Wil op dit onderwerp nog een aanvulling geven.
Bedoeld als waarschuwing, want er is kennelijk extra activiteit aan inlogpogingen.
Een kennis van mij kwam vorige week toevallig met informatie dat hij in zijn logbestanden
dagelijks nogal wat inlogpogingen tegenkwam.
Hele lijsten, ondanks dat de Firewall was voorzien van regels met regio filtering
alleen voor Nederland.Heb het zaakje bij hem onderzocht en nog wat aanpassingen gedaan, wat kan helpen om alles nog scherper af te stellen.
Wat bleek ?In zijn situatie betroffen het allemaal IP adressen met inlogpogingen vanuit
"Nederland" (Ziggo - KPN...).
Hackers maken schijnbaar gebruik van een
"botnet" via geïnfecteerde PC's
"binnen Nederland" om de regio filtering te omzeilen.
De aanval is specifiek gericht op
"Synology NAS apparaten".
Men gaat daarbij uit dat gebruikers doorgaans de -voorheen- (vroeger) gebruikelijke "standaard" instellingen van een NAS inzetten.
- met een geactiveerd
"admin" account (met probeert in te loggen met de "admin" gebruikersnaam).
- de tijdsperiode van het maximaal aantal blokkeringen op
"5 minuten" staat.
(Zie vervolgmenu bij "beveiliging" om aantal inlogpogingen in te stellen).
Indien deze tijd op
"5 minuten" staat ingesteld (standaard waarde), en men blijft onder het maximaal aantal inlogpogingen,
(meestal staat het aantal inlogpogingen op
3x), kan in principe
na die 5 minuten weer opnieuw geprobeerd worden in te loggen.
Men ziet dan één of twee inlogpogingen, telkens herhalen met tussenpozen van minimaal
8 minuten. Het is dus zaak die tijd veel hoger in te stellen, bijv.
1440 minuten = 24 uur ---> of naar behoefte nog veel langer.
[ EDIT - 18-5-2023 ] Om verwarring met andere menu's te voorkomen, hier nog eens de afbeeldingen waar het om gaat.Instellingen voor DSM 6 DSM 7
- De standaard DSM toegangspoorten
5000 / 5001 Gebruik beter een "niet standaard" alternatieve poort voor DSM,
als men al kiest voor directe externe toegang van de NAS via de DSM web-benadering.
Ben ervan verzekerd dan alleen de poort voor
https in te zetten (port forwarding voor de NAS),
en
niet de poort voor
http Gebruik evt. nog een aanmelding via "Two factor autorisatie" = 2FA.
(Beter is om bijv. nog een VPN verbinding in te zetten).
-
ICMP in de router uit te schakelen.
Zodat "ping requests" niet worden beantwoord. (Men blijft op die wijze het meest "anoniem" als internetconnectie).
- In de router alternatieve DNS-servers in te stellen die filtert op mogelijke malware.
Cloudflare DNS server IP adressen
1.0.0.2 en
1.1.1.2 (Nog strengere "adult" filtering
1.0.0.3 en
1.1.1.3 ).
Voor de situatie van een
Synology router, waarvoor vergelijkbare instellingen en aanbevelingen gelden.
(zowel bij SRM 1.2.x als SRM 1.3.x )
Hoeft
ICM daarbij doorgaans niet extra uitgeschakeld te worden,
omdat Firewall regels meestal zodanig zijn opgezet, dat ICM daarmee reeds automatisch is uitgeschakeld.
(Met gebruik van een laatste "slot / eind" Firewall regel om alles te weigeren - en ervoor "ICM" niet expliciet is toegestaan
Firewall SRM 1.2.x -
Firewall SRM 1.3.x ).