DNS Anfragen nach "ipfs.adatools.io"

    Da ich kein tcpdump auf meinem NAS habe und mich bisher nicht damit befasst habe, wie ich es darauf bekomme, kann ich das nicht sagen.

    Ich hatte halt nur Unmengen von DNS-Anfragen an diese seltsame Domäne gesehen. Und ich muss ehrlich sagen 150.000 Anfragen pro Tag finde ich übertrieben!

    Das sind ca. 1,7 DNS pro Sekunde!!! Sauber ist das nicht, selbst wenn es ein legitimer Dienst sein soll.


    Was ich aber beängstigend finde... nun wo wir wissen, das es die QNAP Firewall ist. Das es kaum jemandem auffällt. Erschreckend... merken die Leute sowas denn nicht, wenn in ihrem Netzwerk plötzlich tausende von neuen, misteriösen DNS-Anfragen auftauchen?!

    Zitat von Barungar

    merken die Leute sowas denn nicht, wenn in ihrem Netzwerk plötzlich tausende von neuen, misteriösen DNS-Anfragen auftauchen?!

    Nein, die Masse wird nichtmal wissen wo man sowas findet...

    Nein! Warum nicht? Ich habe keine QuFirewall 8o!


    Und sicherlich hat auch nicht jeder andere NAS Besitzer diese Software aktiviert.

    Wie soll es also auffallen?

    Es kann nur Leuten auffallen, die

    1. QuFirewll aktiviert haben

    2. kontrollieren, was diese meldet

    3. das Ergebnis entsprechend bewerten können ;).


    Gruss

    Naja, egal...


    Jetzt bin ich nur noch gespannt, was mit der QNAP SUpport meldet. :) Ich war man so frei mein Ticket um die Information zu ergänzen, dass es an ihrer eigenen Firewall liegt. :P

    Vermutlich bekomme ich bald die Info, dass ich die QNAP Firewall 2.2.1 installieren soll. 8)

    Vielleicht handelt es sich ja um eine eingebaute "Prüfroutine" der Firewall, die man nun versehentlich aktiviert ausgeliefert hat :evil:.

    Ich bin auch auf die Aussage von QNAP gespannt, und vor allem auch dazu: klick.


    Gruss

    FSC830


    Es fällt Dir nicht auf, wenn Du nur die QuFirewall kontrollierst. Weil für die Firewall ist alles in Butter und Okay. Auffallen tut es Dir nur, wenn Du Dir Dein Netzwerk-Monitoring anschaust und mal ungewöhnlichen Dingen nachgehst.


    Natürlich betreibe ich ein Netzwerk-Monitoring. Ich überwache auch das Volumen des ein- und ausgehenden Internet-Verkehrs. Ich betreibe einen eigenen DNS-Server, weil ich keine gefilterten DNSe mag, egal vom wem. Ich habe ein IDS-System, einen zentralen Syslog-Server, einen eigenen NTP-Server, usw. Und natürlich prüfe ich diese Dinge auch alle paar Tage mal. Ich mache es jetzt nicht professionell und schaue da den ganzen Tag über rein - dazu fehlt mir die Zeit.


    Aber so fällt sowas halt auf.

    Ich schaue auch nur sporadisch in meine Firewall.

    Aber dann wird es erst recht für den Otto Normalverbraucher nicht sichtbar sein, denn der hat "nur" die Fritz oder seinen Speedport.

    Da fällt dann mit Sicherheit nichts weiter auf.


    Gruss

    Ich würde auf blauen Dunst auch nicht danach schauen, jedenfalls nicht explizit für ein Gerät.

    Allerdings würde mir durchaus innerhalb von einer halben bis einer Woche auffallen, wenn es plötzlich besonders viele Anfragen gibt.


    Habe die Firewall auf meinem QTS5 Testsystem auch mal aktiviert... derzeit fragt sie da nur alle 10 Minuten mal an.

    Habe PSIRT nun deaktiviert, mal schauen ob noch was kommt. GeoIP wird es nicht sein, die kommen ja von maxmind.

    Zitat von Barungar

    Natürlich betreibe ich ein Netzwerk-Monitoring. Ich überwache auch das Volumen des ein- und ausgehenden Internet-Verkehrs. Ich betreibe einen eigenen DNS-Server, weil ich keine gefilterten DNSe mag, egal vom wem. Ich habe ein IDS-System, einen zentralen Syslog-Server, einen eigenen NTP-Server, usw. Und natürlich prüfe ich diese Dinge auch alle paar Tage mal.

    Und beim Thema Firewall setzt du auf die Dilettanten von QNAP? Sorry, aber das passt für mich irgendwie nicht zusammen...:/

    Was für eine Firewall soll ich denn sonst auf dem QNAP betreiben? Die ist nun mal da. ;) Und jede Firewall ist meiner Auffassung nach besser als keine.

    Aber keine Angst, zwischen dem "bösen" Internet und dem NAS liegen noch zwei andere Firewalls. Einmal die interne Firewall, die die VLANs trennt, und dann noch die externe Firewall ins WAN.

    Trotzdem ist aber zusätzlich auf jeden Device auch eine Firewall aktiv.

    Zitat von Barungar

    Aber keine Angst, zwischen dem "bösen" Internet und dem NAS liegen noch zwei andere Firewalls.

    Ok, alles klar. Aber dann finde ich es widerum etwas übertrieben... :)

    Grad zufällig drüber gestolpert:

    Zitat von Release Notes QuFirewall 2.2.1

    [Fixed Issues]
    - Resolved an issue where users would see an incorrect password message when they enter the correct password to disable QuFirewall. This would occur only when 2-step verification is enabled on the device. This update resolves this issue.
    - We have fixed an issue where QuFirewall would constantly perform DNS lookup of ipfs.adatools.io because the IP address of the domain name would expire.

    Jo, ich weiß. :D Ich hatte zu dem Thema "ipfs.adatools.io" ein Ticket aufgemacht und war mit dem Support in Kontakt.

    Aber das hat mir insgesamt zu lange gedauert.

    Zitat von Barungar

    Aber das hat mir insgesamt zu lange gedauert.

    Das sehe ich anders. Vier Wochen für einen Bug, der in keinerlei Weise sicherheitskritisch war oder zu Datenverlusten hätte führen können, geht in Ordnung. Der Fehler muss nicht nur gefunden und korrigiert werden, sondern die neue Version muss durch die Test- und Lieferprozeduren durch. Die Mitarbeiter stehen hierfür auch nicht immer sofort zur Verfügung, sondern haben auch noch andere Aufgaben. Eine Hauruck-Aktion, die riskiert, neue Fehler zu verursachen, sollte man hier nicht vornehmen.

    Ich weiß nicht was ihr habt...

    Die 4 Wochen brauchten die um die Doku zu schreiben.


    Es wurde geliefert, und jetzt wird getestet, also alles beim alten :P.


    Gruss