Sicherheitserkennung: Angriff auf meinen Mediaplayer?

Die IP kommt von der RWTH Aachen.

Dort sitzen einige IT Spezis, womöglich scannen sie alle möglichen IP um Statistiken über offene Einfallstore zu erstellen.

Oder du hast ne wechselnde öffentliche IP und der der sie vorher hatte Betrieb ein TOR Relay, dessen Adresse noch bei jemand anderen im Cache stand.

Solange dies keine dauer Attacke wird ersteinmal beobachten.

Was war denn die Lösung Misux oder hast Du das Thema gar nicht gelöst?

Die Meldung kommt VON 137.226.34.46 PORT 80 zu deiner internet IP Port > 1024.

Das ist üblicherweise die Antwort auf eine Anfrage von Dir nach außen,

Damit wird das NAT Tor auf deinem Router aufgemacht und die strecke erlaubt.

Das ist normal uns muss so sonst müsstest du für jeden Dienst im internet explizit

was einstellen das du raus darfst du antworten wieder rein dürfen.

(Stichworte: Statefuel Firewall, bzw. eher NAT)

Damit sieht das also erstmal aus wie normaler HTTP Traffic, der zu dir will,

weil du nach ihm gefragt hast.

:% dig +short -x 137.226.34.46
ftp.halifax.rwth-aachen.de.

http://ftp.halifax.rwth-aachen.de

Da steht nämlich was das dies auch ein Mirror ist für... Trommenwirbel:

OSMC, das MediaPlayer System auf einem Verio Medienplayer...

Vermutung: es wurden nach Updates gesucht der Server ist es geworden

weil der in einem Mirror Pool drinnen steht. Meldung gab es weil auf der IP AUCH

ein Tor Exit mit drauf läuft.

Würde ich unerwünschten Nebeneffekt nennen. Das nächste mal wird

sich dein Verio einen anderen Server suchen zum Updateprüfen.

Oder wenn hier wieder verwiesen wird, wird das IDS wieder 'ne Warnung auspacken.

Empfehlung: IP Whitelisten, oder Ignorieren / nicht sperren lassen.

Quote from Misux

ber wie kommst du auf Port 1024? Es ist doch Port 52746 auf der Ziel IP...

Mathe für Anfänger

"Ip Port > 1024" oder auch "größer als 1024" war als Verallgemeinerung zu verstehen

Weil der Quell Port einer Verbindung bei TCP grob gewürfelt wird.

Er muss nur größer als 1024 sein. Alles darüber ist quasi geordneter Wildwuchs und darf

auch von Clients genutzt werden.

Wobei die meisten Modernen Betriebsysteme erst bei 5 Stelligen Portnummern anfangen

(linux ab 32xxx, win ab 49xxxx, ganz genau hab ich das nicht in kopf.

Müssen sie aber nicht..

Hihi....

sag ich ja selber vorbeischauen auf der Webseite reicht völlig aus. Hier meine Meldung...

Wird sowas von ignoriert....:-)

Hallo zusammen,

ich bin einer der Admins von ftp.halifax.rwth-aachen.de. Korrekt ist, dass es wohl um Update-Traffic eines Mediaplayers geht (XBMC oder sowas). Die Verbindung wurde also von Misux' Rechner zu ftp.halifax.rwth-aachen.de (über Port 80, also HTTP) aufgemacht und dann entsprechend mit Update-Daten beantwortet. Soweit, so gut.

Auf anderen (!) Ports von ftp.halifax.rwth-aachen.de, nämlich 9001 bis 9008, läuft ein von HTTP komplett unabhängiger Dienst. Es handelt sich hierbei um Tor-Relays, allerdings NICHT um Exit-Relays. Es sind Entry Guard Relays, die den Zugang zum Tor-Netzwerk erlauben. Es ist ein Angebot, das man aktiv wahrnehmen muss - analog zum HTTP-Server, der ja auch nur antwortet, wenn man eine Anfrage schickt.

Warum deine Security-Appliance damit ein Problem hat, ist für mich schlichtweg unverständlich. In der Meldung steht sogar explizit, dass es KEIN Exit-Node ist (da könnte man eine Sperre/Warnung noch verargumentieren). Ich würde diese Konfiguration reparieren oder, besser noch, eine Korrektur beim Hersteller erbitten. Je mehr Leute sich beschweren, desto eher werden derartige Müll-Einstellungen repariert.

Carsten

Quote from C-Otto

Warum deine Security-Appliance damit ein Problem hat, ist für mich schlichtweg unverständlich. In der Meldung steht sogar explizit, dass es KEIN Exit-Node ist (da könnte man eine Sperre/Warnung noch verargumentieren).

Das liegt an der Einstellung „Dark Web Blocker“. Damit wird jeglicher Traffic von/zu TOR Nodes blockiert. Wahrscheinlich um z.B. zu verhindern, daß eine Malware eine Verbindung zur ihrem Control-Server über das TOR Netzwerk aufbaut. Anscheinend glaubt UnFi, daß damit die Sicherheit erhöht werden könnte. Wenn dann aber noch andere Dienste auf dem Server angeboten werden, werden die alle auch blockiert.

Wenn man den „Dark Web Blocker“ deaktiviert, hat man in den IPS/IDS Einstellungen die Möglichkeit explizit nur TOR Exit-Nodes zu blocken.

Wo ist jetzt das Problem? Entweder aktiviert man die Optionen für "Ich möchte nix mit TOR Servern zu tun haben" oder eben nicht. Finde ich prinzipiell nicht schlimm und auch ok, dass das so geblockt wird. Die Portbelegung von Servern ist ja nun mal nicht unabänderbar.

Ich vermute mal, das vermutlich die Chance eher gering ist, dass man "andere Dienste" benutzen muss, die ausgerechnet auf TOR Servern liegen. Und wenn dann kann man dann ja ggf. manuell tätig werden.

Quote from C-Otto

Warum deine Security-Appliance damit ein Problem hat, ist für mich schlichtweg unverständlich. In der Meldung steht sogar explizit, dass es KEIN Exit-Node ist (da könnte man eine Sperre/Warnung noch verargumentieren). Ich würde diese Konfiguration reparieren oder, besser noch, eine Korrektur beim Hersteller erbitten. Je mehr Leute sich beschweren, desto eher werden derartige Müll-Einstellungen repariert.

Schließe mich da an. Tor ist Tor ob Nun Relax/Exit/Guars/Entry oder Omas Trudes Privater Zwiebel Zugang

da unerheblich. Die Kiste genauer die IP steht auf den üblichen Listen und wird erkannt. Wer bedenken hat der

will nicht zwischen rein / raus unterscheiden sondern nichts damit zu tun haben.

Das is damit also keine "Müll-Einstellung" oder falsche Regel.

btw. Der "Hersteller" greift auch (wie alle anderen) nur auf Listen zurück die er einkauft oder

frei verfügbar sind) genauer kann man locker davon ausgehen das UI die Listen

von https://rules.emergingthreats.net/o bezieht und direkt oder mit

kleinen Modifikationen verteilt.