Seguridad Qnap ¿ posible ataque externo SSH ?

[Rayeta76]

Hola amigos del club,

Sigo recibiendo ataques en mi qnap por SSH. Pero ahora han cambiado el patron de ataque han cambiado el tiempo de ataque, antes en un minuto intentaban acceder mas de 5 veces, por lo que la ip era directamente puesta en lista negra y punto. Ahora han cambiado 2 cosas, ya no intentan entrar con el nombre de usuario "root" ahora han optado por otro típico de cualquier router la famosa "1234" por suerte la contraseña es larga y con mayúsculas, minúsculas símbolos y caracteres especiales. No has que poner las cosas fáciles.

Por otra parte voy a explicarme por partes de la manera mas sencilla que se y si me equivoco que alguien con mas experiencia me corrija.

Ya muchos estamos habituados a trabajar con las ip locales si las famosas 192.168.1.1 ( router por defecto ) o 192.168.0.1 ( router por defecto de otra compañía ) y que dentro del rango 192.168.1.*** como es mi caso estoy dentro de mi red. Aunque se sale un poco del tema, no hay que olvidar el tema de la mascara de red una IP 192.168.1.2 con una mascara de red 255.255.0.0 no vera la red principal con mascara de red 255.255.255.0.

Estas Ip a las que estamos mas o menos habituados no sirven de nada fuera de nuestra red local ( ose todo lo conectado al router por wifi o swich ) vamos por cable o inalámbrico.

Estas ip de lo que se llama red interna o local ( no sirven para nada fuera de nuestra red interna, local o intranet, como la queráis llamar ).

Lo que realmente identifica nuestra equipos en la central telefónica o desde fuera de la red es nuestra IP Publica que podéis averiguar desde el Nas o en esta web http://cual-es-mi-ip-publica.com/. Esta IP es a la que se dirige un pirata informático.

La asigna el distribuidor de la red y a no ser que tengais dinero de sobra es normalmente IP dinamica, no estatica.

Diferencia:

Estática: para empresas y pimes que necesiten servidores, ellos pagan un plus para que su ip publica 96.152.24.1 se siempre suya, no cambiara nunca es decir 96.152.24.1 es la ip de la empresa www.tomatesverdes.com.

Dinámica: la mayoria de los humanos, la asigna la empresa de adsl y mantienen un registro de que ip publica usa un usuario en ese momento ( porque ese registro, por si hace cosas ilegales trincarte ), ya que esa ip no es nuestra, cada vez que apagamos el router y esperamos un tiempo para que la central de esa ip a alguien diferente, cuando encendamos de nuevo el router tenemos una IP publica diferente. Por eso llevan el registro de usuarios, cosa que en algunos países es prohibido dar por la ley de protección de datos y de aquí la red thor que se conecta a servidores en países que no están obligados a dar la informacion de las IP publicas. Así si piensas atacar un banco por Internet primero roba la contraseña del vecino para que lo trinquen a el.

En resumen, que he apagado el router de Orange, y  he arrancado con una IP publica distinta, pero he aquí la sorpresa, sigo teniendo ataques por SSH, ¿ como han localizado mi dirección IP publica de nuevo de nuevo ? Las locales son las mismas pero da igual a esas desde fuera solo accedes por la IP publica y ahora no es la misma.

¿ que alguien me lo explique ? Lo que esta claro que están usando lo llamado un robot de software y han cambiado el intervalo de conexiones para que no ponga la ip en lista negra a la primera.

Yo de momento se lo que voy a hacer, reiniciar el router y abrir solo los puertos necesarios, y desde luego del de SSH no lo voy a abrir.

No hay que olvidar que la primera puerta de defensa es el router y desde la ip publica es como acceden a nuestro nas, si en el router tenemos el puerto SSH abierto pues ya tienen acceso al nas por ese puerto.

Como yo solo me conecto a mi nas por SSH en local con tenerlo activo en el nas pero cerrado en el router se termino el problema.

Aquí pongo un pequeño ejemplo de zenmap y como te dice que puertos están abiertos en un dominio web, server, router o nuestro nas.