Threat Managment dedektiert keinen Verkehr

Es gibt 33 Antworten in diesem Thema, welches 10.630 mal aufgerufen wurde. Der letzte Beitrag () ist von roddick84.

    Habe jetzt schon ein paar Tage die UDM in Betrieb und habe jetzt einmal Threat Managment in Betrieb genommen. Jetzt nach einer Stunde zeigt es mir noch immer 0 Treffer an. Bin mit einem Netgear M1 im bridge Mode mit dem Wan port verbunden. Muss ich vielleicht sonst noch erwas umstellen das es funktioniert.

    Hi!


    Was meinst Du mit "0 Treffer"?


    Was erwartest Du?


    Gruß!

    Auf meinem Synology router gibt es auch so einen Dienst und da habe ich in einer Stunde sicher an die 100 Treffer.

    Darum frage ich, weil es bei der UDM nichts anzeigt.

    Oder Funktioniert die Erkennung bei der UDM etwas anders. Muss ich vielleicht etwas bei den DNS einstellungen vornehmen

    Was hast du alles im TM aktiviert? Es gibt ja eine Vielzahl von Einstellungen.

    Bei uns funktioniert es gut, hat TOR Netzwerk Zugriffe eindeutig erkannt und Bedrohung beim Surfen auf russischen Seiten ( was halt Mitarbeiter so machen wenn sie denken es merkt keiner)

    Was meinst Du mit Treffer?


    Ich kann das noch nicht verstehen!


    Hier ein kleiner Auszug der Meldungen welche mein Synology Router ausgibt. Sind doch einige.

    Darum meine Frage warum der UDM mir keine Meldungen anzeigt.

    Hast Du mal genau hingesehen?


    Dieser "Verstoß" geht von Deiner internen IP aus!


    Deine NAS (192.168.1.100) meldet irgendetwas an die IP 216.146.43.70!



    Zusammengefasst!

    Ich würde jetzt mal abwarten!
    Meine Erfahrung ist, dass die UDM grundsätzlich gut gegen Angriffe geschützt ist.


    Gruß!

    • Offizieller Beitrag
    Zitat von EJHome

    Dieser "Verstoß" geht von Deiner internen IP aus!


    Deine NAS (192.168.1.100) meldet irgendetwas an die IP 216.146.43.70


    Jepp, sieht nach einem DNS-Lookup aus. Hat dein NAS eventuell für dich die DYNDNS Updates gemacht?

    Auf jeden Fall eine falsche Reaktion der Firewall.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    Habe gerade das Protokoll durchgesehen und es stimmt, die meisten Meldungen gehen von meinem system aus. Aber es sind doch in der letzten Stunde an die 12 Meldungen gewesen welche auf mein System gingen. Die Meisten aus china Rusland und den USA.

    • Offizieller Beitrag

    Lass doch Mal von aussen einen Portscan auf dein System machen. Wenn du nichts nachträglich geöffnet hast (z.B. per Portforwarding) wird der Scan keine offenen Ports finden. Keine offenen Ports=keine Angriffsfläche=keine Logeinträge.

    Habe bei mir z.B. nur den Port 5060 (SIP) auf die Fritzbox weiter geleitet und auch nur für diesen Port Einträge im Log.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    • Offizieller Beitrag

    Was hast du gerade?

    Alte Firewall? Unifi System? Portscan?

    Wenn Portscan, auf welches System?

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    Habe jetzt wieder den Synology Router als Hauptrouter, und der UDM hängt am LAN vom Synology. Habe den UDM als Hauptrouter zu verweden versucht, aber da müsste ich zu viel im Netzwerk umstellen damit alles wieder läuft. Warte ja noch auf meine 3 Stk U6-LR accespoint um wirklich alles abzudecken. Es laufen momentan nur die Geräte welche im Empfang vom UDM sind. War eigentlich nur mal Interrese halber der Versuch mit DPI auf dem UDM. Dachte wenn ich es mal probiere bekomme ich gleich ein Haufen Meldungen über angriffe. Wieviele habt ihr den so im schnitt am Tag.

    Nichts für ungut, aber trotzdem Danke für die Hilfestellung. Ich hoffe ich kann noch auf eure hilfe hoffen wenn ich mein Sytem komplett umstelle. Habe jetzt schon ein paar Punkte wo ich wahrsscheinlich hilfe brauche. :winking_face:

    • Offizieller Beitrag

    Bei mir sind es vielleicht 20 Meldungen am Tag. Ist aber auch nur Port 5060 weitergeleitet. Meist versuchen die wohl teure Ferngespräche abzusetzen. Habe aber soviel Vertrauen in die Fritzbox, das ich TM jetzt abgeschaltet habe.

    Habe aber starkes Misstrauen gegen Software, die ständig auf sich Aufmerksam macht und z.B. einen harmlosen Ping als abgewehrten Angriff verkauft (alles schon gesehen).

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    • Offizieller Beitrag
    Zitat von BlackSpy

    Syno Quickconect aktiviert!

    Kann sein, habe weder Synology noch Qnap.

    Auf meinem NAS läuft OpenmediaVault.

    Und das was ich von aussen im Zugriff brauche, geht ausschließlich über VPN.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    Ja Quickkonet habe ich aktiviert aber sonns habe ich auch nur zugang über vpn auf das NAS.

    So ein gedanke!! Würde es nicht sinn machen auch den ausgehenden verkehr zu überwachen so wie bei Synology. z.B. Lade App über Mobile Daten aufs Händy. Eine was mit einen Trojaner infisziert ist. Wenn ich mich dann im WLAN aktiv bin aktiviert sich die App mit Trojaner und lädt Schadcode über eine IP nach. Daja das wahrscheinlich über Port 80 funktioniert würde es ja das DPI nicht mitkriegen.


    Wenn aber auch der ausgehende Verkehr überwacht würde und die IP als schädliich eingestuft ist würde es blockiert und die App kann den Code schon gar nicht erst laden.

    ISt das so korrekt oder habe ich einen Denkfehler.