Security Detection op Ubiquiti router. - Privacy en beveiliging

vrijdag 27 september 2024 21:51

Acties:

0 Henk 'm!

Topicstarter

Dus; vandaag maar eens de Internet Filter aangezet op de Ubiquiti Dream Machine,

Iets later kwam hij met de onderstaande melding; Hoe moet ik deze lezen/zien? Moet ik hier iets mee of is dit een false positive? Het leek samen te hangen met het feit dat ik een speedtest draaide op m'n mobiel om te kijken hoe snel de verbinding nog is met de Internet Filter aan. (Speedtest dot net)

(Op de plaats van "My pixel phone" staat dus het IP van mijn Pixel 7a.

Graag zou ik leren dergelijke detecties te begrijpen.

Afbeeldingslocatie: https://tweakers.net/i/7TGomRiIZqehH82bCyv7ORvYSww=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/FNnJFJHSNzRic3pFHtg16mnq.png?f=user_large

[ Voor 5% gewijzigd door Chris2 op 27-09-2024 21:51 ]

zaterdag 28 september 2024 10:57

Acties:

0 Henk 'm!

Chris2

Topicstarter

Ben erachter wat de melding triggerde,

Het IP adres wordt door Google gevonden als Mr.joep, waar de speedtest verbinding mee maakte.

maandag 30 september 2024 00:23

Acties:

+1 Henk 'm!

jurroen

Security en privacy geek

Ik denk dat jij de threat detection op high hebt staan? In feite kan dit niet veel kwaad, het IP adres wordt (of werd) ook gebruikt om een Tor relay te hosten. Kan zijn dat het nu nog steeds is, of dat het een VPS betreft met vaak wisselende eigenaar.

Een Tor relay an sich kan geen enkele kwaad. Pas als Suricata gaat loeien dat er veel verkeer vanaf een exit node op jouw netwerk gespot is, kum je jezelf eens achter de oren krabben.

Maakt iemand in het huishouden gebruik van Tor?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

maandag 30 september 2024 00:51

Acties:

0 Henk 'm!

Chris2

Topicstarter

Hoi, nee.. niemand maakt gebruik van Tor/download iets qua torrents of ook maar iets in die richting.

Maar ik weet ondertussen dat het zeker samenhing met die speedtest richting Mr.Joep (Daar komt ook hetzelfde IP adres naar voren). En terugdenkend kwam deze melding ook direct na het starten van de speedtest..

Ik heb de threat detection op medium staan. Het bleef ook bij deze ene melding verder.

Ik vind de extra uitleg wel erg fijn, bedankt hiervoor

!

[ Voor 9% gewijzigd door Chris2 op 30-09-2024 00:57 ]

maandag 30 september 2024 01:23

Acties:

0 Henk 'm!

jurroen

Security en privacy geek

Dat zijn twee hele.verschillende dingen die eigenlijk helemaal niets met elkaar van doen hebben.

Tor (The Onion Router) is het diepe web. Een laag van anonimiteit. Soms wordt het (sensationeel) het darkweb genoemd omdat er, inderdaad, óók marktplaatsen zijn voor illegale shit.

Maar dat is (deels) sensatie en bangmakerij. Ik beheer een open source mirror die ook via Tor benaderbaar is. Activisten gebruiken het, dissidenten en journalisten. Klokkenluiders. En meer. Is dus niet per definitie kommer en kwel.

Torrents, ook al heeft het dezelfde beginletters, is peer to peer downloaden. Dus iets heel anders.

En wat ik in mijn vorige post al aangaf, het is inderdaad een persoon die een Speedtest machientje heeft draaien en tegelijk een Tor relay draait. Samen met wat meer zaken, zie: https://mr-joep.nl

Wel grappig overigens, want die Joep draait dit vanuit huis met een 4Gbit/s glasvezel lijntje van KPN.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

maandag 30 september 2024 10:51

Acties:

0 Henk 'm!

Chris2

Topicstarter

Duidelijk! , Dus de Ubiquiti ziet het IP adres als een mogelijke Tor relay (want dat is misschien ooit zo geweest op dat IP adres) en blokkeert hem meteen?

Hoe weet de Threat detection eigenlijk wat hij wel/niet mag toelaten, Vergelijkt hij verkeer met een soort database en maakt hij gebaseerd daarop de beslissing?

En is het niet veel voorkomend dat iemand dergelijke dingen vanuit thuis draait? (De andere Speedtest adressen die ik zie zijn voornamelijk bedrijven).

maandag 30 september 2024 10:57

Acties:

0 Henk 'm!

BytePhantomX

Dit is een beetje het nadeel van dit soort diensten. Ze filteren op basis van mogelijke malicious ips en hostnames. In de basis wel ok, maar hackers weten dit en wisselen heel snel van infrastructuur. En de vraag is hoe snel die lijsten worden bijgewerkt met nieuwe adressen en hoe lang het duur voordat adressen weer worden verwijderd van die lijst.
Het levert dan ontzettend veel ruis op, die als het jouw niet in de weg zit prima is, maar waar ik niet dagelijks naar zou gaan kijken.

Hoe weet de Threat detection eigenlijk wat hij wel/niet mag toelaten, Vergelijkt hij verkeer met een soort database en maakt hij gebaseerd daarop de beslissing?

Er zijn grote lijsten met IOC's (ip, hostnames en file hashes) die worden gedeel onder security bedrijven en de bron zijn voor dit soort diensten. Een deel is open source, maar een groot deel zit commercie achter.

maandag 30 september 2024 11:36

Acties:

0 Henk 'm!

Chris2

Topicstarter

De detectie heeft ook de eerste 1,5 jaar uit gestaan.. En dan gebeurt er ook niets geks.

Het gebruikt wel wat extra CPU/Ram van de Dream Machine.. Dus eigelijk zou je zeggen; zet het uit?
Want het zorgt maar voor minimale echte extra veiligheid; en veel meer valse detecties?

Heb iedereen die hier van het netwerk gebruik maakt wel geleerd niet zomaar op linkjes te klikken / niet zomaar dingen te downloaden/installeren. En alle apparaten hebben netjes de laatste updates qua software/firmware.

maandag 30 september 2024 12:44

Acties:

+1 Henk 'm!

BytePhantomX

Als het geen beperkingen oplevert in dingen die niet werken of in snelheid, dan zou ik het aan laten staan.

Maar ik verwacht oprecht niet dat het iets gaat tegenhouden qua virus, hackers etc. Hooguit als je een compromised IOT device in je netwerk hebt (camera o.i.d.) dat als bot gebruikt wordt dat het verkeer misschien geblokkeerd wordt.