Hoe weer je de hackers uit China?

[davincent1969]

Tja je kunt ook gewoon een router met ingebouwde firewall aanschaffen.
Die je whitelist en blacklist dan afhandelt.
Zal vermoeddelijk goedkoper zijn.

Denk het ook wel. Heb de GeoIP oplossing nog niet zelf kunnen zien, dus blijft even gissen, maar zo te lezen is het simpel in te stellen.
Mijn eigen DIR-855 router heeft ook wel mogelijkheden om IP-reeksen te blokken, maar die moet ik dan wel zelf invoeren. Bovendien kan ik maar een paar reeksen invoeren en moet ik die ip-filters weer koppelen aan protocollen, voordat iets wordt tegen gehouden. Dus allemaal halve oplossingen als je gewoon ALLE poorten dicht wil hebben voor bepaalde TLD's.

[davincent1969]

Sssttt. Hij heeft eindelijk een goede smoes gevonden om een nieuwe NAS te kopen .

hahaha, ja, dat ook :-)

[Briolet]

Heb de GeoIP oplossing nog niet zelf kunnen zien, dus blijft even gissen, maar zo te lezen is het simpel in te stellen.

Klopt, zeer makkelijk:



Je kiest het per land. Daarboven kun je ook nog Europa en Azië als één geheel  kiezen. (Afrika of Amerika heb ik niet als blok gezien)

Blijkbaar worden alleen inkomende verbindingen geblokkeerd. Als ik b.v. een Duitse blokkade instel, kan ik de nas nog steeds naar Duitse sites laten pingen.

[davincent1969]

Klopt, zeer makkelijk:

Je kiest het per land. Daarboven kun je ook nog Europa en Azië als één geheel  kiezen. (Afrika of Amerika heb ik niet als blok gezien)

OOohhh!!! Supersimpel zelfs! Kom op Synology, geef die nieuwe 414slim uit! Ik sta al in de rij 

[Ben(V)]

Vrees alleen dat als die "hacker" een beetje slim zijn het blokeren van een top level domain niet gaat helpen.
Ze doen gewoon aan ip-spoofing en doen net alsof ze uit Nederland komen.
Als ze echt mailservers als target hebben zullen ze best zo slim zijn een lokaal adres te kunnen simuleren.
Dat is ook de reden dat er hardware firewalls zijn uitgevonden, die handelen alles af buiten je netwerk.

[Briolet]

het blokeren van een top level domain niet gaat helpen.

Wat bedoel je met top level domain in dit verband? Volgens mij is een top level domain heel wat anders en gaat over domein namen en niet over IP reeksen.

[Ben(V)]

Als je landen gaat blokeren zoals in die nieuwe functionaliteit van synology dan gaat dat op dns niveau.
Je blokeerd dan een domain. Bijvoorbeeld alles uit duitsland met .de enbelgie .be
Op dns level vertaalt zich dat naar ip nummers.
Een hacker doet net alsof hij een ipadres uit nederland heeft en je blokkade is waardeloos.

[davincent1969]

Een hacker doet net alsof hij een ipadres uit nederland heeft en je blokkade is waardeloos.

Tja, hij kan dan spoofen.  Alleen heeft hij daar niet zoveel aan. Uiteindelijk wil de hacker toch een sessie met jouw device opbouwen en niet via het gespoofde IP-adres. Zal hij toch ook een systeem moeten hebben (botnet of zombie PC) in het land wat je wel toegang geeft. Nou, als hij daarover beschikt, dan hoeft hij ook niet te spoofen.

Ik snap sowieso niet hoe het kan dat een device je ineens vertrouwd wanneer je een paar pakketjes stuurt alsof je al een sessie had. Die wordt beantwoord met een reset bericht waardoor de hacker kan 'raden' welke  tellerstand de actieve IP-sessie had, die met een vertrouwd systeem was opgebouwd. Vervolgens worden pakketjes gestuurd die (hoopt de hacker) wel passen in de actieve tellerstand van de IP-pakketjes. En dan ineens wordt het ip-adres wel vertrouwd door je device? Afzender is toch anders? En ook moet de hacker het systeem, wat je device wel vertrouwd, gaan overnemen (nouja, zorgen dat er geen pakketjes meer worden uitgewisseld met jouw device). Hoop gedoe... 

Ik denk (hoop?) dat deze beveiliging wel een hele boel script kiddies tegen houdt die vanaf hun eigen IP de inlogpogingen proberen. Bovendien moet de hacker ook nog te weten komen welke TLD's wel toegang hebben. Echte hackers zullen hier vast iets tegen weten, maar die zijn vast niet geïnteresseerd in het overnemen van mailservers van hobbyisten om te kunnen spammen.

[wopper]

Als je landen gaat blokeren zoals in die nieuwe functionaliteit van synology dan gaat dat op dns niveau.
Je blokeerd dan een domain. Bijvoorbeeld alles uit duitsland met .de enbelgie .be
Op dns level vertaalt zich dat naar ip nummers.
Een hacker doet net alsof hij een ipadres uit nederland heeft en je blokkade is waardeloos.

Volgens mij maak je hier een denk fout GeoIP is een IP dienst waarbij alle provider aggregated blokken opgenomen zijn. GeoIP heeft dus per land inzichtelijk welke IP blokken er via BGP uitgewisseld worden op het internet, op basis van de filtering in de NAS blokkeer je feitelijk IP bokken van bepaalde landen. http://blog.ip-adress.com/geo-ip-address-location/

Ik zou niet inzien wat DNS hier mee van doen heeft, kan je een bron vermelden?

[Ben(V)]

Dit is precies wat ik vertelde en het feit dat ik het op DNS niveau noem (wat misschien niet geheel juist is) komt dat DNS de vertaling van namen (en dus ook geo info zoals .be etc) doet naar IP adressen.

Maar als je een beter term weet houd ik me aanbevolen.

[wopper]

De term is er al GeoIP anders hadden ze het GeoDNS genoemd

Dns is alleen voor gebruikers omdat je niet in staat bent om ip adressen te onthouden van alle websites welke je bezoekt, daar ga ik even vanuit in een gezonde situatie

Zodra DNS een IP adres heeft opgevraagd, bv www.synology-forum.nl -> 80.246.180.95 wordt er na deze stap niets meer met DNS gedaan. Echter als je dat IP opzoekt (lees: in welk blok hij valt op het grote internet) dan zie je dat hij valt in een reeks van NXS Internet https://apps.db.ripe.net/search/query.html?searchtext=+80.246.180.95&source=RIPE#resultsAnchor

En NXS internet stuurt deze reeks 80.246.176.0/20 het internet op (waar dus vele duizenden IP adressen inzitten) en deze blokken hebben dan de stempel Nederland in de GeoIP database. http://www.maxmind.com/en/geolocation_landing (Synology gebruikt MaxMind)

Als je die dan door maxmind heen haalt zegt hij:

GeoIP2 Precision City/ISP/Organization Results
IP Address   Country Code   Location   Postal Code   Coordinates   ISP   Organization   Domain   Metro Code
80.246.176.0   NL   Greup,
South Holland,
Netherlands,
Europe      51.7862,
4.4377   IS Group B.V.   IS Group B.V.   nxs.nl   

Ofwel een Nederlands blok ;-) je kunt ook testen met je eigen IP http://www.maxmind.com/en/locate_my_ip

[Briolet]

Ik kreeg net een melding binnen van een geweerde inlog poging vanuit IP 123.30.241.169  Dat IP ligt in Vietnam. Met een reverse dns van static.vdc.vn

Nu heb ik in de regio blokkade asia/pacific region ingesteld. Dus dit IP is toch niet correct geblokt.

Hij komt uit de range 123.16.0.0/12 met 1 miljoen Vietnamese adressen, dus ook niet een kleine range die misschien gemist is.

[wopper]

Ik zou dan Vietnam ook blokkeren:) ik heb het omgedraaid ik blokkeer alle landen en laat alleen Nederland toe. En port 5001 staat wel wereldwijd open.


Verzonden vanaf mijn iPhone met behulp van Tapatalk

[Nelesss]

Ik heb alleen Nederland en wat omliggende landen waar ik nog wel is kom aangevinkt, daarna aangegeven in de firewall indien niet wordt voldaan aan de regels de toegang geblokkeerd wordt. Je kunt ook maar maximaal 15 landen selecteren in een 'firewall regel'.

[SynMan]

je kan er ook een router tussen zetten met firewall die de ip-adressen blokt uit China. Dan komen ze niet eens op de nas.