Attacks sinds beta 4.2 (3161)

[sliefting]

Hallo,

Ik heb sinds ik de beta 4.2 (3161) geinstalleerd heb meer dan honderd ip blocks. Ik probeerde melding te maken via de "Report Bug" knop onderin maar dan krijg ik Gateway errors dus dat lukt niet.

Zijn er meer die hier last van hebben. Heb niets anders ingesteld. Heb nu juist meer poorten dicht gezet. Alle beveilinging instellingen zoals 5 aanvallen in 5 minuten etc. staan aan.

Wie heeft tips voor mij?

[peter.de.groote]

staat deze rechtstreeks op internet aangesloten ? m.a.w. zonder router ertussen ?

Mijn ervaring met mijn test server is dat de Firewall functie van de Beta niet naar behoren werkt, ook al zet je poorten dicht maken ze toch nog verbinding op bv ssh (22)
Ik heb er een Externe firewall tussengezet.

Bovendien de "standaard" items zoals de admin account uitschakelen
en ik heb 1x verkeerd = block
en ja heb mezelf al eens buitengesloten
zet wel je lan ipadressen van je eigen computers in de whitelist!

[sliefting]

staat deze rechtstreeks op internet aangesloten ? m.a.w. zonder router ertussen ?

Mijn ervaring met mijn test server is dat de Firewall functie van de Beta niet naar behoren werkt, ook al zet je poorten dicht maken ze toch nog verbinding op bv ssh (22)
Ik heb er een Externe firewall tussengezet.

Bovendien de "standaard" items zoals de admin account uitschakelen
en ik heb 1x verkeerd = block
en ja heb mezelf al eens buitengesloten
zet wel je lan ipadressen van je eigen computers in de whitelist!

Ik heb er een router tussen en admin staat idd uit. Zal verder moeten zoeken naar oplossingen en wellicht is de final versie veel beter. Bedankt voor je reactie.

[Peter van Heun]

Ik heb ook sinds 4.2 (3202) last van brute force attacks op ssh. Op twee verschillende Synology's nota bene. Eerst de ssh terminal uitgezet maar dat hielp niet. Nu maar de poort dicht gezet. Nu lijkt het afgelopen.

[wastaal]

Ik zit nog op 4.1. Tot gisteren slechts 1x een ip-block. Gisteravond is er echter getracht vanaf 12 verschillende ip-adressen binnen te komen. Raar.

Weet een van jullie overigens hoe ik kan zien op welke poort men probeert binnen te komen? Dat vermeld het log in DSM niet.

[Briolet]

Volgens mij doen jullie er beter aan om eerst de update notes van een nieuw pakket te lezen voor je iets installeert. dan weet je ook of veranderingen bugs of features zijn. In dit geval staat er:

If you enable SSH service and open its port (22) to the Internet, you may notice many attempts to access your DiskStation in System Logs, because SSH connections are now recorded in DSM 4.2. To protect your DiskStation, we suggest configuring Firewall settings to allow only select IP addresses to access your DiskStation via SSH.

Het is dus helemaal niet dat er meer aanvallen op poort 22 zijn, maar DSM laat ze nu gewoon zien.  

Het zou ook vreemd zijn dat dat anderen, zonder te kijken, wisten dat je geupgrade had en daarom die poort 22 gingen proberen.

[Robert Koopman]

En zodra er poorten openstaan heb je gerammel aan die poorten.
Maakt niet eens uit welke poort, "men" scant blijkbaar het hele internet af naar open poorten.

[Peter van Heun]

Volgens mij doen jullie er beter aan om eerst de update notes van een nieuw pakket te lezen voor je iets installeert. dan weet je ook of veranderingen bugs of features zijn. In dit geval staat er:

If you enable SSH service and open its port (22) to the Internet, you may notice many attempts to access your DiskStation in System Logs, because SSH connections are now recorded in DSM 4.2. To protect your DiskStation, we suggest configuring Firewall settings to allow only select IP addresses to access your DiskStation via SSH.

Het is dus helemaal niet dat er meer aanvallen op poort 22 zijn, maar DSM laat ze nu gewoon zien.  

Het zou ook vreemd zijn dat dat anderen, zonder te kijken, wisten dat je geupgrade had en daarom die poort 22 gingen proberen.

Top tip. Bedankt en sorry voor het niet eerst lezen van de update notes.

[Goner]

En zodra er poorten openstaan heb je gerammel aan die poorten.
Maakt niet eens uit welke poort, "men" scant blijkbaar het hele internet af naar open poorten.

Klopt. Maar voornamelijk de standaard poorten. Ik zie het al vanaf dat ik een Syno heb ...

Eenvoudigst is om aan de buitenkant (van je router) niet de standaard poorten als 21, 22, 80 enz. te gebruiken, daar wordt nl. op gescand. Gewoon bijvoorbeeld 5021, 5022, 5080 gebruiken en die forwarden naar de juiste poort ... ik zie nauwelijks nog scans hierdoor.

Ze kunnen moeilijk per IP-adres alle 65535 poorten gaan scannen  
http://en.wikipedia.org/wiki/List_of_TC ... rt_numbers

[Robert Koopman]

Dat is op zich helemaal waar maar zolang je sterke wachtwoorden gebruikt maak ik mij niet zoveel zorgen.
Zonder wachtwoord op een alternatieve poort is veel gevaarlijker  
Het is net het weer, niet voorspelbaar en de ene dag rustig en de andere dag is het weer een topdrukte.

[Briolet]

Eenvoudigst is om aan de buitenkant (van je router) niet de standaard poorten als 21, 22, 80 enz. te gebruiken, daar wordt nl. op gescand.

En de meeste routers hebben ook nog een firewall. Bij mijn Ubee 3200 EVW (ziggo)  zit er ook een poort scan blokkade op. Dus als te veel poorten achter elkaar bekeken worden grijpt hij in. En sinds de update van een paar week geleden zit er ook een feature firewall op. Als ik daar b.v. FTP uit zet, dan blokkeert hij al het FTP verkeer, ongeacht de gebruikte poort. Heeft natuurlijk alleen zin als je zelf nooit FTP gebruikt. Maar een virus dat data middels FTP via een incourante poort probeert te versturen krijgt zijn data dan ook niet weg.