Intrusion Prevention - wanneer gedetecteerd of geblokkeerd

[spooren]

Hallo,

Ik heb op de RT2600ac Router de Intrusion Prevention ingeschakeld. Dit levert inderdaad (zoals ik elders las) veel meldingen op. Die kun je gelukkig selectief in of uitschakelen.

Opvallend vaak komt er een melding als deze:
De volgende verdachte netwerkgebeurtenis werd gedetecteerd:

Gebeurtenistype: Misc Attack
Handtekening: ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 584
Ernst: Medium
Bron-IP: 84.245.27.209
Doel-IP: [mijn publieke IP]

Opvallend is dat het medium 'ernst' is, en dat er alleen wordt 'gedetecteerd' en dus niet 'geblokkeerd'.
De melding zelf zegt mij niet veel, maar ik zou wel graag weten wat dit nu eigenlijk is...

Wie kan hier iets over vertellen?
En waarom wordt het welk gedetecteerd, maar niet geblokkeerd door de router?

Tip: na enig lezen over intrusion prevention heb ik de USB Stick in de router vervangen door een externe USB 3.0 SSD harddisk, en sindsdien geen ernstige doorvoervertraging of vastlopers meer gehad.

Groet,
Richard

[Briolet]

Dit wordt als gevaarlijk gezien omdat normale mensen je nas niet via tor benaderen. Dat zijn meestal de kwaadwillenden die niet hun eigen IP willen achterlaten.

Waarom dat niet standaard geblokt wordt weet ik niet, maar ik heb alle tor exit nodes gewoon in mijn blocklist gezet. (84.245.27.209 dus ook) Iemand die anoniem toegang tot mijn nas zoekt, heeft daar niets te zoeken.

[spooren]

Dankjewel voor je reactie Briolet!
Wat is de beste manier om 'tor exit nodes' in je blacklist te zetten? Want dat gaat om heel erg veel IP's natuurlijk... 

[Briolet]

Diverse sites publiceren de actuele lijst. Ik neem aan dat intrusion prevention ook dagelijks zijn lijst download. Zelf haal ik hem van: "https://www.dan.me.uk/torlist/"

Dat is een tekst lijst die je zo kunt importeren. Je moet hem wel periodiek updaten omdat de IP's in de loop van de tijd veranderen. Zoveel adressen zijn het echter ook weer niet. Het zijn er ca 7000 en het bestand is iets van 100 kB groot.

Via de bloklist worden alleen inlogs geblokt. Niet b.v. bezoeken aan de website etc. Intrusion prevention monitort een niveau eerder en zou alle toegang tot de nas kunnen blokkeren en niet eerst als ze proberen in te loggen.

[tf-zuid]

Ik heb nu ook sinds een paar dagen de Intrusion aan staan.
Ik dacht ik zal alle meldingen eens aanzetten om te kijken hoe vaak de Router een mailtje zal sturen.

Ik kon niet wachten tot ik weer thuis was om in te loggen om dit uit te zetten. Dat waren er veel!!! Bang wordt je er gewoon van...
Wat kan je hier nog meer aan doen?? Om te voorkomen dat ze via internet of tor in je spullen zitten...
En waar kan je die lijst importeren, Dit doen je niet in de router denk? Maar in je Diskstation??

Alvast bedankt.

MVg Nigel

[tf-zuid]

Wanneer ik dit tegenkom in de Intrusion Detection... Moet ik het dan zo zien, dat er iets of iemand vanaf mijn laptop wat wil doen naar de buitenwereld??
Is mijn laptop geinfecteerd, terwijl Virusscans(betaald) niets aangeven??

Alvast bedankt,

Mvg Nigel

[aliazzz]

Dit verkeer gaat zo te lezen de deur uit.... kan je even op je de laptop kijken welke software dit verkeer initieerd?

[tf-zuid]

Tja, dat is een goede vraag,

Enige wat ik hieruit opmaak is dat het te maken heeft met NAT. En NAT zegt mij alleen iets dat te maken heeft met portforwardings in routers. Dat heeft hier toch niets mee te maken dacht ik zo.

Mvg Nigel

[Birdy]

Understanding Session Traversal Utilities for NAT (STUN) Protocol.

[Undertaxxx25]

Heb ook eens even mijn Intrusion Prevention meldingen nagezien, zitten inderdaad veel TOR aanvallen tussen. Heb momenteel zo ingesteld dat er alleen gewaarschuwd moet worden maar niet geblokkeerd, is het beter om alles systematisch te blokkeren of brengt dit ook mogelijk problemen mee voor netwerk apparaten (Sonos, SmartTV, Philips Hue, NAS, enz...) ?

Heb bv. een melding van BRON IP 169.171.255.36 en gaat richting lokaal ip van mijn vrouw haar iPhone. IP adres opgezocht en zou van Facebook komen ? Waarom dit dan aanzien wordt als 'high risk' en de TOR meldingen als 'medium' is me niet meteen duidelijk.

Dus wat raden jullie aan, alles systematisch blokkeren of gewoon melden ?

[tf-zuid]

Als ik bij mij blokkeren aan zet, is het wel zo dat de xbox, en andere zaken niet meer werken. Dus ik heb het ook op Detecteren staan nu.. Dan werkt alles wel weer, maar wordt het dus niet geblokkeerd.

Mvg Nigel

[aliazzz]

Ik ben niet zo happy met de prestaties van intrusion prevention. Mijn 300/30 valt in elkaar naar effectief 100/30 ofzo.
Ik zou dit toch wel geoptimaliseerd willen zien door synology.
Ik heb dus alles teruggezet op melden en zo nu en dan copy paste ik vervelende source ip's in mijn firewall block adress rules.

[Briolet]

Intrusion Prevention moet gewoon elk inkomend pakker analyseren. Dat vraagt een krachtige processor.

Ik heb het ook kort actief gehad op mijn 415+ Daar merk je ook dat hij performance kost. Op een nas, beschermt hij alleen verkeer naar die nas. Op een router wordt dit pakket plots veel interessanter, maar dan moet je de router ook een krachtige CPU geven.

[aliazzz]

Uiteraard heb ik dit op de router draaien. Tevens had ik alleen intrusion prevention geactiveerd voor de WAN1 verbinding. Alle overige opties had ik gedeactiveerd.