Router interpretiert SIP-Anfragen als DoS

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
z3networks
Beiträge: 5
Registriert: 01 Mär 2019, 09:36

Router interpretiert SIP-Anfragen als DoS

Beitrag von z3networks »

Moin,

ich lese hier schon lange mit aber jetzt brauche ich auch mal eure Hilfe.

Meinem Problem:

Hinter einem Lancom Router ist ein zweiter Lancom Router geschaltet der nur als SBC für die Telefonanlage dient. Jetzt kommen aber sehr viele SIP-Anfragen über den ersten Router herein. Der erste Router interpretiert diese als DoS-Attacken und macht zu. Erst wenn ein Telefonat von innen nach aussen geführt wird werden die Ports wieder geöffnet. Das ist sehr unangenehm für meinen Kunden wenn morgens noch kein Telefonat nach aussen geführt wurde und ein Anrufer dann die Ansage bekommt das die Telefonnummer momentan nicht erreichbar ist.

Hat das schon mal jemand gehabt und kennt eine Lösung?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router interpretiert SIP-Anfragen als DoS

Beitrag von backslash »

Hi z3networks
Jetzt kommen aber sehr viele SIP-Anfragen über den ersten Router herein. Der erste Router interpretiert diese als DoS-Attacken und macht zu.
Das heißt aber, daß die Anfragen nicht beantwortet werden. Das LANCOM zeählt "halboffene" Verbindungen und wenn mehr als unter Firewall/Qos -> DoS -> Maximalzahl halboffener Verbindungen innerhalb von 30 Sekuden aufschlagen, wird das als Flooding-Attacke gewertet...
Hat das schon mal jemand gehabt und kennt eine Lösung?
Es gibt im Prinzip zwei Lösungen:
  • Das DoS quasi abklemmen, in dem die Paket-Aktion auf Übertagen gestellt wird - dann informiert dich der Router aber noch über den möglichen Angriff (wenn gewünscht)
  • Die Schwelle heraufsetzen...
Ach ja: Ganz wichtig: Bei Sonstige Maßnahmen solte man tunlicht weder Absender-Adresse sperren noch Zielport schließen anhaken... Diese Punkte gibt es nur, weil die selbsternannten Experten diverser Computerzeitschriften es sooooo Toll finden. Derartige Sperren bringen keinerlei Sicherheit - im Gegenteil: u.U. machen sie einen DoS-Angriff erst erfolgreich

Gruß
Backslash
z3networks
Beiträge: 5
Registriert: 01 Mär 2019, 09:36

Re: Router interpretiert SIP-Anfragen als DoS

Beitrag von z3networks »

Danke @Backslash für die Erklärung.
Ich werde ausprobieren.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Router interpretiert SIP-Anfragen als DoS

Beitrag von GrandDixence »

Zustandstabelle der Firewall kontrollieren:
fragen-zum-thema-firewall-f15/verschluc ... 19377.html

LCOS-Menübaum/Status/IP-Router/Verbindungsliste

Damit der erste LANCOM-Router eingehende Telefonanrufe (Telefongespräch von aussen nach innen) durchlässt, muss dieser über eine entsprechende Firewallregel für SIP aufweisen (Zielport: UDP 5060)?!
Antworten