Kineserna försöker komma åt min NAS

Permalänk
Medlem

Kineserna försöker komma åt min NAS

Ungefär en gång i veckan får jag ett mail där en av mina NAS-enheter berättar att en IP-adress blockerats efter tio misslyckade inloggningsförsök på admin-kontot (som för övrigt är inaktiverat). IP-adresserna tillhör alltid CHINANET SHANGHAI PROVINCE NETWORK, vilket är föga förvånande. Den aktuella NASen gör inget annat än att köra Surveillance station för mina övervakningskameror från Hikvision och jag har DDNS aktiverat för att kunna använda DS Cam-appen i min telefon.

Även om jag är tämligen säker på att Kina inte kan ta reda på mitt användarnamn och lösenord känns det lite olustigt att de försöker, så jag aktiverade brandväggen i DSM och skapade tre stycken regler.

  1. Tillåt alla IP-adresser från Sverige

  2. Tillåt alla lokala IP-adresser

  3. Neka alla

Mitt tips är att göra detsamma om ni tillåter extern åtkomst till era enheter. Har ni andra tips får ni gärna fylla på med dessa.

Permalänk
Medlem

Ursäkta min okunnighet, men ännu säkrare är väl att sätta upp någon form av VPN-server på hemnätverket (kanske till och med går på NAS:en?) och inte exponera NAS:en mot internet direkt. Blir ju lite omständligare men då borde man vara säker mot bruteforceattacker likt denna. Är väl en massa botnät som skannar efter öppna portar och sårbara enheter så desto mindre man exponerar utåt ju bättre.

Visa signatur

Ryzen 3600 | ASUS X470-F | 16GB B-die | GTX 1070

Permalänk
Medlem

Det är inte kinesiska staten som försöker komma åt din NAS, vilket din formulering gör det lätt att tolka det som. Det är olika bots som skannar internet för att hitta enheter och ta över enheter som ofta antingen är kända för att ha sårbarheter som är enkla att utnyttja eller som folk ofta exponerar med standard-lösenord eller svaga sådana. Allt man exponerar mot internet kommer få intrångsförsök mot sig relativt frekvent.

En annan lösning är att sätta upp en VPN på någon burk hemma och sedan endast tillåta åtkomst den vägen, vilket också kommer runt begränsningen man annars stöter på när man vill nå den när man är ute och reset utomlands. Behöver man absolut exponera sin NAS mot internet bör man absolut överväga att låsa ner den så som du föreslår dock.

Visa signatur

Antec P280 | Corsair RM750x | ASUS ROG Crosshair VIII Dark Hero | Ryzen 9 5900X | G.Skill Trident Z RGB 3200MHz CL14 @3600MHz CL16 2x16GB | ASUS RTX 3080 TUF OC | WD SN850 1TB | Samsung 970 Pro 1TB | Samsung 860 Pro 1TB | Samsung 850 Pro 1TB | Samsung PM863a 3.84TB | Sound Blaster Z | 2x ASUS PG279Q

Permalänk
Arvid Nordqvist-mannen

Skapa nytt adminkonto, stäng av det inbyggda adminkontot. Använd VPN och exponera inte din NAS mot nätet direkt.

Din router eller NAS kan troligen användas som VPN-Server.

Permalänk
Medlem

Jag gör liknande för min FTP server. Ett par användarnamn som endast tillåter anslutningar från X land.
Ett exempel skulle kunna vara:
SWECswe
SWECire
SWECusa
osv.
Sen har jag "dummy konton" som följer samma standard utan några permissions alls, så att även om de gissar rätt lösenord så kommer de inte någon stans, bara så att de får 'false positive' att de är inne.

Vet inte om det jag gör är bra, fel, rätt eller vad. Jag bara tycker det känns rätt.

Visa signatur

Har jag uppgivit felaktig information? Rätta mig gärna, jag vet inte allt och kan ha fel.

Permalänk
Medlem

Bara en lösryckt tanke eftersom dina kameror är kinesiska och det är så många uppkopplade prylar som läcker data till företag numera; det är inte så att tillverkaren försöker koppla upp sig för att kolla uppdateringsstatus/firmware eller liknande?

Visa signatur

Vituð ér enn, eða hvað?

Permalänk

Kineserna har i 5 år försökt logga in på min hotmail och gmail. Önskar dem lycka till att knäcka 64-128 karaktärers random-genererade lösenord.

Visa signatur
Permalänk
Medlem

Använd nycklar istället för usr/pwd

Permalänk
Medlem

Kina kunde nog inte bry sig mindre om din NAS

Roligt formulerat I guess

Svenskarna försökte hacka mitt e-post konto. Sverige har ännu ej lyckats. Låter ju dock coolare än random basement nerd i världen försökte hacka mitt e-post konto

Permalänk
Musikälskare

Kanske är ute och cyklar men du kan inte black-lista den adressen i tex pi-hole (https://pi-hole.net/)

Bästa jag någonsin har installerat på mitt nätverk imo.

Visa signatur

❀ Monitor: ASUS Swift 27" @ 1440p/165Hz ❀ CPU: Ryzen 7700X ❀ Cooling: Corsair H170i ELITE 420mm ❀ GPU: MSI 3080 Ti SUPRIM X ❀ Memory: Corsair 32GB DDR5 Vengeance ❀ Motherboard: ASUS Crosshair X670E Hero ❀ M.2: Samsung 980 Pro ❀ PSU: Corsair HX1200 ❀ Chassi: Corsair 7000X ❀ Time Spy: 19 340

📷 Mina fotografier
🎧 Vad lyssnar du på just nu?

Permalänk
Medlem

Alla utrustning med publik IP-adress är utsatta för intrångsförsök - och så har det varit i årtionden.

Man är inte ett dugg intresserad av ditt innehåll i maskinen, men man vill ha kontroll av maskinen i sig så att den kan vara en av många miljoner som deltar i en överlast-attack (DDos-attack) när man önskar, med var och en egen unik IP-adress och bara fåtal försök per dag så att det inte blir blacklistad av den utsatta målet.

Eftersom det bara behövs ett fåtal försök per dag så kan man använda vilken simpel liter ARM-baserad enhet som helst för detta och därför är routrar, NAS, kameror och andra IoT-prylar så populärt att attackera då deras skydd ofta är dåligt till obefintligt, har bakdörrar etc. då kontrollen av använda prylens IP-adress när man önskar är det värdefulla och är handelsvaran i dom här kretsarna.

Permalänk
Medlem

@p.lindblom: Säkraste metoden är inloggningskort, därefter dubbla nycklar. Själv har jag dubbla nycklar på sever / WS vilket gör att det inte ens går att logga in på maskinerna utan att vara i min bostad (skulle någon av datorerna stjälas så skulle den få fel ip + plats).

Den här metoden fungerar väldigt bra speciellt på en bärbar dator exempelvis då det i princip krävs att just denna blir stulen, med inloggningskort + lösenord alternativt lösenord med max 10 försök så krävs det i princip att du får den bärbara datorn stulen av just "kineser" och dom har bara 10 ggr på sig att prova. Dom dubbla nycklarna gör att den bärbara datorn i detta fallet bara loggar in på min server, men eftersom det krävs en nyckel på båda maskinerna går det inte att logga in på min server, även om man får rätt IP, vilket i sig är värdelöst eftersom man skulle se ett lokalt IP på 192.168.X.X. eftersom jag skriver in mitt privata öppna IP varje gång jag ansluter och att det aldrig sparas.

Visa signatur

Server: Fractal design Define 7 XL | AMD Ryzen 7 5800X 8/16 | ASUS ROG CROSSHAIR VIII DARK HERO | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 21.3 Cinnamon