Cisco SG350X verbindet zu 52.205.197.159

Hallo zusammen,

Mein switch zeigt unter TCP/UDP Services folgende Verbindung an:

Unknown TCP 192.168.200.2 59160 52.205.197.159 443

wobei 192.168.200.2 ein Interface des Switches ist. Wer telefoniert da nach Hause? Die cisco-Switch Firmware oder ungebetene Gäste?

Grüße

lcer

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 483009

Url: https://administrator.de/forum/cisco-sg350x-verbindet-zu-52-205-197-159-483009.html

Ausgedruckt am: 03.04.2025 um 14:04 Uhr

9 Kommentare

Neuester Kommentar

~: openssl s_client -connect '52.205.197.159:443'  
CONNECTED(00000003)
depth=2 C = US, O = Cisco Systems, CN = Cisco RXC-R2
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=San Jose/O=Cisco Technology, Inc./CN=devicehelper.cisco.com
   i:/C=US/O=Cisco Systems/CN=Cisco XSSL-R2
 1 s:/C=US/O=Cisco Systems/CN=Cisco XSSL-R2
   i:/C=US/O=Cisco Systems/CN=Cisco RXC-R2
 2 s:/C=US/O=Cisco Systems/CN=Cisco RXC-R2
   i:/C=US/O=Cisco Systems/CN=Cisco RXC-R2
---

Das Zertifikat, welches der Server auf der HTTPS-Verbindung zeigt, ist ausgestellt auf "devicehelper.cisco.com", wird also irgendein tolles Feature von Cisco sein.
Allerdings ist das Zertifikat nicht von irgendeiner bekannten CA unterschrieben, kann also theoretisch jeder erstellt haben.

~: dig devicehelper.cisco.com. +short
pnp-connect-production-1950043792.us-east-1.elb.amazonaws.com.
52.205.197.159
52.203.231.173

Allerdings zeigt der DNS-Name unter anderem auf diese IP, es ist also wirklich von Cisco

Zitat von @lcer00:

Hallo zusammen,

Mein switch zeigt unter TCP/UDP Services folgende Verbindung an:

Unknown TCP 192.168.200.2 59160 52.205.197.159 443

wobei 192.168.200.2 ein Interface des Switches ist. Wer telefoniert da nach Hause? Die cisco-Switch Firmware oder ungebetene Gäste?

https://www.abuseipdb.com/whois/52.205.197.159

Da redet jemand mit der Amazon cloud. Vermutlich hat der switch Heimweh.

Ein direkt Aufruf im Browser ergibt 503 Service Temporarily Unavailable und das Zertifikat ist auf devicehelper.cisco.com angeblich von Cisco selbst ausgestellt.

Du könntest bei Cisco selbst nachfragen, ob das deren Kiste ist.

lks

OK, dann gehe ich mal davon aus, dass ich hierbei nur cisco und ausländischen Nachrichtendiensten vertrauen muss. Hat jemand eine Idee, ob man das abschalten kann (am switch, nicht unterbinden per firewall)? Ich finde da in der Switch-GUI nix.

Grüße

lcer

Naja, das Zertifikat heißt "devicehelper" — dazu findet sich dieser Artikel:

https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play ...

Einfach nur mal die Augen auf machen beim Konfigurieren !!!
Das ist in den PNP Settings wo du die Konfig automatisch von Cisco sichern und laden kannst:

Der Haken bei "Enabled" gehört natürlich entfernt und dann telefoniert auch dein Switch nicht mehr in die Amazon Cloud !

Hallo,

Zitat von @LordGurke:

Naja, das Zertifikat heißt "devicehelper" — dazu findet sich dieser Artikel:

https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play ...

Ja, das habe ich jetzt auch gefunden. Lustig ist nur, dass PNP deaktiviert ist:

PNP Session
Administrative Status: Disabled
Operational Status: Ready
PNP Agent State: Disabled
Transport Protocol: HTTPS (Default Value)
TCP Port: 443 (Default Value)
Server IP Address: devicehelper.cisco.com (Default Value)
Username:
Password MD5:

Ich hatte es tatsächlich vor ein paar Tagen kurz aktiviert (bitte nicht fragen warum