mein Unifi-Netz sagt, dass der homee ggf unzüchtige Dinge tut.
Threat Management Alert 2: Attempted Information Leak. Signature ET SCAN Potential SSH Scan OUTBOUND. From: <local homee-ip>:33169, to: <cloud-ip>:22, protocol: TCP
Ich vertraue mal darauf, dass hier alles mit rechten Dingen zugeht.
Whitelisting wäre eine Möglichkeit, die Alerts abzustellen. Aber besser/schöner wäre es natürlich, wenn es gar nicht mehr zu dem Alert kommen würde.
Vielleicht wisst ihr ja woran sich hier gestört wird und könnt es mit einer “unter-der-Haube”-Verbesserung abstellen.
Da ich selbst eine UniFi USG habe und selbst IPS/IDS aktiv habe kann ich nur sagen das bei mir keine Alarmmeldung kommt.
Da du hier eine SSH Meldung bekommst, hast du evtl, den Suppot Zugang am Homee aktiv?
So wie ich das gelesen habe, kommt die Mitteilung unter anderem, wenn man in 120 Sekunden mehr als 5 mal versucht eine SSH Verbindung nach außen aufzubauen. Da unser Proxy mittels SSH funktioniert, kann es durchaus mal vorkommen, dass dies passiert wenn z.b. der Proxy nicht erreichbar ist. Wir versuchen dann ständig, eine SSH Verbindung zum Proxy aufzubauen was dann zur obigen Mitteilung führen kann.
@Pascal Danke für deine Antwort.
D.h. wenn alles rund läuft, sollte der Tunnel für längere Zeit stehen und es nicht zu diesen Alerts kommen?!
Ich erhalte sie nämlich durchgängig ca im 140 Sekunden-Takt.
Das ist somit nicht normal/gewollt, oder?
Es scheinen 3 IPs angesprochen zu werden, in unterschiedlicher Häufigkeit.
Habe auch ein USG und keine Meldungen vom IPS. Ich würde annehmen, dass homee nicht alle paar Sekunden eine neue SSH Connection aufbaut.
Was mir spontan einfällt wären generelle Unterbrechungen zum Internet am Router o.Ä. oder der Proxy cutted die Connection tatsächlich ständig aber dieser müsste doch nun laufen!?
Wie ist IPS bei dir eingestellt? Hast du SSH Scan mit in der Prüfung?
Ich kann auf den ersten Blick erst Mal keine Probleme in meinem Netz oder homee erkennen.
Liegt’s an meinem Netz, homee oder einer Kombination aus beidem. Das ist hier die Frage…
@Pascal kann sich auch gerne Mal in meinem homee anschauen. Die Verbindungsversuche müssten dort ja auch irgendwo protokolliert werden.
Bei mir haben die Alerts übrigens angehört.
Ich frag mich, ob CA da was gedreht hat oder mein Netz/Internet auf einmal „stabil“ ist. @ch.krause kannst du das bei dir bestätigen? Hattest du vorher auch eine hohe Anzahl und kontinuierlich Alerts?
Ich hatte diese extrem hohe Anzahl Alarme ab einem bestimmten Zeitpunkt 19.01.2020 bis ich das gewhitelistet habe. Vorher gab es das schon mal. Da waren es jeweils vier Meldungen 31.01.2019 und 01.11.2018.
