Polskie Forum Synology

Witajcie
Ostatnimi czasy otrzymuję sporą ilość alertów o treści "196.55.215.129 została zablokowana ze względów bezpieczeństwa".
Są one generowane przez Safe Access który używam i mam w nim profil dla kompa dziecka. Te alerty jednak pojawiają się w nim dla wszystkich urządzeń z mojej sieci - vide załącznik.
Problem jednak w tym, że przychodzą one bez przerwy!
Dodałem w zaporze (Centrum sieciowe) blokadę na ten ten adres raz jako źródłowe raz jako docelowe IP ale wpis ten ma zero odsłon, czyli jakby nie łapie się żaden ruch.
Dodałem to IP także w na liście blokowań w dziale "Centrum sieciowe - bezpieczeństwo - automatyczne blokowanie" - także bez zmian - alerty przychodzą jak przychodziły.
Dziś już wiem na pewno, że odpowiada za ten stan rzeczy komunikator Telegram, który mam zainstalowany na każdym urządzeniu. alerty niemal dokładnie zgrywają się z pisaniną na telegramie.
Nie chcę wyłączać powiadomień z Safe Access, to byłoby nierozsądne.
Mam jednak już nerwy w strzępach bo za każdym razem dostaję e-mail, wibruje mi telefon i opaska na ręce.
Jednym słowem - pomocy!

No nie mówcie że nic nie da się z tym zrobić


Wysłane z iPhone za pomocą Tapatalk

W powiadomieniach Safe Access możesz zrezygnować z powiadomień e-mail dla zablokowanych witryn, historie zablokowanych stron i tak masz w każdej chwili dostępną po zalogowaniu do routera. Nie ma powodu, aby natychmiast reagować po komunikacie zablokowania adresu, skoro adres został zablokowany.

look12 pisze:W powiadomieniach Safe Access możesz zrezygnować z powiadomień e-mail dla zablokowanych witryn, historie zablokowanych stron i tak masz w każdej chwili dostępną po zalogowaniu do routera. Nie ma powodu, aby natychmiast reagować po komunikacie zablokowania adresu, skoro adres został zablokowany.

Jest to jednak dziwne zachowanie SA. Gdyby ip był zablokowany to powiadomienie pojawiłoby się tylko raz.

Pomóżcie mi zrozumieć zachowanie Threat Prevention.

Mój amplituner z wbudowaną usługą Spotify gra muzykę i co kilka minut otrzymuję powiadomienie "porzucono podejrzane zdarzenie sieciowe A Network Trojan was Detected".

Nazwa podpisu: ET MALWARE User-Agent (Mozilla/4.0 (compatible))
Źródłowe ip: adres ip amplitunera
ip miejsca docelowego: 199.232.138.248 (w SanFrancisco)
Źródło portu: 2210
port docelowy: 80

Czy Threat Prevention na routerze błędnie identyfikuje zagrożenie czy jednak coś jest na rzeczy a jeśli tak to co miałbym niby zrobić z takim komunikatem?

Pozdr.
Q

Spróbuję tematykę koledze przybliżyć, przynajmniej w sposób jaki ja to rozumiem.
Widzę z postów, że bezpieczeństwo w sieci lokalnej jest języczkiem uwagi i najpierw odniosę się do posta dotyczącego SA.

quent75 pisze: ↑wt lut 02, 2021 12:01 am

look12 pisze:W powiadomieniach Safe Access możesz zrezygnować z powiadomień e-mail dla zablokowanych witryn, historie zablokowanych stron i tak masz w każdej chwili dostępną po zalogowaniu do routera. Nie ma powodu, aby natychmiast reagować po komunikacie zablokowania adresu, skoro adres został zablokowany.

Jest to jednak dziwne zachowanie SA. Gdyby ip był zablokowany to powiadomienie pojawiłoby się tylko raz.

Nie ma nic dziwnego w zachowaniu SA - blokuje adres per połączenie -> zgłasza kolejny komunikat w przypadku następnego połączenia.

Odnośnie TP:

quent75 pisze: ↑ndz lut 07, 2021 12:52 pm Pomóżcie mi zrozumieć zachowanie Threat Prevention.

Mój amplituner z wbudowaną usługą Spotify gra muzykę i co kilka minut otrzymuję powiadomienie "porzucono podejrzane zdarzenie sieciowe A Network Trojan was Detected".

Nazwa podpisu: ET MALWARE User-Agent (Mozilla/4.0 (compatible))
Źródłowe ip: adres ip amplitunera
ip miejsca docelowego: 199.232.138.248 (w SanFrancisco)
Źródło portu: 2210
port docelowy: 80

Czy Threat Prevention na routerze błędnie identyfikuje zagrożenie czy jednak coś jest na rzeczy a jeśli tak to co miałbym niby zrobić z takim komunikatem?

Pozdr.
Q

No cóż TP, to zupełnie inny pakiet niż SA, analizuje pakiety IP i jeżeli wzorzec pakietu zgadza się z przychodzącym pakietem podejmuje stosowną akcję.
W necie znajdziesz strony, które raportują zagrożenia dla adresów IP, możesz zapytać Internet jak ocenia witrynę po adresie IP, no ale to żmudna praca.
Jak mechanizm TP funkcjonuje ?
Podam przykład, załóż, że pracuje dla uznanej na rynku firmy oceniającej bezpieczeństwo w sieci, analizuje zabezpieczenia konkretnych witryn, zagrożenia płynące z połączeń sieciowych.
Wynikiem mojej pracy jest ocena zagrożenia i możliwość wpisania do bazy TP.
(W przypadku SA, klasyfikuje konkretne witryny pod kontem, czy witryna zawiera kreskówki, sieci społecznościowe, reklamy - to proste zadanie.)
W przypadku TP są to wzorce pakietów IP stanowiących potencjalne zagrożenie, skompromitowanych adresów IP rozsyłających wirusy, spam, prowadzących inne ataki, wzorce ataków na RDP, DNS i wiele innych. TP to zaawansowany pakiet analizy pakietów i nie oznacza, że każda reakcja jest atakiem lub nie jest.
Jako ekspert analizując oceniam w/w zagrożenia, klasyfikuję, wpisuję na czarną listę adresy, oceniam bezpieczeństwo serwerów (np. nie ma wdrożonych najnowszych technik zabezpieczeń serwera) co skutkuje wpisem do bazy z której korzysta TP. Wzorce i ocena zachowań TP jest pochodną pracy takiego zespołu.
Co zrobić z komunikatami TP ?
Otóż wszytko zależy od Ciebie na ile chcesz wdrożyć restrykcyjną politykę wzorców pakietów.
Możesz włączyć blokowanie pakietów z wzorca , który generuje alarm, analizując czy ma to wpływ na działanie urządzeń w sieci LAN.
Przytoczony przez ciebie alert z amplitunera wcale nie musi oznaczać ataku na urządzenie/sieć - wystarczy, że serwer został zakwalifikowany jako słabo zabezpieczony i stanowi potencjalne zagrożenie. U siebie korzystam z TP i akurat dla wzorca "ET MALWARE .... " odrzucam pakiety i nie zauważyłem negatywnych skutków takiego działania, a w przypadku kiedy by tak było zawsze można dopuścić źródłowy adres IP lub cały wzorzec.

look12 dzięki, wrócę jeszcze do tego jednak.
Póki co mam problem z blokowaniem stron w Safe Access.
Efekty ustawionego blokowania widoczne są w Firefox ale już Chrome olewa je i wyświetla stronę. Czasem tylko poinforumuje, że połaczenie nie jest prywatne.
Ki czort?

SA to dość prosta aplikacja i łatwo ją obejść. Wystarczy np. w FF ustawić DoH (DNS over https), na iOS „adres prywatny” i już urządzenie wymyka się z kontroli SA. Może przeglądarka ma ustawiony domyślnie DoH ?

look12 pisze:SA to dość prosta aplikacja i łatwo ją obejść. Wystarczy np. w FF ustawić DoH (DNS over https), na iOS „adres prywatny” i już urządzenie wymyka się z kontroli SA. Może przeglądarka ma ustawiony domyślnie DoH ?

Tak. Chrome tak ma właśnie. Trochę zawód z tym SA no ale cóż

Ustaw DoH na routerze, w przeglądarce zdejmij. Jeżeli użytkownik tego nie zmieni będzie OK.