Sicurezza: recenti, numerosi attacchi da botnet

HW e servizi di rete: utilizzo abbinato al NAS (FW, DHCP, (D)DNS, NTP, RADIUS, LDAP, ACTIVE DIRECTORY, VPN CLIENT&SERVER, EZ&ROUTER/WiFi, UPS)
Rispondi
Strato
Utente
Utente
Messaggi: 23
Iscritto il: domenica 23 febbraio 2020, 19:21

Sicurezza: recenti, numerosi attacchi da botnet

Messaggio da Strato »

Buongiorno e ben trovati.

Da tempo i NAS Synology sono oggetto di ripetuti attacchi che hanno come scopo l'accesso alla diskstation.
Nel mio caso ho ricevuto 19 attacchi nell'ultimo mese - numero apparentemente limitato - ma solo a causa delle restrizioni di accesso e dei blocchi automatici a tempo introdotti. L'autenticazione a due fattori aiuta, come aiutano Security advisor e i consigli sulla sicurezza della stessa Synology.

Tuttavia mi sono sempre chiesto perchè Synology non implementa tra i metodi di blocco già esistenti, un ulteriore restrizione, da abilitarsi a discrezione dell'amministratore di DSM, che implementi una lista di accessi consentiti solo a specifiche macchine identificate per indirizzo MAC.

Io credo che in questo modo si impedirebbero accessi indesiderati a meno di non venire a conoscenza di un indirizzo MAC consentito e dopo aver sostituito artificiosamente il MAC assegnato alla scheda di rete del PC che richiede accesso.

Questa tipologia di blocco potrebbe essere utilizzata da strutture aziendali, piccole imprese, studi privati, che destinano DSM ad ambiti esclusivamente aziendali, sopratutto interni, consentendo l'accesso a DSM solo a specifiche macchine.

Se Synology in questi anni non ha pensato di introdurre questo metodo, penso che ci sia una ragione.

C'è una ragione ? C'è una falla nel mio ragionamento?

Saluti
DS918+ 4x 4TB WD Red - 2x Samsung MZ-V6E250BW SSD 960 EVO, 250 GB, M.2, NVMe - DSM 7.x
burghy86
Moderatore
Moderatore
Messaggi: 11357
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Sicurezza: recenti, numerosi attacchi da botnet

Messaggio da burghy86 »

Puoi fare delle regole basate su ip
Il firewall permetti il servizio dsm web solo da un pc e gli altri servizi a tutta la lan

Perché fissarsi sul mac che funzionerebbe solo in locale? Se devo fare manutenzione da remoto con un filtro mac sarei fregato

Da remoto basta non pubblicare la 5000,5001 e mettere la 5001 non standard
Oppure ancora meglio usare una vpn
da remoto puoi impostare che accetti solo ip italiani o del paese che ti serve
Oppure se accedi solo da un ip specifico fai una regola sul tuo firewall o sul router che accetti connessioni solo da uno specifico io remoto


Nelle aziende fatte a modo infatti solo i servizi al client sono accessibili a tutti ( smb,afp ecc) mentre il dsm web no, benché meno l'ssh
Oltre che la protezione da remoto è fatta da firewall con ips e regole ben specifiche
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Strato
Utente
Utente
Messaggi: 23
Iscritto il: domenica 23 febbraio 2020, 19:21

Re: Sicurezza: recenti, numerosi attacchi da botnet

Messaggio da Strato »

Buonasera @burghy86 e grazie.

riguardo il mac, forse non ho capito, ma se esistesse un filtro per mac, potrei registrare i mac dei soli PC da cui accedo. Non è che vado in un internet-point e accedo al nas. Peraltro siamo in tre max quattro che accediamo al nas da remoto. Ma anche se i pc che accedono al nas fossero una trentina, in una mezz'ora un'ora al max avrei registrato i mac di tutti i pc e avrei finito: solo quei pc potrebbero accedere al nas.

Cmq una ragione se non consigli di usare il mac ci sarà senz'altro. Peraltro ci sarà un motivo perchè Synology non l'ha implementata....

Invece ho difficoltà a comprendere un filtro per IP che consigli dal momento che l'IP può cambiare.

Cmq a proposito di IP ho ristretto l'accesso al nas dalla sola Italia, anche se dovrò ricordarmi di modificare l'impostazione se dovessi andare all'estero.

Uso anche OpenVPN da tempo, ma questo non impediva i tentativi di accesso.
Vero è che chi bussa non è detto poi che entri, anche perchè con psw lunga e complessa, auth a due fattori e blocco della connessione dopo n tentativi in x minuti, la cosa diventa difficile. Però ricevere tutte quelle notifiche mi creava ansia.

Riguardo le porte 5000 e 5001 rimaste tali dall'acquisto del nas, le ho cambiate quattro giorni fa. Ho sempre avuto paura di farlo perchè non avevo idea di quali servizi avrei bloccato rimanendo tagliato fuori. In realtà ho dovuto solo modificare le porte http/https standard (5000/5001) di quei tre quattro programmi che accedono da remoto, come DS File, Synology Drive e gli altri.

Non ci crederai ma gli attacchi dopo questa modifica sulle porte 5000/5001 sono scomparsi.

Ho cambiato anche la porta SSH di default. Ho programmato l'esecuzione automatica di Security advisor e samba era disabilitato da tempo anche se mi era utile per i pc windows ed il decoder in rete ....

Se hai altri consigli da darmi e voglia di rispondermi lo apprezzo tantissimo, anche perchè oltre al leggere qui: https://kb.synology.com/it-it/DSM/tutor ... nology_NAS non ho nessuno a cui chiedere....

Un saluto. Grazie ancora....
DS918+ 4x 4TB WD Red - 2x Samsung MZ-V6E250BW SSD 960 EVO, 250 GB, M.2, NVMe - DSM 7.x
burghy86
Moderatore
Moderatore
Messaggi: 11357
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Sicurezza: recenti, numerosi attacchi da botnet

Messaggio da burghy86 »

Be' ci credo che cambiando la 5000 e 5001 hanno smesso

La 5000 o quella che hai messo non aprirla su internet. Lascia solo la https

Smb in lan lascialo attivo. Se no da Windows come usi il nas?
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Rispondi

Torna a “Networking - Servizi e apparecchi di rete (cablaggio e config)”