Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Denneke op 27 november 2015, 13:02:42
-
Hoi,
Zojuist zie ik in mijn logs dat er iemand met een ip vanuit Amerika heeft proberen in te loggen via admin DSM. Dit is gelukkig niet gelukt maar heeft wel vragen opgeroepen of mijn beveiliging in orde is en of ik nog dingen kan verbeteren?
Hoe hij achter mijn installatie is gekomen is me een raadsel.
-
Sterke wachtwoorden gebruiken.
NAS aan het internet is altijd gerammel aan de poorten.
Automatisch blokkeren ook aanzetten al komen ze dan weer van een ander ip adres.
Maar die komt dan ook in de blokkade.
-
En geen standaard poorten gebruiken.
Ik heb bijv. de standaard 5000 poort veranderd en sinds één jaar nu 0 inlog pogingen gehad.
Of je zet een VPN op
-
En zeker geen admin account gebruiken. Maak een eigen account aan met admin rechten en zet admin zelf uit.
Dan moeten ze eerst de naam van het account zien te raden. En zelf al vinden ze een geldig account, dan nog weten ze niet of ze heel veel moeite gaan stoppen in het kraken om er vervolgens achter te komen dat het een standaard user account betreft. Dit soort accounts ontmoedigt de pogingen.
-
En persoonlijk vindt ik dat je de DSM interface nooit of te nimmer rechtstreeks op het internet toegankelijk moet maken. Als je per se op afstand in DSM wilt komen, doe dat dan via een VPN verbinding.
-
Hoe hij achter mijn installatie is gekomen is me een raadsel.
Daar hebben hackers gewoon programma's voor die het internet (Ip's) afzoeken en kijken of er via (standaard) poorten binnen kunnen komen.
-
Op shodan (https://www.shodan.io/search?query=synology) zijn er genoeg te vinden.
Hier (https://en.wikipedia.org/wiki/Shodan_(website)) is meer info te vinden.
The website began as Matherly's pet project, based on the fact that large numbers of devices and computer systems are connected to the Internet. Shodan users are able to find systems including traffic lights, security cameras, home heating systems as well as control systems for water parks, gas stations, water plants, power grids, nuclear power plants and particle-accelerating cyclotrons;[citation needed] most have little security.[4][5] Many devices use "admin" as their user name and "1234" as their password, and the only software required to connect them is a web browser
-
:o
-
Op shodan (https://www.shodan.io/search?query=synology) zijn er genoeg te vinden.
Ik zag shodan bijna dagelijks voorbij komen vanaf een groot aantal IP adressen. Een aantal IP's heb ik in de firewall geblokt, maar het is ondoenlijk dit steeds in de gaten te houden. Shodan probeert zelf niet in te breken, maar brengt alleen in kaart wat er is.
DarkStat laat dit mooi zien:
[attachimg=1]
Daar hebben ze o.a. twee mail poorten getest. Gelukkig is shodan wel zo netjes om hun echte naam te laten zien bij zo'n scan. Maar met darkstat zie je dagelijks tientallen scans voorbij komen van allerlei organisaties.
-
Daar heb ik eigenlijk nooit last van maar draai dan ook niets openbaar.
Slechts één ongebruikelijke poort en als ik op vakantie ben drie.
-
En als je al toegang "openbaar" tot aan je NAS toelaat, beperk die toegang dan tot een beperkte regio.
Alleen Nederland of die landen waar je op vakantie bent. Hack-pogingen komen vooral vanuit "Verweggistan", eigenlijk zelden vanuit de regio, omdat men een hacker dan vrij gemakkelijk juridisch kan aanpakken.