SB3 - NAS - sikkerhet

Hei, Har følgende problemstilling ifbm ovennevnte.SB3,wireless.NAS koblet til trådløs modem/router vha ethernetkabel.Slimserver på pc(trådløs),som er W2K SP4.NAS'er har jeg linket opp som en hvilken som helst annen disk.Har fått 'besøk' på NAS'et,og denne disken har nå unix admin/admgroup som konger.Har etter hvert skrudd opp sikkerheten på modem/router,og på NAS'et(hadde public,skrudd av nå).Endret navn i modem/router på NAS'et,foreløpig ikke satt opp NAS'et som 'disk'.Allikevel ser jeg at NAS'et har besøk.Det blinker solid i nettverkslampa,og lokal tilkoblinga viser aktivitet i form av pakker inn/ut.Andre som har/har hatt tilsvarende løsninger/problemer,og som ev. kunne bidra med forslag til løsning av problematikken.Eller er det så enkelt som at med en slik løsning må man bare akseptere dette?All input mottas med stor takk!mvh

Umiddelbart vil jeg sige at har du MAC adressen lagt inn fra SB3 på routeren skulle det være nok. I Mac Address Filter kan du spesifisere hvilke enheter skal ha tilgang til din router, og dermed system.
Men, jeg har ingen erfaring med NAS.
Jeg har lagt inn WPA på min router dog, samt MAC adresse.
De pakker inn/ut kan vel være nok så normalt, eller ? Er interessert i å se respons her....

Jo da,mac'adresser ligger på for alle tilknyttede enheter.Nettverkstrafikken baserer seg på to observasjoner.Blinking fra nettverkslampe på NAS,samt spesiellt antal sendte pakker som ikke lenger øker når f.eks NAS'et blir slått av.Det er et stort antall akker det er snakk om.Og det er i hvertfall ikke jeg som har tildelt den mappede disken unix-tilganger/rettigheter.Disse lar seg heller ikke fjerne,noe som tyder på at 'de eies' utenifra.

det en enkel sak å sjekke hvem som er inne på nettet ditt v.h.a grensnittet til den trådløse ruteren din. Hvis det er tilfelle at noen er inne på nettet ditt, så er det bare å konfigurere trådløs ruter på nytt og legge inn nytt passord. Husk å bruke WPA(2) som sikkerhet. Med et litt tilfeldig og langt passord, er det ikke sjangs i havet for at noen skal kunne hacke seg inn på nettverket ditt.

Du kan evt kjøre er reset på NAS'en også.

Ikke lett dette her! ???Gått over på ethernet for en periode.Noen har nok helt sikkert vært inne og satt opp en form for forbindelse.Kan se ut som om det er satt opp slik at når jeg starter opp,så blir det sendt en request fra meg som blir tatt imot 'der ute'.Deretter må det så vidt jeg skjønner det bli satt opp en link.Det opereres med noe PPP PAP og LINK og en spesifikk ip-adresse som ikke tilhører meg.Dette ser da ut til å funke uavhengig om jeg kjører kablet eller trådløst?!?!Søker internt for øyeblikket.Noen som tilfeldigvis vet hvordan jeg kan kvitte meg med dritten?

Ærsj noe dritt når ting skjer som man ikke vil skal skje(prøv ctrl-alt-del)å se om det er noen av dine prog/prosses som har aktivitet du finner det i oppgave behandling.Ellers er det vel enklest å resete router -nettverk å sette opp på ny mot ISP.Tror jeg ville lett gjenom min egen maskinvare å sett om ikke den ukjente ip,n kunne stamme fra meg selv et sted.

Lykke til

Laban

du kan jo bytte passord på trådløs ruter og koble deg helt fra internett.
Hvis det fortsatt er stor trafikk, er det garantert noe hos deg.

En liten ide:du kan jo pinge ip,n å se hva slags svar du får.

Mvh

Laban

Får svar på ping,men ikke riktig sikker på hva jeg leser ut av den?Nå ser jeg også at intrusion statistikken som jeg hentet opplysninger fra i sted er tømt.
Så da blir det vel nytt passord sånn til å begynne med!

Kjør en trace rute; f.eks tracert 193.69.165.21 ( ip'en du vil trace)

Se hvor mange hopp den har og hvilke adresser den går via

Prøv å søke opp ipadressen med Whois Lookup, så kan du kanskje finne ut hvor adressen befinner seg og hvem den er registrert på.

http://www.whois.sc/

Ping'en viser to hopp.Først via mitt modem/router og så...rosinen i pølsa.Norway Stavanger Telenor Business Solution As. remarks: for abuse matters , mailto abuse@telenor.net!!!!!!
Og mindre og mindre skjønner jeg???Med nettrafikken på NAS'et kan ikke dette ha vært normal trafikk fra Telenor sin side.Tenker jeg
sender de en mail i morgen og spør hva dette er.

Eh, ja, jeg sjekket min router, Active Sessions, og fikk opp masse ip´er, bl.a.:
inetnum: 195.159.128.224 - 195.159.128.255
netname: UNIWEBAS-NET
descr: Uniweb AS
country: NO
admin-c: AH1543-RIPE
tech-c: PH92-RIPE
status: ASSIGNED PA
mnt-by: POWERTECH-MNT
remarks: Abuse reports to
source: RIPE # Filtered

role: PowerTech Hostmaster
address: PowerTech Information Systems AS
address: Postboks 856 Sentrum
address: N-0104 Oslo
address: Norway
phone: +47 23 01 00 40
fax-no: +47 23 01 00 01
remarks: trouble:
admin-c: OH5
tech-c: OH5
nic-hdl: PH92-RIPE
mnt-by: POWERTECH-MNT
source: RIPE # Filtered
abuse-mailbox:

person: Navn slettet....
address: UniWeb AS
address: Stensarmen 4
address: 3112 Tonsberg
address: NORWAY
phone: +47 33333820
nic-hdl: AH1543-RIPE
mnt-by: NO-NEXTGENTEL-MNT
source: RIPE # Filtered

route: 195.159.0.0/16
descr: NO-POWERTECH
origin: AS5381
mnt-by: POWERTECH-MNT
source: RIPE # Filtered

Whois Record
OrgName: C I Host
OrgID: CIHS
Address: 1851 Central Drive
Address: #110
City: Bedford
StateProv: TX
PostalCode: 76112
Country: US

NetRange: 69.13.0.0 - 69.13.255.255
CIDR: 69.13.0.0/16
NetName: CIHS
NetHandle: NET-69-13-0-0-1
Parent: NET-69-0-0-0-0
NetType: Direct Allocation
NameServer: NS.CIHOST.COM
NameServer: NS2.CIHOST.COM
Comment:
RegDate: 2002-12-04
Updated: 2003-10-10

RTechHandle: NC61-ARIN
RTechName: Network Operations Center
RTechPhone: +1-888-868-9931
RTechEmail:

OrgAbuseHandle: ABUSE821-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-888-868-9931
OrgAbuseEmail:

OrgTechHandle: NC61-ARIN
OrgTechName: Network Operations Center
OrgTechPhone: +1-888-868-9931
OrgTechEmail:

CustName: Private Customer - CI Host
Address: Private Residence
City: 7357 Skaun
StateProv: ---
PostalCode: ---
Country: NO
RegDate: 2005-02-14
Updated: 2005-02-14

NetRange: 69.13.152.1 - 69.13.152.254
CIDR: 69.13.152.1/32, 69.13.152.2/31, 69.13.152.4/30, 69.13.152.8/29, 69.13.152.16/28,
69.13.152.32/27, 69.13.152.64/26, 69.13.152.128/26, 69.13.152.192/27, 69.13.152.224/28,
69.13.152.240/29, 69.13.152.248/30, 69.13.152.252/31, 69.13.152.254/32
NetName: CLICKIT
NetHandle: NET-69-13-152-1-1
Parent: NET-69-13-0-0-1
NetType: Reassigned
Comment:
RegDate: 2005-02-14
Updated: 2005-02-14

RTechHandle: NC61-ARIN
RTechName: Network Operations Center
RTechPhone: +1-888-868-9931
RTechEmail:

OrgAbuseHandle: ABUSE821-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-888-868-9931
OrgAbuseEmail:

OrgTechHandle: NC61-ARIN
OrgTechName: Network Operations Center
OrgTechPhone: +1-888-868-9931
OrgTechEmail:

Sweden double click

Whois Record
OrgName: Google Inc.
OrgID: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US

NetRange: 64.233.160.0 - 64.233.191.255
CIDR: 64.233.160.0/19
NetName: GOOGLE
NetHandle: NET-64-233-160-0-1
Parent: NET-64-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.GOOGLE.COM
NameServer: NS2.GOOGLE.COM
NameServer: NS3.GOOGLE.COM
NameServer: NS4.GOOGLE.COM
Comment:
RegDate: 2003-08-18
Updated: 2007-04-10

RTechHandle: ZG39-ARIN
RTechName: Google Inc.
RTechPhone: +1-650-318-0200
RTechEmail:

OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc.
OrgTechPhone: +1-650-318-0200
OrgTechEmail:

Og masse masse mer.....,bl.a. NRK var innom også, er det markedsundersøkelser, spam osv ?
Kanksje jeg skal aktivere Access Control på min router ?
Hva betyr dette i routeren : IGMP Multicast memberships , ser ikke ut til den kan deaktiveres.

Jeg kjører med den mest avanserte krypteringen på min router. Får en god del mail fra routeren om diverse "tcp request" som er blitt avvist. Har aldri sjekket disse før, men prøvde "who is" som er nevnt på siden her. Og det var ganske mye ja, alt fra Leeds, Polen, Litauen. Så det med sikkerhet er nok ikke så dumt nei.

Trur det klokeste svare får du hvis du spørr folka på http://itpro.no/ dem er like hekta på data som detta fora er på hifi

Laban

Jeg tror det er helt normalt at nettverkslampen blinker selv om det ikke er "noen inne". Har du mulighet til å sette NAS'et til "wake up on LAN"? Da kan du gjøre det, skru den av og se om den har skrudd seg på etter en stund. Har den det er du rimelig sikker på at virkelig har vært noen inne.

Uansett håper jeg du holder oss orientert om hvordan det går. Jeg kjører med NAS med Slimserver selv.

mvh,
OS

Takker for all mulig hjelp så langt.Har satt opp modem/router på nytt.Strengeste regime nå,med passord,wpa og full pakke. :-XSå får jeg studere litt rundt NAS'et før det går på igjen.Kan se ut som om det kanskje var både front- og bakveier inn.Kommer tilbake når jeg setter'n i drift igjen,med observasjoner osv.Her ska're følges med. :

Da er sikkerheten skrudd til,nå høyeste wpa nivå.Noe som igjen eliminerer nas'et som lydoppbevarer.Støtter så vidt jeg kan se ikke wpa,kun wep.
Støtter f.eks infrant readynas wpa?Kom ikke gjennom til sidene deres,så jeg fikk ikke sjekket.Ev. fordeler/ulemper med denne blant dere som bruker'n.
Tar gjerne mot sysnpunkerpå det au.Når det gjelder Telenor så var vel det ikke annet enn sjekk/oppdatering av modem/router. :-[Hihi!!!!

Generelt: dårlig erfaring med kvaliteten i software-brannmurer. Man bør ha en hardware-brannmur, dvs. BOKS, enten som egen løsning etter modem/router fra ISP eller en router fra ISP med innebygget brannmur og det holder ikke med bare NAT konvertering, blir for enkelt å hacke.

Driver mye med sikkerhetsløsninger og nett/WEB i jobb.

Rimelig forslag:

F.eks. Zyxel Firewall 5, kurant til formålet, støtter flere samtidige VPN tunneler, f.eks. til jobb etc.

WEP 128bit er helt kurant til hjemmebruk. Sett opp MAC adresser på alle kort/adaptere i nettet i routeren i tillegg og du er i boks.

Så du mener jeg trygt kan gå tilbake til wep-kryptering?Og dretter prøve å konfigurere opp nas'et på nytt.Ser at det nok er et par ting jeg kunne gjort bedre ved forrige forsøk.Skal et hvert nas kunne holdes unna 'offentligheten'?Har forøvrig brannmur i modem/router.