DSM 6.0 beta 2 - Funktion - Nutzen - Einstellungen vom Paket Intrusion Prevention

[Thonav]

Kann mir mal jemand was zu einem neuen Synology Paket Namens Intrusion Prevention sagen? Wofür ist das gut? Habe es mal installiert und zeigt mir Warnungen aus dem eigenen Netzwerk an (z.B, Zugriff durch Raspberry Pi, Sonos) an. Kann man diese Zugriffe irgendwie ausschließen?

 

[Frogman]

...Paket Namens Intrusion Prevention sagen? Wofür ist das gut?

Das ist ein paketanalysierender Scanner, der auf heuristischer Basis entsprechend riskant bewertete Pakete verwirft. Dient der Sicherheit, um Angriffe - ob aus dem LAN oder von extern - abzuwehren, selbst wenn sie über einen von der Firewall freigegebenen Port laufen. Kenne diese spezielle Version nicht, aber üblicherweise kann man den konfigurieren (bspw. Clients ausschließen oder bestimmte Zugriffe erlauben).

 

[Thonav]

Danke Frogman - Unglaublich was Du alles weißt

Also kann ich es nur positiv für die Sicherheit sein?

Vielleicht hat es ja auch ein anderer installiert - und weiß, wie und wo ich Ausnahmen für Pi, etc. eintragen/ändern kann.

Zur Info einmal 3 Screenshots:

 

[Frogman]

Also kann ich es nur positiv für die Sicherheit sein?

Im Grunde ja - hängt halt von der Qualität der Heuristik ab...

... - und weiß, wie und wo ich Ausnahmen für Pi, etc. eintragen/ändern kann.

Schau mal unter 'Regelsätze' und 'Sensor' nach.

 

[Thonav]

Hier mal Screens:



Und hier nochmal mit Filter wegen häufiger mysql Port 3306 Meldung




Weiß jetzt nicht, ob ich irgendwo den Haken entfernen kann - da links stets von "Extern" steht, die IP´s aber aus meinem Netz stammen.

 

[Skyforge]

Heute morgen hat der Antivirenscanner "Antivirus Essential", einige Regeln des Pakets "Intrusion Prevention" in die Quarantäne verschoben. Soll angeblich html.Trojan.Blackhole-5 und cve_2011_22657 gefunden worden sein.
Synology habe ich den Fall schon übermittelt, mal schauen was die sagen.

Könnt ihr das nachvollziehen oder stehe ich mit dem Problem alleine da?

 

[whitbread]

Ich finde das Paket auch recht interessant. Es gehört aber imho ausschliesslich auf den Router - jedenfalls für mich als Heimanwender! Die NAS sollte durch die Firewall des Routers geschützt werden.

 

[Skyforge]

Heute morgen hat der Antivirenscanner "Antivirus Essential", einige Regeln des Pakets "Intrusion Prevention" in die Quarantäne verschoben. Soll angeblich html.Trojan.Blackhole-5 und cve_2011_22657 gefunden worden sein.
Synology habe ich den Fall schon übermittelt, mal schauen was die sagen.

Rückmeldung: Synology ist das Problem bekannt, es soll in einem Update behoben werden.

 

[fotokroth]

Hallo,

hat jemand Intension Prävention aktiv und kann bestätigen, dass damit die CPU Last ständig um gut 40% höher ist?
Gibt es dafür eine Erklärung?

DSM 716+

 

[Puppetmaster]

Gibt es dafür eine Erklärung?

Aber sicher. Es ist ein sehr ressourcenhungriger Prozess, alle Paketdaten live zu analysieren.

 

[Falkenfelser]

Für welche Modelle ist das Paket denn verfügbar? Hab nirgend etwas dazu gefunden.

 

[Skyforge]

Hallo,

hat jemand Intension Prävention aktiv und kann bestätigen, dass damit die CPU Last ständig um gut 40% höher ist?
Gibt es dafür eine Erklärung?

DSM 716+

Bei mir hat sich der RAM auf 50% erhöht, seit dem ich auf Beta RC geupdated habe.
Musste das Paket deinstallieren, danach ist wieder alles ok.

 

[flugwaps]

Hallo,

hat jemand Intension Prävention aktiv und kann bestätigen, dass damit die CPU Last ständig um gut 40% höher ist?
Gibt es dafür eine Erklärung?

DSM 716+

Kann ich bestätigen , IDS erhöht den load average merklich.
Wobei die Frage "um 40%" natürlich voraussetzt zu wissen was der Ursprungsauslastungsgrad war

Erklärung : imho guckt sich der Dient jedes ip-Paket an und sucht nach Auffälligkeiten. da hat die CPU schon zu schuften

 

[kahi]

Kann jemand ein paar Beispiele mit kurzen hintergrund für die Filterverwaltung geben? Danke

 

[rednag]

Macht das Paket auch innerhalb des LAN noch Sinn? Also wenn die DS am Router hängt und durch Portweiterleitungen erreichbar ist. Grundsätzlich vertraue ich meinem LAN - was filtert dann das Paket noch? Die "bösen Pakete" sind ja schon durch die offenen Ports vom Router ins Netz gelangt. Macht das Paket in Zusammenhang der Firewall der DS noch einen Sinn?

 

[Frogman]

Dazu zitiere ich mich mal aus #2 selbst...

.... Dient der Sicherheit, um Angriffe - ob aus dem LAN oder von extern - abzuwehren, selbst wenn sie über einen von der Firewall freigegebenen Port laufen. ....

 

[rednag]

Danke Frogman,

das habe ich schon gelesen als ich alle 2 Seiten des Threads durchgeblättert habe
Dachte nur das vielleicht schon wer aus seiner Praxis über das Paket berichten kann.

 

[Elador]

Hat Synology das Paket eingestellt? Hat nicht mehr funktioniert nach dem Update auf 6.1 final, und hier: https://www.synology.com/en-us/dsm/app_packages/IntrusionPrevention
steht jetzt "*All NAS models will no longer support Intrusion Prevention since DSM 6.1 RC"?

 

[dil88]

Ja, das Paket gibts nicht mehr für DSM 6.1. Man hat es stattdessen in die Router-Software integriert.

 

[Elador]

Heisst es ist nicht mehr verfügbar für DiskStations, sondern nur noch für die Synology Router?