vreemde kwaadaardige verdbindingen.

[Babylonia]

Man is bij de meeste hier wel bekend dacht ik.

Of die man bij "de meesten" wel of niet bekend is, doet feitelijk niet ter zake.
Als jij problemen hebt, ben jij degene die ons van "alle" relevante informatie moet voorzien.  Niet andersom, dat bij het noemen
"van een naam", anderen zouden moeten gaan uitzoeken, om te begrijpen wat jij bedoelt, (of hopen dat zij diens info kennen?).
En dan ook nog eens een keer de moeite daarin zouden moeten steken om filmpjes of wat al dies meer zij door te moeten nemen.

Overigens in zijn filmpje benoemt hij wel degelijk, dat je beter je eigen gebruikte netwerk subnetten instelt ( "specifically add yours" ).

En dat is alleen NAS, geen instellingen binnen een Synology router (met tevens instellingen voor uitgaand verkeer).
En de combinatie van die twee, die maakt of het "geheel" goed functioneert.

[stapper]

@Babylonia  Heb je even een pm gestuurd. 

[Briolet]

Even inhaken op dit topic omdat ik er vannacht vanaf 3 uur ook velen kreeg:

De verbinding van iMac-DDR2 met 192.229.221[.]95 is geblokkeerd om veiligheidsredenen(Kwaadaardig).

Verzonden door uw Synology Router- SynologyRouter

Allemaal hetzelfde IP en een paar per uur. Het vreemde is echter dat dit een PC is die in slaapstand staat. Hij wordt alleen af en toe wakker voor mail ophalen en nog een paar taken. (De powernap stand van de iMac)

Meestal wordt er al geblokkeerd op het niveau van het ophalen van het IP via DNS. En omdat er een DNS server op de nas draait, krijg ik altijd de melding dat de nas geblokkeerd is. Ik moet dan de logging van de DNS server op uitgebreid zetten om er achter te komen welke PC dit DNS verzoek deed.

En sinds vanochtend probeert mijn hele netwerk met dat zelfde externe IP te verbinden. Een andere iMac die hier staat en mijn laptop (een MacBook).

Dan vraag ik me af of dit niet een onterechte melding is en dat dit IP hoort bij een update proces van Apple?

[Babylonia]

Geen idee, ik doe niets met Apple.  (Heb dus ook niet dit soort meldingen).
Staat er een update in de planning voor Apple apparatuur??

[Briolet]

Het IP behoort toe aan de Edgecast groep.  Een bedrijf dat in de multimedia zit.

Tot 11 uur vanochtend kwamen die verbindingspogingen om de paar minuten vanuit 1 iMac en een paar keer vanuit de andere iMac en de MacBook. Sindsdien zijn ze gestopt.  Vooral omdat het 3 apparaten betreft, is of mijn hele netwerk plots besmet (Onwaarschijnlijk) of dit IP wordt plots ten onrechte door Synology geblokkeerd.

[Babylonia]

Op het Engelstalige Synology forum inmiddels ook een vergelijkbare melding m.b.t. "Apple"
https://community.synology.com/enu/forum/2/post/185430

En een verwijzing naar   https://knowledge.digicert.com/alerts/new-dedicated-ip-addresses

[Briolet]

Dank. Ik heb mijn reactie daar ook maar toegevoegd.

Dat is dus een IP van DigiCert. En specifiek het adres dat gebruikt wordt om te beoordelen of een certificaat niet voortijdig is ingetrokken.  Het maakt de boel dus juist gevaarlijker als ze de blokkade toepassen want meestal is ingesteld een certificaat te accepteren als de controle niet lukt.

Dit heeft Synology nu al twee keer eerder gedaan. De vorige keer bij de controle van Let's Encrypt certificaten. De eerste keer heb ik er een ticket voor ingediend, maar Synology heeft daar toen zo laconiek op geantwoord dat ik merkte dat ze beveiliging niet echt serieus nemen.

Dit soort IP's komt op de blacklist omdat criminelen ook dergelijke certificaten gebruiken, waardoor er een -onterechte- link gelegd wordt tussen de criminele site en het IP om een certificaat te beoordelen. Als de certificaathouder zo'n uitgeven certificaat nu snel intrekt als het misbruik blijkt, dan blokkeert Synology het systeem om deze intrekking waar te nemen.

[Briolet]

Als ik het IP van de OSCP van Digicert opvraag, krijg ik:

ocsp.digicert.com
ocsp.digicert.com is an alias for ocsp.edge.digicert.com.
ocsp.edge.digicert.com is an alias for fp2e7a.wpc.2be4.phicdn.net.
fp2e7a.wpc.2be4.phicdn.net is an alias for fp2e7a.wpc.phicdn.net.
fp2e7a.wpc.phicdn.net has address 192.229.221.95

Ik had al in mijn uitzondelinglijst gezet (Zie deze post):
fp2e7a.wpc.2be4.phicdn.net
fp2e7a.wpc.phicdn.net

Die twee keer waren het de alias domeinnamen die op de blocklist kwamen. Nu het IP zelf.  Ik zal die laatste groene ook maar op mijn uitzonderingslijstje zetten, anders is het binnenkort weer raak.

[Babylonia]

Jij bent er beter in thuis.  Ik neem het voor kennisgeving aan.
Misschien dat er vanuit dat Engelstalige forum daar vanuit Synology dan nog een reactie op komt, of er iets mee gaan doen??
(Dat wordt beter gevolgd, dan hier).  En het hopelijk was serieuzer wordt opgepakt dan in het verleden.

[stapper]

@Babylonia super bedankt voor alle hulp hier, met de firewall
zeer gewaardeerd, helemaal top

[Briolet]

Ik kreeg vanochtend een onterechte melding:

Code: [Selecteer]

De verbinding van DS415-port-A met mailbnc209.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Social engineering).

Belgacom is gewoon een reguliere Belgische mailprovider. En gelijktijdig met deze mail, kwam er ook een mailtje binnen van een belgische relatie. En als ik in de header kijk, was deze precies vanaf het geblokkeerde adres verzonden.

Code: [Selecteer]

Received: from mailbnc209.isp.belgacom.be (unknown [195.238.22.243]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by xxxxxxx.nl (Postfix) with ESMTPS id 72500ADAEA for <info@xxxxxxx.nl>; Mon,  4 Mar 2024 07:11:22 +0100 (CET)
Een geluk bij een ongeluk:  Het blokkeren van de router werkte niet eens en de mail kwam gewoon binnen vanaf dat adres.  Moet ik nu blij zijn of niet?  Want als dit een echt kwaadaardig mailtje was, dan had de router hem niet geblokkeerd, zoals beloofd.

[Babylonia]

Er spelen wel eens meer onverwachte meldingen, ook buiten een router om.

Laatst hier m.b.t. web-mail bij een provider. (Mail-server bij provider ondergebracht).
Kreeg ik een melding dat een mail niet zou worden ontvangen door de afzender. En dat nog 24 of 48 uur zou worden geprobeerd.
Kreeg evenwel gewoon een antwoord terug van de andere partij. Ondanks erna nog een keer een foutmelding.

Dataverkeer wordt steeds gecompliceerder in de mate van beveiliging en "hacks", waarbij een bitje ergens verkeerd valt?