • 0 Henk 'm!
  • Remi
  • Registratie: Januari 2001
  • Laatst online: 22:23

Remi

Moo!

trab_78 schreef op vrijdag 14 oktober 2022 @ 14:10:
@Remi Bedankt voor je snelle reactie met nuttige ideeën!


[...]

Ja, dat had ik ook al eerder eens gedaan.


[...]

Staat bij mij nu op 10 pogingen binnen 5 minuten. Wat noem jij "zeer gevoelig"? 5 pogingen in een uur ofzo?


[...]

Dat zijn goede aanvullende ideeën. Ook maar eens naar kijken.
2 pogingen in 180 minuten zonder verloop. Geeft mij exact 1x de kans om zelf goed in te loggen. :+

Je kan uiteindelijk nog overwegen om je NAS beschikbaar te maken via een VPN.

[ Voor 14% gewijzigd door Remi op 14-10-2022 14:28 ]

vrijdag 14 oktober 2022 14:30

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
Remi schreef op vrijdag 14 oktober 2022 @ 14:21:
Je kan uiteindelijk nog overwegen om je NAS beschikbaar te maken via een VPN.
Is dat niet het verplaatsen van het probleem? Ik bedoel, dan kan je dezelfde soort aanvallen krijgen bij het inloggen op de VPN.

vrijdag 14 oktober 2022 14:51

Acties:
  • 0 Henk 'm!
  • Arn0uDz
  • Registratie: November 2009
  • Laatst online: 21:46

Arn0uDz

Staat bij mij nu op 10 pogingen binnen 5 minuten. Wat noem jij "zeer gevoelig"? 5 pogingen in een uur ofzo?
Ik heb het zelfs op 2 pogingen binnen 6 uur staan.

En standaard alle landen behalve NL blacklisten in de firewall helpt ook, totdat ze door hebben welk land wel werkt.

vrijdag 14 oktober 2022 15:03

Acties:
  • +2 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 20:26

Ben(V)

Niet aan het internet hangen en alleen toegang via een VPN gebruiken.

En een VPN gebruiken is niet het verplaatsen van het probleem.
Een VPN is ontworpen om alleen VPN verkeer toe te laten vanaf devices die hij vertrouwd (die een sleutel hebben), de rest gaat gewoon de bittenbak in.
Je forward alleen de VPN poort naar je Nas en die wordt beschermt door de VPN server die daar voor ontworpen is.

Een portforward naar de web inlog pagina is uiteraard vele malen onveiliger.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 14 oktober 2022 15:06

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 23:50

ThinkPad

Synology heeft ook een country filter meen ik, dan kun je zeggen dat poort 5001 alleen vanuit NL benaderd mag worden. Als je dan op vakantie bent zet je tijdelijk dat land er ook nog even bij. Dat scheelt al een heleboel inlogpogingen uit VS, China, Rusland etc.

Maar VPN is nog beter.

vrijdag 14 oktober 2022 15:20

Acties:
  • 0 Henk 'm!
  • dyrc
  • Registratie: Januari 2010
  • Niet online

dyrc

ThinkPad schreef op vrijdag 14 oktober 2022 @ 15:06:
Synology heeft ook een country filter meen ik, dan kun je zeggen dat poort 5001 alleen vanuit NL benaderd mag worden. Als je dan op vakantie bent zet je tijdelijk dat land er ook nog even bij. Dat scheelt al een heleboel inlogpogingen uit VS, China, Rusland etc.

Maar VPN is nog beter.
dit lost inderdaad al een heleboel op.

op je synology (DSM): control panel, security/firewall, en dan twee rules:
allow netherlands
deny all
(en evt nog een ip whitelist als je iets buitenlands nodig hebt)

edit: eerst even de allow regel aanmaken voordat je de deny aanmaakt (al is t wel een leuke foutmelding, goed voor de bloeddruk)

als ik er van t buitenland bij moet dan vpn ik eerst naar nederland en dan log ik in (dan ben ik ook onderhoudsvrij)

[ Voor 10% gewijzigd door dyrc op 14-10-2022 15:22 ]

vrijdag 14 oktober 2022 17:32

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
ThinkPad schreef op vrijdag 14 oktober 2022 @ 15:06:
Synology heeft ook een country filter meen ik, dan kun je zeggen dat poort 5001 alleen vanuit NL benaderd mag worden. Als je dan op vakantie bent zet je tijdelijk dat land er ook nog even bij. Dat scheelt al een heleboel inlogpogingen uit VS, China, Rusland etc.

Maar VPN is nog beter.
Ja, inderdaad, er is een country filter. Handig!

vrijdag 14 oktober 2022 17:35

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
dyrc schreef op vrijdag 14 oktober 2022 @ 15:20:
[...]
allow netherlands
deny all
[...]
Dat werkt bij mij niet:Afbeeldingslocatie: https://tweakers.net/i/AY5aT53P_aPAiHYEM3Ofj6w5XlQ=/800x/filters:strip_exif()/f/image/gWAODWhLeKK2k0Q9sCE6p3HV.png?f=fotoalbum_large
Wel fijn dat dat gedetecteerd wordt voordat ik mezelf in de hoek verf. Maar ik snap niet zo goed waarom het niet zou werken en hoe ik dat op kan lossen...

vrijdag 14 oktober 2022 17:37

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
Afbeeldingslocatie: https://tweakers.net/i/IPfM_hzx3HWJJ4RdcTyp8v0--Vg=/800x/filters:strip_exif()/f/image/bBqk8rDDl1IYAHEC4Pu1g0X4.png?f=fotoalbum_large
Dit werkt dus niet. Waarom niet?

vrijdag 14 oktober 2022 17:43

Acties:
  • 0 Henk 'm!
  • trab_78
  • Registratie: September 2005
  • Laatst online: 15:39

trab_78

Topicstarter
Werkend gekregen door mijn WAN IP-adres en mijn LAN IP-range toe te voegen met "allow". Zou dat te maken kunnen hebben dat ik in mijn router een "hairpin" heb ingesteld?

[ Voor 3% gewijzigd door trab_78 op 14-10-2022 17:43 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq