Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: dylan19 op 11 april 2023, 16:53:22
-
Ik krijg sinds een tijdje eens in de zoveel dagen elke minuut admin aanmeldpogingen vanaf allerlei ip adressen. Hebben meer mensen hier last van en wat kan ik hier tegen doen?
Voorbeeld onderstaand:
Waarschuwing
Skraapie
admin
Connection
User [admin] from [109.136.190.111] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:49:21
Waarschuwing
Skraapie
admin
Connection
User [admin] from [37.251.23.3] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:48:55
Waarschuwing
Skraapie
admin
Connection
User [admin] from [217.41.16.100] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:47:53
Waarschuwing
Skraapie
admin
Connection
User [admin] from [86.156.25.82] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:47:08
Waarschuwing
Skraapie
admin
Connection
User [admin] from [124.188.83.22] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:46:26
Waarschuwing
Skraapie
admin
Connection
User [admin] from [84.176.211.8] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:45:55
Waarschuwing
Skraapie
admin
Connection
User [admin] from [77.21.195.77] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:44:58
Waarschuwing
Skraapie
admin
Connection
User [admin] from [175.182.7.161] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:44:09
Waarschuwing
Skraapie
admin
Connection
User [admin] from [14.48.28.154] failed to sign in to [DSM] via [password] due to authorization failure.
-
Kijk even je firewall na, blokkeer alle landen behalve je eigen land (Nederland of België) en de landen waar je regelmatig eens verblijft.
Daarmee blokkeer je een heleboel ellende in één klap EN je blijft toegang houden voor je zelf
-
wat kan ik hier tegen doen?
Als je het admin account uit hebt en op al je accounts met admin-rechten 2FA gebruikt, kun je dit gewoon negeren. Inlogpogingen zijn er altijd. Om dat te totaal te voorkomen moet je de nas geen internet toegang geven.
-
Is wel erg rigoureus "geen internet toegang".
De niet bedoelde inlogpogingen die ik op mijn NAS apparaten heb gehad, zijn op één hand te tellen in jaren tijd.
(En waren nog te traceren door verkeerde inlogogingen van mijn dochter zelf via het IP-adres van haar school).
Die NAS apparaten zijn toch echt via internet te benaderen. Inderdaad wel binnen een zeer beperkte regio.
-
Bedankt,
Nieuwe firewall regels gemaakt en het is gestopt.
-
Even een aanvulling op mijn eigen post: merk je LAN IP-range ook aan als 'toegestaan', anders kom je je eigen NAS niet meer in vanaf je eigen LAN, maar als het goed is waarschuwt je NAS ook hiervoor.
-
Wil op dit onderwerp nog een aanvulling geven.
Bedoeld als waarschuwing, want er is kennelijk extra activiteit aan inlogpogingen.
Een kennis van mij kwam vorige week toevallig met informatie dat hij in zijn logbestanden dagelijks nogal wat inlogpogingen tegenkwam.
Hele lijsten, ondanks dat de Firewall was voorzien van regels met regio filtering alleen voor Nederland.
Heb het zaakje bij hem onderzocht en nog wat aanpassingen gedaan, wat kan helpen om alles nog scherper af te stellen.
Wat bleek ?
In zijn situatie betroffen het allemaal IP adressen met inlogpogingen vanuit "Nederland" (Ziggo - KPN...).
Hackers maken schijnbaar gebruik van een "botnet" (https://nl.wikipedia.org/wiki/Botnet) via geïnfecteerde PC's "binnen Nederland" om de regio filtering te omzeilen.
De aanval is specifiek gericht op "Synology NAS apparaten".
Men gaat daarbij uit dat gebruikers doorgaans de -voorheen- (vroeger) gebruikelijke "standaard" instellingen van een NAS inzetten.
- met een geactiveerd "admin" account (met probeert in te loggen met de "admin" gebruikersnaam).
- de tijdsperiode van het maximaal aantal blokkeringen op "5 minuten" staat.
(Zie vervolgmenu bij "beveiliging" om aantal inlogpogingen in te stellen).
Indien deze tijd op "5 minuten" staat ingesteld (standaard waarde), en men blijft onder het maximaal aantal inlogpogingen,
(meestal staat het aantal inlogpogingen op 3x), kan in principe na die 5 minuten weer opnieuw geprobeerd worden in te loggen.
Men ziet dan één of twee inlogpogingen, telkens herhalen met tussenpozen van minimaal 8 minuten.
Het is dus zaak die tijd veel hoger in te stellen, bijv. 1440 minuten = 24 uur ---> of naar behoefte nog veel langer.
[ EDIT - 18-5-2023 ] Om verwarring met andere menu's te voorkomen, hier nog eens de afbeeldingen waar het om gaat.
Instellingen voor DSM 6 DSM 7
[attach=1] [attach=2]
- De standaard DSM toegangspoorten 5000 / 5001
Gebruik beter een "niet standaard" alternatieve poort voor DSM,
als men al kiest voor directe externe toegang van de NAS via de DSM web-benadering.
Ben ervan verzekerd dan alleen de poort voor https in te zetten (port forwarding voor de NAS),
en niet de poort voor http Gebruik evt. nog een aanmelding via "Two factor autorisatie" = 2FA.
(Beter is om bijv. nog een VPN verbinding in te zetten).
- ICMP (https://nl.wikipedia.org/wiki/Internet_Control_Message_Protocol) in de router uit te schakelen.
Zodat "ping requests" niet worden beantwoord. (Men blijft op die wijze het meest "anoniem" als internetconnectie).
- In de router alternatieve DNS-servers in te stellen die filtert op mogelijke malware.
Cloudflare DNS server IP adressen 1.0.0.2 en 1.1.1.2
(Nog strengere "adult" filtering 1.0.0.3 en 1.1.1.3 ).
Voor de situatie van een Synology router, waarvoor vergelijkbare instellingen en aanbevelingen gelden.
(zowel bij SRM 1.2.x als SRM 1.3.x )
[attach=3]
Hoeft ICM (https://nl.wikipedia.org/wiki/Internet_Control_Message_Protocol) daarbij doorgaans niet extra uitgeschakeld te worden,
omdat Firewall regels meestal zodanig zijn opgezet, dat ICM daarmee reeds automatisch is uitgeschakeld.
(Met gebruik van een laatste "slot / eind" Firewall regel om alles te weigeren - en ervoor "ICM" niet expliciet is toegestaan
Firewall SRM 1.2.x (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/) - Firewall SRM 1.3.x (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656) ).
-
Waardevolle aanvulling @Babylonia !