IP adres geblokkeerd viaSSH

[Wimdefeijter]

Goedemiddag.

Ik heb sinds vorige week zaterdag mijn NAS niet meer via een aparte router staan maar rechtstreeks nu op mijn Telfort Experiabox.
Vanaf die dag wordt ik bestookt met aanvallen via SSH. Deze heb ik gecheckt maar dit staat gewoon uit.
Bij 2x poging tot inloggen binnen 1 minuut wordt dat IP adres geblokkeerd. Dit werkt dus prima, maar waar komen nu ineens al die inlog pogingen vandaan.
Dit is het onderwerp van de mail 

IP-adres [192.217.122.131] van NASDS112J is geblokkeerd door SSH

Wordt er een beetje ongemakkelijk van. Kan dit kwaad? Of kan ik dit alleen maar voorkomen door er weer een router tussen te zetten.

Alvast bedankt voor de informatie.
Mijn NAS is de DS112J met 1 Gb vaste schijf. Laatste update firmware DSM 6.0.2-8451 Update 2

Alvast bedankt voor de reacties.

Groet
Wim

[Robert Koopman]

2 foute inlog pogingen in een uur is strakker.
Staan er poorten geforward in de Telfort experiabox?
Moet haast wel.
Kunnen die pogingen kwaad?
Als je accounts zonder wachtwoord hebt wel. Sterke wachtwoorden zijn uiteraard beter.

[Babylonia]

De Firewall van je NAS strakker zetten, zodat je voor de buitenwereld minder opvalt.

Bijv. "regio-blokking" gebruiken.
Alleen de regio's waarvan jij vind dat gebruikers (met wachtwoord) toegang mogen hebben, de services van open zetten.
Zelf geef ik alleen toegang voor de regio Nederland.  De rest van de wereld wordt dan volledig buiten gehouden.
De niet uitgenodigde "poortkloppertjes" komen dan niet eens aan bij een inlogscherm, of bij de controle als men probeert in te loggen, en het binnen een aantal keren niet lukt, dat men dan alsnog wordt geblokt.

Uitleg (ouder draadje, let op updates)  < HIER >,  update < HIER >

En er zijn inmiddels nog wel wat updates voor DSM 6.0  < HIER >   Maar het principe is vergelijkbaar.
Ik controleer vanuit de USA website  "Shields Up" en test op het "Stealth" zijn van poorten.
Wat meer uitleg m.b.t. dat "Stealth" zijn, zie o.a.  < DIT draadje >, speciaal met een tip voor de Telfort Experia Box V8.

Wat jonger als uitleg voor de Firewall van de Synology router, maar vergelijkbaar principe  < HIER >  vanaf het 2e plaatje.

Heb je zo'n beetje de belangrijkste info over de Synology Firewalls bij elkaar.
Succes, Babylonia@

[Wimdefeijter]

Inkomend verkeer staat inderdaad in de Experibox geforward naar mijn NAS. Ik heb een eigen domein. In mijn DNS instellingen heb ik het thuis IP adres opgenomen zodat ik van buitenaf kan inloggen. Door de url in te geven van mijn domein kom ik in de NAS.
Voorheen stond daar nog een TP link router tussen, maar die is kaduuk gegaan. Vandaar dat hij nu rechtstreeks op de Experiabox staat.
Ik zal jullie instructie volgen om zo de firewall straffer te zetten. Regio blokking had ik nog niet aan gedacht. Dus dat ga ik eens aanzetten.

Overigens staat op elk account een zeer sterk wachtwoord. Dus dat zit wel snor. Maar vanwege alle inlog pogingen werd ik toch een beetje zenuwachtig.

Dank voor jullie zeer bruikbare reacties.

Groet
Wim.

[Babylonia]

Ter referentie.
Toen ik "in den beginne" met de Synology NAS begon had ik relatief erg veel van die ongenode gasten met name uit Azië en Oost Europa, die binnen wilde komen. Gelukkig werden die geblokkeerd en in de blacklist gezet.
Na verscherping van de firewall regels met die regio-blokking daar nooit geen meldingen meer van gehad.

Ja, één keer, maar kon dat IP thuisbrengen. Bleek het IP van de school van mijn dochter te zijn.  Voor het eerst op de middelbare school en wat serieuzer met de NAS, had ze tijdens de les kennelijk een paar keer het verkeerde wachtwoord van de NAS gebruikt, en werd toen buitengesloten.

[Wimdefeijter]

Ik vind het altijd belangrijk te laten weten hoe de oplossing die is aangedragen heeft uitgepakt.
Ik heb het "draadje" gelezen en de firewall in gesteld zoals daar is uitgelegd.

Nou TOP!!! het werkt perfect. Nadat ik de firewall had ingesteld en op toepassen had geklikt is het stil geworden. Geen enkele poging tot inloggen nog gehad tot nu toe terwijl het daarvoor minimaal 20 keer per dag was.

Dank voor jullie hulp en doorverwijzingen naar oplossingen. 

Groet
Wim.

[Briolet]

Een enkeling kan er nog doorkomen. Bij mij staat hij op alleen Nederland (& 3 specifieke IP adressen buiten nederland). Het afgelopen jaar zijn er een handvol pogingen vanuit Nederland geweest. Maar dat is in elk geval minder dan de 20 per dag.

[Babylonia]

Vanuit Nederland is nog te overzien. En als ze echt binnenkomen als "hack", is het een stuk gemakkelijker direct strafrechtelijke stappen te ondernemen.  Dat is nauwelijks mogelijk vanuit "verweggistan".