vreemde kwaadaardige verdbindingen.

[Babylonia]

Man is bij de meeste hier wel bekend dacht ik.

Of die man bij "de meesten" wel of niet bekend is, doet feitelijk niet ter zake.
Als jij problemen hebt, ben jij degene die ons van "alle" relevante informatie moet voorzien.  Niet andersom, dat bij het noemen
"van een naam", anderen zouden moeten gaan uitzoeken, om te begrijpen wat jij bedoelt, (of hopen dat zij diens info kennen?).
En dan ook nog eens een keer de moeite daarin zouden moeten steken om filmpjes of wat al dies meer zij door te moeten nemen.

Overigens in zijn filmpje benoemt hij wel degelijk, dat je beter je eigen gebruikte netwerk subnetten instelt ( "specifically add yours" ).

En dat is alleen NAS, geen instellingen binnen een Synology router (met tevens instellingen voor uitgaand verkeer).
En de combinatie van die twee, die maakt of het "geheel" goed functioneert.

[stapper]

@Babylonia  Heb je even een pm gestuurd. 

[Briolet]

Even inhaken op dit topic omdat ik er vannacht vanaf 3 uur ook velen kreeg:

De verbinding van iMac-DDR2 met 192.229.221[.]95 is geblokkeerd om veiligheidsredenen(Kwaadaardig).

Verzonden door uw Synology Router- SynologyRouter

Allemaal hetzelfde IP en een paar per uur. Het vreemde is echter dat dit een PC is die in slaapstand staat. Hij wordt alleen af en toe wakker voor mail ophalen en nog een paar taken. (De powernap stand van de iMac)

Meestal wordt er al geblokkeerd op het niveau van het ophalen van het IP via DNS. En omdat er een DNS server op de nas draait, krijg ik altijd de melding dat de nas geblokkeerd is. Ik moet dan de logging van de DNS server op uitgebreid zetten om er achter te komen welke PC dit DNS verzoek deed.

En sinds vanochtend probeert mijn hele netwerk met dat zelfde externe IP te verbinden. Een andere iMac die hier staat en mijn laptop (een MacBook).

Dan vraag ik me af of dit niet een onterechte melding is en dat dit IP hoort bij een update proces van Apple?

[Babylonia]

Geen idee, ik doe niets met Apple.  (Heb dus ook niet dit soort meldingen).
Staat er een update in de planning voor Apple apparatuur??

[Briolet]

Het IP behoort toe aan de Edgecast groep.  Een bedrijf dat in de multimedia zit.

Tot 11 uur vanochtend kwamen die verbindingspogingen om de paar minuten vanuit 1 iMac en een paar keer vanuit de andere iMac en de MacBook. Sindsdien zijn ze gestopt.  Vooral omdat het 3 apparaten betreft, is of mijn hele netwerk plots besmet (Onwaarschijnlijk) of dit IP wordt plots ten onrechte door Synology geblokkeerd.

[Babylonia]

Op het Engelstalige Synology forum inmiddels ook een vergelijkbare melding m.b.t. "Apple"
https://community.synology.com/enu/forum/2/post/185430

En een verwijzing naar   https://knowledge.digicert.com/alerts/new-dedicated-ip-addresses

[Briolet]

Dank. Ik heb mijn reactie daar ook maar toegevoegd.

Dat is dus een IP van DigiCert. En specifiek het adres dat gebruikt wordt om te beoordelen of een certificaat niet voortijdig is ingetrokken.  Het maakt de boel dus juist gevaarlijker als ze de blokkade toepassen want meestal is ingesteld een certificaat te accepteren als de controle niet lukt.

Dit heeft Synology nu al twee keer eerder gedaan. De vorige keer bij de controle van Let's Encrypt certificaten. De eerste keer heb ik er een ticket voor ingediend, maar Synology heeft daar toen zo laconiek op geantwoord dat ik merkte dat ze beveiliging niet echt serieus nemen.

Dit soort IP's komt op de blacklist omdat criminelen ook dergelijke certificaten gebruiken, waardoor er een -onterechte- link gelegd wordt tussen de criminele site en het IP om een certificaat te beoordelen. Als de certificaathouder zo'n uitgeven certificaat nu snel intrekt als het misbruik blijkt, dan blokkeert Synology het systeem om deze intrekking waar te nemen.

[Briolet]

Als ik het IP van de OSCP van Digicert opvraag, krijg ik:

ocsp.digicert.com
ocsp.digicert.com is an alias for ocsp.edge.digicert.com.
ocsp.edge.digicert.com is an alias for fp2e7a.wpc.2be4.phicdn.net.
fp2e7a.wpc.2be4.phicdn.net is an alias for fp2e7a.wpc.phicdn.net.
fp2e7a.wpc.phicdn.net has address 192.229.221.95

Ik had al in mijn uitzondelinglijst gezet (Zie deze post):
fp2e7a.wpc.2be4.phicdn.net
fp2e7a.wpc.phicdn.net

Die twee keer waren het de alias domeinnamen die op de blocklist kwamen. Nu het IP zelf.  Ik zal die laatste groene ook maar op mijn uitzonderingslijstje zetten, anders is het binnenkort weer raak.

[Babylonia]

Jij bent er beter in thuis.  Ik neem het voor kennisgeving aan.
Misschien dat er vanuit dat Engelstalige forum daar vanuit Synology dan nog een reactie op komt, of er iets mee gaan doen??
(Dat wordt beter gevolgd, dan hier).  En het hopelijk was serieuzer wordt opgepakt dan in het verleden.

[stapper]

@Babylonia super bedankt voor alle hulp hier, met de firewall
zeer gewaardeerd, helemaal top

[Briolet]

Ik kreeg vanochtend een onterechte melding:

Code: [Selecteer]

De verbinding van DS415-port-A met mailbnc209.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Social engineering).

Belgacom is gewoon een reguliere Belgische mailprovider. En gelijktijdig met deze mail, kwam er ook een mailtje binnen van een belgische relatie. En als ik in de header kijk, was deze precies vanaf het geblokkeerde adres verzonden.

Code: [Selecteer]

Received: from mailbnc209.isp.belgacom.be (unknown [195.238.22.243]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by xxxxxxx.nl (Postfix) with ESMTPS id 72500ADAEA for <info@xxxxxxx.nl>; Mon,  4 Mar 2024 07:11:22 +0100 (CET)
Een geluk bij een ongeluk:  Het blokkeren van de router werkte niet eens en de mail kwam gewoon binnen vanaf dat adres.  Moet ik nu blij zijn of niet?  Want als dit een echt kwaadaardig mailtje was, dan had de router hem niet geblokkeerd, zoals beloofd.

[Babylonia]

Er spelen wel eens meer onverwachte meldingen, ook buiten een router om.

Laatst hier m.b.t. web-mail bij een provider. (Mail-server bij provider ondergebracht).
Kreeg ik een melding dat een mail niet zou worden ontvangen door de afzender. En dat nog 24 of 48 uur zou worden geprobeerd.
Kreeg evenwel gewoon een antwoord terug van de andere partij. Ondanks erna nog een keer een foutmelding.

Dataverkeer wordt steeds gecompliceerder in de mate van beveiliging en "hacks", waarbij een bitje ergens verkeerd valt?

[Briolet]

Zojuist kreeg ik weer twee onterechte mailtjes van "Safe access"

Code: [Selecteer]

De verbinding van GEDEELDEDATA met mailbnc209.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Ongewenste software).
en
De verbinding van DS415-port-A met mailbnc209.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Social engineering).

Deze mailtjes kwamen gelijktijdig met het binnenkomen van een echt mailtje van belgacom. Wat dat betreft werkt Safe Access niet in het blokkeren van deze 'dreiging'.

Opvallend is dat er twee verschillende redenen genoemd worden. NB Beide genoemde verbindingen zijn mijn nas. Soms komt de naam van de nas in de mailtjes en soms de naam van één van beide poorten. Geen idee waarom dit steeds varieert. Ik zie ook wel eens het mac adres in de mail.

Ik gok dat belgacom weer op de lijst staat omdat hiervandaan spam is verstuurd. "mailbnc209.isp.belgacom[.]be" is het helo adres van de belgacom mailserver. De domeinnaam van de mail was overigens "Skynet.be"

Ik heb dit nu toch maar op de uitzonderingslijst gezet. Als de reden is dat er spam verstuurd is door Belgacom, is dit meer de taak van mijn spamfilter.

[stapper]

Af en toe krijg ik ze ook nog, altijd dezelfde, en voor zover ik dat kan zien niks mis mee.
Komen dan kennelijk binnen via de mobiel van mijn vrouw en mijn eigen pc.

Bouwde net zelf die nieuwe pc en ging over naar w11 pro, dat duurde even voordat het wat naar de zin was, en alles weer draaide.
Zo'n safe acces draait natuurlijk een enorme database, die ze dan ook nog constant moeten updaten en onderhouden.
Dus daar zal ook af en toe wel eens iets op een blacklist komen, of juist niet, wat dus feitelijk een fout is.

Ik denk dat de gebruiker dan zelf maar moet beslissen wat wijsheid is.

Verder draait het wat mij betreft allemaal super, en al helemaal nadat babylonia mij een keer heeft geholpen met die firewall regels.
Das helemaal top, want ik ben gewoonweg niet thuis in die materie, ip nummers, subnetten, ik loop daarin vast, het is mijn ding niet.
Ik kijk er wel eens naar, van wat klopt er allemaal aan mijn deur? En dan schrik je wel, maar zolang het niet voorbij die deur komt zit ik goed, denk ik dan.

En zo zal het met safe acces ook wel zijn, het is een extra laag van bescherming, maar 100% sluitend zal het nou eenmaal nooit zijn.

[Briolet]

Storend vind ik alleen dat ik een mail krijg dat dit adres geblokkeerd is, maar dat de mail vanaf dat specifieke IP adres nog gewoon binnen komt.  In dit geval handig omdat de melding onterecht is, maar niet erg vertrouwenwekkend in het goed blokkeren.