Alle landen maar geblokkeerd

[Stef012]

Vandaag al 5 meldingen ontvangen van IP adressen die zijn geblokkeerd. De pogingen komen uit diverse landen, dus waarschijnlijk via een vpn... Direct heb ik het aantal mogelijke aanmeldingen op 1 gezet.

Om de toegang een beetje te beperken heb ik nu dan maar alle landen (muv Nederland) in de firewall geblokkeerd. Dit zijn veel regels, omdat je maar 15 landen tegelijk kan blokkeren.

Nu maar even afwachten... 

Iemand hier ervaring mee?

[Briolet]

Dit zijn veel regels,

Dat hoeven er maar 2 te zijn.

[DSGebruiker]

Doe gewoon andersom : laat NL toe en blokkeer de rest ? (= 2 regels zoals hierboven aangehaald)

[Stef012]

Top, bedankt voor de tip, ik heb het gelijk aangepast.
Blijkbaar heeft die kerel het ook al door, vannacht 3 pogingen van een NL IP...

[Briolet]

Het zijn eigenlijk 3 regels, omdat je eerst de LAN moet toestaan. (Is geen onderdeel van NL)

[DSGebruiker]

Tja, je zal het natuurlijk nooit volledig kunnen stoppen, tenzij je iets van een VPN-kanaal gaat gebruiken.
Maar indien de NAS goed ingeregeld is komen die IP's alleen maar op de "ban-list" denk ik?
Je kan de settings streng maken...

[gsamplo]

Bij mij loopt het storm qua aanvallen.

Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?
De één zegt alle landen blokkeren, de ander zegt alleen NL toestaan.

Bedankt alvast.

[DSGebruiker]

De vraag is : WIE moet er op je NAS zijn van buitenaf ? (en waarom is de NAS potentieel "toegangkelijk" vanaf Internet)
Hebben die partijen geen "vast" IP zodat je gericht(er) kan toelaten ?

Uiteindelijk blokkeer je / laat je toe wie je wil, dat kan niemand voor je bepalen.
In principe geen ramp dat er 1000x per dag een poging gedaan zou worden indien :

-> gebruiker "admin" niet bruikbaar is een een nieuwe complex admin-account bestaat met complex password
-> Je de IP's bij foutief proberen op de ban-list zwiert (vb 2 inlog-pogingen foutief op 24uur tijdsvenster = op de "banned" list)

[Stef012]

Het zijn eigenlijk 3 regels, omdat je eerst de LAN moet toestaan. (Is geen onderdeel van NL)

Klopt! uit een ander topic op dit forum gevonden 

Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?

Zie hier; eerst de uitzonderingen toevoegen (lokaal en NL), daarna de rest blokkeren

-> gebruiker "admin" niet bruikbaar is een een nieuwe complex admin-account bestaat met complex password
-> Je de IP's bij foutief proberen op de ban-list zwiert (vb 2 inlog-pogingen foutief op 24uur tijdsvenster = op de "banned" list)

Inderdaad, volgens mij is het verwijderen van het Admin account het eerste wat je leert als je een NAS koopt 

Het is alleen jammer dat je niet kunt terugzoeken wat zij ingevoerd hebben, daar ben ik wel benieuwd naar!

[André PE1PQX]

Bij mij loopt het storm qua aanvallen.

Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?
De één zegt alle landen blokkeren, de ander zegt alleen NL toestaan.

Bedankt alvast.

Eigenlijk heel simpel, en ook in deze volgorde:

Alle poorten, LAN IP adres range (s) -> toestaan.
Geselecteerde poorten, IP-regio Nederland -> Toestaan.
Alle poorten, Alle IP adressen -> Blokkeren.

3 regels, en klaar...

[André PE1PQX]

Inderdaad, volgens mij is het verwijderen van het Admin account het eerste wat je leert als je een NAS koopt 

En dat kan bij Syno dus niet. Je kunt 'Admin' wel disabelen.

[Briolet]

Het is alleen jammer dat je niet kunt terugzoeken wat zij ingevoerd hebben, daar ben ik wel benieuwd naar!

Dat is wel terug te vinden in het log center. Elke inlog-poging op dsm wordt daar gelogd. Als voorbeeld heb ik met het niet bestaande account "geenaccount' proberen in te loggen:



Goed dat ik daar keek, want ik ze dat er iets geks gaande is op mijn nas. Elke minuut is er iets dat onder mijn naam vanaf ht IP van de nas, probeert in te loggen (Omcirkeld). Geen idee wat daar aan de hand is. In 6 dagen bijna 9000 meldingen en alle oude entries zijn weg. (Edit: Bekende bug. Geen inlog op dsm, maar Surveillance Station die wil archiveren via een account met 2fa. Eens in de paar maand faalt dat en moet ik inloggen om een nieuwe code in te voeren))

[kleinspr]

ook een leuk iets:
Als je een laptop van de zaak heb, komt het ook nog wel eens voor dat deze ineens je NAS op virussen wil scannen.
Ja ik weet het gaat nu ineens over het SMB (samba) protocol, en niet meer over http......

[Babylonia]

Zie hier; eerst de uitzonderingen toevoegen (lokaal en NL), daarna de rest blokkeren
(Link naar bijlage)

Beslist NIET alle poorten openzetten voor Nederland.
Alleen die poorten (en protocollen TCP of UDP) die je ook werkelijk nodig hebt voor externe benadering.
Dat zijn er slechts enkele.   "Allen" zijn in principe 65.535 poorten.

Nu is dat tevens afhankelijk wat je in de router aan port forwarders hebt ingesteld.
Maar als je bijv. "DMZ" door zou zetten naar je NAS, heb je met die twee instellingen tezamen de poppen wel aan het dansen.
(Ja, het komt echt geregeld voor dat mensen DMZ naar hun NAS doorzetten).  Verder UPnP ook uitzetten in een router.

[Proz]

Het zijn eigenlijk 3 regels, omdat je eerst de LAN moet toestaan. (Is geen onderdeel van NL)

Klopt! uit een ander topic op dit forum gevonden 

Iemand een goed voorbeeld hoe de Firewall regels eruit zouden moeten zien?

Zie hier; eerst de uitzonderingen toevoegen (lokaal en NL), daarna de rest blokkeren
[ Bijlage is ongeldig of bestaat niet ]

-> gebruiker "admin" niet bruikbaar is een een nieuwe complex admin-account bestaat met complex password
-> Je de IP's bij foutief proberen op de ban-list zwiert (vb 2 inlog-pogingen foutief op 24uur tijdsvenster = op de "banned" list)

Inderdaad, volgens mij is het verwijderen van het Admin account het eerste wat je leert als je een NAS koopt 

Het is alleen jammer dat je niet kunt terugzoeken wat zij ingevoerd hebben, daar ben ik wel benieuwd naar!

Ik heb hier wat vragen over, want ik wordt ook gek van een hacker die probeert in te loggen op de "admin" account (die uitstaat), maar omdat je de admin niet kan verwijderen valt ie onder de "beveiligde accounts" en blokkeert ie het ip adres niet (enkel blokkeert ie de hacker voor een bepaalde tijd).

Ik heb dus de geo-ip blokkade zoals hierboven ingevoerd, maar wij gebruiken een VPN om in te loggen op de NAS. De ip range die we als VPN gebruiker gebruiken is 10.0.2.0/29 en daarmee kunnen we naar de internet LAN 192.168.20.1/24. Moet ik beide ip ranges dan toevoegen voordat ik alles blokkeer?