Pagina 1 di 1
intrusioni da esterno
Inviato: giovedì 2 aprile 2015, 11:01
da gianry
Dal log del synology ho notato che dall'esterno avvengono parecchi tentativi di intrusione contrassegnati con il simbolo rosso dell' ALERT (categoria DAEMON, programma RADVD)
Ma sono andati a buon fine oppure no ? C'è la possibilità di fare qualcosa per evitarli ?
Re: intrusioni da esterno
Inviato: giovedì 2 aprile 2015, 12:12
da dMajo
Se fossero andati a buon fine non sarebbero stati loggati.
Il log avviene per credenziali di autenticazione errate.
Attiva il blocco automatico per evitare che dopo una serie ti tentativi errati utente e password alla fine vengano sgammati. Un settaggio ragionevole potrebbe essere la regola del 3 quindi 3 tentativi in 3 ore (180') e ripristino dopo 3gg.
Usa una password complessa: lunga almeno 8 caratteri e composta da maiuscole, minuscole numeri e simboli (!,?,$,@,#,...) che i numeri non rappresentino date facilmente riconducibili a te (compleanni, anniversari ...) ne ad esempio l'anno corrente (2015). Cambia periodicamente la password, perlomeno dell'account amministratore. Quando ti colleghi da remoto, ove non strettamente necessario, evita di usare le credenziali dell'amministratore.
Se poi vuoi mettere al sicuro anche l'altra parte delle credenziali, il nome utente, in quanto l'amministratore è generalmente noto, crea un altro utente, assegnali i diritti di amministrazione e disabilita l'utente "admin". Se la psw e sufficientemente complessa con il blocco automatico attivo questo passaggio può anche considerarsi opzionale o superfluo.
Re: intrusioni da esterno
Inviato: giovedì 2 aprile 2015, 12:31
da gianry
dMajo ha scritto:Se fossero andati a buon fine non sarebbero stati loggati.
Il log avviene per credenziali di autenticazione errate.
davvero ? ... ho provato a sbagliare di proposito le credenziali (dall'esterno alla rete) ma non compare nel log il mio indirizzo IP
Re: intrusioni da esterno
Inviato: giovedì 2 aprile 2015, 13:06
da dMajo
dMajo ha scritto:Se fossero andati a buon fine non sarebbero stati loggati.
Scusa mi sono espresso male io ... nel senso che se le credenziali sono giuste non è ovviamente un alert ma un normale messaggio informativo di logon avvenuto.
Intendevo dire se fossero andati a buon fine non sarebbe stato un tentativo d'intrusione ma la normale attivita (logon) utente.
La visualizzazione dei registri di log è centralizzata, purtroppo però le impostazioni su cosa loggare sono un po' sparse in giro.
Re: intrusioni da esterno
Inviato: giovedì 2 aprile 2015, 14:03
da gianry
dMajo ha scritto:
La visualizzazione dei registri di log è centralizzata, purtroppo però le impostazioni su cosa loggare sono un po' sparse in giro.
questa non l'ho capita ?
Allora: io cerco di loggarmi dall'esterno della mia rete dove è ubicato il nas e sbaglio la password volutamente... dovrebbe comparirmi nel log l'Alert rosso ? se è come dici tu .... altrimenti quell'alert che ho scritto sopra cosa vuol dire ?
Re: intrusioni da esterno
Inviato: giovedì 2 aprile 2015, 16:34
da dMajo
Posta un'immagine.
Per log centralizzato intendevo dire che nel "Loc Center" tu vedi in un unico posto tutti gli eventi loggati, siano di logon, che accesso/trasferimento file, che blocco ip dalle varie app comprese quelle opzionali quali ad esempio mailserver. Veni inoltre anche eventi syslog esterni se su router, switch, stampanti di rete configuri il nas quale syslog server.
L'impostazione però di quali eventi loggare la devi fare in posti diversi. Ad esempio se tu volessi loggare modifiche/accessi/trasferimenti di file l'opzione la devi attivare nelle impostazioni della file station, per gli stessi log ma da accessi smb invece l'abilitazione va fatta nel pannello di controllo/servizi file. Non c'è insomma una schermata riepilogativa dove impostare centralmente gli eventi che si vogliono loggare.
Re: intrusioni da esterno
Inviato: giovedì 2 aprile 2015, 16:57
da gianry
dMajo ha scritto:Posta un'immagine.
Per log centralizzato intendevo dire che nel "Loc Center" tu vedi in un unico posto tutti gli eventi loggati, siano di logon, che accesso/trasferimento file, che blocco ip dalle varie app comprese quelle opzionali quali ad esempio mailserver. Veni inoltre anche eventi syslog esterni se su router, switch, stampanti di rete configuri il nas quale syslog server.
L'impostazione però di quali eventi loggare la devi fare in posti diversi. Ad esempio se tu volessi loggare modifiche/accessi/trasferimenti di file l'opzione la devi attivare nelle impostazioni della file station, per gli stessi log ma da accessi smb invece l'abilitazione va fatta nel pannello di controllo/servizi file. Non c'è insomma una schermata riepilogativa dove impostare centralmente gli eventi che si vogliono loggare.
ok, questo lo sapevo e mi è chiaro.
Io voglio solo sapere per messaggio ALERT intrusion cosa si intende e quindi che misure devo adottare per prevenire problemi
grazie