Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Briolet op 01 april 2023, 13:21:13
-
Ik krijg sinds een paar dagen vele mailtjes per dag met de melding:
De verbinding van DS415-port-A met fp2e7a.wpc.2be4.phicdn[.]net is geblokkeerd om veiligheidsredenen(Phishing).
En ik verwacht dat dit bij velen zal gebeuren die Safe Acces gebruiken.
Ik heb nu zitten te zoeken wat dit was. Deze meldingen worden veroorzaakt door de controle of een certificaat van Digicert op de CRL (Certificaat Revokion List (https://www.digicert.com/kb/util/utility-test-ocsp-and-crl-access-from-a-server.htm)) staat. Digicert gebruikt daar het domein "crl4.digicert.com" voor. En dit is een alias van het domein dat de waarschuwing geeft.
$ host crl4.digicert.com
crl4.digicert.com is an alias for crl.edge.digicert.com.
crl.edge.digicert.com is an alias for fp2e7a.wpc.2be4.phicdn.net. <-----------
fp2e7a.wpc.2be4.phicdn.net is an alias for fp2e7a.wpc.phicdn.net.
fp2e7a.wpc.phicdn.net has address 192.229.221.95
Dit domein kun je dus beter whitelisten in de router. Het kan best zijn dat een phishing site een certificaat van Digicert in gebruik heeft, waardoor dit IP op de blocklist kwam. Maar nu werkt het averechts. Als Digicert dit certificaat ingetrokken heeft, blokkeert de router de controle hierop en krijg je juist geen waarschuwing bij bezoek op die site. En gelijktijdig frustreert deze blokkade de controle van andere certificaten.
-
De blokkeringsmailtjes kwamen ook 's nachts. Ik was benieuwd waar dat bij mij vandaan kwam. Ik denk nu van de stentor app op mijn telefoon omdat die volgens mij ook 's nachts kijkt of er nieuws is.
De Stentor (of eigenlijk alle kranten uit de DPG Media groep) gebruikt in elk geval deze certificaten:
[attachimg=1]
Het linken aan een specifiek device gaat in mijn netwerk lastig omdat ik een eigen DNS server gebruik. De router ziet daardoor alleen dns verzoeken vanaf de nas komen en geeft hem steeds als bron aan. Ik moet dan echt in het dns pakket de logging aan zetten, wat ik niet standaard doe omdat het wel heel veel data genereert.
-
Dank voor de toelichting. Ik zal het hier in de gaten houden.
(Maar maak geen gebruik van een Stentor app).
-
Helemaal snappen doe ik dit verhaal niet, ben niet zo thuis in routers vrees ik.
Maar ik krijg wel 20 meldingen per dag.
Zelfs als ik helemaal niet op internet zit !
( dan schijnt het de TV te zijn en/of de nas.)
Die stendor app gebruik ik ook niet.
Zal komend weekend wel even een lijst van die IP nummers maken.
-
Het heeft ook niet perse met de stentor app te maken, maar met het bezoeken van een site die een Digicert certificaat gebruikt. Het AD, de Volkskrant, nu.nl en heel veel andere sites gebruiken een certificaat van die firma.
Een certificaat heeft tegenwoordig een geldigheid van 13 maand. Als voor het aflopen blijkt dat er iets onbetrouwbaar is aan zo'n site. (b.v. als blijkt dat een malafide site een certificaat heeft gekregen), dan kan de verstrekker het certificaat al eerder intrekken. Zo'n certificaat komt dan op een CRL of OCSP lijst te staan.
Dus een browser moet steeds voor hij een certificaat gaat vertrouwen, eerst op die lijst kijken of het certificaat niet ingetrokken is. En juist die URL waarmee de controle plaats heeft, wordt door de router geblokkeerd.
Twee jaar geleden zat er exact diezelfde fout in de lijst, maar dan van een andere certificaat verstrekker. Ik het toen een ticket bij Synology aangemaakt. Maar zij nemen zo'n probleem helemaal niet serieus en verschuilen zich erachter dat zij die lijst niet samenstellen. Maar als zij niet vertellen waar ik dan moet klagen, dan zijn zij degenen die zo'n bug zo snel mogelijk moeten doorgeven aan de samenstellers van de lijst.
Nu leidt deze blokkade ertoe dat een, vanwege phishing ingetrokken certificaat, niet gecontroleerd wordt en door de browser geaccepteerd blijft worden. Echt dubbel fout van de router omdat de blokkade de boel juist onveiliger maakt.
-----
Op de mac kon je in het verleden bij certificaat beheer instellen dat de CRL altijd gecontroleerd moet worden. Faalt die controle dan kun je zo'n site helemaal niet bezoeken. Default was echter om alleen proberen te controleren. Als de controle dan faalt, wordt het certificaat gewoon geaccepteerd.
Deze instellingen zijn echter uit het sluitelhanger beheer programma gehaald. In elk geval kan ik ze niet meer terug vinden.
-
....maar met het bezoeken van een site die een Digicert certificaat gebruikt.
Het AD, de Volkskrant, nu.nl en heel veel andere sites gebruiken een certificaat van die firma.
Heb geen problemen bij het bezoeken van die kranten / nieuwsdiensten.
Er worden bij mij echter wel achterliggende links van "advertenties" geblokkeerd betrekking hebbende met Digicert certificaat.
(En daarnaast nog een stuk wat domeinen). Maar dat is bewust blokkeren op basis van mijn eigen instellingen.
[attach=1]
-
Ik vat het een beetje... geloof ik, dat heeft dus te maken met dat certificaat wat ze gebruiken voor HTTPS? of zie ik dat verkeerd.?
Vreemde hier is, ik stapte vanmorgen de mand uit, telefoon gaf 34 meldingen van de router terwijl ik lag te snurken... ::)
-
Heb geen problemen bij het bezoeken van die kranten / nieuwsdiensten.
Zoals gezegd zal het ook sterk van de gebruikte browser afhangen. De Digicert certificaten bieden twee protocollen aan voor de controle. De OCSP (https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) en de CRL (https://en.wikipedia.org/wiki/Certificate_revocation_list).
Voor beide protocollen staan er twee url's in hun certificaten. Browsers kunnen zelf kiezen welk protocol ze gebruiken. Blijkbaar is het OCSP protocol nieuwer en heeft minder overhead. Ik kan alleen vinder dat Firefox het OCSP protocol gebruikt voor de controle. Maar ik lees wel dat er tegenwoordig een tendens is om bij voorkeur OSCP te gebruiken als er een keuze is.
Het probleem alhier treed echter op bij controle via het CRL protocol. Ik gok dat dit aan de gebruikte Android versie 7.x van mijn telefoon ligt waar mijn kranten app op draait.
-
Dat Firefox verklaart dan al veel. Gebruik hoofdzakelijk die browser, en dan nog op een laptop.
(Kijk al helemaal geen krantenberichten op een smartphone. Te priegelig kleine tekst voor "mijn ogen" ;) ).
-
Wat ik dan niet snap...
Ik zet de mobile foons in de avond altijd uit, dan slaap ik ;)
Dus dan hangt alleen die nas en die tv aan internet..
( toch 34 meldingen)
-
Je kunt in de log bestanden van Safe Access vinden bij welk apparaat de meldingen horen.
Zou evengoed je TV kunnen zijn (m.b.t. smart opties).
-
Keek even bij save acces.
Blokkerende activiteit.
hele waslijst, maar die kan ik kennelijk niet kopiëren?
Betreft mijn pc, de tv en de nas.
Voor zover ik het zo op het oog kan zien steeds andere Ip nummers.
De mobietjes van mijn vrouw en mij kom ik niet tegen, de nas neemt ongeveer 80% voor zijn rekening.
-
Als je NAS ongeveer 80% voor zijn rekening neemt van alle meldingen in de logbestanden van Safe Access,
zou ik toch eens heel goed alles in je NAS nalopen wat je daar allemaal mee doet, de processen die er lopen, en het "waarom".
(De firewall fatsoenlijk inregelen, en aanvullende instellingen m.b.t. beveiliging van de NAS).
Vanuit mijn NAS'sen heb ik daar werkelijk nog nooit één melding binnen Save Access van waargenomen.
-
Nou dat valt volgens mij wel mee.. wat ik daar gebruik.
Ik heb alle beveiligingen getroffen die daar ergens op deze site staan.
2fa, net en browser blocking, alles. ( behalve die firewall vrees ik, dat geoblocking.)
Ik gebruik maar 2 poorten 443 en een gekozen poort.
Maar nu ik er over nadenk, ik denk dat ik het wel weet.
Ik was een tijd terug bezig met docker, een tutorial over het opzetten van een calibre browser voor al mijn boeken.
Ik vermoed, weet het niet zeker, dat dit hem is.
Die gooi ik er straks gelijk af.
-
Het gaat niet zozeer in wat er "binnen" zou willen komen met "login" gerelateerd zaken.
Maar wat er aan data - of op te zetten mogelijke connecties (?) van binnenuit naar buiten uitgaat
en dan elders bij een server connectie probeert te zoeken en informatie en verdere gegevens uitwisselt.
Dingetjes binnen zo'n docker applicatie zouden daar mogelijk best verantwoordelijk voor kunnen zijn?
-
@Babylonia
Ik heb die docker applicatie gelijk verwijderd.
Zag in de afgelopen uren nog maar 1 melding, niet gerelateerd aan de nas.
Dus ik trek de voorzichtige conclusie dat dit hem wel was in relatie tot de nas.
Ik heb verder geen third party dingen draaien, wel wat apps naar mijn tel, maar die zijn allemaal van synology zelf.
Ergens op dit forum stond toen eens zo'n tutorial, checklist ivb met veiligheid, die heb ik toen helemaal uitgevoerd.
Dat met die firewall kan idd beter.
Ik denk wat betreft de tv, daar zag ik ook een paar meldingen van, tja kan Kodi zijn...die haalt wel eens wat op denk ik.
Rest van de app's daar zijn van synology en wat bloatware die er standaard helaas op zit.
Meldingen zijn nu rustig, ik blijf het even in de gaten houden.
-
Sinds gisteren komen de mailtjes weer.
[Safe Access] fp2e7a.wpc.phicdn[.]net is geblokkeerd om veiligheidsredenen
Dit is dezelfde onterechte foutmelding. Nu is het alleen een alias van het eerdere domein dat ik ge-whitelist had. Dus deze heb ik nu ook op de lijst gezet.
Ik blijf het slecht vinden dat Synology juist de domeinen blokkeert waarmee foute certificaten gecontroleerd worden. Dit blokkeren maakt de boel er juist onveiliger op.
-
Goedemorgen
Ik heb ook sinds paar dagen deze mailtjes.
Ik zie dat dit van verschillende apparaten komt. Zelfs Apple TV iPhone iPads etc.
Begrijp ik nu goed dat deze het beste op whitelist gezet kan worden?
Dit is wat steeds voorbij komt:
fp2e7a.wpc.2be4.phicdn[.]net
-
Ik heb exact dezelfde...
Verder totaal nergens last meer van, alleen die duikt sinds gistermiddag op.
-
Begrijp ik nu goed dat deze het beste op whitelist gezet kan worden?
Ja, zet zowel fp2e7a.wpc.2be4.phicdn[.]net als fp2e7a.wpc.phicdn[.]net op de whitelist.
Dit zijn domeinen die bij legitieme certificaten gebruikt worden om hun geldigheid te controleren. Waarschijnlijk is een legitieme website met malware besmet en heeft Synology ten onrechte deze certificaat controle op de blacklist gezet. Hierdoor wordt de controle van alle certificaten van deze uitgever geblokkeerd.
-
@Briolet
ik zal wel wat verkeerd doen? ::)
Probeer hem te whitelisten, maar dat gaat zo niet
-
Even de haakjes links en rechts van de punt weghalen. Dan zal de "OK"-knop het ook wel weer doen.
-
ah dat dacht ik ook. Maar mooi niet dus...
Je kan hem niet toevoegen.
-
Je probeert hem op de verkeerde plek toe te voegen. Daar mag je alleen een IP adres invullen.
De melding komt echter van Safe Access. Daar moet je hem toevoegen. En inderdaad zonder de twee rechte haken. Die worden aan de mail toegevoegd om te voorkomen dat je er op kunt klikken en dan juist naar die pagina gaat.
Dus Safe Access --> Beveilging --> uitzonderingslijst
[attachimg=1]
-
@Briolet
Thanks dat werkt.
Kun je me ook eens in Jip en janneketaal uitleggen, wat een CDN ( zo noemde je het) nu eigenlijk doet?
Ik had ook nog nooit zo'n vreemde domein naam gezien.
bvd
-
Wat is een CDN (Content Delivery Network)? (https://www.strato.nl/server/wat-is-een-content-delivery-network-cdn/)
-
Merci, duidelijk.
Ik bouw veel met Joomla en Wp, maar had er nog nooit van gehoord.
Zit dan ook op serverlevel en dat is dus van de webhost.
Maar wel even interessant om te lezen, weten we dat ook weer