Sicherheit - Eindringschutz Erkennung von Angriffen

    Hallo,

    ich habe in meiner UDM-SE die Sicherheit und Erkennung auf die höchste Stufe gesetzt. Auch ist eingestellt, dass geblockt und benachrichtigt wird.

    Die Anlage läuft seit ca einem halben Jahr und bis jetzt waren es nur 2-3 Meldungen, dass etwas auf einem Handy geblockt wurde.

    Wir sind zu viert mit zwei Teenagern im Haus. Ich hatte da deutlich mehr "Vorkommnisse" erwartet. Es kommt auch zu keinen Falschmeldungen.

    Wie sieht es denn bei euch so aus ?

    Grüße

    UDM-SE

    1x U6 pro 1x U6+

    1x UX als AP 1x UAP AC M aussen

    2x USW Lite 8 PoE

    3x Flex mini

    2x G4 Instant + 2x G5 Turret Ultra

    2x Synology NAS

    Diverse IoT Geräte (Homematic IP)

    Wenn der von außen erreichbare Raspberry Pi meines Juniors als Minecraft Server aktiviert ist, bekomme ich eine Meldung nach der anderen, da werden am Tag bestimmt irgendwo zwischen 5 und 10 Zugriffsversuche vom IDS/IPS erkannt und blockiert. Allerdings läuft der Raspberry auch in einem eigenen und isolierten VLAN, von dem her bin ich entspannt. Sobald der Raspberry ausgeschaltet wird, kommt auch keine einzige Meldung mehr. Und hier wohnen auch drei Teenager mit jeweils eigenem Tablet und Handy plus beim Ältesten eben noch der PC plus dem Raspberry.

    FTTH 600/300 (Telekom) | UniFi Cloud Gateway Ultra + UniFi 24er Switch w/o PoE + UniFi 8er Switch + 2x UniFi 5er Switch (Flex Mini) + 2x UniFi AP AC Pro | Phone: Gigaset S850A GO + 1x CL660HX + 1x SL450HX | NAS: Synology DS215j mit 2x 4TB WD Red

    Dann scheint es ja normal zu laufen. Dachte nur ich habe es vielleicht falsch eingestellt. Hast du bei Länderbeschränkungen was konfiguriert ?

    Ich habe in jedem VLAN ein Honeypot laufen. Da gab es vereinzelt Meldungen. Aber auch nichts besonderes.

    UDM-SE

    1x U6 pro 1x U6+

    1x UX als AP 1x UAP AC M aussen

    2x USW Lite 8 PoE

    3x Flex mini

    2x G4 Instant + 2x G5 Turret Ultra

    2x Synology NAS

    Diverse IoT Geräte (Homematic IP)

    Ich hab die „Achse des Bösen“ bei den erlaubten Ländern mal rausgenommen (also sowas wie Nord-Korea, den Iran, Russland, den Jemen und so). Wohlwissend, dass das eigentlich nur Kosmetik ist und im Zweifel gar nichts bringt, aber vermutlich bei den ausgewählten Ländern halt auch keinen Schaden anrichtet. Honeypots hab ich auch in jedem VLAN laufen, aber da hab ich noch nie ne Meldung erhalten. Bin ich auch froh, nach meinem Verständnis wäre dann ja schon jemand in meinem Netzwerk drin.

    FTTH 600/300 (Telekom) | UniFi Cloud Gateway Ultra + UniFi 24er Switch w/o PoE + UniFi 8er Switch + 2x UniFi 5er Switch (Flex Mini) + 2x UniFi AP AC Pro | Phone: Gigaset S850A GO + 1x CL660HX + 1x SL450HX | NAS: Synology DS215j mit 2x 4TB WD Red

    Von meinem Testen und etwas Erfahrung kann ich sagen, wenn die Firewall vom Internet komplett zu ist (keine Ports offen) kommt eigentlich so gut wie nie eine Warnung. Bzw wäre dann schon intern etwas infiziert.

    Ich teste dass dann mal mit curl "BlackSun" https://example.com ob es noch läuft

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Aber als ich mal mit nem Mail Server gespielt hatte ging es ab. Port 25 weitergeleitet und nachdem ich die entsprechende DNS Eintrag bei meiner Domain gemacht habe.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login