Synology Router RT2600ac und Intrusion Prevention

[Perry2000]

Ich habe mir den RT2600ac gegönnt und bin am Intrusion Prevention testen.
Nach einem Tag habe ich schon einige Warnungen erhalten:



Dies in einer Mac Umgebung ;-)

Wie ist das bei Euch so? Viele Warnungen?

Die Prozessorleistung ist beim Starten des Programms enorm. Beruhigt sich aber nach ein paar Minuten wieder....

 

[Nightlover]

Hallo, zu der Warnung kann ich dir leider nichts Sagen, aber was mich interessieren würde, ist, als ich dieses Packet auf dem RT1600ac installiert hatte ging meine Down- und Uploade Geschwindigkeit um über 50% zurück. Hast du dieses problem nicht mehr, also hat sich deine Geschwindikeit nicht verringert?

Night

 

[bitrot]

Die Intrusion Prevention sorgt nach wie vor für einen dramatischen Einbruch der maximalen Übertragungsrate. Der RT2600ac ist nur deutlich performanter, so dass die maximal erreichbare Bandbreite deutlich höher ist als bei dem RT1900ac (s. Link).

Die Intrusion Detection ist übrigens deutlich weniger performancehungrig und auf dem RT2600ac auch schnell genug für die schnellsten in Deutschland verfügbaren Internetanschlüsse.

 

[Nightlover]

Die Intrusion Detection ist übrigens deutlich weniger performancehungrig und auf dem RT2600ac auch schnell genug für die schnellsten in Deutschland verfügbaren Internetanschlüsse.

Also hast du persönlich denn schon Messungen gemacht und kannst uns mit realen Daten informieren, denn die wären auch wirklich interessant mal zu erfahren, denn dass ist für mich sehr entscheidend ob ich wechsle oder noch warte.

Night

 

[bitrot]

Ich nicht, aber in dem oben verlinkten Beitrag habe ich ein Review des RT2600ac mit detaillierten Messungen verlinkt.

Intrusion Detection: WAN-LAN Durchsatz von 600Mbit/s down, 300Mbit/s up
Intrusion Prevention: WAN-LAN Durchsatz von 70Mbit/s down, 50Mbit/s up

 

[Nightlover]

Hi bitrot,

hatte den falschen link erwischt, also sieht ja in dem fall ja immer noch mehr als 70% der Leistung verliere wen ich das Packet aktiviere, sorry aber so etwas ist ja unbrauchbar.
Danke für die infos.

Night

 

[bitrot]

Du verlierst sogar mehr als 90% der Leistung, weil der RT2600ac ohne aktivierte Intrusion Detection und Prevention WAN - LAN 'wirespeed' routen kann, sprich ohne Geschwindigkeitsverlust mit 1Gbit/s.

Intrusion Detection wird mit dem RT2600ac aber zumindest für deutsche Kunden durchaus benutzbar, die Limits wird kaum ein Kunde brechen bei den hiesigen Anschlüssen. Intrusion Prevention ist aber nun mal sehr rechenintensiv, da kommt selbst der ARM Dual-Core der RT2600ac ins Schwitzen.

Für high-performance Intrusion Prevention muss man schon auf sehr leistungsstarke Hardware (z.B. pfSense mit Desktop / Server CPU) bzw. Enterprise Firewalls setzen. Die Intrusion Detection / Prevention bei Synology setzt sehr wahrscheinlich auf das bekannte Snort auf und das ist sehr leistungshungrig. Da kommt man ohne entsprechende Hardware nicht weit (pfSense empfiehlt beispielsweise für Bandbreiten über 500Mbit/s eine Server CPU mit mehreren Cores ab 2GHz).

Unabhängig davon ist eine Intrusion Prevention im privaten Umfeld nicht wirklich nötig (selbst die Detection ist schon mit Kanonen auf Spatzen geschossen). Nice to have und nette Spielerei, aber die Sicherheit des Heimnetzwerks steht und fällt bestimmt nicht damit.

 

[Pootch]

Hab den RT1900ac und mir kommt vor das Intrusion Detection und Prevention hat massig an false-positiv Meldungen...
Bei mir sagt er ständig ich hab einen Netzwerk Trojaner, was aber definitv nicht der Fall ist.
Wenn der Dienst updated oder startet, hat man Paketverluste.. Ansonst hab ich keine Verbindungsprobleme.

Werds mal testen ein paar Wochen lang und schauen ob ich es runterschmeiß.

 

[Pootch]

Präventivmodus


Erkennungsmodus


Sensor deaktiviert


Ok, scheint so als würde man dadurch wirklich massiv an Leitungskapazität verlieren...

Von den ganzen False-Positiv Meldungen fang ich erst mal gar nicht an.
Mal schauen ob man das ordentlich und sinnvoll konfigurieren kann.
Dieses Ding schreit sogar wenn mein TV online geht, dass etwas nicht passt...

Ich vermisse eine Option lokale Adresse auszuschließen, denn ich gehe mal davon aus dass mein Netzwerk in Ordnung ist. Interessieren tun mich eh nur Angriffe von außen.

 

[Perry2000]

Sorry, ich war ein paar Tage weg.

Hier der Speed ohne:


und der Speed mit:


Also etwas Einbusse muss man hinnehmen.....

Bis jetzt habe ich auch Massenhaft Warnungen. Auch diese eines Trojaners, was wohl nicht sein kann.
Weiter funktioniert die Datenübertragung des Solar Log nicht richtig. Wieso ist mir ein Rätsel. Die Übertragung läuft, aber die Grafik wird nicht angezeigt. Sobald ich ausschalte, wird diese übertragen. Bin also weiterhin am testen ;-)

EDIT: Wieso überhaupt Detection oder Prevention? Nur detection bringt doch keinen Schutz?

 

[bitrot]

Ein Intrusion Detection System dienst als zusätzliche Unterstützung für eine Firewall, die den eigentlichen 'Schutz' des Netzwerks darstellt. Dort wird nur in Logs festgehalten, wenn ein Angriffsmuster erkannt wurde und der Administrator darüber informiert (je nach Konfiguration bzw. Logging Level), die erkannten 'Angriffe' werden somit in der Tat nicht aktiv verhindert.

Ein Intrusion Prevention System bietet darüber hinaus diese (automatisierte) aktive Verhinderung, ebenfalls auf Basis von Erkennungsmustern.

Man sollte sich aber, wie bereits weiter oben erwähnt, im Klaren darüber sein, dass selbst das beste / performanteste IDS / IPS nur ein zusätzlicher Schutz für ein Netzwerk darstellen kann und bei Heimnetzwerken eigentlich nicht nötig ist. Die Basis der Sicherheit bildet vor allem eine rigide Konfiguration der Geräte, welche Dienste im Internet zur Verfügung stellen, eine möglichst aktueller Softwarestand der relevanten internetfähigen Geräte, vor allem was Sicherheitsupdates angeht, sowie ein sauber aufgesetzter Router der ebenfalls stets aktuell gehalten wird. Wenn das alles befolgt wird, kann man sogar auch ohne Firewall auskommen, da ein sauber aufgesetzter Router durch NAT schon eine relativ effektive Trennung des LAN ermöglicht.

Saubere Konfiguration, aktueller Softwarestand und gesunder Menschenverstand, das ist die Basis der Internetsicherheit. Wer darüber hinaus noch ein Sicherheitsbedürfnis hat, kann sich gerne mit Firewallregeln austoben. Aber man sollte immer wissen was man tut und kein IDS / IPS ist besser als ein nerviges, das ständig false positives erzeugt.

 

[Perry2000]

Ich habe jetzt einmal mit dem Support Kontakt aufgenommen.
Wenn ich IP ein habe, funktionieren bestimmte Webseiten nicht mehr richtig.
1. Unter anderem dieses Forum. Manchmal werden die Seiten normal geladen und plötzlich nicht mehr (Timeout). Ich könnte mir vorstellen, dass es je nach Werbeeinblendung Probleme gibt. Ich habe aber keinen Werbeblocker.
2. Die Datenübertragung meines Solar Log funktioniert nur so lange, bis das Gerät jeweils um 03:00 Uhr einen automatischen Reboot macht. Danach wird nichts mehr übertragen.
3. Die Seiten vom iTunes Shop inkl. Updates werden komplett geblockt. Da geht mit eingeschaltetem IP nix mehr.

Inzwischen hat der Support eine Freigabe auf meinen Router. Mal sehen was die dazu sagen.
Ich weiss, dass das Packet Beta ist. Aber wenn man nix meldet, wird es nicht besser....

 

[Nightlover]

Hallo

Also ich habe leider die Befürchtung das das ganze eher mit dem Update -4 zu tun hat, denn seit da habe ich dieses Problem neben der WLAN Einschränkung auch und ich habe IP nicht in Betrieb.

P.S. Seit ich den Router auf die Version -3 zurück gesetzt habe habe ich beide Probleme nicht mehr. Sagt ja schon alles!

Night

 

[vaszago]

Ich denke auch das es mit dem Update -4 zu tun hat. Habe hier auch schon ein paar mal den Router neu starten müssen da gewisse Seiten sich nicht mehr öffnen liesen. Das Problem hatte ich mit -3 nicht.

Und die Geräteliste wird auch nicht mehr aktualisiert. Da sehe ich immer nur die Geräte welche einmal online waren. Und nicht welche Geräte gerade online sind.
Habt ihr auch das Problem?

 

[Perry2000]

Also wenn ich IP ausschalte funktioniert eigentlich alles.
Die Geräteliste muss ich mal genauer ansehen. Im Moment lasse ich alles wie es ist und warte auf Antwort von den Spionen ;-)

 

[Hula]

Also ich hab den Router ja auch seit letzter Woche. Es gab dann täglich kompletten Netzwerkausfall nach draussen wenn IP eingeschaltet war. Sehr sehr ärgerlich, auch wenn ich nur Privatmann bin. Ich hab den Kram abgeschaltet wenn der Mehrwert ist für mich nicht brauchbar.

 

[Perry2000]

Der Support hat sich schon zwei mal gemeldet aber nix zum Problem rausgefunden.
Ich musste jetzt auf "Erkennungsmodus" wechseln. Dann funktioniert logischerweise alles.
Habe das denen jetzt mal Bebildert gemailt. Mal sehen ob die das Problem jetzt erkennen......

 

[williserver]

Ich habe auch den RT2600ac mit Update-4 und seit Kauf des Routers diese Intrusion Prevention aktiviert. Speedtest :

 

[Hula]

Sinnfrei da keiner Deine Leitung kennt. Bei mir gehen, je nach tagsform des Systems, 15-50% verloren.

 

[Perry2000]

@williserver

Der Post war jetzt wirklich witzig ;-)
Wenn, dann einen Vergleicht mit und ohne IP.