Ik heb sinds pakweg een jaar nu het nodige Ubiquiti/UniFi spul draaien, erg tevreden over. Oa een UDM SE, Switch Pro Max 16 PoE en 3 U7 Pro AP's.
Sinds een tijdje hoor ik de kinderen klagen dat ze op Roblox random disconnected worden en ik kan dat inmiddels rijmen met Intrusion Prevention meldingen. Daarin wordt ook aangegeven "This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments."
Nu is mijn vraag: hoe kan ik deze het beste excluden, want nu wordt dit actief geblocked omdat ik Intrusion Prevention aan heb staan. De standaard keuzes die ik voorgeschoteld krijg zijn: Exclude Source IP, Exclude Destination IP, Suppress Signature, Suppress Signature for Source IP en Suppress Signature for Destination IP.
De log is:
code:
1
2
3
4
5
6
7
8
9
| CEF:0|Ubiquiti|UniFi Network|9.4.19|201|Threat Detected and Blocked|9|
proto=UDP src=10.0.0.188 spt=40283 dst=108.130.44.55 dpt=64792
UNIFIcategory=Security UNIFIsubCategory=Intrusion Prevention UNIFIhost=Dream Machine Special Edition
UNIFIdeviceMac=<verwijderd> UNIFIdeviceName=Dream Machine Special Edition
UNIFIdeviceModel=UniFi Dream Machine PRO SE UNIFIdeviceIp=10.0.0.1
UNIFIdeviceVersion=4.3.6 UNIFIrisk=high UNIFIipsSessionId=1672390275603002
UNIFIipsSignature=ET P2P Edonkey Connect Request UNIFIipsSignatureId=2003312
UNIFIutcTime=2025-09-27T19:09:22.963Z
msg=A network intrusion attempt from 10.0.0.188 to 108.130.44.55 has been detected and blocked. |
De view advanced information geeft nog aan dat het om een IPS Alert 1 gaat.
Dit komt voor op zowel een Android tablet als een iPad. Destination IP is elke keer anders, dit keer Ierland, vorige week VS, etc. Wel is het elke keer een ET P2P eDonkey Connect Request. Signature ID is wel altijd 2003312.
Nu heb ik voor deze devices geen fixed IP, maar veelal zitten ze wel op dezelfde interne IP-adressen. Daarom zit ik te denken wat ik het beste kan doen:
1. De hele Signature suppressen voor al het verkeer.
2. De 2 tablets een fixed IP geven vanuit UniFi en dan Suppress Signature for Source IP (2x).
Is dit veilig genoeg om de gehele signature te suppressen? Dat heeft namelijk mijn voorkeur uit gemak.