Ciao a tutti,
incuriosito dal fatto che il mio NAS si risvegli senza nessun motivo ho approfondito la questione e dal Log Center ho realizzato che sto ricevendo continui tentativi di accesso al mio NAS via SSH al ritmo di uno ogni 2 secondi da 4/5 IP diversi che però cambiano ogni giorno.
Dal log mi trovo una infinità di questi warning: "User [root] from [61.174.51.199] failed to log in via [SSH] due to authorization failure."
Ora ho attivato il blocco automatico degli IP in Pannello di controllo>Sicurezza.
Quali accortezze dovrei prendere per evitare questi attacchi?
Sotto assedio SSH
Re: Sotto assedio SSH
Disabilita ssh sul DSM
Chiudi tutte le porte del router che non usi, soprattutto la 22
Se non usi connessioni remote verso il nas chiudi tutte le porte che indirizzano al nas
Per le connessioni remote ti consiglio una VPN o quantomeno non utilizzare porte standard
Setta meglio anche il firewall del nas e il blocco degli ip
Chiudi tutte le porte del router che non usi, soprattutto la 22
Se non usi connessioni remote verso il nas chiudi tutte le porte che indirizzano al nas
Per le connessioni remote ti consiglio una VPN o quantomeno non utilizzare porte standard
Setta meglio anche il firewall del nas e il blocco degli ip
- GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
- SWC: Nergear GS108 - Netgear WNDRMACv2
- NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
- CLI: OSX 10.12, Win 10, Linux Mint
- ALTRO:
- Raspberry Pi model b - Openelec 4.2.1
- Raspberry Pi model b+ - Openelec 4.2.1
- iPhone 5
- iPad 2
- Android TV
-
ilsindaco66
- Utente
- Messaggi: 314
- Iscritto il: martedì 7 ottobre 2008, 14:13
- Località: Arezzo
Re: Sotto assedio SSH
Ti sono già stati dati i consigli giusti, sopratutto, se non usi l'SSH da remoto (ed io non lo farei, mi è sempre sembrata una cosa rischiosa), imposta una regola di esclusione nel firewall in modo da poterlo utilizzare solamente da rete locale...
- UPS: CyberPower CP900
- GTW: DrayTek Vigor 2860 ISP: ADSL Terra (30M/3M) IP:8
- SWC: Netgear GS108T V2
- NAS:
- DS214Play 6.1-15047 Update 2 1GB; R1(2xWDRed3TB), StarTech USB Dock (WDRed2TB)
- DS412+ 6.1-15047 Update 2 1GB; R1(2xWDRed2TB), R1(2xWDRed2TB)
- CLI: XP, Win7-64, Win10-64
- ALTRO: Samsung SmartTV HU8500 55"
- EXP: E4 - NET7 PC:W8,M0,L3
-
pietrobittasi
- Utente
- Messaggi: 8
- Iscritto il: domenica 2 giugno 2013, 2:30
Re: Sotto assedio SSH
Grazie per le risposte;
l'uso di una VPN mi scoccerebbe molto più che altro per la scomodità di aprirla e chiuderla ogni volta ma valuterò anche questa opzione.
Quello che non mi riesco a spiegare è che ssh ce l'ho disabilitato!
Magari ho impostato male il firewall, le regole che ho impostato sono queste:
1. Porte: tutte; Applicazioni: tutto; Protocollo: tutto; IP/Origine: 10.0.0.1/255.255.255.0; Azione: Consenti
2. Porte: 6690; Applicazioni: CloudStation; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
3. Porte: 9025,9040; Applicazioni: VideoStation; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
4. Porte: 5005; Applicazioni: WebDAV; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
5. Porte: 80; Applicazioni: WebStation,PhotoStation, WebMail; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
6. Porte: 5000; Applicazioni: DSM; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
Se non vi è alcuna corrispondenza con le regole NEGA ACCESSO.
Ho esagerato anche con il blocco automatico per vedere se rileva qualcosa: "blocca IP se raggiunge 2 tentativi di accesso non riusciti in 9999999 minuti" ma ancora l'elenco degli IP bloccati è vuoto
Purtroppo a monte non ho la possibilità di mettere mano al "router" perchè è una CPE per Wdsl ed è impostata così: sul IP del NAS ho tutte le porte aperte mentre sugli altri IP interni sono tutte chiuse; sarebbe meglio se contattassi l'amministratore e gli facessi modificare l'apertura delle porte?
l'uso di una VPN mi scoccerebbe molto più che altro per la scomodità di aprirla e chiuderla ogni volta ma valuterò anche questa opzione.
Quello che non mi riesco a spiegare è che ssh ce l'ho disabilitato!
Magari ho impostato male il firewall, le regole che ho impostato sono queste:
1. Porte: tutte; Applicazioni: tutto; Protocollo: tutto; IP/Origine: 10.0.0.1/255.255.255.0; Azione: Consenti
2. Porte: 6690; Applicazioni: CloudStation; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
3. Porte: 9025,9040; Applicazioni: VideoStation; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
4. Porte: 5005; Applicazioni: WebDAV; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
5. Porte: 80; Applicazioni: WebStation,PhotoStation, WebMail; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
6. Porte: 5000; Applicazioni: DSM; Protocollo: TCP; IP/Origine: tutto; Azione: Consenti
Se non vi è alcuna corrispondenza con le regole NEGA ACCESSO.
Ho esagerato anche con il blocco automatico per vedere se rileva qualcosa: "blocca IP se raggiunge 2 tentativi di accesso non riusciti in 9999999 minuti" ma ancora l'elenco degli IP bloccati è vuoto
Purtroppo a monte non ho la possibilità di mettere mano al "router" perchè è una CPE per Wdsl ed è impostata così: sul IP del NAS ho tutte le porte aperte mentre sugli altri IP interni sono tutte chiuse; sarebbe meglio se contattassi l'amministratore e gli facessi modificare l'apertura delle porte?
Re: Sotto assedio SSH
Sarebbe meglio se ti installi un router tuo....sarebbe meglio se contattassi l'amministratore e gli facessi modificare l'apertura delle porte?
Anch'io ho una wdsl, ma collegato all'antenna (che ha tutte le porte aperte) ho un router che configuro come voglio
- GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
- SWC: Nergear GS108 - Netgear WNDRMACv2
- NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
- CLI: OSX 10.12, Win 10, Linux Mint
- ALTRO:
- Raspberry Pi model b - Openelec 4.2.1
- Raspberry Pi model b+ - Openelec 4.2.1
- iPhone 5
- iPad 2
- Android TV