IP adressen blokkeren in router

[Psychosammie]

Op 25-6-2020 om 07:31, Kabeltje87 zei:

Alle moed verzameld en admin uitgeschakeld.

 

Volgens mij heb ik dit ooit als tip van Synology zelf gelezen. Heb je de Safety Advisor al gedraaid?

[Kabeltje87]

Ja.  Geen problemen.

[drz]

195.54.160.183

195.54.160.180

Voeg deze ook maar aan je blacklist toe, of liever nog, de gehele iprange van 0 tot 255

 

inetnum: 195.54.160.0 - 195.54.160.255
netname: RU-HOSTWAY-20191220
country: RU
org: ORG-HL233-RIPE
admin-c: HA4371-RIPE
tech-c: HA4371-RIPE
status: ASSIGNED PA
mnt-by: IP-RIPE
created: 2019-12-20T16:57:11Z
last-modified: 2020-05-14T10:09:37Z
source: RIPE

organisation: ORG-HL233-RIPE
org-name: Hostway LLC
org-type: OTHER
address: Pargolovo, 4-y Verkhniy per., 19A, pom. 40N, of. 10
address: 194292 Saint Petersburg
address: Russia
abuse-c: HA4371-RIPE
mnt-ref: IP-RIPE
mnt-by: IP-RIPE
created: 2019-12-18T14:49:59Z
last-modified: 2020-05-14T10:06:17Z
source: RIPE # Filtered

role: Hostway
address: Pargolovo, 4-y Verkhniy per., 19A, pom. 40N, of. 10
address: 194292 Saint Petersburg
address: Russia
abuse-mailbox: info@hostway.ru
admin-c: LD5970-RIPE
tech-c: LD5970-RIPE
phone: +7 495 4096573
nic-hdl: HA4371-RIPE
mnt-by: IP-RIPE
created: 2019-12-18T14:56:53Z
last-modified: 2020-05-14T10:07:15Z
source: RIPE # Filtered

[Mimisiku]

Je zou het eigenlijk moeten omdraaien.. Geen blacklist, maar een whitelist! Via internet wordt continue zowel door 'script-kiddies' als overheden actief 'gehengeld'. Ze gaan allang niet meer alleen PC'tje hacken. Het zijn de grote jongens die ze willen hebben.. De PC'tjes zijn leuk om er botnet's mee te voeden.. De Noord-Koreanen willen harde valuta, de Chinezen je 'eigenlijk alles', de VS je Twitter uitspraken tegen Trump (vul in: huidige president) en negatieve uitspraken in het algemeen. En de criminelen niet vergeten die lekker naar je geld hengelen om hun mislukte drug-deals te vergoeden...

[drz]

@Mimisiku, een whitelist is inderdaad een goede oplossing en alleen toelaten wat je wilt toelaten is de beste manier.

Helaas werken veel particuliere internetaansluitingen met een dynamisch ipadres, dus wanneer je vrienden en kennissen wilt toelaten op je netwerk gaat dat soms extra werk opleveren.

Voor bedrijven gaat dat een stuk makkelijker, tenzij er medewerkers vanuit prive of buitenlandse locaties willen inloggen.

 

 

[Mimisiku]

En dáárom wil ik niet van mijn huidige provider af . Vast IP dus geen gezeur met DynDNS, NoIP e.d.

[Big fellow]

2 hours ago, drz said:

Voor bedrijven gaat dat een stuk makkelijker, tenzij er medewerkers vanuit prive of buitenlandse locaties willen inloggen.

Ik mag toch hopen dat bedrijven een of andere VPN met Citrix oplossing heeft draaien, en niet gewoon IPs whitelisten en dan "direct" toegang geven tot het interne netwerk..

[drz]

Sommige bedrijven hebben hetzelfde probleem. Medewerkers met dynamisch IP. Dan kun je hooguit landen whitelisten maar botnets of nationale hackers ondervang je er niet mee.

Citrix is een client/server systeem, vergelijkbaar met VPN. Ook daar heb je te maken met ' black and whitelists' IP.

[Big fellow]

Wat mijn baas doet, en die hebben eigenlijk alleen maar gebruikers achter een dynamisch IP adres, is dat je eerst een VPN verbinding opbouwt, met een RSA token voor authenticatie, en dan als je eenmaal binnen bent, dan krijg je een Citrix desktop met daarop de enige remote desktop shortcuts die je mag benaderen. Ze hebben relatief weinig last van scriptkiddies. Het enige wat er wel eens gebeurt is een DDOS, maar dat is zelden...

[drz]

De gebruiker van het bewuste IP adres die ik vandaag geplaatst had, is een "brute force" hacker, een serieuze jongen dus. Aangezien het uit rusland komt en bewust landen binnen europa en de VS aanvalt, mag je er van uitgaan dat deze door de russische staat aangestuurd wordt.

Dit is geen indianen verhaal, dat kun je gewoon traceren en er zijn legio meldingen gedaan vanaf mei.

 

De meeste citrix/vpn van bedrijven sluiten IPranges af van buiten het werkgebied van medewerkers en laten alleen het ip range toe van de provider waar zij op geabonneerd zijn.

Een medewerker die wereldwijd inlogt, en waar ik er een aantal van heb, hebben meer aandacht nodig. Daar moet je serieuze regels voor maken.

[Michel]

Quote

De gebruiker van het bewuste IP adres die ik vandaag geplaatst had, is een "brute force" hacker, een serieuze jongen dus

dus een brute force hacker is een serieuze hacker? Dat moet je toch eens uitleggen...

[Big fellow]

Dat vond ik zelf ook een vreemde conclusie, evenals dat deze hacker door de russische staat aangestuurd wordt...

Mijn servers zijn continu onderwerp van brute force hackers, maar gelukkig staat mijn software zodanig ingesteld dat al deze hackers (scriptkiddies) automatisch op een blocklist komen te staan... Net ingerichte servers zijn even druk de eerste paar maanden, maar daarna wordt het vanzelf rustig in de logs.

 

Maar het ging hier over het blocken van IP adressen in een router. Dat kan met de (meeste?) standaard routers niet. Dan ga je waarschijnlijk uitkomen op pfSense achtige oplossingen...

[drz]

25 minuten geleden, Michel zei:

dus een brute force hacker is een serieuze hacker? Dat moet je toch eens uitleggen...

Tja, dat is eigenlijk wel een goeie. Ook dit kan gewoon een script zijn wat openlijk te koop is op het 'dark web'.

 

[drz]

23 minuten geleden, Big fellow zei:

......evenals dat deze hacker door de russische staat aangestuurd wordt...

 

Deze kan ik beter uitleggen en heb ik mede uit andere bronnen getapt die niet relevant zijn.

Het is namelijk niet de eerste keer dat er vanuit dit bewuste datacenter dubieuze activiteiten plaatsvindt.

 

edit: (worden postings die achter elkaar geplaatst worden niet meer automatisch samengevoegd?)

 

 

 

7 juli 2020 aangepast door drz

[Michel]

14 uren geleden, drz zei:

Tja, dat is eigenlijk wel een goeie. Ook dit kan gewoon een script zijn wat openlijk te koop is op het 'dark web'.

 

Te koop? Iedereen die Kali linux kan installeren kan dat.