Auteur Topic: Admin aanmeldingen vanaf random ip's (gelezen 1613 keer)

dylan19 · « **Gepost op:** 11 april 2023, 16:53:22 »

Ik krijg sinds een tijdje eens in de zoveel dagen elke minuut admin aanmeldpogingen vanaf allerlei ip adressen. Hebben meer mensen hier last van en wat kan ik hier tegen doen?
Voorbeeld onderstaand:

Code: [Selecteer]

Waarschuwing
Skraapie
admin
Connection
User [admin] from [109.136.190.111] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:49:21
Waarschuwing
Skraapie
admin
Connection
User [admin] from [37.251.23.3] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:48:55
Waarschuwing
Skraapie
admin
Connection
User [admin] from [217.41.16.100] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:47:53
Waarschuwing
Skraapie
admin
Connection
User [admin] from [86.156.25.82] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:47:08
Waarschuwing
Skraapie
admin
Connection
User [admin] from [124.188.83.22] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:46:26
Waarschuwing
Skraapie
admin
Connection
User [admin] from [84.176.211.8] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:45:55
Waarschuwing
Skraapie
admin
Connection
User [admin] from [77.21.195.77] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:44:58
Waarschuwing
Skraapie
admin
Connection
User [admin] from [175.182.7.161] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:44:09
Waarschuwing
Skraapie
admin
Connection
User [admin] from [14.48.28.154] failed to sign in to [DSM] via [password] due to authorization failure.

André PE1PQX · « **Reactie #1 Gepost op:** 11 april 2023, 17:10:22 »

Kijk even je firewall na, blokkeer alle landen behalve je eigen land (Nederland of België) en de landen waar je regelmatig eens verblijft.
Daarmee blokkeer je een heleboel ellende in één klap EN je blijft toegang houden voor je zelf

Briolet · « **Reactie #2 Gepost op:** 11 april 2023, 18:35:47 »

Citaat

wat kan ik hier tegen doen?

Als je het admin account uit hebt en op al je accounts met admin-rechten 2FA gebruikt, kun je dit gewoon negeren. Inlogpogingen zijn er altijd. Om dat te totaal te voorkomen moet je de nas geen internet toegang geven.

Babylonia · « **Reactie #3 Gepost op:** 11 april 2023, 19:47:12 »

Is wel erg rigoureus "geen internet toegang".

De niet bedoelde inlogpogingen die ik op mijn NAS apparaten heb gehad, zijn op één hand te tellen in jaren tijd.
(En waren nog te traceren door verkeerde inlogogingen van mijn dochter zelf via het IP-adres van haar school).
Die NAS apparaten zijn toch echt via internet te benaderen. Inderdaad wel binnen een zeer beperkte regio.

dylan19 · « **Reactie #4 Gepost op:** 17 april 2023, 10:40:28 »

Bedankt,

Nieuwe firewall regels gemaakt en het is gestopt.

André PE1PQX · « **Reactie #5 Gepost op:** 17 april 2023, 22:25:55 »

Even een aanvulling op mijn eigen post: merk je LAN IP-range ook aan als 'toegestaan', anders kom je je eigen NAS niet meer in vanaf je eigen LAN, maar als het goed is waarschuwt je NAS ook hiervoor.

Babylonia · « **Reactie #6 Gepost op:** 20 april 2023, 02:57:01 »

Wil op dit onderwerp nog een aanvulling geven.
Bedoeld als waarschuwing, want er is kennelijk extra activiteit aan inlogpogingen.

Een kennis van mij kwam vorige week toevallig met informatie dat hij in zijn logbestanden dagelijks nogal wat inlogpogingen tegenkwam.
Hele lijsten, ondanks dat de Firewall was voorzien van regels met regio filtering alleen voor Nederland.
Heb het zaakje bij hem onderzocht en nog wat aanpassingen gedaan, wat kan helpen om alles nog scherper af te stellen.

Wat bleek ?
In zijn situatie betroffen het allemaal IP adressen met inlogpogingen vanuit "Nederland" (Ziggo - KPN...).

Hackers maken schijnbaar gebruik van een "botnet" via geïnfecteerde PC's "binnen Nederland" om de regio filtering te omzeilen.

De aanval is specifiek gericht op "Synology NAS apparaten".
Men gaat daarbij uit dat gebruikers doorgaans de -voorheen- (vroeger) gebruikelijke "standaard" instellingen van een NAS inzetten.

- met een geactiveerd "admin" account (met probeert in te loggen met de "admin" gebruikersnaam).
- de tijdsperiode van het maximaal aantal blokkeringen op "5 minuten" staat.
(Zie vervolgmenu bij "beveiliging" om aantal inlogpogingen in te stellen).

Indien deze tijd op "5 minuten" staat ingesteld (standaard waarde), en men blijft onder het maximaal aantal inlogpogingen,
(meestal staat het aantal inlogpogingen op 3x), kan in principe na die 5 minuten weer opnieuw geprobeerd worden in te loggen.

Men ziet dan één of twee inlogpogingen, telkens herhalen met tussenpozen van minimaal 8 minuten.
Het is dus zaak die tijd veel hoger in te stellen, bijv. 1440 minuten = 24 uur ---> of naar behoefte nog veel langer.

[ EDIT - 18-5-2023 ] Om verwarring met andere menu's te voorkomen, hier nog eens de afbeeldingen waar het om gaat.

Instellingen voor DSM 6 DSM 7

- De standaard DSM toegangspoorten 5000 / 5001
Gebruik beter een "niet standaard" alternatieve poort voor DSM,
als men al kiest voor directe externe toegang van de NAS via de DSM web-benadering.

Ben ervan verzekerd dan alleen de poort voor https in te zetten (port forwarding voor de NAS),
en niet de poort voor http Gebruik evt. nog een aanmelding via "Two factor autorisatie" = 2FA.
(Beter is om bijv. nog een VPN verbinding in te zetten).

- ICMP in de router uit te schakelen.
Zodat "ping requests" niet worden beantwoord. (Men blijft op die wijze het meest "anoniem" als internetconnectie).

- In de router alternatieve DNS-servers in te stellen die filtert op mogelijke malware.
Cloudflare DNS server IP adressen 1.0.0.2 en 1.1.1.2
(Nog strengere "adult" filtering 1.0.0.3 en 1.1.1.3 ).

Voor de situatie van een Synology router, waarvoor vergelijkbare instellingen en aanbevelingen gelden.

(zowel bij SRM 1.2.x als SRM 1.3.x )

Hoeft ICM daarbij doorgaans niet extra uitgeschakeld te worden,
omdat Firewall regels meestal zodanig zijn opgezet, dat ICM daarmee reeds automatisch is uitgeschakeld.
(Met gebruik van een laatste "slot / eind" Firewall regel om alles te weigeren - en ervoor "ICM" niet expliciet is toegestaan
Firewall SRM 1.2.x - Firewall SRM 1.3.x ).

André PE1PQX · « **Reactie #7 Gepost op:** 20 april 2023, 10:33:51 »

Waardevolle aanvulling @Babylonia !

Alleen externe toegang met Admin, niet voor gebruikers. Gestart door kkr300Board Synology DSM 5.1 en eerder	Reacties: 0 Gelezen: 1861	11 november 2012, 13:31:12 door kkr300
hyperbackup admin problemen Gestart door ronhooBoard Data replicator & overige backupsoftware	Reacties: 6 Gelezen: 2348	30 oktober 2020, 18:30:22 door Birdy
Admin interface niet te benaderen via 192.168.1.1 Bedraad wel via wifi Gestart door FranckeMBoard Synology Router	Reacties: 33 Gelezen: 18319	11 januari 2016, 09:04:03 door Babylonia
USB drive No Access als Admin Gestart door ALKMAARBoard Externe harddisks en Printers	Reacties: 5 Gelezen: 1298	22 september 2023, 17:07:35 door Birdy
Na uitschakelen admin als gebruiker is mijn NAS niet meer netwerk te benaderen. Gestart door skinnyvodkaBoard File Station	Reacties: 3 Gelezen: 3510	27 mei 2014, 21:24:54 door Birdy

Auteur Topic: Admin aanmeldingen vanaf random ip's (gelezen 1613 keer)

dylan19

Admin aanmeldingen vanaf random ip's

André PE1PQX

Re: Admin aanmeldingen vanaf random ip's

Briolet

Re: Admin aanmeldingen vanaf random ip's

Babylonia

Re: Admin aanmeldingen vanaf random ip's

dylan19

Re: Admin aanmeldingen vanaf random ip's

André PE1PQX

Re: Admin aanmeldingen vanaf random ip's

Babylonia

Re: Admin aanmeldingen vanaf random ip's

André PE1PQX

Re: Admin aanmeldingen vanaf random ip's

Vergelijkbare onderwerpen (5)