Synoloy Router RT2600AC e Treath Prevention

HW e servizi di rete: utilizzo abbinato al NAS (FW, DHCP, (D)DNS, NTP, RADIUS, LDAP, ACTIVE DIRECTORY, VPN CLIENT&SERVER, EZ&ROUTER/WiFi, UPS)
Rispondi
Firefox®
Utente
Utente
Messaggi: 42
Iscritto il: sabato 22 marzo 2014, 1:22

Synoloy Router RT2600AC e Treath Prevention

Messaggio da Firefox® »

Ciao a tutti,

premetto che:
- il router è usato in ambito domestico connesso ad una rete FTTH
- dispone dell'ultima versione di SRM la 1.2.5-8227 Update 4
- l'UPnP è disabilitato
- sul PC principale è installato Norton e sembra tutto OK

Ogni tanto l'applicazione Treath Prevetion segnala "Eventi pericolosi" con gravità "Alta" di tipo "A Network Trojan was Detected", e stato "Rilascia".
Succede a distanza di mesi, un numero variabile di volte nell'arco della giornata e da diversi indirizzi IP.

Tutti questi indirizzi IP fanno capo prevalentemente sempre alla stessa fonte "Italy Milano Akamai International Bv" (IP 104.xxx.xxx.xxx) o "Italy Milano Akamai Technologies" (IP 2.xxx.xxx.xxx) e sono diretti verso l'IP del PC desktop in quel momento operativo.

Traeath Prevention suggerisce di eseguire un controllo completo sul dispositivo e...vedere il Tutorial.
Ma non trovo suggerimenti relative al tipo di attacco "A Network Trojan was Detected".
Ho creato delle regole firewall per bloccare questi range di IP su tutti i protocolli e su tutte le porte.

Quello che mi preoccupa più del PC e il NAS che uso prevalentemente come media server e/o backup che quindi non è acceso H24.

Posso stare tranquillo?
Mi date qualche consiglio?

EDIT
Riporto qui sotto il dettaglio dell'ultimo evento.

Codice: Seleziona tutto

Nome firma: ET TROJAN Possible Windows executable sent when remote host claims to send a Text File
Regole firma: alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET TROJAN Possible Windows executable sent when remote host claims to send a Text File"; flow:established,from_server; content:"Content-Type|3a| text/plain"; nocase; http_header; file_data; content:"MZ"; within:2; byte_jump:4,58,relative,little; content:"PE|00 00|"; fast_pattern; distance:-64; within:4; flowbits:isnotset,ET.Adobe.Site.Download; flowbits:isnotset,ET.ZoneAlarm.Site.Download; flowbits:isnotset,ET.QuickenUpdater; flowbits:isnotset,ET.Symantec.Site.Download; flowbits:isnotset,ET.Maas.Site.Download; flowbits:isnotset,ET.Mcafee.Site.Download; reference:url,doc.emergingthreats.net/bin/view/Main/2008438; classtype:trojan-activity; sid:2008438; rev:23; metadata:created_at 2010_07_30, former_category TROJAN, updated_at 2020_09_01;)
My equipment
  • PC home made
    CoolerMaster CM960 II, Asrock Z390Pro4, CPU Intel i7-9700K, 2x8GB Crucial Ballistix Sport LT 3200 MHz, SSD NVMe M2 Samsung EVO 970 500 GB,
    HD Western Digital Red 2TB, CoolerMaster SilentPro Gold 600, CoolerMaster Masterliquid 240
  • Network devices
    Router Synology RT2600ac, NAS Synology DS214 Play (DSM7) + 2x WDRed 4TB RAID1, Router Netgear DGND3700v2
    Switch 5 porte TP-Link SG105, Switch 5 porte DLink DGS1005D
  • UPS
    UPS Tecnoware ExaPlus 1500
  • Portable devices
    Microsoft Surface GO, Notebook vintage HP NX7400 con upgrade a CPU Intel Core Duo T7600 + SDD AData 500GB + WD Scorpio Blue 250 GB, Smatphone OnePlus 9 Pro
  • Cooming son
    NAS Synology DS920+ +4x WDRed 16TB RAID 5
Top
burghy86
Moderatore
Moderatore
Messaggi: 11378
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Synoloy Router RT2600AC e Treath Prevention

Messaggio da burghy86 »

Che porte hai aperto dall'esterno?
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Top
Firefox®
Utente
Utente
Messaggi: 42
Iscritto il: sabato 22 marzo 2014, 1:22

Re: Synoloy Router RT2600AC e Treath Prevention

Messaggio da Firefox® »

Ciao burghy86,

nessuna a parte quelle per il NAS DSGet (TCP e UDP per BT) e quelle per QuickConnect.

Non ho necessità di accedere dall'esterno alla LAN.
My equipment
  • PC home made
    CoolerMaster CM960 II, Asrock Z390Pro4, CPU Intel i7-9700K, 2x8GB Crucial Ballistix Sport LT 3200 MHz, SSD NVMe M2 Samsung EVO 970 500 GB,
    HD Western Digital Red 2TB, CoolerMaster SilentPro Gold 600, CoolerMaster Masterliquid 240
  • Network devices
    Router Synology RT2600ac, NAS Synology DS214 Play (DSM7) + 2x WDRed 4TB RAID1, Router Netgear DGND3700v2
    Switch 5 porte TP-Link SG105, Switch 5 porte DLink DGS1005D
  • UPS
    UPS Tecnoware ExaPlus 1500
  • Portable devices
    Microsoft Surface GO, Notebook vintage HP NX7400 con upgrade a CPU Intel Core Duo T7600 + SDD AData 500GB + WD Scorpio Blue 250 GB, Smatphone OnePlus 9 Pro
  • Cooming son
    NAS Synology DS920+ +4x WDRed 16TB RAID 5
Top
burghy86
Moderatore
Moderatore
Messaggi: 11378
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Synoloy Router RT2600AC e Treath Prevention

Messaggio da burghy86 »

Quickconnect non ha bisogno di porte. In che senso hai aperto qc?
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Top
Firefox®
Utente
Utente
Messaggi: 42
Iscritto il: sabato 22 marzo 2014, 1:22

Re: Synoloy Router RT2600AC e Treath Prevention

Messaggio da Firefox® »

No scusa, mi riferivo all'invio porta verso DSM QuickConnect (System Rules), le regole create automaticamente da DSM.
My equipment
  • PC home made
    CoolerMaster CM960 II, Asrock Z390Pro4, CPU Intel i7-9700K, 2x8GB Crucial Ballistix Sport LT 3200 MHz, SSD NVMe M2 Samsung EVO 970 500 GB,
    HD Western Digital Red 2TB, CoolerMaster SilentPro Gold 600, CoolerMaster Masterliquid 240
  • Network devices
    Router Synology RT2600ac, NAS Synology DS214 Play (DSM7) + 2x WDRed 4TB RAID1, Router Netgear DGND3700v2
    Switch 5 porte TP-Link SG105, Switch 5 porte DLink DGS1005D
  • UPS
    UPS Tecnoware ExaPlus 1500
  • Portable devices
    Microsoft Surface GO, Notebook vintage HP NX7400 con upgrade a CPU Intel Core Duo T7600 + SDD AData 500GB + WD Scorpio Blue 250 GB, Smatphone OnePlus 9 Pro
  • Cooming son
    NAS Synology DS920+ +4x WDRed 16TB RAID 5
Top
burghy86
Moderatore
Moderatore
Messaggi: 11378
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Synoloy Router RT2600AC e Treath Prevention

Messaggio da burghy86 »

Ok. Che Porte sono? Non fate aprire le porte al nas. Gestite voi le porte sul router.
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Top
Firefox®
Utente
Utente
Messaggi: 42
Iscritto il: sabato 22 marzo 2014, 1:22

Re: Synoloy Router RT2600AC e Treath Prevention

Messaggio da Firefox® »

burghy86 ha scritto: giovedì 7 aprile 2022, 11:59 Ok. Che Porte sono? Non fate aprire le porte al nas. Gestite voi le porte sul router.
Non dispongo delle competenze necessarie per fare ciò.
Sembra che si tratti di un falso positivo, cercando sul web sembra che Akamay sia un servizio di distribuzione di contenuti con sede centrale a Cambridge, Massachusetts, Stati Uniti e sedi periferiche in tutto il mondo.

EDIT:
Per sicurezza, basandomi sugli indirizzi IP verificati nel tempo, avevo creato queste regole di blocco nel Firewall di SRM.
L'ultimo di qualche minuto fa è indicato con 1 nella colonna "Riscontro".
Regole Firewall per Akamay.jpg
Regole Firewall per Akamay.jpg (36.5 KiB) Visto 1062 volte
My equipment
  • PC home made
    CoolerMaster CM960 II, Asrock Z390Pro4, CPU Intel i7-9700K, 2x8GB Crucial Ballistix Sport LT 3200 MHz, SSD NVMe M2 Samsung EVO 970 500 GB,
    HD Western Digital Red 2TB, CoolerMaster SilentPro Gold 600, CoolerMaster Masterliquid 240
  • Network devices
    Router Synology RT2600ac, NAS Synology DS214 Play (DSM7) + 2x WDRed 4TB RAID1, Router Netgear DGND3700v2
    Switch 5 porte TP-Link SG105, Switch 5 porte DLink DGS1005D
  • UPS
    UPS Tecnoware ExaPlus 1500
  • Portable devices
    Microsoft Surface GO, Notebook vintage HP NX7400 con upgrade a CPU Intel Core Duo T7600 + SDD AData 500GB + WD Scorpio Blue 250 GB, Smatphone OnePlus 9 Pro
  • Cooming son
    NAS Synology DS920+ +4x WDRed 16TB RAID 5
Top
Rispondi

Torna a “Networking - Servizi e apparecchi di rete (cablaggio e config)”