Aller au contenu

Événement Let's Encrypt douteux...


Litsip

Messages recommandés

Bonjour à tous, 

Après avoir attendu une année de développement avant de tester le paquet "Intrusion Prévention" des routeurs synology, je me suis lancé il y'a quelques semaines. 

Dans l'ensemble je dois dire que je suis plutôt satisfait de cet outil, ayant très peu "d'alertes de sécurité".  (merci le forum : sans aucun doute  🤫).

 

Néanmoins et c'est la raison de mon post aujourd'hui, j'ai une alerte récurrente avec la même ip WAN qui semble venir d'Allemagne: 

- ET INFO Observed Let's Encrypt Certificate for Suspicious TLD (.xyz) 

Lorsque j'observe le journal voici ce qu'on trouve

870829358_Capturedcran2018-10-0916_17_44.thumb.png.4c5b4b4ea609580b5b6a2c156d71ba23.png

L'ip de destination est un laptop (Mac) 

J'utilise évidement des certificats Let's Encrypt pour l'accès à mon NAS et le renouvellement se fait par les 2 ip LE sur le port 80 ouvert en permanence (à ces seules ip).

Les alerte ne semblent survenir que lorsque le laptop est utilisé.

---

Ma question est donc simple : s'agit-il de Let's Encrypt ou bien est-ce malveillant ? Et auquel cas, que puis-je faire pour y remédier? 

-----

 

Merci d'avance à ceux qui prendront de leurs temps pour me répondre 😉 👍

 

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse @Einsteinium

A noter que j'ai ces requêtes finalement même lorsque mon laptop est éteint...

Maintenant comme je laisse toujours plusieurs onglets trainer sur Safari, j'imagine que certains échanges persistent.

Pour éviter d'être enquiquiné, crois-tu que je devrais bloquer l'ip via mon Parfeu?

 

En tant que néophyte, je dois bien admettre que ces alertes sont déstabilisantes... 😅

Lien vers le commentaire
Partager sur d’autres sites

Le 09/10/2018 à 20:55, Einsteinium a dit :

Certainement due à une pub je dirais, souvent le cas sur des sites comme facebook 😉

Il s'agit de trafic entrant à partir d'une adresse IP OVH, pas d'une connexion initiée par une machine du réseau local. Ou alors les logs sont très mal présentés.

source: 87.98.242.65 (ip65.ip-87-98-242.eu)

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 39 minutes, PiwiLAbruti a dit :

Il s'agit de trafic entrant à partir d'une adresse IP OVH, pas d'une connexion initiée par une machine du réseau local. Ou alors les logs sont très mal présentés.


source: 87.98.242.65 (ip65.ip-87-98-242.eu)

 

Bah justement, une pub sur un site web, faut bien que tu télécharges sont contenus et donc le serveur t’envoi l’information et c’est la que le blocage intervient 

Lien vers le commentaire
Partager sur d’autres sites

Je trouve ça étrange comme analyse de la part du paquet Intrusion Prevention.

Si les domaines en .xyz sont douteux, ce n'est pas un certificat Let's Encrypt associé qui les rend plus douteux. L'alerte devrait être levée à l'initialisation de la connexion par le client (première requête sortante).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Einsteinium a dit :

Quand le laptop est éteint ? Serait pas en veille ? Bloqué directement dans intrusion prévention, car dans le pare feu ta pas fini sinon 😉 

Oui pardon, abus de langage de ma part. Je voulais dire "veille" évidement, d'où les flux qui persistent via mes onglets safari.

L'activation du mode IPS (Prévention) suffit-il ? Où il y'a une autre marche à suivre pour bloquer une alerte? 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.