obey-robots.txt
Onderwerp bekijken
Alle modems geleverd door XS4ALL, waaronder de FRITZ!Box 7170.
 Onderwerp afdrukken
Brute Force aanvallen
mario2xs4all
Op mijn FB7360 staat een Synology NAS aangesloten.
Mijn NAS is alleen via https bereikbaar.
Ik heb een VPN server geconfigureerd op de NAS.
Maar als men instructie filmpjes wil bekijken is de verbinding erg traag, waarschijnlijk vanwege de encryptie.

Via ssh zijn dagelijks vele meldingen met allerlei IP-adressen op de NAS waarbij men met allerlei namen toegang probeert te krijgen tot de NAS.
Na een aantal pogingen per IP-adres volgt er een block.
En dat vele tientallen keren per dag, mijn mailbox is daarmee steeds vol.
Om stapelgek van te worden.

Is er een methode om van de Brute Force aanvallen af te komen zonder de bereikbaarheid te verliezen?
 
Access
Proberen ze via SSH root toegang te krijgen? Is je SSH poort 22? Dat is de standaard poort. Indien mogelijk configureer een andere poort. Vergeet niet jezelf te whitelisten in de firewall.
Kies BBcode image, plak in handtekening.

?id=1wqxcou
speed-testing
 
mario2xs4all
Men probeert niet alleen via de root account binnen te komen, maar men gebruikt allerlei namen.
Op mijn NAS is het zo ingesteld dat wanneer men 5 maal een verkeerde naam/wachtwoord combinatie gebruikt vanaf een bepaald IP adres, dan wordt het IP adres geblokkeerd.
Het lijkt op "brute force attacks", omdat er vele tientallen meldingen per dag gelogd zijn van verschillende geblokkeerde IP adressen.

Het enige effectieve verweer lijkt om accounts die ik niet gebruik uit te schakelen.
Daarnaast maak ik gebruik van wachtwoorden langer dan 8 tekens en met allerlei tekens, niet alleen cijfers en letters.
Tot slot wijzig ik elke maand meerdere malen het wachtwoord, zodat de kans op ongeoorloofde toegang zo klein mogelijk blijft.
Personen die wel toegang hebben, kunnen uitsluitend via https en vpn toegang krijgen tot mijn NAS.
Met de correcte login gegevens kan ik vanaf elke willekeurige locatie toegang krijgen via https en vpn tot mijn NAS.
De poort voor het SSH verkeer naar buiten toe heb ik in de router al handmatig gewijzigd.
Voor het sFTP verkeer had ik idd de standaard poort reeds vervangen door een andere.

Ben benieuwd hoe lang het duurt.....

Bedankt voor de waardevolle tip.

Toch vraag ik me af of er ook een ander bruikbaar antwoord is op de "brute force attacks".
Gewijzigd door mario2xs4all op 02 oktober 2014, 15:32
 
Access
Je hebt het over SSH, daar hoort poort 22 bij. Met SSH kun je direct toegang krijgen tot het besturingssysteem.

Verder heb je het over https, daar hoort poort 443 bij en wordt gebruikt om over een secure lijn een webpagina op te vragen.

Het leek me handig om te weten op welke poort de aanvallen uitgevoerd worden en uit te vogelen wat je belangrijk vind om van buitenaf te benaderen.

Even bovenstaand loslaten.
Je NAS hangt vermoedelijk achter een router.
Heb je de NAS gekoppeld aan de DMZ van je router?
Beter kun je alleen poorten openzetten in de router richting nas die je daadwerkelijk van buiten ook nodig hebt. Zodra een poort open staat kun je aanvallen verwachten.


Quote

Op mijn NAS is het zo ingesteld dat wanneer men 5 maal een verkeerde naam/wachtwoord combinatie gebruikt vanaf een bepaald IP adres, dan wordt het IP adres geblokkeerd.


Kennelijk zit er een firewall in de NAS. Kun je die zelf configureren?
Dan kun je het zo instellen dat niemand er bij kan maar wel iemand waarvan je het ip adres zelf ingestelde hebt.
Kies BBcode image, plak in handtekening.

?id=1wqxcou
speed-testing
 
mario2xs4all
Het klopt dat ik het over SSH heb, daar hoort idd poort 22 bij, maar in de router wijst deze poort nu middels port forwarding naar een andere poort.
Het klopt eveneens dat de NAS achter een router hangt, middels de firewall in de NAS worden geconfigureerde poorten naar de router ingesteld.

Tevens maak ik gebruik van uPnp, zodat additionele poorten indien noodzakelijk geopend kunnen worden.
Daar zitten risico's in, daar ben ik me van bewust.

Er is ook een mogelijkheid om de NAS in de DMZ te hangen, de NAS hangt nu niet in de DMZ.

Van poort 22 maakten meer programma's gebruik, zoals sFTP.
Maar de poortnummers van deze programma's heb ik intussen veranderd.

Middels een whitelist kan ik IP's instellen van personen die toegang mogen tot de NAS.
Dat is echter niet praktisch als deze personen vanuit andere IP's proberen toegang te krijgen via https.
Als ik via sFTP in mijn NAS wil komen, gaat dat problemen opleveren wanneer ik toegang wil vanuit een ander IP adres.
De range van de VPN staat nog niet in de whitelist.

De aanvallen vinden uitsluitend plaats via poort 22, SSH.
Poort 22 heb ik net in de NAS firewall uitgeschakeld aangezien verkeer door deze poort in de router via een andere poort naar buiten/binnen gaat.
SSH verkeer zal dan via de aangepaste poort naar binnen moeten komen.
mario2xs4all voegde bij, bestand:

Registreer en/of log in voor toegang tot deze bijlage.

Gewijzigd door mario2xs4all op 02 oktober 2014, 23:02
 
mario2xs4all
Intussen heb ik gemerkt dat de interval van meldingen drastisch is verminderd, in een uur tijd na de wijzigingen 0.
Poort 22 is gesloten, aangezien SSH verkeer via een andere poort naar buiten/binnen komt.
sFTP verkeer gaat nu via een andere poort, het is getest en werkt.
VPN en https verkeer is ook getest en werkt.

Met het commando netstat -an heb ik verkeer door de verschillende poorten gecontroleerd.
Gewijzigd door mario2xs4all op 02 oktober 2014, 23:30
 
Access
Ok, mooi dat je het op kunnen lossen.
Kies BBcode image, plak in handtekening.

?id=1wqxcou
speed-testing
 
mario2xs4all
Tja, mede dankzij jouw suggesties ben ik eens gaan nadenken over mijn mogelijkheden.
Ben alweer een tijdje uit het netwerk en systeembeheer, maar met wat hulp en "graafwerk" kom je er dan uiteindelijk wel weer uit Smile

Had er nog ff de iana tcp poortlijst bij gepakt om een andere poort voor SSH te configureren, dat heb ik "geforward" en getest.
Werkt perfect.

Helemaal geen aanvallen meer gehad, probleem opgelost dus.

Bedankt!
 
Deze website gebruikt Awin affiliate links en Google advertenties, om deze service voor iedereen gratis te houden.
Spring naar forum:
Nieuw onderwerp Antwoorden
Gebruik BBcode of HTML om naar; 'Brute Force aanvallen', te verwijzen!
BBcode:
HTML:
Advertentie