Pomoc Łoł, jestem atakowany!

[Max4Life]

Witam serdecznie!

Po kilku latach używania TS-228 jako serwera multimedialnego dla PLEX-a i małego backupu danych zobaczyłem w powiadomieniach, że ktoś próbował się zalogować do mojego NAS-a. W czasie około 1 godziny około 200 prób logowania na konto admina. Nieudanych prób. No to włączyłem Dziennik połączeń systemowych i ... no i się zaczęło Tzn. pewno od dawna było, tylko ja tego nie widziałem:

W ciągu dwóch godzi prawie 500 prób połączeń. No nieźle ...

Mam takie pytanie: Jak mam ukryć mojego NAS-a przed dostępem obcych oczu z Internetu? Niech sobie działa tylko w sieci lokalnej. Choć nie do końca tak. Chciałbym mieć dostęp do PLEX-a z poza domu. Używam routera TP-LINK Archer C5. Bardzo proszę o pomoc. Co mam ustawić i gdzie: na routerze, czy na NAS-ie?

Pozdrawiam!

Wersja oprogramowania Firmware: 4.3.6.1070 Build 20190919
Model serwera: QNAP TS-228

 

[JayCee]

Wyłącz UPnP przynajmniej na QNAPie a najlepiej również na routerze i pozostaw przekierowany tylko port do PLEXa odpowiedni.
Na Qnapie włącz sobie wrzucanie adresu IP do zablokowanych po kilku nieudanych próbach. ControlPanel -> System -> Bezpieczeństwo -> Ochrona dostępu ....

 

[Usunięty użytkownik pigers]

włącz banowanie po 2 próbach w ciągu 30 sek
zmień porty na inne
np
ssh z 22 na 34492
www z 80 na 63291

przyczym ja zmieniam porty na routerze, a nie na qnapie , opcja przy przekierowaniu portów ;P

 

[jasperus]

Kiedyś miałem ponad 1000 prób logowania na admina przez SSH. Zmieniłem domyślny port i włączyłem banowanie IP po 5 nieudanych próbach w ciągu kilku minut. Od tamtego czasu nic

 

[Max4Life]

Bardzo dziękuję za pomoc!

Co zrobiłem:
1.) Wyłączyłem UPNP i Bonjour
2.) Pomyślałem o włączeniu banowania poszczególnych adresów IP lecz ... jest ich tysiące. Podejrzewam, że ataki (czy też nieudolne próby) idą z zainfekowanych komputerów. Czyli adresy IP mogą się dłuuugo nie powtarzać i wciąż mogą dochodzić nowe zaśmiecając listę. Od wczorajszego wieczoru do dzisiejszego ranka było ponad 6000 prób włamań. Nie podoba mi się to rozwiązanie.
3.) Ustawiłem w Panelu sterowania -> Bezpieczeństwo -> Lista dozwolonych/blokowanych -> Zezwalaj tylko na połączenia z listy -> Dodaj ... i tu wpisałem adres komputera z którego zarządzam moim QNAP-em. W routerze jest ustawiony na stałe. A później zmieniłem na "zakres adresów IP" spod których mogę się łączyć z moim NAS-em. Tak na wszelkie gdyby np. padł mi mój główny komputer i musiałbym połączyć się z NAS-em z innego.

Zadziałało mi rozwiązanie numer 3. Od momentu włączenia tego ustawienia w logach nie ma ani jednej próby włamania!

Sprawdziłem, czy mam dostęp do PLEX-a spoza sieci domowej. Mam A nawet działa Qmusic, Qvideo oraz Qmanager.

Jak myślicie: Czy jest coś, co mogę jeszcze zrobić w celu ochrony zasobów mojego NAS-a?

Bardzo dziękuję wszystkim za pomoc!

Pozdrawiam

 

[pecet]

Wystarczy włączyć połączenia tylko po HTTPS i powinno styknąć

Jak widać na załączonym obrazku ataki masz po http.

U mnie było tak samo i zmiana tylko tego ustawienia wystarczyła. Nic innego nie zmieniałem.
Oczywiście włączenie blokowania po nieudanych kilku próbach też mam włączone.

 

[_Floyd]

włącz banowanie po 2 próbach w ciągu 30 sek
zmień porty na inne
np
ssh z 22 na 34492
www z 80 na 63291

przyczym ja zmieniam porty na routerze, a nie na qnapie , opcja przy przekierowaniu portów

Nie można ustawić przy 2. Można przy 5.

Ja ze swojej strony polecam poszukać czy nie można w routerze odciąć świata po za Polską. Dzięki temu IP z zagranicy będą odrzucane już na poziomie Routera. Oczywiście nie każdy router ma taką opcję.

 

[Piotr Tworek]

Polecam stronę Shodan w której po wbiciu swojego publicznego adresu IP widać gdzie się mozna spodziewać luk

 

[prozak64]

W tym wypadku wystarczyło zmienić port systemowy w panelu sterowania np na 8006. I logować się poprzez ten port. Przekierowanie na ruterze tez jest konieczne.