Auteur Topic: Ondanks firewall blokkade, toch een poging tot inloggen  (gelezen 4306 keer)

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Ondanks firewall blokkade, toch een poging tot inloggen
« Gepost op: 15 augustus 2019, 10:45:11 »
Ik kreeg vannacht het volgende mailtje:

Beste gebruiker
Het IP-adres [178.128.87.175] heeft 3 mislukte pogingen gedaan om aan te melden bij SSH die wordt uitgevoerd op DS412Plus binnen 9500 minuten, en werd geblokkeerd om Thu Aug 15 01:46:08 2019.

Ik heb echter mijn Firewall op de DSM goed ingesteld dacht ik. (zie bijlage)
Ik gebruik 2FA en de default 'admin' is uitgeschakeld.

Iemand een idee waarom ik ze dan toch krijg. (is overigens de 1e weer sinds maanden)
Het bovengenoemde IP-Adres komt uit Singapore, dus die zou geblokkeerd moeten worden bij de laatste regel in de DSM Firewall

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.174
  • Fijne feestdagen.......
    • Truebase
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #1 Gepost op: 15 augustus 2019, 10:49:05 »
Het aankloppen blijft gewoon gebeuren echter, ze komen niet binnen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #2 Gepost op: 15 augustus 2019, 10:51:22 »
Hmm. ik zou verwachten dat ze eerst langs de DSM firewall moeten (en dat zou met regel 4 niet lukken)
Blijkbaar mogen ze eerst 'connecten', en dan pas worden de DSM firewal regels doorlopen.
Moet ik het zo zien ?

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #3 Gepost op: 15 augustus 2019, 11:16:02 »
Volgorde van Firewall regels is niet juist.  (Firewall regels worden van boven naar beneden afgewerkt).

Je eerste regel weiger je specifiek een bepaald extern IP-bereik voor "alle poorten".
Wat er niet aan voldoet, mag dan dus nog wel allemaal doorgelaten worden "op alle poorten".
            Voor zover ze in de router zijn geport forwarded en bij de NAS aankomen.
            Kennelijk heb je ook SSH poort 22 doorgestuurd, want komt bij de NAS aan.  (Is dat wel handig ??).

Daar kan het IP-adres uit Singapore dan ook onder vallen.  En wordt dan alsnog opgevangen door de andere beveiliging.

Pas daarna ga je restricties maken voor toegang alleen voor Nederland.
Dat heeft dan niet meer zoveel zin.

Volgorde zou moeten zijn:
1. Toegang intern voor je eigen thuis sub-net
2. Toegang extern alleen voor bepaalde services binnen de regio Nederland
3. Nog eens extra beperking op een bepaald IP bereik.
            Waarvan ik dan uitga, dat het een IP-bereik is binnen Nederland.
            (Anders is het helemaal overbodig die regel te gebruiken).
4. Voor de rest alles weigeren.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #4 Gepost op: 15 augustus 2019, 11:58:23 »
Blijkbaar mogen ze eerst 'connecten', en dan pas worden de DSM firewal regels doorlopen?

Nee, met die firewall regels komt er alleen een eerste datapakketje van ca 40 bytes binnen. Op grond van dat datapakketje besluit de firewall vervolgens om er niet op te reageren. (Met darkstat zie je dat b.v. mooi gebeuren).

Ik snap het ook niet met die 4 regels. Als ik dat IP in de blokkeringslijst invul, zie ik ook dat hij bij dsm bekend is als niet-nederlands.



Citaat
Het bovengenoemde IP-Adres komt uit Singapore,
Volgens DSM dus uit Griekenland.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #5 Gepost op: 15 augustus 2019, 12:19:03 »
Volgens een IP whois lookup website uit Singapore:
http://whois.domaintools.com/178.128.87.175

Er zit in de database van regio's kennelijk dus ook nog iets fout?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #6 Gepost op: 15 augustus 2019, 12:32:59 »
@Babylonia : Ik ga de Firewall regels eens omdraaien zoals je aangeeft, waarvoor dank !

Ik heb bewust een extra IP-Bereik uit NL geblokkeerd, want daar heb ik uit het verleden heel veel aanvallen uit gehad.

en mbt. tot poort 22 (daar ga ik even achteraan waarom ik deze 'bewust' opengezet hebt, wat dat heb ik volgens mij niet nodig)
(wordt vervolgd mbt. poort 22)

@Briolet : Ik maak gebruik van https://db-ip.com/ en volgens hun is het Singapore.
Maar goed. Dit geeft Babylonia ook al aan

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #7 Gepost op: 15 augustus 2019, 12:42:51 »
Het gaat er natuurlijk niet om hoe anderen dat IP zien, maar hoe DSM dat in zijn database heeft staan. Volgens mij gebruikt DSM een gratis database die sinds 1 januari 2019 niet meer geupdate wordt. (Zie de help waar de database bron genoemd wordt) De makers hebben wel een v2 versie van de database.

Maar volgens beiden ligt het IP niet in Nederland en zou dus geen inlog mogelijkheid moeten krijgen met die 4 regels.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #8 Gepost op: 15 augustus 2019, 12:45:12 »
@Babylonia
Toch nog even over de regels. (ik heb ze wel op advvies omgedraaid.)
Maar,
Het effect blijft toch hetzelfde. ?

'oude situatie'
Iemand uit Singapore komt aan, en voldoet niet aan een specifiek IP-Reeks uit NL
en gaat dus door naar de 2e regel. Daar voldoet hij ook niet aan, want hij komt niet uit NL
Vervolgens voldoet hij ook niet aan mij 3e (interne lan) rule, en gaat door naar de 4e regel.
En dat is weigeren.

'Nieuwe situatie'
Hij voldoet niet aan de 1e rule (interne lan|), en ook niet aan de 2e rule (NL), en ook niet aan de 3e rule (NL specifieke reeks)
Dan komt hij toch ook bij de 4e uit : Weigeren.

Ik probeer dus te begrijpen wat het verschil maakt in de nieuwe situatie tov. de oude situatie

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #9 Gepost op: 15 augustus 2019, 12:46:36 »
Is geen verschil. De volgorde was al goed.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #10 Gepost op: 15 augustus 2019, 12:53:47 »
Volgorde maakt wel degelijk uit.
Heb er ooit eens een inzichtelijk "Jip & Janneke" uitleg aan gegeven met boodschappen in een boodschappentas:
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887

Als je twijfelt of Firewall regels goed zijn opgesteld kun je dat zelf uittesten met de volgende website in Amerika:
https://www.grc.com/x/ne.dll?bh0bkyd2

Test dan op specifieke poorten van de services die jezelf gebruikt.
Omdat de server in USA is gelegen zou alles "Stealth" moeten zijn, als je regio blocking hebt ingesteld,
waarbij alles buiten Nederlands wordt geblokt.

Voorbeeld van een vergelijkbaar resultaat m.b.t. de Firewall regels voor de Synology router, wat verder naar onderen
(Die wat uitgebreider is dan de Firewall voor een NAS, maar een vergelijkbare basis opzet heeft).
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #11 Gepost op: 15 augustus 2019, 13:18:25 »
@Babylonia : Ik ga vanavond eens die test met de Amerika website doen vanuit huis (ben nu op werk)

Ik heb je tekst gelezen, en die is qua boodschappen wel helder.
Maar, als ik naar mijn 4 regels kijk, dan zie ik nog niet in, wanneer Singnapore in de oude vs. nieuwe situatie geblokkeerd wordt.
Ik ben benieuwd naar jou uitleg

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #12 Gepost op: 15 augustus 2019, 13:38:58 »
Verdere uitleg om daar tijd in te steken of het wel of niet voldoet heeft niet zoveel zin.
Test het gewoon vanavond uit met "Shields Up".  Dat geeft meteen uitsluitsel.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline HenkGroen

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 26
  • Berichten: 640
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #13 Gepost op: 15 augustus 2019, 14:03:53 »
Ga ik vanavond zeker doen. Wordt vervolgd

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Ondanks firewall blokkade, toch een poging tot inloggen
« Reactie #14 Gepost op: 15 augustus 2019, 15:33:16 »
Ik zou gewoon de help lezen, want daar staat het goed uitgelegd. Zoals ik al scheef was het in het screenshot juist goed ingesteld en als je de volgorde veranderd zullen de regels juist niet meer werken. De eerste regel mag echt als eerste staan. In elk geval moet hij voor de Nederland regel staan.

Ik zie alleen niet waarom er toch een inlogpoging vanaf [178.128.87.175] heeft kunnen zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Uploaden stopt na voltooien download ondanks ratio 150%

Gestart door De NarBoard Download Station

Reacties: 1
Gelezen: 2258
Laatste bericht 08 oktober 2008, 06:22:40
door Anonymous
DS213j write/read maximaal 11.3 MB/s ondanks gigabit verbinding

Gestart door redfuseBoard Windows

Reacties: 19
Gelezen: 10331
Laatste bericht 15 oktober 2013, 09:26:17
door Birdy
Geen toegang tot map photo ondanks RW rechten

Gestart door rijiBoard FTP, NFS and Samba Server

Reacties: 7
Gelezen: 2349
Laatste bericht 06 december 2016, 17:08:37
door riji
Geen kopieer / leesrechten - ondanks alles netjes ingesteld??

Gestart door BabyloniaBoard WebDav

Reacties: 1
Gelezen: 2755
Laatste bericht 02 november 2018, 00:32:35
door Babylonia
Kan voeding kapot zijn ondanks groene led-lampje?

Gestart door riesartBoard NAS hardware vragen

Reacties: 6
Gelezen: 610
Laatste bericht 26 september 2022, 15:18:07
door Birdy