Ahoj, ¨potřeboval bych pomoc. Mám veřejnou ip adresu, zanedbal jsem ochranu a stal jsem se terčem útoku.
Hacker se mi dostal do všech účtů, které jsem měl v pc, do firemního webu, kde zrušil celý chod, začali mi chodit falešné objednávky na zboží atd..
Důvod proč mám adresu je NAS server Synology na který se chci připojit vzdáleně, přes internet. V tuhle chvíli jsem zrušil všechny účty a jedu od 0. Samozřejmě přeformátoval PC i NAS.
Otázka je jak se chránit. Napadenou adresu již nemám, nechal jsem si jí změnit - také veřejná.
NA nasu jsou dvě síťovky - má představa by byla asi taková, že na veřejné adrese by byl pouze nas LAN1 a zbytek domácnosti na neveřejné. S tím, že by byla druhá síťovka na nasu LAN2 propojená s domácí sítí.
Tím bych omezil napadení na LAn 1 na nasu a zbytek by byl chráněný - ale to je jen představa jak je to doopravdy?
Napadl mě hacker - jak řešit zabezpečení?
Moderátor: Moderátoři Živě.cz
Stránka 1 z 2 • 1, 2, • #
od vladimir 7. 12. 2013 16:42
Ano, kdekdo si pořizuje NAS, chce na něj přistupovat z internetu a neuvědomuje si bezpečnostní díru jak Brno (například nešifrované posílání hesel v FTP).
Zabezpečení provedeš tak, že koupíš pořádný router (Cisco, nebo alespoň Mikrotik), který bude sloužit jako VPN server a na NAS budeš přistupovat prostřednictvím VPN. Všechna ostatní připojení z internetu zakážeš (Pokud slouží NAS jako webový server, povolíš port 80.
Respektive najmeš si někoho, kdo ti to všechno nastaví).
Zároveň si zjisti, jestli tvůj mailový server podporuje šifrované připojení, pokud ano, využij toho, protože s dost vysokou pravděpodobností je ten hacker někdo, kdo má přístup k tvé internetové přípojce (soused, zaměstnanec providera), který může číst tvou mailovou komunikaci, pokud není šifrovaná.
Zabezpečení provedeš tak, že koupíš pořádný router (Cisco, nebo alespoň Mikrotik), který bude sloužit jako VPN server a na NAS budeš přistupovat prostřednictvím VPN. Všechna ostatní připojení z internetu zakážeš (Pokud slouží NAS jako webový server, povolíš port 80.
Respektive najmeš si někoho, kdo ti to všechno nastaví).
Zároveň si zjisti, jestli tvůj mailový server podporuje šifrované připojení, pokud ano, využij toho, protože s dost vysokou pravděpodobností je ten hacker někdo, kdo má přístup k tvé internetové přípojce (soused, zaměstnanec providera), který může číst tvou mailovou komunikaci, pokud není šifrovaná.
Naposledy upravil vladimir dne 7. 12. 2013 16:58, celkově upraveno 1
- vladimir
- Expert
-
od MichaelsCZ 7. 12. 2013 17:09
RB450G není zas taková raketa. A určitě se v okolí najde někdo, kdo pomůže s konfigurací.
- MichaelsCZ
- Junior
od snake33 7. 12. 2013 17:16
To je pravda, není to zas taková částka, děkuji za pomoc.
U Gmailu to jinak nejde, ssl je zapnuté ve výchozím nastavení.
Ještě se zeptám. Na stanici Synology - mám teď zapnuté ssl - pro přístup přes web, ale když tam najedu ssl je přeškrtnuté a červené. Myslím, ře je to nedůvěryhodný certifikát, ale je připojení stále šifrované?
U Gmailu to jinak nejde, ssl je zapnuté ve výchozím nastavení.
Ještě se zeptám. Na stanici Synology - mám teď zapnuté ssl - pro přístup přes web, ale když tam najedu ssl je přeškrtnuté a červené. Myslím, ře je to nedůvěryhodný certifikát, ale je připojení stále šifrované?
- snake33
- Junior
od mungo 7. 12. 2013 23:40
snake33 píše:...Ještě se zeptám. Na stanici Synology - mám teď zapnuté ssl - pro přístup přes web, ale když tam najedu ssl je přeškrtnuté a červené. Myslím, ře je to nedůvěryhodný certifikát, ale je připojení stále šifrované?
Do NASu Synology můžete naimportovat místo toho nedůvěryhodného originálu od Synology komerční certifikát třetí strany, viz blog zde, použít free SSL certifikát viz třeba zde nebo si vygenerovat self-signed SSL certifikát.
- mungo
- Junior
-
od remet 8. 12. 2013 11:40
Prvni dobrou veci asi bude vycisteni nasledku (a v zasade klidne celou preinstalaci OS - je to vetsi jistota, ze tam nekam neschoval nejakou botneti zombii) a zmena hesel uplne vsude (i tam kam se hajzlik zatim nedostal). Co se pripojeni tyka, tak sice na NAT vsichni nadavaji, ale takova jednoducha bezpecnostni berlicka to je, takze routrik s NATem a FW (ani neni treba packetfilter) bohate staci. Dovnitr forwardovat jen na pocitace a porty, ktere jsou k potreba a zbytek blokovat. Nakonec je spis otazka, zda jsi tomu "hackerovi" trosku nepomohl spustenim nejake vesele prilohy v mailu a nebo instalaci nejake supr hry z neznameho zdroje. To je IMHO rozhodne castejsi nez ze by se nekomu podarilo hacknout prosty pocitac byt klidne s Windows. Na serverech byva pro zmenu nejcastejsi nejaka dira v neosetrenych vstupech vlastniho webu a nebo instalace dirama prolezleho PHPMySQLadmina...
Ja jako router pouzivam Alix2D2. Je sice trosku drazsi (2800), ale zase bezny x86, coz je pro me vyhoda. A jinak je to ciste SW zalezitost - muj 60Mbit stiha.
Cisco bych po ruznych zkusenostech uplne nechtel. Sice od nich neco poruznu jeste pouzivam, ale oni maji s IOSem potize snad na vsech zarizenich. Kdyz napisu jen to co si ted z hlavy vzpominam... PIX, AS5300, 7500, 800 vsude nejakej pruser ruznych rozmeru a ruznym (ne)moznosti ho resit. Za me domu nebo do male firmy radsi neco+SW a do enterprise Juniper Networks.
Ja jako router pouzivam Alix2D2. Je sice trosku drazsi (2800), ale zase bezny x86, coz je pro me vyhoda. A jinak je to ciste SW zalezitost - muj 60Mbit stiha.
Cisco bych po ruznych zkusenostech uplne nechtel. Sice od nich neco poruznu jeste pouzivam, ale oni maji s IOSem potize snad na vsech zarizenich. Kdyz napisu jen to co si ted z hlavy vzpominam... PIX, AS5300, 7500, 800 vsude nejakej pruser ruznych rozmeru a ruznym (ne)moznosti ho resit. Za me domu nebo do male firmy radsi neco+SW a do enterprise Juniper Networks.
Linux? Nein, danke.
- remet
- Junior
od cabman 9. 12. 2013 18:36
Podle me ses peknej osly osel, omlouvam se ale je to tak. Vlastni absolutni neznalosti a snahou usetrit za odbornika si nechas zlikvidovat celou sit. A pak vlezes kde si od cizich lidi nechavas radit jejich moudra a zase chces usetrit a zase ti dopadne blbe.
Ja bych ti poradil abys vytahl par usmudlanych tisicovek a oslovil odbornika. A druha rada je neposlouchat bludy co se pisou kolegove.
Ja bych ti poradil abys vytahl par usmudlanych tisicovek a oslovil odbornika. A druha rada je neposlouchat bludy co se pisou kolegove.
- cabman
- Junior
od Matysek 9. 12. 2013 19:02
Ani Juniper/Cisco/SonicWall/... mu stejne nepomohou, protoze nema poneti co dela a musel by zacit nejen se precizne zajimat o celou problematiku, ale predevsim zmenit celkovy pristup a koncepci mysleni. Vsechno je jen tak dobre, jak dobry je spravce. Lidskou blbost nezastavi ani VPN s tokenem.
Polovina vyse zminenych osliku klido pido foukne hesla/klice kamkoliv a pro sichr to jisty heslem 123456, ci cokoliv, co bys mu proboril pres brute/rainbow.
Vyresis to jen tak, ze zmenis vse od piky a externi pristup vylucne z validniho pocitadla pres VPN.
Striktne pesimisticky pristup - co neni nezbytne nutne, to musi byt vzdy zakazano.
Polovina vyse zminenych osliku klido pido foukne hesla/klice kamkoliv a pro sichr to jisty heslem 123456, ci cokoliv, co bys mu proboril pres brute/rainbow.
Vyresis to jen tak, ze zmenis vse od piky a externi pristup vylucne z validniho pocitadla pres VPN.
Striktne pesimisticky pristup - co neni nezbytne nutne, to musi byt vzdy zakazano.
Naposledy upravil Matysek dne 9. 12. 2013 19:06, celkově upraveno 1
Definice moderatora Zive? Zookeeper. Vyhledat zbloudilou ovecku, ustajit, vycesat, nakrmit a zalozit chudince nadaci. Ovecka prece nemuze 5 minut myslet. Vsichni mame povinnost oveckam uvarit, precist pohadku a prispet do nadace.
- Matysek
- Expert
-
od Milanr1 9. 12. 2013 19:05
Problematika zabezpečení LAN = pětileté studium VŠ.
Přesto se Vladimír snažil a poskytl sice kusé, ale dobře mířené rady.
Co s tím?
Jsi správcem sítě?
ANO:
Doporučuji Ti aspoň odborné kurzy:
http://www.gopas.cz/Kurzy/Katalog-kurzu ... -CSCU.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... GOC51.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... GOC52.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... -GOC3.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... OC175.aspx
Základy bys mohl zvládnout intenzivním studiem už za rok.
NE:
nezbývá než abys
Přesto se Vladimír snažil a poskytl sice kusé, ale dobře mířené rady.
Co s tím?
Jsi správcem sítě?
ANO:
Doporučuji Ti aspoň odborné kurzy:
http://www.gopas.cz/Kurzy/Katalog-kurzu ... -CSCU.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... GOC51.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... GOC52.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... -GOC3.aspx
http://www.gopas.cz/Kurzy/Katalog-kurzu ... OC175.aspx
Základy bys mohl zvládnout intenzivním studiem už za rok.
NE:
nezbývá než abys
cabman píše:oslovil odbornika
Milan
- Milanr1
- Pokročilý
-
od snake33 11. 12. 2013 06:46
Děkuji za rozsáhlé odpovědi, je pravda že člověk se musí učit celý život...
Jen ještě přidám, Nechal jsem si změnit adresu, založil nový účet u Google a pracovní věci přesunul na disk Google. Další den jsem potřeboval v práci nějaký dokument a ejhle...
Všechny soubory byly přejmenovány.
Tak že teď mám jen složky 1 až 80 a v nich soubory File 1 - 2500. Asi si dovedete představit co je to za peklo v tom něco hledat...Jak se mu to povedlo? Stejně se ke mě dostal a to už účet byl nový...
Jen ještě přidám, Nechal jsem si změnit adresu, založil nový účet u Google a pracovní věci přesunul na disk Google. Další den jsem potřeboval v práci nějaký dokument a ejhle...
Všechny soubory byly přejmenovány.
Tak že teď mám jen složky 1 až 80 a v nich soubory File 1 - 2500. Asi si dovedete představit co je to za peklo v tom něco hledat...Jak se mu to povedlo? Stejně se ke mě dostal a to už účet byl nový...
- snake33
- Junior
Příspěvků: 19 | Stránka 1 z 2 • 1, 2, • #
Kdo je online
Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků