SSH: in logboek heel veel meldingen inzake mislukte inlogpogingen

[bussie]

Hoi,

sinds gisteren stroomt het logboek bij mij aardig vol inzake failed logins inzake SSH.

In configuratiescherm / Terminal en SNMP staat bij terminal SSH-service inschakelen NIET aangevinkt (TELNET en SNMP staan ook NIET aangevinkt).

Mag ik er vanuit gaan dat dit voldoende is zodat men niet weet in te loggen?

Kan ik iets verder ondernemen om deze vele meldingen te voorkomen?

[DSGebruiker]

Straf, inlogpogingen en geen SSH service actief.
Heb je dingen als SFTP/SCP actief staan dan ?? (die gebruiken ook onderliggend SSH)

Eventueel eens met terminal inloggen en een "netstat -n |grep LISTEN |grep ssh" om te zien wat er staat te luisteren qua services ? Wie weet is de DSM GUI niet consistent met de realiteit (wat me zou verbazen)

Vb ik weet dat ik SSH actief heb staan dus inderdaad die services staat te luisteren zowel IPv4 als IPv6

tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN     
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN   

[Briolet]

Ik weet niet of dat netstat gaat werken en waarom jij een listen ziet. Bij een "netstat -n" commando krijg ik niets waar 'ssh' in staat en ook niets waar "LISTEN" in staat. De enige response krijg ik met:

Code: [Selecteer]

~$ netstat -n |grep :22
tcp        0      0 10.0.1.30:22            10.0.1.20:56054         ESTABLISHEDEn dat is de terminal inlog vanuit mijn PC naar de nas.

Terug naar de vele inlog pogingen: Dat is gewoon normaal als je poort 22 open zet naar het internet. En dit is de laatste poort die je open wilt hebben. Laat hem dicht in de router of specificeer in de firewall alleen specifieke IP's die mogen verbinden.

[DSGebruiker]

Oeps  ... "netstat -a |grep LISTEN |grep ssh" bedoel ik

[Briolet]

Yep, dat geeft bij mij hetzelfde als wat jij toont.

[bussie]

Bedankt voor alle reacties.

Ik heb inderdaad SFTP/SCP actief staan.

Echter NIET met de standaard poort 22 (omdat ik daar in het verleden heel veel meldingen op kreeg) maar op een poort verder in de 7000 range. Dit leverde tot gisteren (gedurende ruim een jaar) niet of nauwelijks meldingen op in het logboek.

Nu dus opeens heel veel meldingen, d.w.z. 3 a 4 per uur die automatisch geblokkeerd worden o.b.v. ingerichtte blokkeringsregel.
Ik zie echter ook dat soms enkele uren achter elkaar er geen enkele melding verschijnt in het logboek.

Ik dit een toevalstreffer dat opeens wat "fijne" personen met SFTP-server vinden of kan hier wat anders spelen?

Oplossing poort maar aanpassen en afwachten hoe het dan gaat in de toekomst?

[Birdy]

Ze zoeken, natuurlijk geautomatiseerd, alle poorten af, totdat ze een response krijgen.
Waarom niet alles dicht en VPN gebruiken.

[DSGebruiker]

Gaat in principe hetzelfde effect kunnen hebben. Ik kan vb 1000/uur proberen in te loggen op de VPN.
Tenzij de Synology VPN-gebruikers hun IP's op een "banlijst" kan zetten na vb 3 inlog-pogingen ?

@bussie_it_NAS , geen optie om SCP/SFTP toegang te beperken tot vb BE/NL ? Heb je dan veel internationale bezoekers ? Met dit soort acties heb je al 99% minders kan op dit soort fratsen.

[DSGebruiker]

Je kan precies toch deze users blokkeren (door hun IP op de "banlijst" te zetten)
Deze "autoblok" werkt voor SSH en VPN-server etc.
Ook deze optie gaat het gevaar van "brute force" ineens met 99.99% doen dalen.

https://www.synology.com/en-global/knowledgebase/SRM/help/SRM/NetworkCenter/security_autoblock

[Birdy]

Gaat in principe hetzelfde effect kunnen hebben. Ik kan vb 1000/uur proberen in te loggen op de VPN.

Dat wordt dan wel heeeeel moeilijk, je moet n.l., als je b.v. OpenVPN gebruikt, een certificaat hebben (kort gezegd), het certificaat maakt deel uit van het te exporteren (NAS/Router) blabla.opvn file en deze moet je dan weer importeren op een PC of Phone.

[DSGebruiker]

Ah OK, dat soort VPN. Ik dacht eerder aan gewoon een VPN-sessie met username/password die je willekeurig vanaf elke PC waar dan ook dan starten zonder eerst met OVPN-profielen & certs aan de slag te gaan.

Als het bepaalde gekende vaste/gekende PC's / devices zijn die toegang moeten hebben kan je inderdaad iets met certificaten doen.

[bussie]

@bussie_it_NAS , geen optie om SCP/SFTP toegang te beperken tot vb BE/NL ? Heb je dan veel internationale bezoekers ? Met dit soort acties heb je al 99% minders kan op dit soort fratsen.

Ik kan inderdaad beperken tot enkele landen, te weten Nederland / Duitsland en de VS.

Zie in de blokkeringslijst erg vaak China / Rusland staan, maar ook de VS toch wel regelmatig.

Is het qua inrichting een kwestie van de IP-ranges van landen (https://lite.ip2location.com/ip-address-ranges-by-country) die toegestaan / geblokkeerd moeten worden files bij eerder genoemde site te downloaden en bij lijst toestaan / blokkeringslijst te kiezen voor IP-adressenlijst  importeren?
Bij lijst toestaan heb ik trouwens al alle eigen interne apparaten staan die bij de NAS moeten kunnen.

Kan handiger / sneller?  Of moet dit op een andere manier ingeregeld worden?

[DSGebruiker]

Mischien gewoon beter de "autoblock" doen zodat je na vb 2 of 3 inlog-pogingen op de blacklist gaat ?
Ik gebruikt zelf niets van deze services op de Synology dus heb geen praktische ervaring hiermee.

[Birdy]

3 pogingen in 10 min.

[bussie]

Mischien gewoon beter de "autoblock" doen zodat je na vb 2 of 3 inlog-pogingen op de blacklist gaat ?
Ik gebruikt zelf niets van deze services op de Synology dus heb geen praktische ervaring hiermee.

Zoals je in eerdere reactie van mij kan lezen heb ik autoblock ingeregeld staan.