Network Instrusion blocked

Es gibt 6 Antworten in diesem Thema, welches 1.253 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Hallo,


    aktuell habe ich folgendes Setup:


    - Draytek vigor 167 im Bridge Modus


    - Dream Machine die das Einwählen ins Internet macht



    In letzter Zeit bekomme ich vermehrt folgende Meldungen:


    Network Intrusion Blocked


    A possible network intrusion attempt from 194.8.197.22 has been detected and blocked.


    Prinzipiell habe ich erst mal keine Panik, hatte vorher eine Fritzbox und da hat man solche Meldungen ja nicht mitbekommen da es hier auch keine Einstellung gibt/gab.


    Trotzdem interessiert mich ob das bei euch auch so ist?


    Ich nutze die Standardeinstellungen der Dream Machine Firewall.


    Bin nun etwas weiter .. das kommt wohl von Foreman (Update Tool für Redhat/Centos usw Maschinen):



    Soll ich das Whitelisten?




    Gruß

    Zitat von druh-badigx

    Draytek vigor 167 im Bridget Modus

    Hoffentlich nicht im Bridget Fonda Mode :grinning_squinting_face:

    Zitat von druh-badigx

    Bin nun etwas weiter .. das kommt wohl von Foreman (Update Tool für Redhat/Centos usw Maschinen):

    Soll ich das Whitelisten?

    Nutzt du das Tool und ist es aktuell beeinträchtigt in der Funktion? Und wieso geht das immer auf andere IP Adressen? Sorry, ich kenn das Tool nicht, mir reicht "apt" zum Updaten

    Zitat von anton

    Hoffentlich nicht im Bridget Fonda Mode :grinning_squinting_face:

    Nutzt du das Tool und ist es aktuell beeinträchtigt in der Funktion? Und wieso geht das immer auf andere IP Adressen? Sorry, ich kenn das Tool nicht, mir reicht "apt" zum Updaten

    lol .. ne Bridget Fonda ist es nicht :smiling_face:


    Ich glaub ich bin etwas weiter. .habe 2 Geräte mit dem Namen Foreman (nciht Bridget Fonda) .. eines ist das Ipad und ein anderes ist das Foreman.. werde für beide Geräte nun eine feste IP eintragen und es sollte dann wieder ruhe sein. Zumal Foreman eine virtuelle Maschine in einem Proxmox Server ist .. dürfte also kein WLAN haben.. Gut ist das UDM sowas aufdeckt.


    apt bringt mir einerseits nichts da das ja Redhat Varianten sind und zum anderen evaluiere ich eine zentrale Patchverwaltung im Netzwerk… der stellt quasi nacher die Patches im Netz bereit.

    Zitat von druh-badigx

    lol .. ne Bridget Fonda ist es nicht :smiling_face:


    apt bringt mir einerseits nichts da das ja Redhat Varianten sind und zum anderen evaluiere ich eine zentrale Patchverwaltung im Netzwerk… der stellt quasi nacher die Patches im Netz bereit.

    Dann wird es der Bridge Mode sein :winking_face:


    nee, spass beiseite, ich hab selber mal schauen müssen, welche Paketverwaltung rhel nutzt, da ich bis jetzt nur mit Debian(Abkömmlingen) und BSD zu tun hatte. Aber demnächst steht bei mir ein Centos Stream 9 VM mal am Plan zum ansehen

    Zitat von anton

    Dann wird es der Bridge Mode sein :winking_face:


    nee, spass beiseite, ich hab selber mal schauen müssen, welche Paketverwaltung rhel nutzt, da ich bis jetzt nur mit Debian(Abkömmlingen) und BSD zu tun hatte. Aber demnächst steht bei mir ein Centos Stream 9 VM mal am Plan zum ansehen


    Schau dir Forman mal in ruhe an .. der kann auch apt usw zur Verfügung stellen und so müsstest Du nur an einer Stelle den Connect nach aussen erlauben .. lohnt sich aber nur wenn Du gern Jugend Forscht machst .. ich brauch sowas für die Arbeit.

    Hast du eventuell Ports nach draußen offen?

    Moni,



    Das ist die Regel / Grund warum suricata (das ist das IDS unter der UNIFI Oberfläche) angesprungen ist


    Die IP die du gezeigt hast sind alles Mirror für CENTOS Pakete. Scheinen also gewollt und harmlos zu sein

    (weil diese auch den den typischen Firmen gehören)


    Klingt für mich (bitte selber entscheiden) für false positive und die Meldung Whitelisten (wohl aber auch nur

    für die Mirror Server). Jedenfalls wenn die Software aus ner seriösen quelle (also dem Hersteller) kommt.

    Danach nen isseu bei Foremann aufmachen warum das IDS anschlägt

    und wahrscheinlich danach auf Ansible wechseln das ist eh tief mit RedHat verwurzelt.