[Gelöst] COMpact5000: IP wurde gesperrt: 192.99.44.159

[Alois1]

Ich kriege seit heute die Meldung "COMpact5000: IP wurde gesperrt: 192.99.44.159"

Auerswald ITK-System
COMpact5000

Statusmeldung(en):

Neuer Eintrag in der IP-Sperrliste:
Gesperrte IP-Adresse: 192.99.44.159
Sperrzeitpunkt: 19.08.2014 - 11:25 Uhr
Sperrgrund: Fehlgeschlagene SIP-Anmeldung

Kann mir jemand erklären was das soll?

Ich habe einen 1&1-SIP-Zugang. Die 1&1 Telefonica IP-Adressen sollten sich alle im IP-Bereich 212.227.18.x und 212.227.67.x befinden.

Was hat eine IP-Adresse aus Kanada 192.99.44.159 hier zu tun?

 

[MuP]

Kaperung ?

 

[Alois1]

An Kaperung glaub ich nicht. Ich habe mal ein Firewall-Trace mit aufgezeichnet und konnte feststellen
das die TK-Anlage über den Port 5060 mit der IP-Adresse 192.99.44.159 kommuniziert.

Alle ca. 4 - 8 Minuten wird ein Block (Index 3 - 39) gesendet bzw. empfangen. Alles über den Port 5060 !!!!

Ich habe auch schon einen Neustart der Anlage gemacht. Hat nichts gebracht.
sip.1und1.de und stun.1und1.de ergeben immer eine IP aus dem Adressbereich 212.227.18.x und 212.227.67.x wenn ich sie anPINGe.

Wie gesagt das Problem ging heute vormittag auf einmal los. An der Konfiguration oder Firmware der Anlage habe ich nichts verändert.

 

[Nigge1993]

Hallo,

die Antwort hast du bereits im Jacotec Forum erhalten. Hier also bitte als gelöst markieren.

Die IP kommt aus einem Privaten IP Bereich. Deine Annahme stimmt. Diese "Hacker" Angriffe sind sind soweit nicht schlimm, wenn man sichere Passwörter verwendet. Trotzdem bitte so vorgehen wir bei JAcotec angewiesen!
LG Max

 

[noDialPlan]

Die IP kommt aus einem Privaten IP Bereich

Das stimmt nicht! 192.168.x.x/255.255.255.0 wäre privater IP-Bereich hier ist aber 'ne 192.99.x.x gegeben... ich würde das nicht als "soweit nicht schlimm" abtun...

...aber das ist Geschmackssache

Gruß noDialPlan

 

[Nigge1993]

Ob Privat oder nicht spielt hier keine Rolle. Das Gerät/ die IP möchte sich registrieren. Wenn du mal in eine Firewall guckst (die nicht Fritzbox Clicki bunti ist), siehst du sekündlich sehr viele Anfragen die geblockt werden von "fremden".

Klar sollte das nicht sein. Solange die PWs aber sehr sicher sind, muss man nicht sofort Panik bekommen

Aber ist ja jetzt gelöst von daher

LG

 

[koyaanisqatsi]

Moin

Solange geblockt wird ist doch alles in Ordnung.
Ich hatte gestern einen Chinesen, der unbedingt auf meine Box wollte.
Tausende abgelehnte Verbindungsversuche im Syslog.
Dabei läuft mein dropbear noch nicht einmal auf dem Standardport 22.
Sicherheitshalber habe ich die Portfreigabe, DynDNS abgeschaltet und eine neue IP angefordert.
Dann ist erstmal wieder Ruhe. Aber ganz normal in der heutigen Zeit.
Wer nicht paranoid werden will, schaut sich besser keine Logfiles an.

 

[Alois1]

Hallo,

der Auslöser für das Problem COMpact5000: IP wurde gesperrt: 192.99.44.159 war, das ich den Port 5060 im Router freigegeben hatte (Nachzulesen bei JAcotec).
UDP-Port 5060 ist der SIP-Port des internen VoIP-Registrars !!! und benötigt in den meisten Fällen keine Verbindung zur Aussenwelt.
Dadurch versuchte sich ein VoIP-Hacker meiner internen SIP-Accounts zu ermächtigen.

Die IP-Adresse 192.99.44.159 ist geblacklistet (Dank an voip² für die Info): http://www.networksystemssolutions.eu/voipblocklist.php

Ich habe in der Firewall nur die Ports UDP-Port 5062, 49152-49407 freigegeben.
Sowie hier beschrieben: http://www.auerswald.de/de/service/112-faq/274-faq-einrichten-1und1-anschluessen-de.html

Seither ist Ruhe

 

[rollo]

Zum Thema Portforwarding mit Fritz!Box gibt es hier einen Sticky-Thread, da steht das Wichtgste drin. Ist zwar für die COMpact3000, gilt aber sinngemäß für alle Anlagen.

jo