Sinds inrichten Backup SSH aanvallen

[stennis]

Beste,

Ik ben in het bezit van twee Synology's, 1x 107+ en 1x 212. De 212 heb ik bij mij thuis staan en de 107 bij een vriend. Ik draai hier snachts mijn backup naar toe. Ik heb voor hem en zijn vriendin ook accounts aangemaakt zodat hij de overige ruimte kan gebruiken. Sinds de 107 daar op de lijn staat wordt er om de haverklap een gebruiker geblokkeerd. Dit zorgt er ook voor dat hij geen kans heeft om IDLE te gaan en dus blijft draaien daar.

Aangezien hij ook wat belangrijke data heeft heb ik vanmorgen mijn 212 ook beschikbaar gesteld voor Backup en laat ik een deel van zijn data ook backuppen naar mijn 212. Nu wil het geval dat ik nu sinds vanmorgen al 6 SSH aanvallen heb gehad. Zonder dat backup aan staat en dus de poort 22 forward werkt nog nooit een poging gehad thuis.

Is dit te voorkomen of te wijzigen want vind die e-mails vrij irritant worden (natuurlijk kunnen die notificaties uit). Op deze manier heeft het station bijna geen tijd om IDLE te gaan.

Het meest aparte vind ik nog dat ik dit het afgelopen jaar thuis niet 1x heb gehad en nu sinds vandaag al 6x. Dit wordt dus veroorzaakt door poort 22 (denk ik)

[wopper]

Je kan SSH op port 22 alleen toestaan in de firewall vanaf je backup locatie en terug, en voor al het overige verkeer droppen.

Of gebruik je SSH ook zelf als CLI vanaf andere locaties?

[stennis]

SSH toegang tot de Syno staat verder uit. Maak gebruik van DynDNS en heb geen vaste IP's. Het toestaan en droppen wordt op die manier ook lastig.

[Ben(V)]

Volgens mij heeft backup toch alleen poort 873 nodig?
Poort 22 kan toch gewoon dicht?

https://www.synology.com/nl-nl/knowledgebase/faq/299

EDIT.
Aha ik zie het al je zult wel encrypted backup gebruiken?

Als alternatief zou je een sit-to-site VPN op kunnen zetten.
Hoef je ook geen encrypted backup meer te gebruiken.

[stennis]

Gecodeerde netwerkback-up en gecodeerde Time Backup op afstand   22   TCP

Lijkt me niet bevorderlijk om gecodeerde backup uit te schakelen bij het maken van een backup via het internet.

[Ben(V)]

Ja had het al gezien.
Maar site-to-site VPN is wel een optie volgens mij.

[Briolet]

Je kunt ook wachten tot dsm 5.1 definitief uit komt. Daarmee wordt het makkelijker om de ssh poort op iets anders dan 22 te zetten. Niet alle software kan uit de voeten met een alternatieve poort, maar ik zou verwachten dat het Synology backup programma er mee uit de voeten moet kunnen.

Je zou kunnen beginnen met het kijken in welk subnet van de provider je zit en dan alleen dat subnet toegang te geven in de firewall. Ik ga er tenminste van uit dat je IP alleen binnen dat subnet varrieert.

[Hofstede]

Maar DSM 5.1 op een DS107+ wordt lastig.

[wopper]

Ik vind de site to site vpn oplossing altijd een beetje overhead. SSH Back-up is al een secure vorm, een site tot site tunnel is iets wat permanent actief is voor eens in de zoveel tijd Back-up.

Met het risico dat de andere partij, bv familie, via de site to site tunnel bij jouw data kan.

Nee geef mij maar een secure Back-up sessie via SSH ( en een losse backup user) veel minder kans op security incident.

[Birdy]

Je kun ook de standaard poort 22 wijzigen naar b.v. 1234 dan zal er niet meer zo snel aangeklopt worden.

[Babylonia]

SSH toegang tot de Syno staat verder uit. Maak gebruik van DynDNS en heb geen vaste IP's. Het toestaan en droppen wordt op die manier ook lastig.

In de Firewall connectie slechts voor de regio Nederland toestaan, houdt de diverse aanvallen per dag van buitenaf die je terugziet praktisch gezien eigenlijk allemaal tegen. Eerdere aanvallen die ik ook tot mijn NAS heb gehad, kwamen allemaal uit China (en dacht ook Hong Kong ?).
Zie een voorbeeld m.b.t. < Firewall regels >

[stennis]

Dit heb ik sinds gisterenmiddag ook toevallig aangezet en sindsdien geen meldingen meer gehad. Dit lijkt een goede oplossing te zijn. Ik heb alleen veelvoorkomende landen geblocked en niet alleen NL toegestaan.

China CN
India IN
Roemenië RO
Taiwan TW
Rusland RU
Turkije TR

[Erwin1]

Ik merkte dat er een trend zat in de aanvallen, vaak wanneer je een nieuwe host hebt aangemaakt krijg je meer aanvallen binnen. Na verloop van tijd zwakt dit af.
Ook merkte ik dat wanneer je veel download (bv torrents) de aanvallen weer toenemen.