Network Scanner / Threat management

Hallo zusammen,

nach nun mehreren Monaten Problemen und stundenlangen logs durchforsten, musste ich feststellen das wohl meine UDM Pro mein Setup in regelmäßigen Abständen abschießt. Wir sind zum 01.09. umgezogen und davor hatte ich ein Setup mit der Fritzbox (lief Problemlos) seit dem Umzug UDM Pro und damit begannen die Probleme.

Folgende Situation. Ich habe einen unRaid Server mit diversen Docker-Containern, unter anderem TVHeadend und Oscam. 1x am Tag bekomme ich bei Oscam ein "(dvbapi) Unknown socket command received: 0x000xxxxx" und zwar immer um XX:05 Uhr... dabei fiel mir in den logs auf das auch per Telnet, SSH usw. versucht wurde zuzugreifen von der IP der UDM Pro, auch immer um XX:05 Uhr...

Dies hatte zur Folge das ich entweder TVHeadend oder Oscam neu starten musste damit das ganze wieder klappt. Also auf die Suche gegangen was das ganze auslösen kann.

Ich hatte das "Thread Management" auf Detect & Block (bin auch der Meinung das seitdem die Probleme auftreten) gestellt.

Nach einiger Recherche in der Unifi Docu bin ich dann auf die "Network Scanners" gestoßen das so wie ich es verstanden habe das Netzwerk und deren Devices scannt (was offensichtlich genau mein Problem verursacht). Nun ist es aber so das ich auf der Version 6.5.53 bin und unter: "Settings --> Traffic & Security" --> "Global Threat Management" --> "Advanced Features and Customization" --> "Network Scanners" nur noch der "Honeypot (disabled)" steht. In den Videos & Docus finde ich aber dort noch einen weiteren Punkt der genau diesen internen Netzwerk-Scan deaktivieren soll?!

Ich hatte dann auch versucht in der "Thread Management Allow List" den Server zu "whitelisten", aber das brachte auch keine Lösung.

Ich bin mittlerweile echt mit dem Latein am Ende, habe nun das "Threat Management" komplett deaktiviert seit heute und hoffe das nun Ruhe ist. Allerdings würde ich das ganze gern schon weiter einsetzen, wenn möglich nur ohne diesen Internen Scan.

Vielen Dank und schönen Sonntag.

Hat leider nichts gebracht...

Ergänzend dazu. Wo ist der Button abgeblieben in der neuen Version? Ich habe wirklich alles abgeschalten, aber immer noch Scans auf den Servern von der UDM Pro auf diversen Ports... Mittlerweile bin ich wirklich von diesem UI-Updates genervt, vor allem wenn Funktionen komplett verschwinden, aber im Hintergrund offensichtlich noch laufen.

Gleichzeitig ist aber laut der neuen "Traffic Inspector"-Ansicht das ganze deaktiviert.

Zitat von BlackSpy

denke du suchst

Settings --> Traffic & Security --> Traffic & Device Management

Dort sind die Traffic Scans gelandet.

Sollte nach einem Update einmal was nicht funktionieren hilft es , wenigstens ab und zu, entsprechende Funktion (sollte sie deaktiviert anzeigen) zu Aktivieren, provisionierung abwarten und wieder deaktivieren

Danke für den Hinweis,

mMn ist das aber allein von der Beschreibung grundsätzlich was komplett anderes? Der Threat Scanner liest sich hier ganz anders (siehe Screenshot von oben) oder?

Zitat von BlackSpy

Wäre jetzt der einzige Button der jedenfalls in die Nähe der Funktion kommt.😏

Ich glaube der war bereits aus, ich versuche es aber mal. Jedoch scheint es sich dabei eigentlich um eine andere Funktion zu handeln.

Zitat von jkasten

Das ist eine andere Funktion, das was Du suchst ist verschwunden. Scheint aber noch in der Handyapp zu finden zu sein.

Guten Morgen jkasten,

du meinst die "Unifi Network"-App oder? Wo findest du die Funktion in der Handy-App?

Zitat von jkasten

Ja die App meine ich, da findest Du die Funktion genau da wo sie mal in der Weboberfläche war. Da wo auch der Honeypot steht. Habs aber nicht probiert ob es funktioniert.

Also in meiner App gibts die Funktion "Security" leider gar nicht, hab nun alles durchsucht...

Zitat von jkasten

Das ja geil, bei mir ist das über notifications.

Du bist auch auf 6.5.53 und mit Android-App? Die Jungs von UniFi sind schon gut... einfach eine Funktion aus der GUI streichen ohne die Möglichkeit diese wieder zu disablen, denn laufen tut sie im Hintergrund.

Zitat von jkasten

Controller ja, aber auf dem iPhone mit der App.

Gibt es die Einstellung vielleicht noch auf der alten Oberfläche?

Dann schnapp ich mir gleich mal das iPhone vom Kollegen...

Wenn es so einfach wäre, hätte ich hier nie geschrieben, aber danke für die Idee In der alten Oberfläche gibts nichtmal den Honeypot...

Zitat von jkasten

Ist zumindest einen Versuch wert. Ich hab hier die UDR und kann nicht mehr auf die alte Oberfläche um das zu checken.

Also in der iPhone-App war das nun tatsächlich drin und noch ein paar andere Funktionen die ich aus der Android-App gar nicht kenne... Muss man nun auch noch ein iPhone haben um seine UDM zu administrieren

Danke dir aber für die "Lösung" auch wenn das echt unschön ist.

Also abschließend nach nun 5 Tagen, der Threat-Scanner war die Ursache für die Probleme. Kann mir durchaus vorstellen das dies auch bei anderen Diensten ein Problem verursachen kann. Das Teil bleibt nun aus, bringt mMn eh nichts sinnvolles.