UniFi Threat Management "schlägt" ständig an

Es gibt 12 Antworten in diesem Thema, welches 1.555 mal aufgerufen wurde. Der letzte Beitrag () ist von ssd376.

  • Hallo zusammen,


    wie schon in anderen Threads von mir mal dargestellt hatte ich Probleme mit der Fritz!Box-Telefonie via USG/ Draytek-Modem. Es kamen entweder keine Anruf von Extern an, der Anrufende erhielt "...nicht verfügbar" oder es klingelte einfach nicht. Ebenso beim "Rausrufen" dauerte der Verbindungsaufbau ewig.


    Daraufhin habe ich meine kompletten VoIP- und Telefoniegeräte in ein separates VLAN getan und eine Portweiterleitung auf die Ports 5060 und 5061 in Richtung Fritz!Box eingerichtet.

    Seitdem funktioniert die Telefonie problemlos, so wie es sein soll.


    Als weitere Einstellung habe ich auf der USG unter Threat Management das IPS aktiviert und hier (vorerst) alle Kategorien aktiviert.


    Seit diesem Zeitpunkt schlagen in unregelmäßigen Abständen Meldungen mit Network Intrusion Blocked mit unterschiedlichen Quellen auf, wie z.B.:

    Threat Management Alarm 2: Misc Attack. Signatur ET DROP Dshield Block Listed Source group 1. Von: xxx.xxx.xxx.xxx:50722, auf: yyy.yyy.yyy.yyy:5061, Protokoll: TCP


    Ich habe auch das Ganze, also die Portweiterleitung, testweise deaktiviert was zur Folge hatte die Alarme verschwanden aber auch die Telefonie stellte ihre Arbeit ein bzw. funktionierte unzuverlässig wie in der Vergangenheit.


    Wie habe ich nun mit den Meldungen umzugehen?

    Muss ich mir Gedanken machen oder sollte/ kann ich weitere Schritte seitens meiner Unifi-Konfiguration unternehmen?

    Oder kann ich das Ganze "ignorieren" und mich in Sicherheit "wiegen"?


    Solltet ihr noch weitere Informationen benötigen, dann lasst es mich wissen.


    Vielen Dank schon mal für Eure Unterstützung.

    Viele Grüße


    ssd376

    -----------------------------------------------------

    "Machen ist wie wollen, nur krasser!"

  • Das ist völlig normal sobald man den Port 5060 oder 5061 nach außen offen hat, es versuchen sich halt ständig irgendwelche Geräte an deiner Fritzbox Telefonie anzumelden und die Firewall blockt das.

  • Hi jkasten,


    Danke schon mal für Deine Antwort. :thumbs_up:

    Heute Morgen hatte ich die erste High-Meldung. Ich habe mir dies dann im Traffic-Log rausgesucht und auf Block ausgewählt (siehe Screenshot).

    Ist das so das korrekte Vorgehen?

    Viele Grüße


    ssd376

    -----------------------------------------------------

    "Machen ist wie wollen, nur krasser!"

  • Kannst du machen, wird aber automatisch geblockt. Du könntest den Port noch auf deinen Anbieter begrenzen, dann hast Ruhe.

  • Kannst du machen, wird aber automatisch geblockt. Du könntest den Port noch auf deinen Anbieter begrenzen, dann hast Ruhe.

    "Helf mir mal auf 's Pferd!" - Wie meinst Du das oder anders gesagt, verstehe ich das richtig:

    Das ich die VoIP-IP (Provider-/ Anbieterseitig) als Quell-IP eintragen soll, das quasi nur noch von dort die "Zugriffe" erlaubt sind?

    Meinst Du den grünmarkierten Bereich?


    Sorry für meine Nachfragen.

    Viele Grüße


    ssd376

    -----------------------------------------------------

    "Machen ist wie wollen, nur krasser!"

    Einmal editiert, zuletzt von ssd376 ()

  • Ja korrekt, aber nicht nur auf eine IP sondern auf den Netz Bereich. Welchen Anbieter hast du denn?

  • Ja korrekt, aber nicht nur auf eine IP sondern auf den Netz Bereich. Welchen Anbieter hast du denn?

    Ich bin bei 1&1, und wenn ich das richtig verstehe heißt der Zugang sip.1und1.de.

    Ein nslookup auf den Namen liefert mir die IPs 212.227.124.130 und 212.227.124.129.


    Wie sollte ich dann das Ganze eintragen? - Laut Controller ist hier nur folgende Eingabe zulässig "Dieses Feld kann eine einzelne IP-Adresse, einen IP-Adressbereich getrennt durch Bindestrich (-) oder ein Subnetz enthalten." :thinking_face:

    Viele Grüße


    ssd376

    -----------------------------------------------------

    "Machen ist wie wollen, nur krasser!"

  • Das Netz von 1und1 ist 212.227.0.0/16

  • Das Netz von 1und1 ist 212.227.0.0/16

    Gestatte mir zwei Nachfragen.

    Kannst Du mir sagen, woher Du diese Information hast? Oder machst Du das anhand der von mir genannten IPs (212.227.124.130 und 212.227.124.129) aus?

    Viele Grüße


    ssd376

    -----------------------------------------------------

    "Machen ist wie wollen, nur krasser!"

    • Hilfreich

    Kannst Du mir sagen, woher Du diese Information hast? Oder machst Du das anhand der von mir genannten IPs (212.227.124.130 und 212.227.124.129) aus?

    Aus der Ripe-Datenbank. Die beiden IPs könnten nämlich auch auf ein Class-C-Netz (/24er Netzmaske) hinweisen. Aber Ripe sagt:



    (nicht wundern, 1&1, IONOS, Schlund & Partner ist alles eine Soße)

  • maxim.webster hat es beantwortet

  • maxim.webster und jkasten

    Vielen, vielen Dank für eure Unterstützung und die schnellen Antworten.


    Ich habe, wie vorgeschlagen, nun das Netz 212.227.0.0/16 in der Portweiterleitung eingetragen und hoffe nun endlich Ruhe von den ständigen ThreatManagement-Alarmmeldungen zu haben.

    Ich werde das Ganze nun 1-2 Tage beobachten und dann (hoffentlich) final berichten.


    Also nochmals Danke für eure Hilfe. :thumbs_up:

    Viele Grüße


    ssd376

    -----------------------------------------------------

    "Machen ist wie wollen, nur krasser!"

  • Hallo zusammen,

    Ich wollte noch mal ein Feedback zu den beschriebenen Lösungsansätzen von euch geben.


    Was soll ich sagen: "Ich hab' Ruh'!" :smiling_face:


    Die Eintragung des SIP-Providernetzes als Quell-IP-Adressbereich, wie empfohlen, habe ich vorgenommen und es war Schluss mit den ständigen Threat Management Meldungen.


    Vielen, vielen Dank nochmals für eure Unterstützung ( maxim.webster und jkasten). :thumbs_up:

    Viele Grüße


    ssd376

    -----------------------------------------------------

    "Machen ist wie wollen, nur krasser!"

  • ssd376

    Hat das Label von offen auf erledigt geändert.