Hackers?

[Babylonia]

En eventueel in je firewall adressen uit Rusland en China blokkeren.

Je kunt beter de situatie "andersom" instellen, door alleen die landen toe te staan die je wel toegang wilt verlenen, en de rest van de regio's (landen) te weigeren. Dat stelt een stuk makkelijker in, en je bereik van geblokkeerde landen is groter.

Zelf gebruik ik doorgaans alleen toegang voor Nederland, de rest blokkeren.
Alleen als ik op vakantie ga, stel ik nog een paar extra landen in, die ik tijdens de vakantie aandoe.
Bij mijn ex met familie in het buitenland die de familie-foto's bekijken, nog extra de landen België, Engeland, Australië en Nieuw Zeeland.

Dat werkt tot nog toe prima. Sinds die Firewalls al verscheidene jaren krapper voor die regio's zijn ingesteld, komen er in het geheel geen aanvullingen voor in de blokkeringslijst. Sporadisch wel eens ééntje omdat een van de mensen binnen die familie zich teveel heeft vergist.

[Briolet]

Alleen als ik op vakantie ga, stel ik nog een paar extra landen in, die ik tijdens de vakantie aandoe.

Alleen vervelend als je dat in de haast vergeet. Daarom heb ik VPN wel iets ruimer opgezet met meer landen die er ook buiten de vakantie in blijven staan. Dan kan ik altijd in  het land van bestemming iets aanpassen.

Voor mail moet b.v. de SMTP poort wereldwijd open blijven, maar de IMAP poorten heb ik wel alleen op Nederland staan.

De SSH poort is een heel gewilde poort, die je zelfs niet voor Nederland open wilt zetten. Uit ervaring weet ik dat je dan ook inbraakpogingen krijgt. SSH staat hier alleen voor specifieke IP adressen open. b.v. die van Synology, as ze er bij moeten voor een bug.

In zijn algemeenheid stellen die inbraakpogingen niets voor als je een goed wachtwoord gebruikt en het admin account uit zet. De naam van het admin account is nm te raden. Dan hoeven ze alleen nog wachtwoorden te proberen en niet combinaties van account en wachtwoord.

En of je nu 10 of 3 pogingen toelaat maakt ook niet veel uit. Zelfs bij een matig wachtwoord is de kans erg klein dat je dit binnen 10 pogingen raad.

Sporadisch wel eens ééntje omdat een van de mensen binnen die familie zich teveel heeft vergist.

Er is een nieuwe account beveiliging bij gekomen die alleen voor browser inlogs geldt. Die maakt onderscheid tussen inloggers via bekende en onbekende apparaten. Bij bekende apparaten, kun je het aantal pogingen iets hoger zetten.

[Babylonia]

Die extra account beveiliging is me bekend. Maar voor sommige accounts werkt dat bij mij niet, want in het geval van een gastles op een middelbare school wordt één "klas" account misschien gebruikt door 30 leerlingen (met 30 verschillende apparaten).   

[Briolet]

Ook al gebruiken 30 mensen dat account (ik gebruik mijn account ook al vanaf 5 apparaten), dan zou dat ook geen probleem moeten zijn. Hij slaat  de karakteristieken van de browser op waarmee successvol ingelogd is. Zelfs voor 3 browsers vanaf 1 apparaat zijn dit al 3 karacterestieken.

Als je het maximale aantal inlogs kleiner zet dat de IP beveiliging, dan zal dat IP niet steeds geblokkeerd worden, maar krijgt die browser een blokkering van een aantal uren.
Hetzelfde IP en hetzelfde account kan dan nog steeds inloggen vanaf een ander apparaat. (zelfs met een andere browser op hetzelfde apparaat).

Ik denk dat zo'n account beveiliging met 30 personen juist praktisch is omdat jantje dan niet pietje blokkeert door een verkeerde inlog.

[Babylonia]

OK, nu denk ik beter te begrijpen hoe het in zijn werk gaat.  Maar een keer gaan uittesten dan.

[ThaDoc]

Hier hetzelfde ip, ondertussen al 4 van dit type ip's (beginnende met 95.70.) geblokkeerd na een week. Ze proberen steeds op het admin account en dit heb ik uitgeschakeld. In principe kunnen ze er dus nooit in geraken. Heb al wel gedacht om voor de grap mijn inkomend verkeer op poort 80 om te leiden naar een "dubieuze" site om ze zelf een koekje van eigen deeg te geven. Weet wel niet of dit gaat werken.

[Sylvester]

Zou het geen goed idee zijn om binnen de Synology de mogelijkheid te hebben om een volledig IP range uit te sluiten?

[Birdy]

Dat kun je toch doen in de Firewall van je NAS ?

[Sylvester]

Die staat volgens mij af omdat ik een 'firewall' heb in mijn router. Maar misschien toch een goed idee om in te schakelen? Soms zie je simpele dingen over het hoofd.

[Birdy]

Dan kan zeker geen kwaad op de NAS maar, je Router heeft die mogelijkheid niet ?

[Sylvester]

Ik ben er niet zo goed in, maar ik vermoed van niet.
Ik heb een Asus RT-AC68u.

[HenkWHattem]

Mijn vraag is: hoe deblokkeer ik een geblokkeerd ip-adres. Ik lees op een topic: in DSM.
Maar DSM is geblokkeerd.
Weet iemand een oplossing?

[Hofstede]

Een andere computer met een ander IP adres gebruiken.

[Björn]

Of een enkele reset uitvoeren. Dan wordt je admin wachtwoord gewist, netwerk op dhcp gezet én je blocklist geleegd.

[Briolet]

Inloggen via een ander IP is toch simpeler dan een hele reset.

Als je een reset kunt uitvoeren ben je in de buurt van de nas. Dus kun je altijd vanaf een ander IP adres binnen je lan inloggen. Er zullen nog 250+ adressen bruikbaar zijn.

Of je logt via je WAN IP in als je geen zin hebt het lan-IP van je PC aan te passen.

---

Edit: dat is de reden waarom ik hierboven aanbeviel de andere accountbeveiliging te activeren. Die blokkeert niet op IP niveau en verloopt na een paar uur. En hij werkt met vertrouwde gebruikers die wel veel meer pogingen krijgen.