Continue SSH/FTP aanvallen

[JSSL]

Beste forumleden,

Sinds enkele weken wordt ik dagelijks aangevallen (bruteforce). Ze proberen via SSH/FTP in te loggen. Gelukkig is dit nog niet gelukt en heb ik ook maar de automatische blokkering aangezet. Nu heb ik in 3 dagen tijd al 27 verschillende IP-adressen geblokkeerd!
Iemand enig idee hoe het kan dat ze mijn IP-adres hebben? Verder draai ik er geen website op of iets dergelijks en is het voornamelijk thuis/eigen bedrijf gebruik.
Zijn er verder nog opties om dit af te weren, behalve het dichtzetten van SSH en FTP?

Alvast bedankt!

Met vriendelijke groet,
Jarno

[Briolet]

Moet je maar eens DarkStat installeren. Dat logt elk verkeer dat door de netwerkkaart van de nas loopt. Dan zie je pas echt hoeveel externe apparaten met je nas communiceren, zonder ook maar in iets in het gewone log achter te laten. Dat programma is dus nog slechter voor je nachtrust.

Meestal gaat het om sites die gewoon een-voor-een alle IP adressen aflopen en op bepaalde poorten testen totdat ze een IP gevonden hebben die reageert.

Ikzelf merkte dat b.v. de mailserver in de dagen rond kerst heel veel meer inlogpogingen moest blokkeren dan gebruikelijk. Het waren of studenten die zich in de kerstvakantie verveelden, of juist mensen die hoopten dat op die dagen de IT afdeling onderbemand was en hun acties minder snel ontdekt zouden worden, als ze er door kwamen.

SSH en FTP zijn blijkbaar interessante poorten voor aanvallers. Dus als je ze toch niet extern gebruikt zou ik ze niet aan de buitenwereld laten zien. Dat scheelt in elk geval veel e-mail waarschuwingen.

En zet je default admin account uit. Dan moeten ze beginnen met het raden van een account dat ook nog admin rechten heeft en komen ze niet eens toe aan het proberen van wachtwoorden. Hoewel je root nooit uit kunt zetten, dus bij SSH geeft alleen een sterk wachtwoord bescherming.
En als je SSH toch extern moet kunnen gebruiken en dat is altijd vanaf dezelfde plek, dan kun je ook een firewall regel maken die alleen SSH verkeer van dat enen adres toelaat.

[forever]

Ik heb hetzelfde 'probleem' iemand of iets poogt steeds in te loggen via SSH. Na een paar keer krijgt het IP een autoblock uiteraard via de instellingen. Maar ik zie dat men dan gewoon overstapt op een ander IP adres uit dezelfde range.

Er zit een sterk wachtwoord op en ook heb ik het standaard admin account uitgeschakeld.

Ik ga er een beetje van uit dat ik goed zit dan? Ik ben altijd maar voorzichtig met instellingen enzo want het zou me niet verbazen als ik mezelf ooit buitensluit of juist de verkeerde partij binnenlaat 

[Briolet]

In het algemeen helpt 'admin' uitschakelen al heel veel omdat aanvallers dan heel veel moeite doen op een account waar ze nooit binnen zullen komen.

ssh is een uitzondering omdat daar ook een user "root" bestaat die je niet kunt uitschakelen en nog meer rechten heeft dan admin. Het wachtwoord van root is dat van admin, dus die moet toch sterk zijn, ook al staat het uit.

Als je alleen vanaf bepaalde externe lokaties ssh gebruikt, kun je in de firewall, regels opnemen dat je ssh alleen van specifieke adressen accepteert.

[forever]

Bedankt, ik vind het wel een beetje raar dat een account dat uitgeschakeld staat via een omweg nog gebruikt kan worden. Ik denk dat er op het admin account een veilig wachtwoord zit gewoon, maar soms doe ik ook nog wel eens iets minder ingewikkelds voor tijdelijk. Niet erg zorgelijk nog altijd maar 'better save then sorry'.

Ik heb de volgende regel nu klaar staan: De SSH poort staat alleen nog open vanaf locale IP adressen (actie op toestaan). Maar ik vraag mij nu wel af of dit ook alle andere poorten dicht zet voor iedereen zodra ik de "indien niet voldaan wordt aan de regels" de "toegang weigeren" optie kies.

Hoop dat iemand mij dit kan vertellen want ik ben nog altijd wat angstig om mijzelf buiten te sluiten :-)

[Briolet]

Als je ssh alleen lokaal gebruikt, kun je gewoon de forwards in de router weglaten.

Dat is het probleem van die forwards via UPnP die de nas maakt: Je forward te gemakkelijk, te veel. Beter is om het expliciet in de router in te stellen zodat je veel bewuster bent wat de buitenwereld mag.

Zelf heb ik mijn PC een vast IP gegeven en de eerste firewall regel is dat dat IP alles mag. Effectief is er dan geen firewall bij benadering vanaf die PC. Dan kun je jezelf nooit uitsluiten en alles blijft werken ook al open je verder geen poorten.

[forever]

Okay ik heb nu via de router enkel de poorten open gezet die voor normaal gebruik nodig zijn. Momenteel poort 80 voor een paar websites en 143 voor de mail. Er moeten er nog een paar bij denk ik maar dat komt vast goed.

Ik had trouwens de instellingen niet door de NAS laten doen maar handmatig de DMZ Host gezet richting het IP van de NAS in mijn netwerk. Dat is vast (minstens) even dom!

Ik kan weer rustig slapen nu zonder aanvallen op mijn NAS! Is het ook nog zinvol kritisch te kijken naar wat de NAS zelf toe laat? Het gaat om een tc7200 router, in theorie kan ik me er iets bij voorstellen dat er iets 'mis' gaat in de router en men alsnog bij de NAS komt.

[peeweesyn]

Ik had trouwens de instellingen niet door de NAS laten doen maar handmatig de DMZ Host gezet richting het IP van de NAS in mijn netwerk. Dat is vast (minstens) even dom!

Nog dommer 

DMZ zou verboden moeten worden op consumentenrouters, want tja, als je je interne NAS/PC/Server er inzet 'doet hij het ineens vanaf internet' dus laten we het maar zo. Het heet echter niet voor niets een Demilitarized Zone, dus je zet je voordeur open en stuurt de politie weg...

[Goner]

Mocht je SSH toch van 'buiten' willen gebruiken, pak dan aan de buitenkant gewoon een ander poortnummer dat je forward naar 22.
Bijvoorbeeld iets als 15022. Het is niet te doen voor ze om van IP-ranges alle poorten te scannen, dat zijn er meer dan 65000. Ze scannen alleen de bekende default poorten.

Ik heb dat voor div. protocollen gedaan, zoals FTP, SHH etc. en zie echt nooit meer scans en geblokkeerde IP's.