Intrusion Prevention

[megakeule]

Hallo,

Hat von euch schon jemand das Intrusion Prevention Paket aktiviert? Ich habe meine DS415+ nicht eingeschleift, das heißt sie sieht nur den Traffic, der an sie gerichtet ist.
Ich habe mir gedacht, auch wenn das Teil sehr RAM-Hungrig ist, lass ich es mal ein paar Wochen laufen, wird schon nichts finden, die DS415+ hängt ja im LAN hinter der Fritzbox...

Seltsamerweise sehe ich Aktivitäten von externen Adressen an die DistStation:
Source: 176.199.91.42 (Hetzner) an IP-DS415, HIGH, ET P2P Kaaza desktop p2pnetwroking.exe Activity
Source: 148.251.68.100 (Hetzner) & 5.9.110.236 (Hetzner) an IP-DS414, MEDIUM, ET TOR Known Tor Relay/Router (Not Exit) Node Traffic Group 159 & 431

Ich habe Quick-Connect inzwischen abgeschaltet. Die Fritzbox hat keine offenen Ports an die DS415+ (auch nicht per UPNP).

Wie kommen diese externen Adressen an meine DiskStation dran?
Jemand eine Idee?

 

[GrinGEO]

bei mir auf der 1815+ kann ich es nicht freischalten

 

[jahlives]

Es müssen fast Ports offen (gewesen) sein, sonst würde die IPS der DS diese Pakete nicht erhalten. Bei TOR kann man den Port nicht so genau festmachen, denn grundsätzlich hat TOR keinen fixen Port, sondern kann fast jeden Port dafür nutzen. Mal von extern mit einem Portscanner geguckt ob wirklich nichts offen ist?
Und so als Info: eine IPS resp IDS gehört auf den Gateway des Netzes, nur der bekommt den Traffic immer ab

 

[megakeule]

@jahives,
Das eine IPS an das Gateway gehört, ist mir klar. Wollte nur meine Netz nicht umbauen. So wie es jetzt aufgesetzt ist, erkennt die IPS immerhin Threats die an die Synoloy gerichtet sind. Dieses Setup ist von Synology freigegeben (der Prevention Teil entfällt damit und es bleibt nur Detection).

Es sind definitv keine Ports an die DS offen und auf der DS läuft auch kein TOR. Eventuell hängt die Meldung mit DS Could zusammen. Das aber auch seltsam ist, wenn Quick-Connect und der Syno Relay Service deaktiviert sind.

 

[jahlives]

Hm sehr merkwürdig, falls wirklich keine Ports offen waren. Vielleicht wurden durch den Quickconnect via UPNP Ports auf der Fritte geöffnet und weitergeleitet. Hast du denn die Routerkonfig via UPNP am Router erlaubt oder nicht? Falls ja würde ich das aus Prinzip deaktivieren.
Ich nehme anhand der Logmeldungen mal an, dass das ein Snort Paket ist (IPS). Leider steht dort selten der verwendete Port oder hast du ein Log wo der DST Port genannt wird? Anhand der Portnummer könnte man u.U. mehr sehen. Zudem was ist der "Syno Relay Service"? Der Mailserver?
Zur Eingrenzung des Problems würde ich diese beiden Dienste mal wieder aktivieren (den Router mal genau so belassen wie er war) und dann nochmals von extern einen Portscan machen. Ich könnte mir beim besten Willen nicht erklären wie diese Logmeldungen kommen sollten, wenn wirklich keinerlei Port(s) offen und weitergeleitet ist (sind). Allenfalls schauen ob du irgendwelche Logs findest wo SRC und DST Port des IPS drinnstehen. Das könnte helfen die Anwendung einzugrenzen, welche den Port geöffnet hat.

Für mich die einzige Erklärung, falls wirklich kein Port offen ist, wäre ein IP Konflikt in deinem Netz und zwar dann wenn du die IP der DS noch an einem weiteren Client hast. Der Client könnte die Verbindung aufmachen und die Antworten auf die Anfragen könnten dann an die DS gehen und dort vom IPS erwischt werden. Wobei das für mich ehrlich gesagt nicht der angenehmere Gedanke wäre, denn das würde auf einen verseuchten Client im LAN hindeuten

 

[megakeule]

@jahives,
UPNP ist auf der Fritte abgeschaltet. Das kann es also nicht sein.
Die IPS ist das offizielle Syno-Paket "Intrusion Prevention" (neu mit DSM6). Synology verwendet anscheinend die Engine von Suricata (zumindest heisst der Prozess so). Der Relay Service ist das Reverse Proxy, dass Synology mit Quick-Connect anbietet (womit man ohne Portfreigabe auf die DS kommt). Den kann man mit DSM6 nun getrennt abschalten.

Jetzt gefunden:
Doppelklick auf den Log-Eintrag bringt details: Port ist 123 (NTP), Protocol ist UDP. Das ist für den TOR Alarm. Der Eintrag für Kazaa gibt als Ports 11194 -> 1194 an.

Der Eintrag mit Kazaa fällt auf einen Zeitpunkt wo ich einen openVPN Tunnel (outgoing, über die DS) aufgebaut hatte und ein Backup gefahren habe. Eventuell war in den Daten ja ein Pattern auf das die IPS angesprochen hat. Die Sourceadresse ist mit der Gegenstellen identisch. Dieser Alarm was zumindest bisher einmalig. Ich denke das werde ich ignorieren.

Bleibt noch der NTP Fall...
Seltsam, da die Fritzbox eigentlich einen eigenen NTP Service im LAN bereitstellt. Port 123 sollte normalerweise nicht einfach durchgereicht werden...

 

[SynNAS]

...
Die IPS ist das offizielle Syno-Paket "Intrusion Prevention" (neu mit DSM6)...

Sollte dieses Paket bei der DSM 6.0-7321 Update 2 auf einer DS713+ auch enthalten sein?

Grüße Stefan

 

[goetz]

Hallo,
Paketzentrum - Einstellungen - Reiter Beta - Haken bei "Ja, ich möchte die Beta-Versionen sehen!" setzen.

Gruß Götz

 

[SynNAS]

...
Paketzentrum - Einstellungen - Reiter Beta - Haken bei "Ja, ich möchte die Beta-Versionen sehen!" setzen. ...

DANKE! Wieder was dazugelernt!

Gruß Stefan