Veel, heel veel meldingen over mislukte login-pogingen

[hschikhof]

Goedemiddag,

(dit sub-forum leek me het meest geschikt voor mijn vraag)
Vandaag zag ik in een logbestand een zeer groot aantal waarschuwingen van deze aard:

Niveau   Logboek   Tijd   Gebruiker   Gebeurtenis
Warning   Verbinding   31-07-2021 14:27   SYSTEM   User [admin] from [ip-nummer] failed to log in via [DSM] due to authorization failure.
Warning   Verbinding   31-07-2021 14:27   admin   User [admin] from [ip-nummer] failed to log in via [DSM] due to authorization failure.

Deze meldingen krijg ik sinds 27 juli jl. - daarvóór ontving ik ze ook wel eens, maar niet in deze hoeveelheden, of ik kon ze anderszins verklaren. In ieder geval zag ik tot een paar dagen geleden geen reden om me zorgen te maken. Echter, sinds 27-07 heb ik meer dan 3.000 van dit soort meldingen ontvangen. Het gaat om een kleine 200 unieke ip-nummers, die dus kennelijk continue proberen toegang tot m'n NAS te krijgen. Ik herken de ip-nummers niet, bovendien is er naast mij maar 1 andere persoon die ik toegang gegeven heb.

Ik maak me, kortom, zorgen over de veiligheid van m'n NAS. Wat is er gaande? Wat kan ik gedaan hebben om plots zo in de belangstelling te staan? Hoe kan ik een inbraak voorkomen?

[hschikhof]

Ah... ik lees nu soortgelijke berichten van anderen...

[Birdy]

Klopt, in die Topics worden dan ook tips gegeven.....maar aanvallen blijven komen, tenzij je geen poorten forward.

[Hutje]

Klopt, hier ook een ongewoon hoog aantal ’gasten’ voornamelijk denkend dat ik het ‘admin’ account open heb staan.
Dus bij de Security maar even het aantal foutieve inlog pogingen verlaagd naar 1 per 240 minuten en  de Account Protection ook maar aangezet.


Verzonden vanaf mijn iPhone met Tapatalk

[Harold de Pater]

En selecteer in de firewall alleen de landen vanaf waar je wil loggen en selecteer alleen de poorten die je per se open hebt staan. Zet op het eind alles op weigeren (zie elders op het forum), zodat de rest wordt uitgesloten. Scheelt een hoop ongenode gasten vanuit het oosten, ik heb sindsdien nooit meer een (onbekende) melding.

ps. vergeet niet als je op vakantie gaat in het buitenland het/de betreffende land(en) toe te staan als je vandaar erbij wilt.

[Patrick80]

Ik had het ook, heel veel meldingen. Inmiddels ben ik erachter dat het op poort 5001 gebeurd. Ik heb deze een dag weggehaald uit de forward lijst. En toen geen meldingen meer. Nu heb ik de forward extern op een andere poort gezet en intern weer naar 5001. Nu krijg ik geen meldingen meer. Maar als je ipblock heb aanstaan en admin account uit. Zullen ze sowieso niet binnen komen.

[Johnmuijtjens]

Hier is het zelfde aan de hand.
Ik heb in de firewall regels aangegeven dat alleen ip adressen van NL kunnen inloggen, en dat werkt goed.
Wel zie ik dat nu alleen ip adressen van NL via Admin en System proberen in te loggen, en daarna op de blocklist komen te staan.

Wat heel erg opvalt is dan indien ik die adressen ga opvragen in shodan.io, dan zie ik dat bij elk ip adres een synology NAS aan het netwerk hangt die bij mij probeert in te loggen. Het is dus net alsof een synology NAS bij een andere synology Nas probeert in te loggen.

Dit kan toeval zijn, maar ik heb nu een stuk of 10 geblockte ip's nagekeken, en op elk adres hangt een synology NAS

[Hutje]

Ik heb al jaren in plaats van de standaard 5000/5001, een andere inlog poort.
Dit heeft geen effect op de inlog pogingen.
Dus of men weet op welke poort mijn NAS hangt, of men probeert eerst een flink aantal poorten en gaat dan aan de slag.
Overigens valt die laatste keuze ook eigenlijk af, omdat ik dan op meerdere NASsen inlog pogingen had moeten zien.

[AKWDSM]

Goedemorgen,

Ook hier bij mijn Nas wordt om de minuut geprobeerd om via gebruikersnaam admin in te loggen, wat niet lukt daar ik de admin account heb uitgeschakeld. Maar de Nas gaat hierdoor niet meer in de slaapstand helaas. Ook geeft het geen veilig gevoel.
Poort 5000 en poort 80 had  ik open staan, om onder andere op een andere locatie videostation te kunnen gebruiken.

Nu in mijn router de poorten 5000 en 80 dicht gezet, en nu is de rust wedergekeerd op de nas.

Wat kan ik nu het beste doen om toch video en audiostation buitenshuis te gebruiken, zonder inlogpogingen van telkens andere ip adressen?

Ik zag de firewall voorbijkomen. Deze staat nog niet ingesteld, hoe kan ik instellen om alleen toegang vanuit Nederland te geven?

[André PE1PQX]

@AKWDSM  gebruik een VPN, dan hoef je maar één poort (OpenVPN -> 1194) open te zetten.

[Briolet]

Wat volgens mij veel beter helpt is het gebruik van reverse-proxys. In de router laat je alleen poort 80/443 door en alleen één specifieke domeinnaam stuur je door naar poort 5000/5001.

Een poortscan ziet dan alleen dat er een webserver actief is. Om op de inlogpagina van DSM te komen moet je 'dsm.mijndomein.nl" gebruiken. Elke andere domeinnaam eindigt op de webserver. Zo'n botnet aanval heeft geen weet van dit soort specifieke domeinnamen. Alleen een echte hacker die zijn doel goed analyseert, zal daar op komen. Maar de echte hackers stoppen niet veel tijd in een simpel nas systeem.

Als alles via poort 80/443 binnenkomt, moet je er wel aan denken om deze poorten expliciet te vermelden in de DS apps.