Reageren op False Positives

[Hempie]

Hempie heeft een nieuwe handleiding geplaatst:

Reageren op False Positives - Threat Detection System op UniFi-gateways

Valse positieven identificeren

Het Threat Detection System op UniFi-gateways heeft duizenden handtekeningen die in categorieën zijn gegroepeerd. Elk van deze categorieën dient een uniek doel bij het detecteren van afwijkend verkeer dat door de gateway-interfaces stroomt. Sommige van deze categorieën zijn agressiever in het afgeven van waarschuwingen voor goedaardig verkeer. Als een UniFi-beheerder niet voorzichtig is bij het inschakelen van categorieën, kunnen de...

Lees deze handleiding verder...

 

[deveylder]

Ik heb ook niet valse positieven. Recent heb ik een 300 Tal attacks per dag op mijn Gen2 admin account en Synology NAS. Beide Beveiligd met 2FA dus waarschijnlijk geen probleem. Maar er wordt nu geprobeerd een mallware / Worm te injecteren (vooral vanuit china en rusland). Nog altijd geen probleem daar ik op de laatste versie zit. Toch had ik graag een systeem gevonden om mijn port forewarding te beperken tot bvb Nederland only. Of eventueel in de firewall een rule op te zetten om deze attacks regionaal te beperken.
Maar door dat threat management aan staat kan ik geoip niet meer activeren. en in de port forewarding moet ik zoveel Sources opzetten per poort dat er geen beginnen aan is. Enig idee

 

[PcRene]

Ik maak op dit moment een groep aan van alle IP-adressen die proberen mijn sip-servers (2x) te hacken.
In de firewall maak ik voor Wan-in een rule om al die IP-adressen te blokken.
De eerste weken heb je het druk... daarna wordt het rustiger...