מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



נסיונות פריצה ל- NAS הביתי


   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
Amir64 (אמיר)
חבר מכור קשה
חבר מכור קשה

הצטרף בתאריך:
  Aug 02, 2012
הבעות תודה: 917
מספר הודעות: 6414

 #1  נשלח: ד' 19/06/2019 19:36
נסיונות פריצה ל- NAS הביתי

היום, החל משעה 18:30 ועדיין ממשיך, יש כל הזמן נסיונות התחברות עם משתמש אדמין ל- NAS.
בניגוד לפעמים קודמות, זה קורה מהרבה IP שונים לגמרי אחד מהשני, ובקצב גדול.
בשעתיים נרשמו יותר מ- 700 נסיונות התחברות.

לידיעתכם, ובדיקתכם.
מומלץ לבטל את אפשרות ההתחברות עם משתמש אדמין לשרת שלכם, או לוודא שיש סיסמה ממש חזקה.
| פרופיל | שלח הודעה | חפש
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 313
מספר הודעות: 2641

 #2  נשלח: ד' 19/06/2019 22:03

עדיף בכלל לא להשאיר שום דבר פתוח מבחוץ הוץ מVPN.
| פרופיל | שלח הודעה | חפש
Amir64 (אמיר)
חבר מכור קשה
חבר מכור קשה

הצטרף בתאריך:
  Aug 02, 2012
הבעות תודה: 917
מספר הודעות: 6414

 #3  נשלח: ד' 19/06/2019 22:27

נכון.

נתתי את הנתב שלי להורים.
כרגע אני עם הוטבוקס כנתב, ואי אפשר להגדיר בו VPN.
צריך לקנות נתב נורמאלי.

יש ב- NAS אפשרות VPN Server.
לא בדקתי עדיין מה זה יודע לעשות, ואם הוא יכול לתפקד במקום שהנתב יבצע את העבודה.
| פרופיל | שלח הודעה | חפש
TANDBERG (אביעד כהן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Feb 06, 2009

מיקום: מודיעין
הבעות תודה: 186
מספר הודעות: 4406

 #4  נשלח: ה' 20/06/2019 5:42

איזה דגם?
_________________
Vocare Ad Regnum
| פרופיל | שלח הודעה | חפש
ag43
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 66
מספר הודעות: 1012

 #5  נשלח: ה' 20/06/2019 7:46

תגדיר גישה מTRUSTED HOSTS בלבד.
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 453
מספר הודעות: 3801

 #6  נשלח: ה' 20/06/2019 9:03
Re: נסיונות פריצה ל- NAS הביתי

Amir64 כתב:
היום, החל משעה 18:30 ועדיין ממשיך, יש כל הזמן נסיונות התחברות עם משתמש אדמין ל- NAS.
בניגוד לפעמים קודמות, זה קורה מהרבה IP שונים לגמרי אחד מהשני, ובקצב גדול.
בשעתיים נרשמו יותר מ- 700 נסיונות התחברות.

לידיעתכם, ובדיקתכם.
מומלץ לבטל את אפשרות ההתחברות עם משתמש אדמין לשרת שלכם, או לוודא שיש סיסמה ממש חזקה.

א. אל תשאיר פורטים ב-NAS פתוחים לאינטרנט. יש המון בוטים שסורקים את האינטרנט כדי לאתר פורטים פתוחים לאינטרנט של מערכות שלא אמורות להיות נגישות לכל העולם (למעשה יש אפילו מנוע חיפוש בשביל זה!) וכלל האצבע הוא שכל אחד נסרק לפחות פעם בדקה. מערכת NAS פתוחה לאינטרנט זה משהו שמאוד מעניין, מסיבות ברורות. נסיונות ההתחברות שאתה רואה הם כנראה נסיונות התקפת Dictionary כלשהי וכתובות ה-IP השונות הן כנראה רשת Botnet אחת. יש מספיק מקומות שאתה יכול לקנות שירות פריצה כזה בגרושים ויש כאלה שזה מספיק משתלם להם.
ב. הדבר הכי טוב שאפשר לעשות הוא להשתמש בשרת VPN, כמו ש-evgenetic אמר, ושלא יהיה שום פורט פתוח לאינטרנט חוץ מהפורט של ה-VPN. אם אתה צריך גישה מרחוק אז תמיכה ב-VPN היא סיבה מספיקה לזנוח את ההוטבוקס ולקנות ראוטר פרטי.
ג. להפעיל VPN על ה-NAS זה אפשרי (אבל לא אופטימלי) בתור פתרון זמני. זה עדיף בהרבה מלפתוח פורטים אחרים של ה-NAS באופן ישיר לאינטרנט אבל לאורך זמן עדיף מאוד להשתמש בראוטר עם תמיכה מובנית. ראוטר טוב שתומך ב-VPN זה לא עד כדי כך יקר (בטוח עולה פחות מ-NAS...)
ד. עוד כמה פתרונות ביניים - תגדיר סיסמה חזקה שאינה מילה במילון, פרמוטציה קלה של מילה במילון ורצוי שגם לא תהיה בכלל אלפא-נומרית (כלומר שיהיו בה גם סימנים שאינם אותיות וספרות) כדי להקטין את ההסתברות להתקפת Dictionary מוצלחת.
ה. שנה את שם המשתמש מ-admin למשהו אחר (ולא טריוויאלי). מי שמבצע את ההתקפה הזאת כנראה יודע שמדובר ב-NAS וששם המשתמש הדיפולטיבי של ה-NAS הזה הוא admin. אם תשנה אותו הקשת מאוד על כל תוקף כי עכשיו הוא צריך לנחש גם את המשתמש וגם את הסיסמה.
ו. אם יש לך ב-NAS הגדרה לחסום כתובות IP שמנסות להתחבר הרבה פעמים ברצף אז תפעיל את ההגדרה הזאת, זה יאט מאוד כל אפשרות לתקוף אותך כי אפילו Botnet ענק לא יספיק אם כל כתובת IP נחסמת אחרי 3 נסיונות.
ז. שים את ה-NAS על פורט גבוה ולא סטנדרטי כדי להקטין את הסיכויים לעלות בסריקה. כל אחד נסרק ממש כל דקה שתיים בפורטים נפוצים כמו 80, 22 וכו', אבל ייקח הרבה זמן עד שמישהו יסרוק אותך בפורט 28429 לדוגמה.
ח. תעשה סריקת פורטים על ה-IP החיצוני של עצמך (יש מספיק שירותים באינטרנט שאפשר להשתמש בהם בשביל זה) כדי לוודא שאין עוד פורטים פתוחים שאתה לא יודע עליהם, במקרה שיש סגור אותם בראוטר מיידית. אם יש פורטים שהראוטר לא נותן לך לסגור אני מקווה שאתה כבר עומד עכשיו בתור בחנות מחשבים לקנות ראוטר חדש.
ט. גם אם אתה עושה את כל מה שרשום למעלה זה לא תירוץ לא להתקין עדכוני אבטחה שוטפים על ה-NAS שלך ברגע שיש. בנוסף VPN עדיין הוא הדרך הכי טובה לעבוד בטווח הארוך.
(3) הבעות תודה: mescaline , osh78 , urinka
| פרופיל | שלח הודעה | חפש
Amir64 (אמיר)
חבר מכור קשה
חבר מכור קשה

הצטרף בתאריך:
  Aug 02, 2012
הבעות תודה: 917
מספר הודעות: 6414

 #7  נשלח: ה' 20/06/2019 10:16
Re: נסיונות פריצה ל- NAS הביתי

NegativeIQ
תודה על התגובה המושקעת.

ד-ה. כמו שכתבתי בהמלצה שלי עצמי,
המשתמש admin לא פעיל בנאס, אז לא יצליחו להתחבר איתו, לא משנה מה הסיסמה שלו.
יש משתמשים אחרים שמוגדרים ב- NAS, ואף פעם לא היה ניסיון פריצה עם אחד מהם.

ו. יש אפשרות חסימה, וההגדרה מופעלת.
לא מזמן היתה התקפה ממספר IP קבועים, שרשומים ברוסיה ובטורקיה, והיה קל בנוסף להגבלת מספר הניסיונות, לחסום לגמרי נסיונות כניסה מאותם IP.
הפעם זה בקצב קבוע, כל 6-10 שניות ניסיון, מ- IP שונה לגמרי.
בטוח בוט, ולא נסיונות ידניים, או תוכנה על רשת אחת..

ז. המלצה טובה.
בינתיים סגרתי את הפורט שדרכו ניסו להכנס.

ח. בדקתי, אין פורטים פתוחים שאני לא יודע עליהם, רק הבודדים שמוגדרים בנתב..

ט. ה- NAS כל הזמן מעודכן.
אם כי כבר די הרבה זמן לא היה עדכון גירסה של QTS עצמו.

לא יהיה מנוס. אצטרך בוודאי ראוטר עם VPN, כי מתכנן להתקין מצלמות עם גישה מרחוק...
| פרופיל | שלח הודעה | חפש
Amir64 (אמיר)
חבר מכור קשה
חבר מכור קשה

הצטרף בתאריך:
  Aug 02, 2012
הבעות תודה: 917
מספר הודעות: 6414

 #8  נשלח: ה' 20/06/2019 10:17

TANDBERG כתב:
איזה דגם?

TS-453 PRO
| פרופיל | שלח הודעה | חפש
nir11
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Apr 21, 2007
הבעות תודה: 127
מספר הודעות: 2398

 #9  נשלח: ה' 20/06/2019 11:09

אני הייתי נוקט בפעולה פשוטה מאוד ב NAS - מקנפג לכטיס הרשת שלו default gateway שגוי. מצד אחד, בהנחה שכל המחשבים שלך על אותה רשת - זה לא יפגע בתקשורת שלו. מצד שני, ה NAS פשוט לא יוכל לקיים תקשורת על העולם החיצון. שום הודעה לא תצא ממנו החוצה. אם ה NAS מקבל עדיכוני תוכנה אוטמטיים ( ספק אם יש דבר כזה, אני פחות מכיר), אז זה יפסיק לעבוד לו. מעבר לזה, אין בעיה לטעמי. נשמע פתרון קל ופשוט. מה דעתכם? יש חורים?
| פרופיל | שלח הודעה | חפש
ag43
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 66
מספר הודעות: 1012

 #10  נשלח: ה' 20/06/2019 11:32

עדיין הדרך הכי פשוטה היא פשוט להגביל גישת ADMIN לרשת הביתית בלבד. אם יש אפשרות לסנן לפי מיקום גיאורפי בכלל טוב.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 476
מספר הודעות: 2396

 #11  נשלח: ה' 20/06/2019 11:48
Re: נסיונות פריצה ל- NAS הביתי

Amir64
·

למה בכלל אתה פותח גישה מכיוון האינטרנט ל-NAS שלך? הרי כל ראוטר, אפילו ההוטבוקס חוסם כברירת מחדל חיבורים מהכיוון האינטרנט לכל מכשיר ברשת הפנימית. ההצעות לעיל של [email protected] ו[email protected] לחלוטין מתוסבכות כי הפתרון הכי טוב בשביל לאפשר גישה ל-NAS רק מהרשת המקומית הוא פשוט לא להגדיר הפניית פורטים בראוטר.

אם יש צורך בגישה לקבצים של ה-NAS "מהאינטרנט", אז מומלץ מכל הבחינות להתשמש בפרוטוקול שמתאים לצורך כזה, כגון FTPS או SFTP. תשנה את הפורט לפורט לא סטדנרטי (שאינו נמוך מידי). כבר זה אמור להיות מספיק מבחינת אבטחה. אם אתה רוצה אבטחה יותר טובה, תשתמש ב-SFTP ותאפשר רק התחברות עם public key authentication.
| פרופיל | שלח הודעה | חפש
nir11
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Apr 21, 2007
הבעות תודה: 127
מספר הודעות: 2398

 #12  נשלח: ה' 20/06/2019 12:23

ברור שלא צריך להפנות פורטים בראוטר! מי שעושה את זה הוא ממש asking for it.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 476
מספר הודעות: 2396

 #13  נשלח: ה' 20/06/2019 14:37

אם לא מפנים פורטים אז אין גישה מהאינטרנט וכל ניסיון פריצה הינו מתוך הרשת המקומית. אם באמת יש ניסיון פריצה מתוך הרשת המקומית המצב דורש טיפול מיידי....
| פרופיל | שלח הודעה | חפש
oferlap
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 29, 2009
הבעות תודה: 5
מספר הודעות: 104

 #14  נשלח: ו' 21/06/2019 0:19

אצלי ב- NAS של Synology מופעלת אופציה של 2 step verification. ז"א גם אם מישהו מנחש או משיג איכשהו את השם והסיסמא, הוא צריך להקיש גם קוד זמני שאפשר לחולל רק בסמארטפון של המשתמש החוקי.
| פרופיל | שלח הודעה | חפש
mescaline (עדן שחף)
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Sep 27, 2018
הבעות תודה: 84
מספר הודעות: 993

 #15  נשלח: ו' 21/06/2019 8:43
Re: נסיונות פריצה ל- NAS הביתי

NegativeIQ
וואלה אתה נכס לפורום
תודה שאתה מחיה אותו בידע שלך ותורם כך
מהנה לקרא תגובות שלך
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון חורף - ישראל (GMT+2) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht