Betreft: Verhoogd risico op schade aan uw computer(s) (actie vereist)

[Patrick]

Deze provider stuurt mijn klant een brief met bovenstaande kop tekst.

Het netwerk is in een voetbal omgeving met andere vele gebruikers van het gasten netwerk.
De 3 pc worden niet gebruik en staan uit.
Het Kassa systeem verwacht ik niet dat die de veroorzaker is.
Mijn vraag aan jullie, hoe moet ik dit aanpakken om de veroorzaker te vinden?

 

[Jheroen]

Zonder verdere details wordt het wat lastig, staan er geen details in deze brief

 

[Patrick]

Dit is kopie brief

Dronten, 28 mei 2022



Betreft: Verhoogd risico op schade aan uw computer(s) (actie vereist)

Kenmerk verbinding
Gebruikersnaam:XXXXX

Installatieadres:
XXXXX
XXXXX



Beste meneer/mevrouw XXXXXX

Wij sturen u dit bericht omdat wij een probleem hebben geconstateerd op uw internetverbinding. U loopt daarbij een verhoogd risico op schade aan uw eigen computers, maar ook aan dat van anderen. Vaak wordt dit veroorzaakt door een zogenaamde virus- of botnetbesmetting op een computer die is aangesloten op de internetverbinding.

Het is belangrijk dat u als gebruiker van de internetverbinding zelf actie onderneemt om het probleem op te lossen. Stuur deze mail desnoods door naar uw systeembeheerder om hier verder naar te kijken. Lees onderstaande richtlijn goed.

1) Wat is het probleem?

U loopt het risico dat uw computer wordt gebruikt voor onrechtmatige activiteiten en/of uw persoonlijke gegevens (zoals wachtwoorden, bankgegevens) zijn toegankelijk voor derden.
Meer informatie over het probleem vindt u hier http://www.solcon.nl/over-ons/midden-in-de-maatschappij/beveiligde-omgeving/network-risk.

2) Wat moet ik doen?

U dient zelf actie te ondernemen.

Het probleem is aanwezig op één van de door u aangesloten computers of apparaten met internettoegang. Volg de instructies op de website van Solcon: http://www.solcon.nl/over-ons/midden-in-de-maatschappij/beveiligde-omgeving/network-risk.

Solcon is voorstander van schoon en veilig internet. Lees meer over de uitgangspunten van Solcon en de veelgestelde vragen op de website.

Heeft u nog vragen?
Kijk dan op www.solcon.nl of neem contact met ons op via 088 - 003 22 22 (maandag t/m vrijdag van 08.00 tot 20.00 uur en zaterdag van 09.00 tot 17.30 uur).

Met vriendelijke groet,

Afdeling Klantenservice
Solcon

 

[Patrick]

ik heb contact gezocht met Solcon, en deze vertellen mij dat ik moet gaan scannen op maleware.
De actieve PC heeft geen male ware en de andere actieve PC is het kassa systeem.
Het alarm systeem , en drie DVR systemen zullen het ook niet zijn, dan blijft er over een kleine 125 smartphones, kunnen die dit ook veroorzaken?

 

[Patrick]

Heeft het zin om de threat Managment aan te zetten, heb hier geen ervaring mee

 

[Koffie]

Het is erg aannemelijk dat het inderdaad een van die gastgebruikers zijn. Ik zou aanraden wel preventief alles in je eigen netwerk te scannen voor de zekerheid. Verder kun je niet veel dan te zorgen dat je client isolation aan hebt staan.

 

[Patrick]

Wellicht een wat domme vraag maar waar staat Client Isolation?
in de controller

 

[Patrick]

Kan ik ook het Wifi netwerk tijdelijk disable?
zodat ik een scheiding maak tussen draadloos en bedrade omgeving

 

[Hofstede]

Solcon moet precies aangeven welke bedreiging ze constateren. Welke poort? Welk type verkeer? Welk tijdstip.

Anders wordt het zoeken naar een speld in de hooiberg.

Hoe ziet het netwerk er uit? Heb je port forwards gedefinieerd?

 

[Patrick]

 

[Patrick]

Het netwerk is redelijk standaard.

1 USG
1AP lite
1 Ap nano
10 bedrade netwerk producten

 

[Hofstede]

Zie hier niets bijzonders, alleen vraag ik me af waarom je Kassa systeem zo open staat naar het internet, maar ik ken de gebruikte applicatie natuurlijk niet.

Je zult toch nogmaals aan Solcon moeten vragen wat precies de melding is. Als het om verdacht verkeer vanuit je gastennetwerk gaat (wat bij deze toepassing redelijk waarschijnlijk is) zou je het toegestane verkeer vanuit het gastennetwerk kunnen beperken in de firewall van de USG.

Je kunt wel zien dat Solcon een dochter van KPN is, die gebruiken dezelfde werkwijze. Ze zeggen dat er iets fout is op je netwerk, maar niet wat er precies fout is.

 

[Eddie the Eagle]

Heeft het zin om de threat Managment aan te zetten, heb hier geen ervaring mee

Ik neem dat de USG een 3P is, dus de kleine ? Dan zou ik threat management niet aanzetten want dan krijgt het apparaat het zwaar.

Wellicht een wat domme vraag maar waar staat Client Isolation?
in de controller

Als je gastennetwerk juist opgezet is, dus met een aparte SSID maar ook met een apart VLAN type Guest, dan wordt client isolation reeds automatisch ingesteld

Kan ik ook het Wifi netwerk tijdelijk disable?
zodat ik een scheiding maak tussen draadloos en bedrade omgeving

Dat bedoel ik met mijn vorige opmerking....je gastennetwerk moet in elk geval een apart VLAN hebben zodat het gescheiden wordt van je apparatuur en client isolation wordt toegepast. Je gasten wifi koppel je weer aan dat VLAN.
.

 

[edwin2019]

Eh, zullen we ff naam, adres ed uit de post verwijderen in het kader van avg?

 

[dbw]

Eh, zullen we ff naam, adres ed uit de post verwijderen in het kader van avg?

Heb net gedaan.

 

[bvermeul]

@Patrick: Ik ga er van uit dat je kassa systeem gehacked is. Ik snap niet helemaal waarom die direct op het internet staat; dat zou helemaal niet nodig moeten zijn. Als je extern toegang wil hebben tot je kassa systeem, dan maak een VPN aan zodat je daarmee op je netwerk kunt komen, zonder dat je kassa systeem gehacked kan worden.

 

[Hofstede]

@bvermeul Dit draadje is al bijna een jaar oud, dus probleem zal denk ik inmiddels wel opgelost zijn.

Ik ga er maar een slotje op gooien om verdere verwarring te voorkomen.