UniFi Threat Management "schlägt" ständig an

Hallo zusammen,

wie schon in anderen Threads von mir mal dargestellt hatte ich Probleme mit der Fritz!Box-Telefonie via USG/ Draytek-Modem. Es kamen entweder keine Anruf von Extern an, der Anrufende erhielt "...nicht verfügbar" oder es klingelte einfach nicht. Ebenso beim "Rausrufen" dauerte der Verbindungsaufbau ewig.

Daraufhin habe ich meine kompletten VoIP- und Telefoniegeräte in ein separates VLAN getan und eine Portweiterleitung auf die Ports 5060 und 5061 in Richtung Fritz!Box eingerichtet.

Seitdem funktioniert die Telefonie problemlos, so wie es sein soll.

Als weitere Einstellung habe ich auf der USG unter Threat Management das IPS aktiviert und hier (vorerst) alle Kategorien aktiviert.

Seit diesem Zeitpunkt schlagen in unregelmäßigen Abständen Meldungen mit Network Intrusion Blocked mit unterschiedlichen Quellen auf, wie z.B.:

Threat Management Alarm 2: Misc Attack. Signatur ET DROP Dshield Block Listed Source group 1. Von: xxx.xxx.xxx.xxx:50722, auf: yyy.yyy.yyy.yyy:5061, Protokoll: TCP

Ich habe auch das Ganze, also die Portweiterleitung, testweise deaktiviert was zur Folge hatte die Alarme verschwanden aber auch die Telefonie stellte ihre Arbeit ein bzw. funktionierte unzuverlässig wie in der Vergangenheit.

Wie habe ich nun mit den Meldungen umzugehen?

Muss ich mir Gedanken machen oder sollte/ kann ich weitere Schritte seitens meiner Unifi-Konfiguration unternehmen?

Oder kann ich das Ganze "ignorieren" und mich in Sicherheit "wiegen"?

Solltet ihr noch weitere Informationen benötigen, dann lasst es mich wissen.

Vielen Dank schon mal für Eure Unterstützung.

Hi jkasten,

Danke schon mal für Deine Antwort.

Heute Morgen hatte ich die erste High-Meldung. Ich habe mir dies dann im Traffic-Log rausgesucht und auf Block ausgewählt (siehe Screenshot).

Ist das so das korrekte Vorgehen?

Zitat von jkasten

Kannst du machen, wird aber automatisch geblockt. Du könntest den Port noch auf deinen Anbieter begrenzen, dann hast Ruhe.

"Helf mir mal auf 's Pferd!" - Wie meinst Du das oder anders gesagt, verstehe ich das richtig:

Das ich die VoIP-IP (Provider-/ Anbieterseitig) als Quell-IP eintragen soll, das quasi nur noch von dort die "Zugriffe" erlaubt sind?

Meinst Du den grünmarkierten Bereich?

Sorry für meine Nachfragen.

Zitat von jkasten

Ja korrekt, aber nicht nur auf eine IP sondern auf den Netz Bereich. Welchen Anbieter hast du denn?

Ich bin bei 1&1, und wenn ich das richtig verstehe heißt der Zugang sip.1und1.de.

Ein nslookup auf den Namen liefert mir die IPs 212.227.124.130 und 212.227.124.129.

Wie sollte ich dann das Ganze eintragen? - Laut Controller ist hier nur folgende Eingabe zulässig "Dieses Feld kann eine einzelne IP-Adresse, einen IP-Adressbereich getrennt durch Bindestrich (-) oder ein Subnetz enthalten."

Zitat von jkasten

Das Netz von 1und1 ist 212.227.0.0/16

Gestatte mir zwei Nachfragen.

Kannst Du mir sagen, woher Du diese Information hast? Oder machst Du das anhand der von mir genannten IPs (212.227.124.130 und 212.227.124.129) aus?

maxim.webster und jkasten

Vielen, vielen Dank für eure Unterstützung und die schnellen Antworten.

Ich habe, wie vorgeschlagen, nun das Netz 212.227.0.0/16 in der Portweiterleitung eingetragen und hoffe nun endlich Ruhe von den ständigen ThreatManagement-Alarmmeldungen zu haben.

Ich werde das Ganze nun 1-2 Tage beobachten und dann (hoffentlich) final berichten.

Also nochmals Danke für eure Hilfe.

Hallo zusammen,

Ich wollte noch mal ein Feedback zu den beschriebenen Lösungsansätzen von euch geben.

Was soll ich sagen: "Ich hab' Ruh'!"

Die Eintragung des SIP-Providernetzes als Quell-IP-Adressbereich, wie empfohlen, habe ich vorgenommen und es war Schluss mit den ständigen Threat Management Meldungen.

Vielen, vielen Dank nochmals für eure Unterstützung ( maxim.webster und jkasten).