Safe Acces - Threat Prevention dieper uitgespit

[Babylonia]

Via het Engelstalige forum werd men geattendeerd op een interessant 'blog' artikeltje geschreven door Synology
wat dieper ingaat op  Safe Access  en  Threat Prevention  opties, zoals het nu is geïmplementeerd in SRM 1.2

https://blog.synology.com/building-an-intrusion-prevention-system-for-small-businesses-and-homes/

[aliazzz]

Interessant die optimalisatie.
Beklijft mij wel tegelijkertijd het gevoel van "wij van wc eend adviseren wc eend".
Kunnen deze snelheidstesten niet ook door een onafhankelijke partij worden gestaafd?

[Babylonia]

In principe zou iedere gebruiker die een glasvezel gigabit internet snelheid heeft, die testen zelf kunnen doen.
Probleem is alleen dat de meeste mensen niet zo'n dergelijke verbinding hebben.
En er nauwelijks providers zijn die deze snelheid als abonnement aanbieden. (Maar ze zijn er wel, bijv. TriNed).

De testen die Synology uitvoert, en er zelf uitvoerig staatjes van uitgeeft heb ik bijv. voor hun NAS-sen die ikzelf ook gebruik
wel eens vergeleken met eigen testen. En dat klopt exact met wat ze zelf ook opgeven.
Vanuit die ervaring denk ik dat Synology ook nu geen onzin verkoopt met die testen.

Van gebruikers op het Engelstalige forum heb ik overigens al wel gebruikerservaringen gelezen,
dat ze juist geen verschil in snelheid opmerkten.
Vandaar de vraag van enkele gebruikers of het "überhaupt" wel werkt die "Threat Pevention"?

Overigens naar aanleiding van dat artikel had ik dat "Threat Pevention" nu zelf ook geïnstalleerd.
(Vroeger het eerdere pakket juist niet, omdat het bekend stond dat het teveel CPU vermogen / snelheid kostte,
wat nu juist ook in dat Synology artikel wordt beschreven met de uitkomsten van ook daar de testen van met dat oude pakket).

Moest de router wel herstarten om tot goede resultaten te komen.
(Wel met afgekoppelde USB-drives, maar wel met een SD-kaartje in gebruik).
Ik merkte toen geen enkel verschil in snelheid, tegenover zonder het pakket te hebben geïnstalleerd. (100/100 Mbps glasvezel).

Echter het kan in mijn situatie niet overweg als ik de normaal gebruikte USB-hub met twee extra USB drives aan de router vastkoppel.
Krijg ik vastlopers, kan de drives zelf niet benaderen, of loopt de internet snelheid enorm terug.
"Threat Pevention" stop zetten, en het probleem is over.  Moet er nog een support ticket voor gaan aanmaken.
Het zit hem in mijn situatie in de combinatie met die hub en drives.

[Birdy]

Ik heb nu Threat Prevention geïnstalleerd op m'n RT2600ac, een speed test gedaan, zonder en met Threat Prevention zie ik geen snelheids-verlies.
Heb de instelling volledig standaard gelaten.
So far so good en wacht af hoe het verder gaat, als het drukker wordt hier, de zwaarste gebruiker is er vandaag n.l. niet ............

[Robert Koopman]

@Birdy Wat is jouw internetsnelheid?

UniFi heeft ook zo’n soort systeem in mijn router maar daarvan las ik ergens dat het flink snelheid ging kosten met de hogere snelheden.
Boven de 250Mbps schijn je dan niet meer te komen.
Ik heb het niet getest, gooi geen 500Mbps over de balk natuurlijk.

[Birdy]

100Mbps

[Babylonia]

Echter het kan in mijn situatie niet overweg als ik de normaal gebruikte USB-hub met twee extra USB drives aan de router vastkoppel.
Krijg ik vastlopers, kan de drives zelf niet benaderen, of loopt de internet snelheid enorm terug.
"Threat Pevention" stop zetten, en het probleem is over.  Moet er nog een support ticket voor gaan aanmaken.
Het zit hem in mijn situatie in de combinatie met die hub en drives.

Ben nog weer verder aan het testen geweest (nog geen ticket aangemaakt), maar in mijn geval met een RT1900ac
heb ik nog geen goede werking kunnen opzetten die bevredigend werkt tezamen met Threat Prevention.

Met de USB-drives afgekoppeld en alleen met gebruik van een SD-geheugenkaartje, lijkt de verbinding op zichzelf wel stabiel,
maar heb ik nog steeds een beperkte snelheid als Threat Prevention is ingeschakeld, en direct weer een normale snelheid, als het wordt uitgeschakeld.

Schematisch als resultaat met Ookla speedtesten zie onderstaand plaatje.

Waarbij als extra informatie geldt: Mijn internetverbinding betreft een glasvezelverbinding 100/100 Mbps.
De normale downloadsnelheid is een "strakke" 95,6 Mbps over een lange periode. (Upload rond 128 Mbps).

Threat Prevention is geïnstalleerd en geactiveerd vanaf het tijdstip binnen de groene rechthoek, bij de eerste rode stip.

Houd er rekening mee dat bij elke test van de ene "rode stip" naar de andere, de router opnieuw is opgestart.
Zowel softwarematig via het menu of via de "harde manier", met de aan- / uit-knop van de router.

[ruben_]

Ik heb sinds een weekje de RT2600ac + MR2200ac en Safe Access en Threat Prevention aanstaan, maar haal nog steeds m'n 500mbit via KPN glas. Merk wel dat het opstarten van Thread Prevention en Policy veranderen vrij lang duurt. De load average is netjes met 0.2 en memory zit rond de 50% met 10 gebruikers verbonden.

[Birdy]

Nou krijg je van dit soort vragen: wat moet ik hier nu van vinden ?

46 van deze meldingen gisterenavond:




Handtekeningregels:

alert http $HOME_NET any -> $EXTERNAL_NET 443 (msg:"ET POLICY HTTP traffic on port 443 (POST)"; flow:to_server,established; content:"POST"; http_method; content:!".etrade.com|3a|443|0d 0a|"; http_header; classtype:bad-unknown; sid:2013926; rev:8; metadata:created_at 2011_11_17, updated_at 2011_11_17;)

Wat ik begrijp: etrade.com is een broker en probeert mails (443) te sturen naar mijn DS ?

En deze vannacht 1x:


Handtekeningregels:

alert ip [62.219.143.63,62.219.164.170,62.219.191.38,62.219.227.9,62.219.233.14,62.219.235.23,62.219.236.105,62.220.165.203,62.221.113.161,62.221.157.19,62.232.173.115,62.250.106.199,62.31.87.163,62.33.112.252,62.33.150.136,62.33.159.123,62.37.102.124,62.4.16.90,62.4.60.166,62.42.95.158,62.43.152.233,62.43.196.245,62.45.222.223,62.45.38.59,62.47.155.184,62.47.236.105,62.63.207.93,62.63.213.28,62.63.237.141,62.68.144.60,62.72.166.113,62.80.176.137,62.84.17.148,62.89.206.154,62.89.30.188,62.90.164.177,62.97.173.20,62.97.242.146,62.98.33.59,62.98.87.162,62.99.77.193,63.131.216.96,63.135.171.99,63.140.23.103,63.142.101.182,63.142.216.39,63.147.207.10,63.156.201.126,63.209.35.107,63.246.173.51] any -> $HOME_NET any (msg:"ET CINS Active Threat Intelligence Poor Reputation IP group 64"; reference:url,www.cinsscore.com; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2403363; rev:45160; metadata:affected_product Any, attack_target Any, deployment Perimeter, tag CINS, signature_severity Major, created_at 2013_10_08, updated_at 2018_11_23;)

Maar goed, Threat Prevention werkt kennelijk goed.

[Birdy]

En dit artikel lezen: Hoe moet ik Threat Prevention-gebeurtenissen bewaken om aanvallen te voorkomen?

[Briolet]

Alleen staat er niet "etrade.com", maar ".etrade.com". Het is dus een subdomein van etrade.com. etrade.com zit op IP 12.153.224.22, maar ik zie bij jou als doel IP 154.61.95.5. Dat IP bezit geen reverse lookup.

Code: [Selecteer]

$ host 154.61.95.5
Host 5.95.61.154.in-addr.arpa. not found: 3(NXDOMAIN)
Maar hoezo mail? poort 443 is HTTPS

Ik heb die "Threat Prevention" eens op mijn nas gerund toen het net beta was. Je wordt idd doodgegooid met waarschuwingen. Als je geen wizkid bent heb je geen idee wat gevaarlijke zijn en bij teveel waarschuwingen wordt je minder alert.

Maar op een nas bescherm je alleen die nas. Op de router is het veel zinvoller.

[Birdy]

Maar hoezo mail? poort 443 is HTTPS

Klopt, maar ik zag Mail Station in het poorten lijstje dus, was snel misleid

Je wordt idd doodgegooid met waarschuwingen

IDD, op de Router heb ik n.l. ook alle melding doorsturen naar mail omdat ik de Router het belangrijkste vind, dus daar ook al die meldingen.
Echter ik krijg die meldingen ook nog eens dubbel:
Synology Notification System [sns@synologynotification.com]
SRM [xxxxxxxxxx@xmsnet.nl] Die ik zelf heb ingesteld in SRM.
Kennelijk is het Synology Notification System een extra service ?
Nou, als dat zo is, dan kan ik SRM [xxxxxxxxxx@xmsnet.nl] wel uitschakelen

Die dubbele meldingen naar mail kwam ik overigens al eerder achter.
Zal eens kijken of Synology Notification System ergens aanstaat in m'n Synology Account.

[Birdy]

Ahhh, gevonden:

SRM [xxxxxxxxxx@xmsnet.nl] komt hier vandaan:


Synology Notification System [sns@synologynotification.com] komt hier vandaan:


Dus die Pushservice zet ik maar uit, scheelt de helft 

[Birdy]

Ik heb die "Threat Prevention" eens op mijn nas gerund toen het net beta was. Je wordt idd doodgegooid met waarschuwingen. Als je geen wizkid bent heb je geen idee wat gevaarlijke zijn en bij teveel waarschuwingen wordt je minder alert.

Nou @Briolet ik ben heel zeker geen wizkid op dit gebied en wordt er helemaal panisch van, krijg net zo'n 20 meldingen als deze:

alert ip [46.101.118.149,46.101.155.104,46.101.158.109,46.101.172.158,46.101.174.170,46.105.100.136,46.105.216.97,46.119.119.241,46.17.46.223,46.246.123.12,46.246.123.46,46.246.123.67,46.29.160.27,46.41.135.14,46.45.143.35,49.51.230.47,50.62.57.198,5.101.65.162,51.15.40.120,51.254.249.137,5.135.202.22,51.38.119.185,51.68.172.58,51.75.30.207,54.186.97.109,54.37.196.166,54.37.67.211,54.38.213.82,54.38.220.94,54.38.53.124] any -> $HOME_NET any (msg:"ET COMPROMISED Known Compromised or Hostile Host Traffic group 13"; reference:url,doc.emergingthreats.net/bin/view/Main/CompromisedHosts; threshold: type limit, track by_src, seconds 60, count 1; classtype:misc-attack; sid:2500024; rev:4896; metadata:affected_product Any, attack_target Any, deployment Perimeter, tag COMPROMISED, signature_severity Major, created_at 2011_04_28, updated_at 2018_11_23;)

Ik had meer het gevoel van, "wat niet weet wat niet deert" voordat ik "Threat Prevention" ging inschakelen gisteren.
Nu meer het gevoel van  omdat ik er geen verstand van heb.

Maar goed, zoals ik al eerder aangaf, "Threat Prevention" werkt kennelijk goed.
Zal er dus aan moeten wennen

[Briolet]

Dit is blijkbaar een IP die op een lijst met "ET COMPROMISED" IP's staat. Je moet dan eerst uitzoeken wat die lijst inhoud. Ik meende me b.v.  te herinneren dat je ook een waarschuwing kunt krijgen als je vanaf een TOR IP benaderd wordt. Dat hoeft ook geen fout verkeer te zijn. Alleen is de kans veel groter dat die mensen slechte bedoelingen hebben.

Code: [Selecteer]

$ host 46.246.123.46
46.123.246.46.in-addr.arpa domain name pointer 46-246-123-46-static.glesys.net.

$ host glesys.net
glesys.net has address 195.238.76.28
glesys.net mail is handled by 20 mx02.trekia.se.
glesys.net mail is handled by 10 mx01.trekia.se.
Dat klinkt als een Zweeds adres. Dat. geeft ook "whois 46.246.123.46" aan.