Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: erik6 op 17 april 2015, 12:24:44
-
Recente Logboeken:
Staat vol met geblokkeerde Ip adressen oorsprong CHINA !
IP LOCATIE (http://ipaddress.is/58.218.199.195)
Moet ik mij zorgen maken ?
-
Wat is vol? Er komen wekelijks dit soort dingen bij mij binnen :)
-
Zolang ze geblokt worden niet :lol:
Je kan de firewall instellen dat je China bij voorbaat blokt.
Ik zie ze toch nog regelmatig langskomen, en gericht ook.
Na een blok de laatste 3 cijfers van het ip adres wijzigen, tot de 255 mogelijkheden op zijn 8)
-
Ok,
Ik had daar eigenlijk nog nooit op gelet.
Laatst een veiligheids test gedaan. Zo ben ik erop gekomen dat je landen kunt blokkeren.
Voordien stond dat dus niet aan. Vandaar dat de meldingen er ook niet waren. :lol:
Met al de Chinezen, maar niet met den dezen !
-
Voordien stond dat dus niet aan. Vandaar dat de meldingen er ook niet waren. :lol:
Het is juist andersom, juist zonder blokkade van landen krijg je mogelijke meldingen dat iemand probeert in te loggen.
Je mag blij zijn dat je de instelling dan nog geactiveerd hebt om bijv. na 3 of 5 verkeerde inlogpogingen, het IP te blokkeren.
Daar krijg je dan een melding over.
Met blokkeren van landen, komt iemand vanuit China niet eens bij het inlogscherm om een inlogpoging te kunnen doen.
Vandaar dat 3 of 5 verkeerde inlogpogingen met die instelling niet eens van toepassing zijn, en een melding ervan dan ook niet voorkomt.
Heb je nu juist meldingen sinds het blokkewren van landen, denk ik dat je de Firewall regels verkeerd hebt ingesteld. Juist open gezet !!!
Met betrekking tot aanmaken Firewall regels zie < DEZE REACTIE > (http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496)
-
grappig, ik krijg nooit deze inlog aanvallen.
In de 2 jaar dat het aan staan heb ik al 3 geblokte adressen
Kan komen dat ik poort 5000/5001 niet gebruik maar een andere poort die omgezet wordt naar 5000/5001 ;D
-
Volgens heeft het niets te maken welke poort je gebruikt, met een scan gaan ze toch alle poorten af.
Denk het meer te maken heeft met je firewall regels dat je weinig meldingen hebt.
Mijn nas draait ook al 1,5 jaar, en nog nooit geen melding gehad.
Nadat ik mailserver + mail station had aangezet, kreeg ik in 5 maanden tijd 2 'foute' inlog pogingen uit Nederland.
-
Denk het meer te maken heeft met je firewall regels dat je weinig meldingen hebt.
Mijn nas draait ook al 1,5 jaar, en nog nooit geen melding gehad.
Nadat ik mailserver + mail station had aangezet, kreeg ik in 5 maanden tijd 2 'foute' inlog pogingen uit Nederland.
en blokkeer jij in je firewall landen?
Zo ja; toch niet gekoppeld aan mailserver? Of wel?
-
als je je machine aan Internet hangt ben je binnen het eerste half uur al gescand. Had een oude dsm draaien en op basis daarvan weet ik dat binnen 1a2 weken de eerste misbruik pogingen een feit zijn.
-
en blokkeer jij in je firewall landen?
Zo ja; toch niet gekoppeld aan mailserver? Of wel?
Vraag 1 : Ja
Vraag 2 : Nee dat kan volgens mij niet, maar dat hoeft voor mij ook niet.
-
Ik blokkeer wel wat landen maar mijn eerste regel in de firewall laat wel alles door voor mailverkeer.
Ik had dit eerst niet en blokkeerde als test ook Oostenrijk.
Ik wist niet dat de mailserver van UPC in Oostenrijk stond, niemand met een UPC mailadres in Nederland kon mij nog mailen 8)
En dat merk je niet meteen.
-
Deze morgen :
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Ferikgodderis.smugmug.com%2Fphotos%2Fi-CPRmqFB%2F0%2FO%2Fi-CPRmqFB.jpg&hash=75f6618e9d3aa0ca068405c2cca5fd84aabe8237)
Ik werk eigenlijk nog niet via HTTPS,
Dat zal ongetwijfeld ook de veiligheid ten goede komen.
-
Wat je ook doet, "gerammel" aan de poorten zul je houden.
-
Ik blokkeer wel wat landen maar mijn eerste regel in de firewall laat wel alles door voor mailverkeer.
In elk geval moet je al het smtp verkeer doorlaten zodat je mail kunt ontvangen van overal vandaan. Je weet idd niet waar de andere mailserver staat. b.v. gmail komt waarschijnlijk van een amerikaanse server, maar ze kunnen ook een server in Spanje zetten om Europa te bedienen. En wat dacht je van bedrijfsmail van internationale bedrijven. Dan kan een simpel mailtje van en Nederlands bedrijf, gewoon via de bedrijfsserver in Braziliƫ verstuurd worden. Je weet het niet, dus kun je geen landenblokkade op smtp verkeer zetten.
En daarom is de mailserver het enige programma waar ik regelmatig inbraakpogingen zie. Soms zie je maar 1 poging per dag, die dan door de blokkade heen slipt als je iets van 5 pogingen per dag toelaat. Het viel me eens in het maillog op dat een bepaald IP adres al maanden bezig was met 1 poging per dag. Anderzijds kost het miljarden jaren om binnen te komen met zo weinig pogingen per dag, dus daar hoef je je ook geen zorgen over te maken.
-
Wat je ook doet, "gerammel" aan de poorten zul je houden.
Ik zal mij hond naast mijn NAS zetten ! :lol:
Het is goed om er eens over na te denken en de beveiliging te verbeteren, maar dat ze zulle rammelen aan de poorten, dat is een feit.
-
Dat "rammelen aan de poorten" is hier sinds het strakker instellen van de Firewall regels vanaf augustus vorig jaar niet meer voorgekomen.
Moet ik er wel bijzeggen dat de NAS niet als mailserver wordt gebruikt.
-
Ik heb mijn nas nu een jaartje draaien en ik kreeg gisteravond voor het eerst een melding van een geblokte inlog poging. Het gekke is dat als ik het ip opzoek dat ik bij Synology uitkom (62.67.209.109).
Zie https://rateip.com/ipv4/62.67.209.109
Kun je ergens in een log zien met welke user en wachtwoord men heeft geprobeerd in te loggen?
-
Ik gebruik de DS firewall niet.
Ik heb een Apple Airport Extreme (en 2 x Express) aan mijn ziggo modem hangen.
6 poorten geforward (VPN (L2TP en PTPP), web, WOL, domoticz zijn standaard gehouden en poort 5000, plex zijn aangepast)
Blokkering staat op 2 pogingen binnen 10 minuten.
Wel had ik in het begin poort 5000 standaard gehouden, dat hield in 648 pogingen per dag.
Daarna 5001, toen werd het 'slechts' 248 pogingen ondernomen.
Nu gebruik ik een andere en vanaf dat moment 'null'.
-
Kun je ergens in een log zien met welke user en wachtwoord men heeft geprobeerd in te loggen?
Is per pakket verschillend. Bij een ftp inlogpoging zie je de user in het gewone log. Bij een mailserver zie je niets in het log. Mailserver heeft echter een eigen log, die je alleen met de terminal/putty kunt uitlezen#. Daar vind je ook alleen de usernames.
Volgens mij is het slordig om wachtwoorden in een log te zetten omdat je dan ook van legale gebruikers de wachtwoorden kunt onderscheppen. ;)
# of je maakt een hardlink naar een share en kunt het daar met een gewone tekstverwerker of log-reader uitlezen.
-
Ik zie inderdaad in de log dat het geprobeerd is met user admin. Die heb ik gelukkig altijd al disabled. Blijft toch vreemd dat een Synology IP als admin wil inloggen.
-
Deze laten wat anders zien:
http://ipaddress.is/62.67.209.109
http://www.lookup-ip-address.info/ip-address-range/62.67.209
-
Het domein is wel van synology, maar het subdomein 'der2' zit inderdaad in Londen. Omdat alleen Synology dit subdomein kan instellen, moet het toch ergens legaal zijn.
De eigenaar van dat IP is echter: Synology GmbH, dus een Duitse firma volgens http://myip.ms/info/whois/62.67.209.109
-
Ik gebruik een l2tp VPN en heb sindsdien geen chinezen aan poorten zien rammelen.