NASのログに基づいて、私のIPアドレスがハッカーの標的になっていることに気付きました。 5回のログイン試行が失敗した後、IPアドレスを自動的に完全に禁止することで、すでに行動を起こしています。
残念ながら、ハッキングは複数の異なるIPアドレスを使用して処理されているため、ハッカーがIPアドレスを使い果たすまで、またはハッカーが正しいユーザー名/パスワードの組み合わせを取得するまでしか機能しないため、このセキュリティの試みは無効です。これは私にはかなりトリッキーに聞こえますが、これら2つのイベントのいずれかが発生するまで待ちたくありません。
禁止されているIPアドレスの一部をグーグル検索したところ、いくつかの「ハッカー」サイトにハッカーのIPアドレスとして表示されました。私は何かをする必要があり、心配事は正当化されますか?
パブリックネットワークに接続されているものについては:
あなたが説明したことから、特定のポートでIPを検索し、あらゆる種類のFTP、NAS:sのデフォルトのパスワード、または特定のワードリストからそれらを残酷に強制しようとしているボットからターゲットにされている可能性があります。私へのアドバイス:NASルーターのポートを今のところ閉じます。これらの攻撃を回避する方法はいくつかあります。1つの方法は、自宅に仮想プライベートネットワーク(vpn)を構築し、 NASそれから。
同じことをしようとする中国、フランス、その他の国のボットがたくさんいるので、心配する必要はありません。通常、noip.comのようにIPをポイントするDNSの種類を使用しているときにターゲットになります。
セキュリティイベント情報監視(SEIM)データを時々確認する必要があった人として、ポートスキャンされることは珍しいことではないと言えるでしょう。それは毎日と同じくらい頻繁に起こります。
インターネットへの接続は、にぎやかな通りへの玄関口のようなものです。あなたは人々があなたのドアをノックします。そして、彼らの一部はあなたのものを盗むことに興味があるかもしれません。
NASをインターネットに接続することを選択した理由がわかりません。接続しなかったはずですが、正当な理由がある可能性があります。接続する場合は、攻撃対象を減らしてください。ルーター経由で許可するポートとIPを制限し、NAS自体をできるだけロックダウンします。たとえば、使用しないサービスを実行しないようにします。また、ルーターが最新のファームウェアを実行し、既知のエクスプロイトを使用するリスクを最小限に抑えます。
アドバイス 上記のシュローダーから提供 はかなり良いと思います。しかし、あなたの特定の懸念について詳しく説明するには:
ユーザー名とパスワードの正しい組み合わせが得られたとき
これの確率は何ですか?
ランダムに生成された12文字の大文字、小文字、数字を含むパスワードを使用すると、約3 * 10になります。21 (6212)可能なパスワード。
1GBit/sでインターネットに接続している場合、理論的には攻撃者はブルートフォース攻撃として毎秒12文字のパスワードを約1200万回送信する可能性があります。その速度では、パスワードを推測するのに平均して約400万年かかります。したがって、適切なパスワードを使用すると、多くのIPからのブルートフォース攻撃にさらされても、非常に安全です。
もちろん、これは完全にランダムに生成されたパスワード(pwgen -s 12 1
など)を使用し、安全な乱数ジェネレータに基づいていることを前提としています。また、誰かがあなたのパスワードを傍受した場合(たとえば、デスクトップコンピューターでトロイの木馬を使用した場合、またはパスワードを書き留めて紙を紛失した場合、またはIRC; -))、パスワードのセキュリティは役に立ちません。
また、セキュリティバグがこれらのサービスで悪用される可能性を減らすために、公共サービスの数を減らすことは依然として良い考えです。
私の意見では、インターネットからのNASへの直接接続(ポート転送を含む)は絶対に禁止する必要があります。
ただし、そこにあるデータによって異なります。したがって、2つのオプションがあります。
それがあなたやあなたの友人/他の人々が使用することを意図されている一種のパブリックサーバーであることを意図しているなら、結局、接続を保ち、より安全にすることに集中してください。
ただし、機密データを保管している場合、機密性、可用性、または整合性が失われると、害を及ぼす可能性があります。ただちに接続を解除してください。今すぐということは、NASがハッキングされる可能性があり、データリークが多すぎる可能性があるというリスクを引き起こします(ここでも、データがNASがリーク/変更/削除されており、あなたにとってどれほど悪いか)。
2番目のケースでは、NASを保護しても問題は実際には解決されません。これは、障害/入り口の単一点に留まるためです。 。 2要素認証や3要素認証、ファイアウォールなどを使用して適切に構成した場合でも、システムが最新の状態であっても、適切に構成および保護されたサービスのゼロデイ脆弱性が存在する可能性があります。 NAS。 Heartbleedのように( 技術用語を使わずにHeartbleedを説明する方法 および OpenSSL TLSハートビート(Heartbleed)エクスプロイトはどのように機能するのですか? を参照)。 Heartbleedがゼロデイであり、適切に構成されていても、人々がSSL(HTTPS)をリッスンしているWebサーバーを使用していた場合、ログにアラートが表示されずにハッキングされる可能性があり、攻撃者は認証する必要がありません。まったく。
または、NASに関連する別の例: https://www.kb.cert.org/vuls/id/61591 。この脆弱性がゼロデイだった時期を想像してみてください。次に、Synology NASにインターネットに接続されたWebサーバーがある場合、「リモートの認証されていないユーザーがroot権限でシステム上のファイルに任意のデータを追加することを許可します」。これは、リモートの攻撃者が「任意のコードを実行する」( http://www.cvedetails.com/cve/CVE-2013-6955/ )。適切な方法でWebサーバーへのアクセスを制限した場合でも、サーバー自体の脆弱性のため、この場合は役に立ちません。
だから何をすべきか?
NASをルーターの背後に配置し、ルーターにVPNサーバーを構成します。次に、NASにアクセスするには、(1)VPN経由でホームネットワークに接続し、(2)NAS自体で認証する必要があります。したがって、今、あなたのデータにアクセスするには、誰かが最初にルーターをハッキングし、次にNASをハッキングする必要があります。ルーターで異なるソフトウェアが実行されている場合、すべてを適切に構成し、定期的に更新している場合、攻撃者は1日ではなく2回のゼロデイエクスプロイトを必要とすることを意味します。この対策により、保護レベルがさらに1つ追加され、攻撃者がNAS上のデータにアクセスすることがさらに困難になります。
もちろん、今ではファイルへのアクセスも複雑になっていますが、これはより高いセキュリティの代償です。時間とお金の両方を費やす必要があります(VPN対応ルーターを購入し、利用可能であれば静的IPアドレスに支払う(またはプロバイダーを切り替える)か、構成するなど)。その後、クライアントがインストールされている場合にのみVPNに接続できます。少し簡単にするために、クライアントレスVPNソリューションを検索することもできます。
NAS=:-複雑なパスワードパターン、2要素ログイン...-ルーターファイアウォールルールセットをオンにして強化する-オンにして強化するあなたのNASファイアウォール。-内部セグメントとインターネットからのTCPポートとサービスのアクセス制限。常にhttpsを使用-VPNを使用-すべてのサービスをオフにしてブロックするインターネットに公開する必要はありません-(NASにアクセスするために)インターネット経由で使用するユーザーアカウントに制限付きアプリケーションアクセスを割り当てます。
あなたはDenyHostsを試すことができます。すべてのユーザーから問題のあるIP番号を収集し、このIPのグローバルリストを使用してNASを保護することを選択できます。
私は4〜5年間問題なく使用しましたが、NAS=数か月前に再インストールしたとき、しばらくDenyHostsなしで実行してみました。その後、ログイン試行がポップアップしました。一週間も経たないうちに。