Dal log del synology ho notato che dall'esterno avvengono parecchi tentativi di intrusione contrassegnati con il simbolo rosso dell' ALERT (categoria DAEMON, programma RADVD)
Ma sono andati a buon fine oppure no ? C'è la possibilità di fare qualcosa per evitarli ?
intrusioni da esterno
intrusioni da esterno
- UPS: APC green 750va
- NAS: Synology
- CLI: iMac + PC windows 7
- Samsung Smart TV, iPad, iPhone,
Re: intrusioni da esterno
Se fossero andati a buon fine non sarebbero stati loggati.
Il log avviene per credenziali di autenticazione errate.
Attiva il blocco automatico per evitare che dopo una serie ti tentativi errati utente e password alla fine vengano sgammati. Un settaggio ragionevole potrebbe essere la regola del 3 quindi 3 tentativi in 3 ore (180') e ripristino dopo 3gg.
Usa una password complessa: lunga almeno 8 caratteri e composta da maiuscole, minuscole numeri e simboli (!,?,$,@,#,...) che i numeri non rappresentino date facilmente riconducibili a te (compleanni, anniversari ...) ne ad esempio l'anno corrente (2015). Cambia periodicamente la password, perlomeno dell'account amministratore. Quando ti colleghi da remoto, ove non strettamente necessario, evita di usare le credenziali dell'amministratore.
Se poi vuoi mettere al sicuro anche l'altra parte delle credenziali, il nome utente, in quanto l'amministratore è generalmente noto, crea un altro utente, assegnali i diritti di amministrazione e disabilita l'utente "admin". Se la psw e sufficientemente complessa con il blocco automatico attivo questo passaggio può anche considerarsi opzionale o superfluo.
Il log avviene per credenziali di autenticazione errate.
Attiva il blocco automatico per evitare che dopo una serie ti tentativi errati utente e password alla fine vengano sgammati. Un settaggio ragionevole potrebbe essere la regola del 3 quindi 3 tentativi in 3 ore (180') e ripristino dopo 3gg.
Usa una password complessa: lunga almeno 8 caratteri e composta da maiuscole, minuscole numeri e simboli (!,?,$,@,#,...) che i numeri non rappresentino date facilmente riconducibili a te (compleanni, anniversari ...) ne ad esempio l'anno corrente (2015). Cambia periodicamente la password, perlomeno dell'account amministratore. Quando ti colleghi da remoto, ove non strettamente necessario, evita di usare le credenziali dell'amministratore.
Se poi vuoi mettere al sicuro anche l'altra parte delle credenziali, il nome utente, in quanto l'amministratore è generalmente noto, crea un altro utente, assegnali i diritti di amministrazione e disabilita l'utente "admin". Se la psw e sufficientemente complessa con il blocco automatico attivo questo passaggio può anche considerarsi opzionale o superfluo.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: intrusioni da esterno
davvero ? ... ho provato a sbagliare di proposito le credenziali (dall'esterno alla rete) ma non compare nel log il mio indirizzo IPdMajo ha scritto:Se fossero andati a buon fine non sarebbero stati loggati.
Il log avviene per credenziali di autenticazione errate.
- UPS: APC green 750va
- NAS: Synology
- CLI: iMac + PC windows 7
- Samsung Smart TV, iPad, iPhone,
Re: intrusioni da esterno
Scusa mi sono espresso male io ... nel senso che se le credenziali sono giuste non è ovviamente un alert ma un normale messaggio informativo di logon avvenuto.dMajo ha scritto:Se fossero andati a buon fine non sarebbero stati loggati.
Intendevo dire se fossero andati a buon fine non sarebbe stato un tentativo d'intrusione ma la normale attivita (logon) utente.
La visualizzazione dei registri di log è centralizzata, purtroppo però le impostazioni su cosa loggare sono un po' sparse in giro.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: intrusioni da esterno
questa non l'ho capita ?dMajo ha scritto: La visualizzazione dei registri di log è centralizzata, purtroppo però le impostazioni su cosa loggare sono un po' sparse in giro.
Allora: io cerco di loggarmi dall'esterno della mia rete dove è ubicato il nas e sbaglio la password volutamente... dovrebbe comparirmi nel log l'Alert rosso ? se è come dici tu .... altrimenti quell'alert che ho scritto sopra cosa vuol dire ?
- UPS: APC green 750va
- NAS: Synology
- CLI: iMac + PC windows 7
- Samsung Smart TV, iPad, iPhone,
Re: intrusioni da esterno
Posta un'immagine.
Per log centralizzato intendevo dire che nel "Loc Center" tu vedi in un unico posto tutti gli eventi loggati, siano di logon, che accesso/trasferimento file, che blocco ip dalle varie app comprese quelle opzionali quali ad esempio mailserver. Veni inoltre anche eventi syslog esterni se su router, switch, stampanti di rete configuri il nas quale syslog server.
L'impostazione però di quali eventi loggare la devi fare in posti diversi. Ad esempio se tu volessi loggare modifiche/accessi/trasferimenti di file l'opzione la devi attivare nelle impostazioni della file station, per gli stessi log ma da accessi smb invece l'abilitazione va fatta nel pannello di controllo/servizi file. Non c'è insomma una schermata riepilogativa dove impostare centralmente gli eventi che si vogliono loggare.
Per log centralizzato intendevo dire che nel "Loc Center" tu vedi in un unico posto tutti gli eventi loggati, siano di logon, che accesso/trasferimento file, che blocco ip dalle varie app comprese quelle opzionali quali ad esempio mailserver. Veni inoltre anche eventi syslog esterni se su router, switch, stampanti di rete configuri il nas quale syslog server.
L'impostazione però di quali eventi loggare la devi fare in posti diversi. Ad esempio se tu volessi loggare modifiche/accessi/trasferimenti di file l'opzione la devi attivare nelle impostazioni della file station, per gli stessi log ma da accessi smb invece l'abilitazione va fatta nel pannello di controllo/servizi file. Non c'è insomma una schermata riepilogativa dove impostare centralmente gli eventi che si vogliono loggare.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: intrusioni da esterno
ok, questo lo sapevo e mi è chiaro.dMajo ha scritto:Posta un'immagine.
Per log centralizzato intendevo dire che nel "Loc Center" tu vedi in un unico posto tutti gli eventi loggati, siano di logon, che accesso/trasferimento file, che blocco ip dalle varie app comprese quelle opzionali quali ad esempio mailserver. Veni inoltre anche eventi syslog esterni se su router, switch, stampanti di rete configuri il nas quale syslog server.
L'impostazione però di quali eventi loggare la devi fare in posti diversi. Ad esempio se tu volessi loggare modifiche/accessi/trasferimenti di file l'opzione la devi attivare nelle impostazioni della file station, per gli stessi log ma da accessi smb invece l'abilitazione va fatta nel pannello di controllo/servizi file. Non c'è insomma una schermata riepilogativa dove impostare centralmente gli eventi che si vogliono loggare.
Io voglio solo sapere per messaggio ALERT intrusion cosa si intende e quindi che misure devo adottare per prevenire problemi
grazie
- UPS: APC green 750va
- NAS: Synology
- CLI: iMac + PC windows 7
- Samsung Smart TV, iPad, iPhone,