ataque por fuerza bruta: ip 188.214.39.61

[Ganekogorta]

Hola me ha estado pasando lo mismo, he tenido un monton de intentos de acceso a través de la cuenta de admin.
Comenzaron los ataques con la IP 34.73.13.83 que es de Houston, USA.
Como tengo otro usuario con privilegios de administrador decidi dar de baja el admin. y gestionar a traves del otro, y bloquear esa IP.
Al día siguiente nuevo ataque con la IP 188.166.28.211 De un hosting holandes.
Entonces busque el rango comun de IPs de Telefonica, mi proveedor, y cerre todo el resto del tráfico a las IPs que estuviesen fueran del rango del 79... al 88...
Al día siguiente recibí otro ataque desde...
81.29.192.212 Que corresponde a un proveedor de hosting Italiano de Milan. Curiosamente entraba en el rango, pero puse un rango tan amplio porque ponerlos los... cerca de 50 tramos que tiene telefonica era una locura.

Sospecho que son los mismos, mas que nada porque hacia meses que no tenia algo así y de repente ha pasado, creo que han encubierto su ip original por las otras a traves de una vpn como esta al otro día...

185.236.201.132

Hola
En esa batalla es mejor hacer lista blanca de accesos y una lista negra dinámica.

Lo de desactivar el admin y la activación de la seguridad está bien. Ah que siempre es mejor tener cerrado el puerto en cuestión.
Y si queremos acceder vía web desde el exterior, yo recomiendo usar la nas como servidor VPN, cerrar el acceso web en el router y asunto arreglado.

bueno, pues una vez vistas las alternativas el paso siguiente que quiero consultaros es anular el acceso de gestion externo y dejar la gestion solo desde casa. Ya que el router solo tiene archivos privados de estudio de la familia y mios, y yo voy a estar siempre cerca.

Buena opción, solo acceso a los del segmento de tu red interna.

Pero si cierro la gestion externa del nas anulando los puertos (80 y 443) entonces no funcionará el servicio de ssl de Let's Encrypt que estaba a punto de activar y me exigió esta disponibilidad de puertos.

El certificado te seguirá funcionando, pero cuando te toque renovar, abre de nuevo los puertos, renuevas y cierras.
Aúnque no sé que sentido tiene tener un certificado si tu acceso es local.
Los certificados se usan para que el usuario que accede a tu máquina desde el exterior vea que la dirección a la que accede y el certificado ssl coinciden.

No tiene sentido para los clientes internos.

¿Es posible que el ataque pueda borrar archivos si entran como alguno de los usuarios o es mucho mas efectivo y seguro bloquear la gestion externa de un administrador, y no preocuparme del acceso como usuario (activando Let's Encrypt)?

Son cosas complementarias.
El desactivar el usuario admin está bien siempre que tengamos otros con sus privilegios. Y el certificado así ssl sirve para que los que acceden a nuestra nas puedan establecer una conexión segura. En no mucho tiempo las navegaciones por puertos sin ssl no serán permitidas por los navegadores (o nos pondrán muchos impedimentos para usarla esa web)

[Tintilla]

Muchas gracias por la rapida respuesta Ganekogorta, yo he sido mas lento.

Sobre la lista blanca, la tengo como comenté aunque bastante amplia, esto es porque aunque la gestion administrativa la he limitado a local, si que necesito tener acceso a los archivos desde cualquier lugar, en ellos hay carpetas de varios estudiantes y necesitan poder acceder desde lugares diferentes, con seguridad. Pero sus IP's cambian asi que no puedo fijar una lista blanca muy restrictiva.

Por cierto, ¿como se establece una lista negra DINAMICA?.

De todas formas me dices que anule los puertos 80 y 443, pero entonces ¿no sera posible el acceso desde el exterior?

¿Que servicios recomiendas desde un punto de vista medianamente restrictivo para acceder desde el exterior?

SSH, SFTP, ...

un saludo.

[Ganekogorta]

Hola

Si no vas a tener la nas accesible a nivel público. Lo mejor es tener un único puerto abierto...en de OpenVPN.

Una vez te conectas como cliente accedes a TODO lo de la nas y de tu red de casa (tu router, tu impresora de red, tu TV.....)