Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: stapper op 31 maart 2023, 17:02:08
-
Dat geo-blocking heeft dat überhaupt nut?
Ik dacht dat ze zoiets doen met een bot die dan een portscan doet en ik had begrepen dat ze dan om de sec van IP veranderen.
Als dat laatste het geval is, wat heeft dat geo-blocking dan voor nut, dan kunnen ze toch elk "land-ip"gewoon spoofen?
-
Volgens mij heeft het wel degelijk nut.
Anderen hebben mogelijk "duizenden" tegen gehouden IP-adressen in hun logbestanden van lieden die het WAN IP adres afstruinen.
Zelf kom ik slechts aan een handvol blokkades in "jaren" tijd. Welke bovendien te traceren zijn als "indertijd" bijv. mijn dochter,
die kennelijk vanuit school mijn NAS probeerde te bereiken, en daarvoor "teveel" verkeerde inlognaam / wachtwoord combi gebruikte.
(Binnen de regio die wel toegang mag hebben).
Als je WAN IP adres niet reageert op bijv. ping-verzoeken, besta je feitelijk niet als adres.
Dan gaat men ook niet verder zoeken. Dan is men "incognito" voor het merendeel van de wereld.
"Stealth mode" vanuit een test website "Shields UP" (https://www.grc.com/x/ne.dll?bh0bkyd2) in Amerika.
Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.
(https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/?action=dlattach;ts=1551883983;attach=44307;image)
-
Ja het heeft wel nut ik zou als ik jou was alles buiten europa dicht zetten. Is het de oplossing? nee zeker niet. Better safe than sorry.
-
…dan kunnen ze toch elk "land-ip"gewoon spoofen?
Geef aan hoe dat moet. Ik hoor vaak beweringen over IP spoofing, maar heb nog nooit voorbeelden gezien. Als dat simpel kon, zou je het ook zien gebeuren. B.v. om mail van banken te spoofen. Nu lukt dat niet, juist vanwege de controle op afzend IP.
-
Inderdaad, het is helemaal niet simpel.
"Spoofen" voor een DDOS attack vb tot daar aan toe, omdat het niet van belang is een SESSIE op te bouwen. (beetje rond "sprayen" tov een bepaalde slachtoffer IP om z'n lijn te satureren en resources uit te putten)
Maar als je vb een TCP-sessie gaat opbouwen (3-way handshake) vb SSH dan gaat de reply van je "gespoofed" pakket echt niet terug naar je toe komen!
Het zijn echt "academische" scenarios en enkel als je het "pad" integraal kan kapen (vb BGP hi-jack) en je de returning traffic naar je toe kan trekken kan je echt over spoofen van netwerk-verkeer spreken.
-
Duidelijk.
Ik had altijd de indruk dat zo'n bot gewoon ip adressen in een flits kon aanpassen en in dat geval zag ik dus het nut niet.
Maar dat is dus duidelijk een verkeerde aanname begrijp ik?
Dat regel ik op de nas zelf neem ik aan? Niet via de router?
Toevallig ook een linkje waar dat wat in Jip en Janneke taal word uitgelegd? ;)
bvd
-
Als iedereen op "Internet" de regeltjes zou volgen zou zoiets als "Spoofing" eigenlijk niet kunnen.
Als ik in een datacenter een VPS heb draaien met een publiek IP en vanaf daar attacks zou lanceren zou de Hoster/ISP geen enkele andere traffiek mogen toelaten "outbound" richting internet dan vanaf het source-IP van die specifieke VPS.
Maar het is utopisch te denken dat dit globaal te controleren is.
De protocols en technieken bestaan er wel voor, vb waaronder RPF (Reverse Path Forwarding) zeker naar de "endpoints" toe (vb de miljoenen gebruikers met een thuis-aansluiting) maar in complexe omgeving met meerdere peerings/paths etc kan je zoiets niet gewoon "aanzetten" ...
https://en.wikipedia.org/wiki/Reverse-path_forwarding
-
Als er een aanval plaats heeft vanaf steeds wisselende IP adressen, zal dat vooral komen doordat het een botnet betreft dat je aanvalt. Dus een centraal aangestuurd netwerk van gekaapte apparatuur dat over de hele wereld verdeeld staat.
-
Inderdaad, en zo zijn er wel wat van die botnets.
Hoeveel miljoenen PC's, routers, IoT devices zijn "compromised" omdat de eigenaars er niet mee kunnen omgaan, nooit software updaten etc. default passwords gewoon blijven gebruiken etc,etc.
Botnet "Meris" bijvoorbeeld waren een hoop geinfecteerde Mikrotik devices.
Hoeveel tien/honderduizenden van die spullen draaien er niet zonder dat een eigenaar ooit een update gedaan heeft ... waanzin gewoon....
-
......Dat regel ik op de nas zelf neem ik aan? Niet via de router?
Toevallig ook een linkje waar dat wat in Jip en Janneke taal word uitgelegd? ;)
Dat regelen, bedoel je wellicht die geo-blocking mee (= je onderwerp).
Het kan zowel in de router geregeld worden (kun je dat breder inzetten ook voor services voor andere apparaten dan een NAS).
Tenminste als een router de mogelijkheden daarvoor heeft zoals een Synology router. (Andere router modellen ontberen meestal die functies).
Of bij gebrek aan dit soort functies bij een router, regel je dat op NAS niveau.
Omdat de functionaliteit van de firewall zoals gebruikt in een Synology router vergaand vergelijkbaar is met die van hun NAS apparaten.
Kun je een uitleg voor Synology routers beschreven < HIER > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/) ook als leidraad gebruiken voor de NAS.
Omdat jezelf ook een Synology router hebt, zou je het daar kunnen regelen (of zelfs op beide apparaten ;) ).
-
Dit is een voorbeeld van zo'n botnet dat een gecoördineerde aanval doet op mijn mailaccount:
2023-04-02T12:33:03+02:00 postfix/smtpd[25042]: connect from 187-40-1-90.user.veloxzone.com.br[187.40.1.90]
2023-04-02T12:33:10+02:00 postfix/smtpd[25042]: postfix: SLIBUserRealNameGet(user=sales@mijndomein.nl) failed
2023-04-02T12:33:23+02:00 postfix/smtpd[25042]: connect from unknown[179.175.3.226]
2023-04-02T12:33:30+02:00 postfix/smtpd[25042]: postfix: SLIBUserRealNameGet(user=sales@mijndomein.nl) failed
2023-04-02T12:34:02+02:00 postfix/smtpd[25042]: connect from cm217-243.liwest.at[81.10.217.243]
2023-04-02T12:34:07+02:00 postfix/smtpd[25042]: postfix: SLIBUserRealNameGet(user=sales@mijndomein.nl) failed
2023-04-02T12:34:36+02:00 GedeeldeData postfix/smtpd[25042]: connect from unknown[50.235.31.47]
2023-04-02T12:34:44+02:00 GedeeldeData postfix/smtpd[25042]: postfix: SLIBUserRealNameGet(user=sales@mijndomein.nl) failed
Alle 4 proberen ze de inlognaam "sales@mijndomein.nl". Mijn domeinnaam kennen ze blijkbaar en proberen 4x hetzelfde niet-bestaande voorvoegsel. 4x zo kort achter elkaar dezelfde inlognaam betekent dat het één bron moet zijn die dit aanstuurt. Maar goed, als ze al niet eens het goede account kennen, komen ze niet eens toe aan het proberen van een wachtwoord.
-
@Babylonia merci, ik ga me daar volgende week eens wat meer in verdiepen.