Auteur Topic: IP adressen geblokkeerd, aanval van buiten  (gelezen 4871 keer)

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 118
  • Berichten: 753
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #15 Gepost op: 05 februari 2021, 17:42:38 »
Ik heb ongeveer altijd zo'n 600-700 IP's die op m'n "Port Scanners" filter gezet worden omdat ze een actie gedaan hebben in die aard (vb binnen zoveel tijd een aantal probings doen etc,etc)
Puur uit interesse laat ik al die logs vanuit m'n firewall in m'n Splunk platform stromen om daar oa mooie grafiekjes van te maken. Gewoon omdat ik daar professioneel ook wel eens mee bezig ben.
In theorie kan je zeggen : waarom zet je die allemaal op een lijst die je telkens moet processen ipv gewoon te droppen etc,etc,etc. Ach ja, gewoon een hobby hé  8)


Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #16 Gepost op: 05 februari 2021, 19:14:36 »
Ik heb een Asus router, maar er zullen zeker wel raakvlakken zijn.

Nee, je snapt het niet goed.
De firewall van zowel een Synology router als van een Synology NAS zijn sterk aan elkaar gerelateerd.
De producten komen uit dezelfde stal.  Een Synology NAS was er al eerder dan hun router.
(De firewall van de router is nota-benen geïnspireerd op die van de NAS).

Je hebt een Synology NAS.  Ofwel "andersom" de aanwijzingen die in dat onderwerp zijn gegeven voor een Synology router
zijn in grote mate ook toepasbaar op de firewall van de Synology NAS.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.357
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #17 Gepost op: 05 februari 2021, 19:30:46 »
Ik heb in mijn NAS firewall alle landen geblokkeerd behalve NLD, BE ,DE en de USA (voor de Let's Encrypt certificaat). Nog geen vervelende  pogingen gezien van inbraak.

Waarom NLD, BE en DE wel toegang? Omdat ik heel af-en-toe daar wel eens kom, en ga ik ergens naartoe op vakantie (Gran Canaria bijvoorbeeld) dan zet ik tijdelijk ook Spanje in dat lijstje.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #18 Gepost op: 06 februari 2021, 06:47:33 »
Sommigen zijn echter heel hardnekkig als ze geblocked zijn. De volgende heeft zeker 10.000 pogingen gedaan bij de mailserver:

Als je op het IP-adres zoekt is het kennelijk geen onbekend adres.  Een kleine 6000 klachten.
https://www.abuseipdb.com/check/87.246.7.226

Als je nog naar wat "whois" sites zoekt komen er eigenlijk twee verschillende herkomsten naar boven.
Verenigd Koninkrijk en Bulgarije.  Ben dan eerder geneigd te denken dat die hackpogingen uit Bulgarije komen?

Meer uitvoerige info:
https://anti-hacker-alliance.com/index.php?ip=87.246.7.226

Met o.a.         95 bad neighbor IPs are known!

Verder naar onderen bij commentaren:    (5 days ago) x said:
                      this scumbag is trying to link my email account to another one

Als je voor je mail-server mogelijk toch "Bulgarije" in de firewall erbij zet. Stopt het misschien?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #19 Gepost op: 06 februari 2021, 08:07:21 »
@Briolet : Ik heb geen mailserver, maar is er een algemene logfile waar ik kan zien of ze het (ondanks dat ze geblokkeerd zijn) het toch elke minuut blijven proberen ?

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #20 Gepost op: 06 februari 2021, 08:14:45 »
Je NAS heeft een "Log Center".  Pogingen (fails) staan daar in als het goed is.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.549
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #21 Gepost op: 06 februari 2021, 09:38:31 »
Als je nog naar wat "whois" sites zoekt komen er eigenlijk twee verschillende herkomsten naar boven.
Verenigd Koninkrijk en Bulgarije.  Ben dan eerder geneigd te denken dat die hackpogingen uit Bulgarije komen?…

Als je voor je mail-server mogelijk toch "Bulgarije" in de firewall erbij zet. Stopt het misschien?

Als je zelf in de terminal een 'whois 87.246.7.226' doet, krijg je alleen een locatie in Londen terug met een Russich abuse email adres. De blokkeringsljst van de nas noemt het inderdaad Bulgaars. Ik wil bij de smtp poort niet te gereniek blokkeren. Niet dat ik mail uit Bulgarije verwacht, maar ook reguliere mail kan soms via omwegen binnen komen. Ik heb nu alleen het blok wat whois aangeeft in de firewall gezet.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.549
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #22 Gepost op: 06 februari 2021, 09:55:17 »
@Briolet : Ik heb geen mailserver, maar is er een algemene logfile waar ik kan zien of ze het (ondanks dat ze geblokkeerd zijn) het toch elke minuut blijven proberen ?

Volgens mij niet. De gewone logfile registreert alleen het inloggen als er ook accountgegevens ingevuld worden. Zover komen ze niet als ze geblokkeerd zijn.
Mailserver logt iets agressiever door al de eerste connect te loggen. Hij ziet dan via de blocklist dat dit IP geen toegang heeft en verbreekt de verbinding weer.

Als je het IP blockt via de firewall, komt er ook geen connectie tot stand. Maar zelfs dat is te loggen via darkstat. Want als een IP door de firewall geblokkeerd is, komen er wel pakketjes binnen, hij reageert er alleen niet op. Van dit specifieke IP komen nu allleen blokjes van 60 bytes binnen. Darkstat onthoud echter alleen het tijdstip van het laatste contact met dat IP.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Jerengina

  • Bedankjes
  • -Gegeven: 24
  • -Ontvangen: 7
  • Berichten: 62
IP adressen geblokkeerd, aanval van buiten
« Reactie #23 Gepost op: 06 februari 2021, 11:58:25 »
Zie: Geblokkeerde IP adressen

Aan de moderatoren: bestaat er een mogelijkheid dat op dit forum samengewerkt kan worden om alle geblokkeerde IP-adressen te bundelen?
  • Mijn Synology: DS920+
  • HDD's: 2x WD4EFRX
  • Extra's: 20GB

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #24 Gepost op: 07 februari 2021, 09:56:38 »
@Briolet en @Babylonia
Thanks voor jullie info.

Ik zie nu ook op deze manier met welke user ze het proberen.
Die zie ik normaliter niet als ik een mail krijg dat het geblokkeerd is.
weer wat geleerd.  :clap:

Zie ook in de bijlage, waarin de voor mij onbekende users staan.
(ps. de bovenste regel/user is van mezelf...)

Offline Clan1511

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 61
  • -Ontvangen: 41
  • Berichten: 340
  • Hoe stiller je bent, hoe meer je hoort.
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #25 Gepost op: 07 februari 2021, 13:01:08 »
Ik heb in mijn NAS firewall alle landen geblokkeerd behalve NLD, BE ,DE en de USA (voor de Let's Encrypt certificaat). Nog geen vervelende  pogingen gezien van inbraak.


Ik heb geprobeerd in het configuratiescherm/firewall te vinden waar ik de landen kan blokkeren, maar ik zie het nergens.

Zou het mogelijk zijn dit met een screenshot te laten zien?

Bij voorbaat dank,

M.vr.gr.
Synology DS415+ I  - 4 x SG Ironwolf 4Tb
Synology DS415+ II - 1 x SG Ironwolf 4Tb en 3 x WD30EZRX 3Tb (BackUp)
Synology DS413j      - 1 x WD 1Tb (Test)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #26 Gepost op: 07 februari 2021, 13:17:16 »
Dat doe je op Locatie:



CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Clan1511

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 61
  • -Ontvangen: 41
  • Berichten: 340
  • Hoe stiller je bent, hoe meer je hoort.
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #27 Gepost op: 07 februari 2021, 13:48:21 »
@Birdy, hartelijk dank voor het duidelijke overzicht en de snelle respons!

Toch nog een vraagje, wat wordt bedoeld met:

Voor systeem gereserveerd, anonieme proxie?

Bedankt maar weer,
M.vr.gr.
Synology DS415+ I  - 4 x SG Ironwolf 4Tb
Synology DS415+ II - 1 x SG Ironwolf 4Tb en 3 x WD30EZRX 3Tb (BackUp)
Synology DS413j      - 1 x WD 1Tb (Test)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #28 Gepost op: 07 februari 2021, 14:07:06 »
Anonieme proxy
Dit type proxyserver identificeert zichzelf als een proxyserver, maar geeft het oorspronkelijke IP-adres van de gebruiker niet door. Anonieme proxyservers bieden een redelijke anonimiteit voor de gebruiker.
Je kunt een anonieme proxyserver dus niet gebruiken om Netflix mee te kijken.
Netflix weet dan dat je een proxy gebruikt en geeft je geen toegang tot de meeste delen van de website.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Jerengina

  • Bedankjes
  • -Gegeven: 24
  • -Ontvangen: 7
  • Berichten: 62
Re: IP adressen geblokkeerd, aanval van buiten
« Reactie #29 Gepost op: 07 februari 2021, 14:31:58 »
Zie: Geblokkeerde IP adressen

Aan de moderatoren: bestaat er een mogelijkheid dat op dit forum samengewerkt kan worden om alle geblokkeerde IP-adressen te bundelen?
@Birdy
Zou jij svp willen reageren op deze vraag?
  • Mijn Synology: DS920+
  • HDD's: 2x WD4EFRX
  • Extra's: 20GB


 

veel ip adres worden geblokkeerd

Gestart door wimBoard Netwerk algemeen

Reacties: 28
Gelezen: 2609
Laatste bericht 17 april 2020, 08:40:56
door Birdy
IP adres geblokkeerd, maar geen IP adres in lijst geblokkeerde IP's

Gestart door SylvesterBoard Synology DSM algemeen

Reacties: 13
Gelezen: 3273
Laatste bericht 30 oktober 2016, 17:47:47
door Sylvester
Bepaalde poster geblokkeerd?

Gestart door rvvBoard Spotweb

Reacties: 13
Gelezen: 5287
Laatste bericht 04 oktober 2018, 21:06:12
door Marzzz
Extern inloggen DS212+ geblokkeerd

Gestart door Bart lBoard NAS hardware vragen

Reacties: 18
Gelezen: 10494
Laatste bericht 16 februari 2013, 15:30:15
door r00n
VPN verbinding buiten LAN

Gestart door tjaBoard VPN Server

Reacties: 16
Gelezen: 5727
Laatste bericht 28 juni 2015, 17:57:48
door tja