Test av IDS ble vanlig drift (Synology RT2600ac)

Nøff nøff sier datamaskinen
24/01/2017
Kunsten å låse seg selv ute
08/03/2017
Show all

Test av IDS ble vanlig drift (Synology RT2600ac)

RT2600ac

Synology router

Jeg forsøkte meg på å konfigurere et IDS/IPS basert på Snort. Kom for så vidt ganske langt og det var egentlig bare detaljer som manglet. I mellomtiden inntraff en heldig/uheldig hendelse på nettverktet… min ruter døde. Den gamle ruter har lenge vært et svak led i mitt nettverk. Linksys EA6300. Mye bugs som ALDRIG blir rettet og lav ytelse. Kan ikke si meg annet enn glad for en god grunn å komme av med den. Spesielt når den nye ruteren er en helt ny Synology RT2600ac som kom i salg i januar.

Jeg installerte Intrusion Prevension på ruteren. Det er en tilleggs applikasjon som er tilgjengelig fra Synology. Etter en uke hadde den funnet en del «malicious packages», 47 stykk for å være præcis. Mye dill dall (background radiation of the internet) men også ting litt mer alvorlig. Litt port scanning på SSH (jeg kom til å eksponere min SSH port i 22 timer og de generete litt trafikk) og trafikk fra IP adresser som har dårlig rykte. Tilsynelatende kan en adresse/adresserom få dårlig rykte om den har vært eller er infisert av virus. Men spesiell en hendelse var mer alvorlig. En nettside jeg hadde besøkt på mobilen hadde tilsynelatende levert en Java Nettverk Trojan. Hvor den i stedet for å sende det bilde den blir bedt om sender et Java arkiv. DA besluttet jeg å gå fra Intrusion Detection til Intrusion Prevention! Da dropper Ruteren pakker klassifisert som alvorlig/kritisk.

Etter et par ukers drift ble normaliserte nivået seg også. Mistenker at det tar litt tid for diverse botnets å glemme host med SSH port tilgjengelig. Men fra tid til annen dukker det opp. En delvis fin ting er at jeg blir varslet på epost. Så kan man selvfølgelig diskutere om jeg ikke får nok status eposter inn ditt allerede. Men det er litt betryggende i hverdagen at jeg får status på Backup på NAS’en og nettverksstatus på ruteren.

Ruteren er ikke i det billigste laget. Og 2500 er mer enn jeg noensinne har gitt for et slikt apparat, men jeg tror ikke jeg kommer til å gi mindre. Skulle jeg har gått for et alternativ var det antakelig en pfsense router/firewall og seperat trådløs AP. Det hadde antakelig blitt samme pris++.

Title: Suspicious network event detected
Dear user,

The following suspicious event is detected:

Event Type: Misc Attack
Signature: ET COMPROMISED Known Compromised or Hostile Host Traffic group 33
Severity: Medium
Source IP: 60.191.38.77
Destination IP: xx.xx.xx.xx (min IP).

Sincerely,
Synology Router Manager