Beiträge von X3ufmb2

Hallo zusammen,

mal eine Frage an die Experten: habe heute im Traffic Log folgende Info gesehen:

ET EXPLOIT Possible Apache log4j RCE Attempt - 2021/12/12 Obfuscation Observed M2 (udp) (Outbound) (CVE-2021-44228)

Type:Attempted Administrator Privilege Gain

Category: Exploit

Quelle war die UDM Pro : 55512

Ziel war mein Synology NAS : 54688

War somit innerhalb des eig. Netzwerkes.

Kann mir jemand sagen, was das sein könnte?

Die UDM-Pro ist komplett auf dem aktuellen Update-Stand 1.11.0.

Danke vorab.

Hallo, bei meiner UDM-Pro geht seit dem Update die E-Mail Notifikation/Benachrichtigung nicht mehr. Komischerweise funktioniert sie, wenn ich den Remote Access aktiviere. Hat hierzu zufällig jemand etwas mitbekommen? Ist das evtl. ein Bug oder wird man schon wieder in Richtung Remote Access gedrängt...?

Alles klar, das war was ich gesucht habe. Danke!!

Hallo zusammen,

ein Spiel (Roblox) meiner Tochter löst immer wieder IPS-Alarme aus. Ein bestimmter Adressbereich versucht immer nach Hause zu funken. Ich möchte gerne eine Gruppe anlegen und die Adressbereiche sperren. Wenn ich jetzt aber nur den Adressbereich 128.116.0.0/24 auswähle, erwische ich nach meinem Laienverständnis nicht alle Bereiche.

Gibt es eine Möglichkeit, den kompletten Bereich ab 128.116.X.X zu sperren?

Hi,

vielen Dank für die ausführlichen Infos. Dieses Detail- bzw. Hintergrundwissen fehlt mir leider, sodass ich schon ziemlich verunsichert war. Deine Infos beruhigen dann schon etwas. Wie gesagt, ich hatte früher mal eine VM mit Wireguard, die allerdings schon lange nicht mehr aktiv ist, allerdings hatte ich anscheinend vergessen, die dazugehörige Portweiterleitung zu löschen. Das ist heute auf jeden Fall passiert. Die relevante IP war jedenfalls nicht aktiv. . Deine Erklärungen sind jedenfalls soweit für mich nachvollziehbar. Danke nochmal!

Hatte gerade noch gesehen, dass ich mal noch eine inaktive VM mit Wireguard hatte. Da war ne Portweiterleitung aktiv, allerdings an einen ganz anderen Port als 62073. Die habe ich gleich mal deaktiviert. Ansonsten waren keine Portweiterleitungen aktiv. Könnte da was versucht worden sein? Die VM war aber wie gesagt nicht aktiv und das ganze hätte ins Leere laufen müssen....

Ok, das wäre dann schon ne andere Sache. Die IP wäre direkt die vom Rechner selbst, nicht mal die von Proxmox oder von einer VM.... In der UDM leite ich keinerlei Ports durch. Andere Programme laufen darauf nicht. Ich wüsste auch nicht, was der Port 62073 sein soll... Soll ich die Kiste mal komplett neu installieren oder versucht da jemand einfach einfach nur div. Ports anzupingen. Proxmox und die VMs haben jedenfalls andere IPs als die vom IPS als Zieladresse angegeben wurde... Noch irgendwelche Ratschläge? Danke vorab!

Hallo zusammen,

schon mal danke für die Rückmeldungen. Da läuft eigentlich nur Proxmox als Hauptsystem und zwei VMs mit Pihole und iobroker.

Konnte das nicht so wirklich einschätzen was das soll, aber es ist ja gut, dass hier schon mal die UDM ihre Arbeit vernünftig verrichtet.

Ok, dann werde ich das erstmal abhaken und mal beobachten, ob da noch was nachkommt...

Hallo zusammen,

habe gestern den folgenden Hinweis erhalten. Ziel war ein Rechner auf dem Proxmox mit mehreren Maschinen (PiHole etc.) läuft. Quelle war eine Adresse in den USA. IPS auf der UDM-Pro ist aktiviert.

Hatte jemand schon mal einen ähnlichen Hinweis bzw. einen Ratschlag, was man alles ggf. jetzt unternehmen soll?

Danke vorab.

Ich hoffe, dass ich dich jetzt nicht falsch verstehe, mit Netz meinst Du den Netzanbieter? Telekom...

Hallo zusammen,

ich habe auch eine FB 7590 als reine Telefonanlage hinter einer UDM-Pro hängen. Wurde VoIP auch in einem eigenen VLAN funktionieren ohne besondere Regeln funktionieren? Oder müsste ich in diesem Fall eine zusätzliche Regel mit Zugriff auf das Admin-LAN anlegen, damit das funktioniert?

Hätte es bei diesem breach einen Unterschied gemacht ob man die 2FA an hatte oder nicht? Ist hierzu was bekannt?

ok, danke für die Infos!

Hi,

Danke für die Info. Ich hatte das vorher über die Suche gefunden. Bitte entschuldige die blöde Rückfrage: wenn im Advanced Bereich ssh deaktiviert ist, ist es dann folglich egal ob in der „Geräte Authentifizierung“ ssh angehakt ist oder nicht? Oder sollte ssh in der Geräte Authentifizierung immer an sein...? Hab’s leider noch nicht richtig verstanden.

Hallo zusammen,

ich hätte eine Verständnis-Frage zum Thema SSH-Authentifizierung bei der UDM-Pro: Verstehe ich das richtig, dass ich den Haken bei "SSH-Authentifizierung aktivieren" im Bereich der Geräte Authentifizierung nur setzen muss, wenn ich per SSH auf einzelne Switch bzw. AP-AC-Pro zugreifen möchte? Bleibt die Kommunikation zwischen den Geräten auch ohne den Haken dann trotzdem noch verschlüsselt oder sollte der Haken immer gesetzt werden?

Und noch ein weiterer Punkt:

Gibt es eine Möglichkeit UniFi Protect auch ohne Cloud zu nutzen?

Vielen Dank für Eure Unterstützung.