Auteur Topic: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd  (gelezen 4426 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline spooren

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 12
Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Gepost op: 27 februari 2017, 22:48:23 »
Hallo,

Ik heb op de RT2600ac Router de Intrusion Prevention ingeschakeld. Dit levert inderdaad (zoals ik elders las) veel meldingen op. Die kun je gelukkig selectief in of uitschakelen.

Opvallend vaak komt er een melding als deze:
De volgende verdachte netwerkgebeurtenis werd gedetecteerd:

Gebeurtenistype: Misc Attack
Handtekening: ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 584
Ernst: Medium
Bron-IP: 84.245.27.209
Doel-IP: [mijn publieke IP]

Opvallend is dat het medium 'ernst' is, en dat er alleen wordt 'gedetecteerd' en dus niet 'geblokkeerd'.
De melding zelf zegt mij niet veel, maar ik zou wel graag weten wat dit nu eigenlijk is...

Wie kan hier iets over vertellen?
En waarom wordt het welk gedetecteerd, maar niet geblokkeerd door de router?

Tip: na enig lezen over intrusion prevention heb ik de USB Stick in de router vervangen door een externe USB 3.0 SSD harddisk, en sindsdien geen ernstige doorvoervertraging of vastlopers meer gehad.

Groet,
Richard

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #1 Gepost op: 28 februari 2017, 00:20:52 »
Dit wordt als gevaarlijk gezien omdat normale mensen je nas niet via tor benaderen. Dat zijn meestal de kwaadwillenden die niet hun eigen IP willen achterlaten.

Waarom dat niet standaard geblokt wordt weet ik niet, maar ik heb alle tor exit nodes gewoon in mijn blocklist gezet. (84.245.27.209 dus ook) Iemand die anoniem toegang tot mijn nas zoekt, heeft daar niets te zoeken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline spooren

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 12
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #2 Gepost op: 28 februari 2017, 00:27:59 »
Dankjewel voor je reactie Briolet!
Wat is de beste manier om 'tor exit nodes' in je blacklist te zetten? Want dat gaat om heel erg veel IP's natuurlijk...  :S

Gemarkeerd als beste antwoord door spooren Gepost op 07 maart 2017, 13:27:14

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #3 Gepost op: 28 februari 2017, 09:15:51 »
Diverse sites publiceren de actuele lijst. Ik neem aan dat intrusion prevention ook dagelijks zijn lijst download. Zelf haal ik hem van: "https://www.dan.me.uk/torlist/"

Dat is een tekst lijst die je zo kunt importeren. Je moet hem wel periodiek updaten omdat de IP's in de loop van de tijd veranderen. Zoveel adressen zijn het echter ook weer niet. Het zijn er ca 7000 en het bestand is iets van 100 kB groot.

Via de bloklist worden alleen inlogs geblokt. Niet b.v. bezoeken aan de website etc. Intrusion prevention monitort een niveau eerder en zou alle toegang tot de nas kunnen blokkeren en niet eerst als ze proberen in te loggen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline tf-zuid

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 1
  • Berichten: 87
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #4 Gepost op: 25 april 2017, 20:50:19 »
Ik heb nu ook sinds een paar dagen de Intrusion aan staan.
Ik dacht ik zal alle meldingen eens aanzetten om te kijken hoe vaak de Router een mailtje zal sturen.

Ik kon niet wachten tot ik weer thuis was om in te loggen om dit uit te zetten. Dat waren er veel!!! Bang wordt je er gewoon van...
Wat kan je hier nog meer aan doen?? Om te voorkomen dat ze via internet of tor in je spullen zitten...
En waar kan je die lijst importeren, Dit doen je niet in de router denk? Maar in je Diskstation??

Alvast bedankt.

MVg Nigel
DS212      2X1TB Intern      1X WD1TB USB
RT2600AC

Offline tf-zuid

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 1
  • Berichten: 87
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #5 Gepost op: 29 april 2017, 17:05:14 »
Wanneer ik dit tegenkom in de Intrusion Detection... Moet ik het dan zo zien, dat er iets of iemand vanaf mijn laptop wat wil doen naar de buitenwereld??
Is mijn laptop geinfecteerd, terwijl Virusscans(betaald) niets aangeven??

Alvast bedankt,

Mvg Nigel
DS212      2X1TB Intern      1X WD1TB USB
RT2600AC

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #6 Gepost op: 29 april 2017, 18:04:14 »
Dit verkeer gaat zo te lezen de deur uit.... kan je even op je de laptop kijken welke software dit verkeer initieerd?
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline tf-zuid

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 1
  • Berichten: 87
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #7 Gepost op: 29 april 2017, 18:35:00 »
Tja, dat is een goede vraag,

Enige wat ik hieruit opmaak is dat het te maken heeft met NAT. En NAT zegt mij alleen iets dat te maken heeft met portforwardings in routers. Dat heeft hier toch niets mee te maken dacht ik zo.

Mvg Nigel
DS212      2X1TB Intern      1X WD1TB USB
RT2600AC

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.177
  • Fijne feestdagen.......
    • Truebase


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Undertaxxx25

  • Gast
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #9 Gepost op: 30 april 2017, 11:03:52 »
Heb ook eens even mijn Intrusion Prevention meldingen nagezien, zitten inderdaad veel TOR aanvallen tussen. Heb momenteel zo ingesteld dat er alleen gewaarschuwd moet worden maar niet geblokkeerd, is het beter om alles systematisch te blokkeren of brengt dit ook mogelijk problemen mee voor netwerk apparaten (Sonos, SmartTV, Philips Hue, NAS, enz...) ?

Heb bv. een melding van BRON IP 169.171.255.36 en gaat richting lokaal ip van mijn vrouw haar iPhone. IP adres opgezocht en zou van Facebook komen ? Waarom dit dan aanzien wordt als 'high risk' en de TOR meldingen als 'medium' is me niet meteen duidelijk.

Dus wat raden jullie aan, alles systematisch blokkeren of gewoon melden ?

Offline tf-zuid

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 1
  • Berichten: 87
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #10 Gepost op: 16 mei 2017, 22:16:41 »
Als ik bij mij blokkeren aan zet, is het wel zo dat de xbox, en andere zaken niet meer werken. Dus ik heb het ook op Detecteren staan nu.. Dan werkt alles wel weer, maar wordt het dus niet geblokkeerd.

Mvg Nigel
DS212      2X1TB Intern      1X WD1TB USB
RT2600AC

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #11 Gepost op: 19 mei 2017, 09:01:04 »
Ik ben niet zo happy met de prestaties van intrusion prevention. Mijn 300/30 valt in elkaar naar effectief 100/30 ofzo.
Ik zou dit toch wel geoptimaliseerd willen zien door synology.
Ik heb dus alles teruggezet op melden en zo nu en dan copy paste ik vervelende source ip's in mijn firewall block adress rules.
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #12 Gepost op: 19 mei 2017, 09:58:39 »
Intrusion Prevention moet gewoon elk inkomend pakker analyseren. Dat vraagt een krachtige processor.

Ik heb het ook kort actief gehad op mijn 415+ Daar merk je ook dat hij performance kost. Op een nas, beschermt hij alleen verkeer naar die nas. Op een router wordt dit pakket plots veel interessanter, maar dan moet je de router ook een krachtige CPU geven.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: Intrusion Prevention - wanneer gedetecteerd of geblokkeerd
« Reactie #13 Gepost op: 19 mei 2017, 11:14:39 »
Uiteraard heb ik dit op de router draaien. Tevens had ik alleen intrusion prevention geactiveerd voor de WAN1 verbinding. Alle overige opties had ik gedeactiveerd.
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac


 

Hikvision Line Crossing en intrusion detection

Gestart door fishkeBoard Surveillance Station

Reacties: 16
Gelezen: 4640
Laatste bericht 18 juli 2020, 10:23:51
door Lode
Intrusion Prevention

Gestart door BrioletBoard Officiƫle Packages

Reacties: 1
Gelezen: 2074
Laatste bericht 16 april 2016, 14:35:04
door Robert Koopman
Intrusion Prevention package

Gestart door RubenskyBoard Officiƫle Packages

Reacties: 3
Gelezen: 1600
Laatste bericht 15 januari 2019, 13:20:31
door Rubensky
intrusion Prevention stopt MS-Office update

Gestart door hanspaintBoard Synology Router

Reacties: 4
Gelezen: 1607
Laatste bericht 23 december 2016, 20:53:59
door Birdy
Intrusion prevention preformance?

Gestart door Speedy KeurntjesBoard Synology Router

Reacties: 10
Gelezen: 2208
Laatste bericht 20 juni 2017, 21:36:06
door aliazzz