This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Litsip

Événement Let's Encrypt douteux...

Messages recommandés

Bonjour à tous, 

Après avoir attendu une année de développement avant de tester le paquet "Intrusion Prévention" des routeurs synology, je me suis lancé il y'a quelques semaines. 

Dans l'ensemble je dois dire que je suis plutôt satisfait de cet outil, ayant très peu "d'alertes de sécurité".  (merci le forum : sans aucun doute  🤫).

 

Néanmoins et c'est la raison de mon post aujourd'hui, j'ai une alerte récurrente avec la même ip WAN qui semble venir d'Allemagne: 

- ET INFO Observed Let's Encrypt Certificate for Suspicious TLD (.xyz) 

Lorsque j'observe le journal voici ce qu'on trouve

870829358_Capturedcran2018-10-0916_17_44.thumb.png.4c5b4b4ea609580b5b6a2c156d71ba23.png

L'ip de destination est un laptop (Mac) 

J'utilise évidement des certificats Let's Encrypt pour l'accès à mon NAS et le renouvellement se fait par les 2 ip LE sur le port 80 ouvert en permanence (à ces seules ip).

Les alerte ne semblent survenir que lorsque le laptop est utilisé.

---

Ma question est donc simple : s'agit-il de Let's Encrypt ou bien est-ce malveillant ? Et auquel cas, que puis-je faire pour y remédier? 

-----

 

Merci d'avance à ceux qui prendront de leurs temps pour me répondre 😉 👍

 

Modifié par Litsip

Partager ce message


Lien à poster
Partager sur d’autres sites

Non alors là il dit en gros, qu’il est pas chaud concernant un certificat lets encrypt qui concerne un domaine en xyz.

Certainement due à une pub je dirais, souvent le cas sur des sites comme facebook 😉

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour ta réponse @Einsteinium

A noter que j'ai ces requêtes finalement même lorsque mon laptop est éteint...

Maintenant comme je laisse toujours plusieurs onglets trainer sur Safari, j'imagine que certains échanges persistent.

Pour éviter d'être enquiquiné, crois-tu que je devrais bloquer l'ip via mon Parfeu?

 

En tant que néophyte, je dois bien admettre que ces alertes sont déstabilisantes... 😅

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 09/10/2018 à 20:55, Einsteinium a dit :

Certainement due à une pub je dirais, souvent le cas sur des sites comme facebook 😉

Il s'agit de trafic entrant à partir d'une adresse IP OVH, pas d'une connexion initiée par une machine du réseau local. Ou alors les logs sont très mal présentés.

source: 87.98.242.65 (ip65.ip-87-98-242.eu)

 

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 39 minutes, PiwiLAbruti a dit :

Il s'agit de trafic entrant à partir d'une adresse IP OVH, pas d'une connexion initiée par une machine du réseau local. Ou alors les logs sont très mal présentés.


source: 87.98.242.65 (ip65.ip-87-98-242.eu)

 

Bah justement, une pub sur un site web, faut bien que tu télécharges sont contenus et donc le serveur t’envoi l’information et c’est la que le blocage intervient 

Partager ce message


Lien à poster
Partager sur d’autres sites

Je trouve ça étrange comme analyse de la part du paquet Intrusion Prevention.

Si les domaines en .xyz sont douteux, ce n'est pas un certificat Let's Encrypt associé qui les rend plus douteux. L'alerte devrait être levée à l'initialisation de la connexion par le client (première requête sortante).

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 5 heures, Einsteinium a dit :

Quand le laptop est éteint ? Serait pas en veille ? Bloqué directement dans intrusion prévention, car dans le pare feu ta pas fini sinon 😉 

Oui pardon, abus de langage de ma part. Je voulais dire "veille" évidement, d'où les flux qui persistent via mes onglets safari.

L'activation du mode IPS (Prévention) suffit-il ? Où il y'a une autre marche à suivre pour bloquer une alerte? 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant