meldingen 'LAN access from remote'

[arnor]

Vanuit mijn router (een Netgear R7000) krijg ik plotseling meldingen zoals onderstaand weergegeven. Ik plaats nu 6 regels maar ik zou er honderden kunnen plaatsen.

[LAN access from remote] from 5.101.40.66:54149 to <ip-nas>:25, Tuesday, May 15,2018 14:21:30
[LAN access from remote] from 61.19.213.170:26393 to <ip-nas>:445, Tuesday, May 15,2018 14:21:15
[LAN access from remote] from <ip-extern>:53820 to <ip-nas>:993, Tuesday, May 15,2018 14:18:43
[LAN access from remote] from <ip-extern>:53819 to <ip-nas>:993, Tuesday, May 15,2018 14:18:43
[LAN access from remote] from 137.117.170.204:34974 to <ip-nas>:993, Tuesday, May 15,2018 14:17:03
[LAN access from remote] from <ip-extern>:56482 to <ip-nas>:993, Tuesday, May 15,2018 14:16:28

De remote-adressen zijn mij onbekend, behalve daar waar staat vermeld <ip-extern>. <ip-extern> is namelijk mijn ip-adres bij Ziggo. De verbindingen zijn kennelijk allemaal bedoeld richting NAS en betreft dus een aantal poorten die ik o.a. gebruik voor de e-mailserver en dus openstaan. Vreemd vind ik hierin het eigen ip-adres.

De situatie is dat de router van Ziggo (een TC7200.U) is gebridged. Daarachter is dus de Netgear geplaatst die verder alle verkeer regelt.

Dit soort meldingen heb ik nooit eerder gehad. Inmiddels heb ik uitgebreid gezocht op forum-sites van Netgear. Daar is er veel over te vinden. Meestal blijkt de oplossing te zijn om UpnP en DMZ uit te schakelen. Bij mij echter zijn die nooit ingeschakeld geweest. Daarnaast komen er meldingen indien men camera's heeft aangesloten. Ook dat is bij niet het geval. Zekerheidshalve een firmware-update geinstalleerd maar de meldingen blijven.

De enige verandering die sinds kort is aangebracht is dat ik de nieuwste versie van Windows 10 heb geïnstalleerd. Ook op de fora van Windows heb ik gezocht maar hierover ook niets kunnen vinden.

Is er iemand onder de lezers die hierin iets herkend dat mogelijk met de Synology DS215+ heeft te maken (bijvoorbeeld na updates). Of ideeën heeft in welke richting ik zou moeten zoeken.

[Briolet]

Je eigen IP krijg je normaal via nat-loopback als je je eigen domeinnaam vanuit de LAN aanroept. Dat kan dus gewoon je eigen PC zijn die kijkt of er mailupdates zijn.

Die externe adressen kunnen idd mensen zijn die proberen in te breken. Waarom anders benaderen ze de IMAP poort van een vreemde server? Maar5 dat is geen reden waarom je dit nu plots ziet. Het lijkt mij dat dit er altijd al was, maar nu gelogd wordt. Dat laatste kun je jammer genoeg niet verifiëren op de nas, want IMAP toegang wordt niet gelogd in het maillog.

Zelf heb ik op de IMAP poorten een firewall regel met regio blokkade. Alleen die landen vanwaar uit ik bij mijn mail wil. (Als ik zelf in het buitenland ben, kan ik die regel desnoods tijdelijk aanpassen)

[arnor]

Inmidddels ben ik wel wat verder gekomen. Bij het verder zoeken naar oplossingen kwam ik een goede week geleden het volgende beicht tegen:

https://www.security.nl/posting/563179/FBI+neemt+domeinnaam+VPNFilter-malware+in+beslag

Dit bericht gaat dus over de router die ik in dit vehaal meldde. Conform het verzoek van de FBI heb ik de router teruggebracht naar fabriekinstellingen en ooknog eens aanvullene firmware geladen. Alles weer opnieuw ingesteld enzovoorts.

Het heeft niet echt geholpen. Ik zie dat vooral de berichten vanuit mijn eigen IP-adres (dus via NAT) toenemen waaarbij van steeds meer poorten gebruik wordt gemaakt. De NAS vangt nu ook bij mij keurig de adressen vanuit het buitenland af zoals hiervoor door Briolet geopperd. Is er nu dan sprake van een besmetting?

De vraag is nu dus welk systeem (windows pc, meerdere iphones, mediabox, samsung tablets - en mogelijk nog de NAS zelf?) verantwoordelijk hiervoor is. Om dit te achterhalen zou ik het uitgaande verkeer op een of andere wijze willen monitoren zodat ik via een MAC-adres iets kan terugvinden.

Ik begrijp goed dat deze vraag hier niet thuishoort als het alleen over mijn router zou gaan. Maar als ook de NAS besmet zou kunnen zijn kan ik hier dus de vraag stellen hoe ik het uitgaande verkeer van de NAS kan monitoren op gebruik van poorten. Wellicht kan ik daarmee al uitsluiten dat de NAS besmet is. Kan iemand mioj op weg helpen.

[Briolet]

Via het pakket  3th party pakket 'DarkStat' kun je al het IP verkeer op de nas monitoren. Per extern IP houdt hij bij hoeveel data er per poort in of uit gaat.

[Briolet]

Maar heeft die Netgear router geen log optie? Zelfs op mijn Ubee van Ziggo kan ik al het verkeer via de router loggen. Op de Ubee kan dat via een syslog server (de nas) omdat de Ubee zelf geen mogeljkheid heeft om zoveel data op te slaan. 

[arnor]

Die heeft wel eigelijk een log-functie naar daar komt niet meer uit dan ik heb weergegeven in mijn oorspronkelijke vraag.

Overigens moet ik nog op een forum van Netgear dezelfde vraag stellen. Ik heb wel al even gezocht of vergelijkbare vragen eerder zijn gesteld maar ben daar nog mee bezig.


Verzonden vanaf mijn iPhone met Tapatalk