login poging via WEBDAV

[Sylvester]

Op een zeker moment is een login poging ontstaan op een remote NAS (staat elders).
We krijgen de melding via mail:
The IP address [192.168.2.1] experienced 6 failed attempts when attempting to log in to WebDAV running on ...NAS within 60 minutes, and was blocked at 2023-11-10 00:00.

Ook in het logcenter is dit zichtbaar:
Host [192.168.2.1] was blocked via [WebDAV].
Voorafgaand aan die regel in het logcenter is niets bijzonder te zien.

WEBDAV is actief op de NAS en is noodzakelijk.
Er staat ook een user in de log bij die regel. Dit is een user die eigenlijk niet meer actief is op die NAS sinds enkele maanden, het account is overgenomen door iemand anders maar de naam was nog niet aangepast. Het gaat over een werknemer die er niet meer werkt en werd vervangen.
Ondertussen is het user account aangepast, naam en paswoord zijn veranderd.

Maar als ik nu de blokkering in de block list verwijder, komt de poging weer terug, precies om 00u00, of soms ook door de dag ongeveer een uurtje na dat de blokkering weg is. Dit gebeurt weer onder dezelfde usernaam die nu niet meer bestaat. Ik weet niet of dat kan. De naam in de log is nog steeds de oude naam, dus niet met de nieuwe/aangepaste naam.

Het IP adres is van de router. Maar ik ben niet goed mee wat de link tussen WEBDAV en de router is. Wij dachten dat het 'van buiten' zou komen. Vandaar hebben we gisteren het VPN certificaat vernieuwd. Via deze weg kan dus niemand meer (ook niet per ongeluk automatisch) inloggen via VPN, want zelfs wij hebben het certificaat nog niet.
En toch blijft de login poging.
Volgens mij zijn het dan twee mogelijkheden: externe login poging zonder VPN, of intern.
Ik denk aan de eerste. Volgens mij kan een interne login voor WEBDAV niet omdat die de 'router' niet passeert.
Of zie ik dat fout?

Heeft iemand goesting om even mee te denken? Waarvoor reeds dank.

[DSGebruiker]

>Het IP adres is van de router. Maar ik ben niet goed mee wat de link tussen WEBDAV en de router is. Wij dachten dat het 'van buiten' zou komen. Vandaar >hebben we gisteren het VPN certificaat vernieuwd. Via deze weg kan dus niemand meer (ook niet per ongeluk automatisch) inloggen via VPN, want zelfs wij >hebben het certificaat nog niet.
>En toch blijft de login poging.
>Volgens mij zijn het dan twee mogelijkheden: externe login poging zonder VPN, of intern.
>Ik denk aan de eerste. Volgens mij kan een interne login voor WEBDAV niet omdat die de 'router' niet passeert.
>Of zie ik dat fout?

Allesinds een zeer raar gevalletje!
Als het een interne-loginpoging zou zijn en je hebt intern op je LAN slechts 1 "range" dan gaat dit verkeer idd niet via de router. Ik weet niet wat voor "features" die router heeft. Als die vb WEBPROXY-module/services zou hebben dan kan het weer wel dat een client op je LAN "via" je router zoiets kan teweegbrengen.

Welke router heb draaien ?

Optie is ook dat het van binnen de LAN komt maar dat het source-IP "spoofed" is! Eigenlijk zou je een PACKET CAPTURE (vb Wireshark) moeten nemen zodat je vb ook het MAC-adres van het frame ziet en dan met meer zekerheid kan aftoetsen OF de router het daadwerkelijk heeft verstuurd.
MAC is ook te "spoofen" , geen 100% zekerheid natuurlijk.

Als het een externe-loginpoging zou zijn dan is normaal het IP-adres een "Internet"  /"Public" adres, tenzij je router zowel "source" als "destination" NAT doet op inkomende packets. Dat *kan* maar hangt allemaal van je netwerk-setup af.

[Sylvester]

De router is een simpel ding, eigenlijk te simpel maar dat is een ander verhaal.
Het is een ASUS met wifi ingebouwd, ik denk RT-AC68u
Extern zonder VPN is volgens mij ook uit te sluiten, dan verschijnt er een extern IP adres in de LOG, net nog even getest van buiten.

Netwerk setup is heel eenvoudig, met één range, zonder proxies enz...

[Briolet]

Er staat ook een user in de log bij die regel. Dit is een user die eigenlijk niet meer actief is op die NAS sinds enkele maanden, het account is overgenomen door iemand anders maar de naam was nog niet aangepast. Het gaat over een werknemer die er niet meer werkt en werd vervangen.

Het lijkt me dat je dan met die oude gebruiker contact moet opnemen of deze melding gewoon negeren. Hij heeft b.v. een link in zijn kalender programma (of adres programma) naar de nas staan. Zolang hij die link niet verwijderd, zal zijn software blijven proberen om te verbinden.

In elk geval kan dit waarschijnlijk geen kwaad omdat hier niet geprobeerd wordt in te breken, als ik je verhaal goed begrijp.

[Babylonia]

Met zulke merkwaardige inlogpogingen, zou je ook even kunnen controleren of de  UPnP  instelling van de router uit staat.
(Indien ingeschakeld / geactiveerd, dan uitzetten dus).

Zie onderwerpen op de website van  < security.nl  met zoekwoord UPnP en router >      -       < alleen op UPnP >

[Sylvester]

UPnP staat uit. Bij die andere werknemer moeten we niet zijn denk ik. Want die zou zich dan in het bedrijf moeten bevinden en dat kan niet.
Het rare is dat het altijd  klokslag 0u00 is

[Babylonia]

Zou dan mogelijk toch router gerelateerd kunnen zijn?   IP leases zijn meestal 24 uur geldig.
Bij wisseling van datum / tijd om 00:00 uur wordt een lease dan vernieuwd.

Zelf heb ik ook zoiets,  bijv. met connectie van een VOIP bureau telefoon,
dat 's morgens precies om 07:00 uur het LCD scherm van de telefoon oplicht.

Kijk eens in je eigen netwerk, of er niet continue een  WebDAV Client  actief  "open staat"?
Die bij vernieuwing IP-lease mogelijk zich ook opnieuw aanmeldt?
Verder zou ik alle instellingen van de Asus router nog een keer doornemen.