Bedrohung von Router erkannt

Support und Bugs homee allgemein
1

Mein Synology Router überwacht mittels Threat Prävention den kompletten Datenverkehr. Seit dem 11.01.2020 erhalte ich alle paar Minuten einen Sicherheitsverstoß vom Homee…

Ist jemandem das Verhalten bekannt? Wen versucht Homee hier zu erreichen…?

14
Bildschirmfoto 2020-01-13 um 19.24.14.png2208×1518 253 KB

2
  1. Mehr Details würden nicht schaden
  2. Ja, “sowas” gab es schonmal (meine ich) und es war natürlich keine Bedrohung… ich such später mal im Forum
3

Bin neu hier, Bild einfügen hat gedauert…

1 „Gefällt mir“
4

Das dürfte wohl mit dem neuen Proxy zu tun haben, da dieser bei AWS gehostet ist und die IP Adresse zu AWS gehört :blush:

1 „Gefällt mir“
5

Also der VPN-Tunnelaufbau vom homee zum Proxy.

6

Mit VPN hat das nichts zu tun.

1 „Gefällt mir“
7

Dann eben die Anmeldung am Proxy?

1 „Gefällt mir“
8

Korrekt, wie oben bereits erwähnt😌

1 „Gefällt mir“
9

Danke für die Antworten,
habe mir das mit dem Proxy schon fast gedacht da es Zeitlich mit der Umstellung auch passt.

Meine Frage ist nun aber warum ich von unterwegs weiter Zugriff auf den Homee habe wenn mein Router die ausgehende Verbindung zum Proxy blockiert?

Oder habe ich da einen Denkfehler?

10

Ich kenn mich jetzt nicht wirklich aus mit Synology, aber im Bild sehe ich nichts von „blockiert“ sondern eher „erkannt“. Vielleicht wird hier aktuell nichts geblockt.

11

Korrekt, da ich jetzt weiß was es ist wird es über eine Richtlinie erlaubt bzw. ignoriert.

Danke für die Unterstützung!

12

der Alarm wurde ausgelöst weil 5 SSH Versuche innerhalb 120 Sekunden aufgebaut wurden, der Standard Treshold liegt bei 120 Sekunden. Wenn dies der Standard ist frage ich mich, ob homee Standards befolgt bzw. gibt es Probleme bei der Authentifizierung?

Emerging Threats SIG 2001219 create an alert if we have 5 destination port 22/TCP connexions during the interval of 120 seconds. If we see, for example, 10 connexions during the interval of 120 seconds, 2 alerts will be triggered. This SIG could be used to detect SSH Brute Force Attack.

Die Richtlinie bzw Regel würde ich übrigens nicht unterdrücken falls du das getan hast. Und @Pascal das hat weniger mit Synology sondern mit IPS zu tun.

13

Danke für die weiteren Infos. Leider habe ich das ja nun nicht in der Hand wie ich das sehe…

Entweder von Warnung verrückt machen lassen, ignorieren oder das “Problem” wird von Homie-Seite gelöst,… oder?

14

„False positive“
Ausnahme-Regel für homee aufsetzen

5 mal in 2 Minuten ist nicht wirklich exzessiv