Synology-Forum.nl
Hardware ondersteuning => Netwerk algemeen => Topic gestart door: pacecal op 16 mei 2023, 17:21:59
-
Ik krijg geregeld meldingen zoals deze:
user [admin] from [ip] failed to sign in to [dsm] via [password] due to authorization failure.
Ik ben inmiddels zover dat dit geminimaliseerd is door alleen verkeer uit mijn eigen land toe te laten, ik heb dan ook de volgende regels in mijn firewall staan:
- Alles toestaan - range lokale ip adressen
- Alles toestaan - statisch ip adres werk en huis
- Alles toestaan - poort xxxx (aangepaste https poort) - Nederland
- Alles weigeren
Wanneer ik de 3e regel verwijder heb ik nergens meer last van! Alleen dan werken mijn WordPress websites niet meer buiten mijn werk en huis.
Mijn WordPress websites zijn als volgt geconfigureerd. Via mijn provider (DNS) laat ik het domein doorverwijzen naar mijn Synology. Hiervoor is een portforwarding ingesteld in mijn router 443 (public) naar xxxx (private). Vervolgens handelt een Virtuele Host de aanvraag af.
Welke aanpassing moet ik doen in mijn firewall configuraties zodat mijn websites wel blijven werken en alle andere aanvragen geblocked worden?
-
Ik denk dat je in regel 3 ook het pakket kunt selecteren wat je alleen wil doorlaten, dus bijv alleen webstation-activiteiten.
Lijkt erop dat je nu alle packages via die aangepaste poort 443 binnenlaat.
-
Lijkt me inderdaad wel belangrijk specifiek de pakketten te selecteren voor toelating.
Maar er is de afgelopen tijd meer aan de hand wat mogelijk bij meerdere NAS gebruikers speelt?? Zie volgende reactie:
https://www.synology-forum.nl/firmware-algemeen/admin-aanmeldingen-vanaf-random-ip-s/msg320722/#msg320722
Dat sluit ook aan met de voorgaande melding in de eerste post:
user [admin] from [ip] failed to sign in to [dsm] via [password] due to authorization failure.
-
Dank voor jullie reacties!
Uiteraard heb ik de standaard [admin] uit staan en tweestapsverificatie aan! Ik zal het onderstaande toevoegen aan mijn router:
- ICMP in de router uit te schakelen.
Zodat "ping requests" niet worden beantwoord. (Men blijft op die wijze het meest "anoniem" als internetconnectie).
- In de router alternatieve DNS-servers in te stellen die filtert op mogelijke malware.
Cloudflare DNS server IP adressen 1.0.0.2 en 1.1.1.2
(Nog strengere "adult" filtering 1.0.0.3 en 1.1.1.3 ).
Daarnaast heb ik vanaf heden regel 3 gewijzigd in:
Alles toestaan - VirtualHost - Nederland
-
Zou ook de tijdsperiode van het maximaal aantal blokkeringen dat deze weer wordt vrij gegeven, hoger zetten.
(Standaard 5 minuten ---> naar bijv. 1440 minuten = 1 dag).
-
onbetrouwbare clients instellingen:
aanmeldingen: 1
binnen (minuten): 1
beveiliging annuleren: 999 minuten
Ik kan niet hoger dan 999 minuten opgeven. Kan ik onbetrouwbare clients standaard blokken?
Vandaag helaas toch weer 4 aanmeldpogingen...
Ik moet nog mijn router configureren...
-
Dat je toch weer 4 aanmeldpogingen hebt gehad, komt omdat je wellicht "beslist" de verkeerde instellingen hebt gebruikt?
Of helemaal bij het verkeerde menu met instellingen aan de gang bent gegaan?
Je laat geen plaatje zien van je instellingen, maar afgaande op je beschrijving denk ik dat je het volgende hebt vastgelegd.
- Aanmeldingen: 1 Dat is wel heel karig.
Daarmee gun je jezelf (of gezinslid) geen mogelijkheid om een vergissing te maken. - Binnen (minuten): 1 = na één minuut kan een volgende poging worden ingezet. Dus eigenlijk "onbeperkt".
Als de volgende inlogpoging maar niet binnen dezelfde minuut wordt gedaan. - Beveiliging annuleren: 999 Dat is niet minuten, maar aantal dagen (= 95 dagen minder dan 3 jaar).
Die laatste instelling (om te annuleren / de-blokkeren) heb ikzelf helemaal niet ingesteld.
(Zo nu en dan eigenhandige controle. Mochten er enkele IP-adressen staan, kan ik er alsnog voor kiezen ze te verwijderen).
De instellingen hier met DSM 6
[attach=1]
De instellingen hier met DSM 7
[attach=2]
-
@pacecal zit in Configuratiescherm > Beveiliging > onbetrouwbare clients instellingen:
aanmeldingen: 1
binnen (minuten): 1
beveiliging annuleren: 999 minuten
Ik kan niet hoger dan 999 minuten opgeven.
Beveiliging annuleren: 999 Dat is niet minuten, maar aantal dagen (= 95 dagen minder dan 3 jaar).
[attach=1]
-
Omdat geen plaatjes werden getoond hield ik die mogelijkheid van een ander menu daarom ook open.
Of helemaal bij het verkeerde menu met instellingen aan de gang bent gegaan?
Zou in ieder geval gewoon "ouderwets" aan de gang gaan, in de menu's zoals voorgesteld bij mijn afbeeldingen (https://www.synology-forum.nl/netwerk-algemeen/firewall-instellingen-t-b-v-van-wordpress/msg321441/#msg321441).
Die leveren bij mij (en ook bij kennissen waar ik eerder naar refereerde (https://www.synology-forum.nl/firmware-algemeen/admin-aanmeldingen-vanaf-random-ip-s/msg320722/#msg320722)), de juiste uitwerking.
Om verdere verwarring te voorkomen, zal ik die reactie waar ik naar refereer, - waar ik eerder ook alleen een beschrijving had gegeven,
aanvullen met dezelfde plaatjes.
-
Nou, ik had gelezen:
onbetrouwbare clients instellingen
Daar had ik geen plaatje voor nodig om het te begrijpen. ;)
-
Helaas toch weer druppelgewijs attacks.
Ik krijg dit niet wanneer ik de
- De https port forward verwijder: 443 > xxxx in mijn router
Of
- VirtualHost verwijder in mijn firewall NAS
In beiden gevallen werken mijn websites (VirtualHost) ook niet meer
Ik heb de instellingen in mijn router niet kunnen wijzigen omdat ik niet de juiste optie zie in mijn configuratie.
Welke opties heb ik nog over?
-
Maar als het goed is, komen teveel ongeoorloofde login pogingen nu wel terecht in de blokkeringslijst.
Je hebt dus een webserver draaien. Is die breder beschikbaar dan alleen voor Nederland?
Welke services heb je nog meer open die je van buiten (vanuit Nederland) wilt benaderen?
-
Wat ik graag zou willen is dat ze überhaupt geen pogingen meer kunnen doen.
Ze komen niet in mijn blokkeringlijst i.v.m. de volgende instellingen:
---
Config | Beveiliging | Account
[V] Account beveiliging inschakelen
Onberouwbare clients
Aanmeldpogingen: 1
Binnen (minuten): 1
Accountbeveiliging annuleren (minuten later): 999
Config | Beveiliging | Beveiliging
[V] Automatisch blokkeren
Aanmeldpogingen: 3
Binnen (minuten): 1
---
Inlogpogingen van onberouwbare clients worden dus gelijk onderschept (accountbeveiliging wordt geactiveerd)
Zoals aangeven is de boosdoener de VirtualHost poort xxxx. Wanneer ik dit uitschakel in mijn router of firewall van de NAS zijn er geen aanmeldingen.
Een optie is om dit zowel in mijn router en firewall van NAS uit te schakelen. De vraag is dan hoe ik via mijn provider een domein kan doorwijzen (DNS) naar mijn Synology? Je kan namelijk geen poort opgeven alleen een statisch ip adres.
-
Wat ik graag zou willen is dat ze überhaupt geen pogingen meer kunnen doen.
Volgens mij heeft de inlogpagina van WordPress een eigen pad. Het lijkt me dat je via een .htaccess file een uitzondering kunt instellen dat die pagina alleen via een lokaal adres te benaderen is. Of nog mooier in de html code van wordpress zelf, want dit lijkt me een belangrijke veiligheidsfeature. Maar ik heb geen idee of je dit kunt instellen, want wordpress wordt altijd bekritiseerd om zijn slechte beveiliging.
-
Ik heb ontdekt dat mijn aangepaste DSM https poort overeenkomt met die van de VirtuelHost. Ik denk dat ik hiermee het probleem tackle.
-
Wat ik graag zou willen is dat ze überhaupt geen pogingen meer kunnen doen.
Ze komen niet in mijn blokkeringslijst i.v.m. de volgende instellingen:
Met wat je wilt bereiken en de instellingen die je vastlegt, is daarmee juist met elkaar in contradictie.
Je zou instellingen juist zodanig moeten vastleggen dat je:
Ofwel zo incognito mogelijk bent - dat je überhaupt niet gevonden kunt worden. Of althans de kans erop verkleint.
(ICMP uitschakelen in de router - géén standaard poorten voor services inzetten - regio filtering voor services die wel benadert moeten worden).
Of... als je dan toch gevonden wordt:
onbetrouwbare clients juist WEL in die blokkeringslijst komen.
Want daarmee zijn volgende pogingen vanuit diezelfde bron daarmee "afgeblokt" bij toekomstige pogingen vanuit die bron.
Config | Beveiliging | Account
[V] Account beveiliging inschakelen
Onbetrouwbare clients
Aanmeldpogingen: 1
Binnen (minuten): 1
Accountbeveiliging annuleren (minuten later): 999
Ook voor dit menu m.b.t. beveiliging van accounts zelf. (Eerder (https://www.synology-forum.nl/netwerk-algemeen/firewall-instellingen-t-b-v-van-wordpress/msg321441/#msg321441) gaf ik beschrijving voor de algemene beveiliging).
Is het nu zodanig ingesteld dat er met één poging, na 1 minuut weer een volgende poging gedaan kan worden.
Hackers gebruiken reeds algoritmen dat men één keer per 8 minuten probeert in te loggen.
Dus deze instelling help daar niets aan om continue pogingen daarmee te blokkeren.
Je hebt dan wel specifiek deze account beveiliging ingesteld. Maar dat is slechts de helft aan instellingen bij dat menu.
Verder naar beneden heb je instellingen om aanvullende instellingen af te stemmen voor WEL betrouwbare Clients.
Ofwel voor gebruikers (met de juist opgegeven gebruiksaccount en gekoppeld aan mogelijk "meest waarschijnlijke" IP adressen ??),
die je zodanig instelt dat als die "bekende" gebruiker een vergissing maakt, het opheffen van een mogelijke blokkade,
slechts een beperkte tijd geldig is.
Dan het stuk als algemene beveiliging:
Config | Beveiliging | Beveiliging
[V] Automatisch blokkeren
Aanmeldpogingen: 3
Binnen (minuten): 1
Dat stuk is juist uitvoerig aangehaald in de eerdere reactie (https://www.synology-forum.nl/netwerk-algemeen/firewall-instellingen-t-b-v-van-wordpress/msg321441/#msg321441) (voor DSM 6 en DSM 7).
Instellingen voor de tijd juist heel lang nemen, en niet op 1 minuut.
Met de instellingen die je hebt vastgelegd worden ze juist NIET onderschept.
(Hackers gebruiken algoritmen om één keer in 8 minuten proberen in te loggen).
De vraag is dan hoe ik via mijn provider een domein kan doorwijzen (DNS) naar mijn Synology? Je kan namelijk geen poort opgeven alleen een statisch ip adres.
Dan stel je bij je provider waar je een domein hebt geregistreerd daar dan toch dat WAN IP adres in?
Hoewel internet aansluitingen voor "consumenten" officieel een dynamisch IP adres van hun provider krijgen toegewezen,
is de praktijk al verscheidene jaren, dat je gewoon voor hele lange tijd een "vast" IP adres krijgt toegewezen.
Sporadisch bij systeem upgrades en aanpassingen in de netwerk infrastructuur, krijg je mogelijk een ander IP adres.
Die wisselingen zijn echter zodanig weinig, dat men in de praktijk daar prima op kan inspelen als zijnde "vast IP-adres".
(Heb zelf al verschillende jaren hetzelfde WAN IP-adres).