mos6581
Goto Top

SIP DoS von 217.0.27.52 (tel.t-online.de)

Moin Kollegen,

meine TKA hat mich gestern mit folgender Mail beglückt:

30.06.2018 - 15:58 Uhr [SECURITY]: IP-blacklist: add 217.0.27.52. Reason: SIP Denial of Service.
30.06.2018 - 15:58 Uhr [SECURITY]: IP-blacklist: add 217.0.27.52. Reason: 1

Soweit nichts besonderes, aber ich habe mir mal die Mühe gemacht zu gucken, wem die IP eigentlich gehört. Der Witz: 217.0.27.52 löst auf tel.t-online.de auf. Die werden doch nicht...?

Meine Vermutung: Die Telekom verschickt ab und zu ein "Sicherheitswarnung"-Schreiben, in dem sie mir mehr oder minder technisch mitteilen möchte, dass Ports offen wären.
Natürlich keine Details, denn man könnte es ja fixen. Hatte in der Vergangenheit auf einer Leitung wo die Ports 80 und 443 freigegeben sind und dort beinahe wöchentlich solche Schreiben daherkamen, dann mal eine Mail zurückgeschickt dass ich über diese Leitung einen Webserver betreibe und ich das gerne so beibehalten würde. Antwort kam selbstverständlich... nie.

Oder liege ich komplett falsch und die Damen und Herren von der Telekom haben einfach nur ein neues Geschäftsfeld aufgetan? face-smile

lG MOS

Content-ID: 378743

Url: https://administrator.de/contentid/378743

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

certifiedit.net
certifiedit.net 01.07.2018, aktualisiert am 02.07.2018 um 15:22:48 Uhr
Goto Top
Hallo MOS,

ruf dort an, meine telefonischen Meldungen führt sofort zur Klärung. Andererseits, du willst nicht wissen, welche kruden Konstellationen es da draussen gibt...Sollte die Telekom wirklich stillschweigen gegenüber diesen Firmen wahren und Sie so ins offene Messer rennen lassen?

Viele Grüße,

Christian
aqui
aqui 01.07.2018 aktualisiert um 10:55:18 Uhr
Goto Top
Du interpretierst das Mail vielleicht falsch !
Die 217er IP gehört zu einem PPPoE Dialin Pool des DTAG Kundennetzes:
inetnum: 217.0.0.0 - 217.5.127.255
netname: DTAG-DIAL13
descr: Deutsche Telekom AG

Das bedeutet vermutlich das jemand aus dem Kundennetz der DTAG mit dieser IP einen vermeintlichen DDoS Angiff auf deinen Router oder die TKA geführt hat sofern sich die TKA hinter dem NAT Router oder direkt im Internet befindet.
Die Email ist ja NICHT von der DTAG selber sondern von deiner TKA bzw. deinem Router generieriert worden und nur der kann ja merken wenn auf ihn geschossen wird !
Die DTAG weiss ja auch wem in dem Zeitraum die 217.0.27.52 per PPPoE zugeteilt wurde.

Letztlich zeigt es aber auch das du die SIP Connection der TKA nur oberflächlich und nicht gesichert eingerichtet hast. Du hättest da natürlich auch eine Accessliste implementieren können die Inbound SIP Sessions eben nur von SIP Servern der DTAG zulässt und nicht von jeder x-beliebigen Adresse aus dem Kunden PPPoE Pool. Bessere Router haben dafür in ihrer Firewall Funktion auch ein SIP (VoIP) Application Gateway.
Also auch ein bischen an die eigene Nase fassen...
MOS6581
MOS6581 01.07.2018 um 11:30:11 Uhr
Goto Top
Moin aqui,

dass die Mail nicht von der DTAG selber ist, ist mir schon klar. Die TKA weist darauf hin, dass die IP 217.0.27.52 versucht hat, sich am SIP-Server zu authentifizieren und schlussendlich ausgesperrt worden ist. Soviel analytisches Denken darfste mir zutrauen face-smile

Dass die IP zu einem Dialin-Pool der DTAG gehört, wusste ich nicht, danke für die Info. Vor ein paar Monaten scheint die aber tatsächlich auf tel.t-online.de aufgelöst zu haben. Daher meine Vermutung mit dem "Angriff" von der DTAG.

Mit der Access Liste hast du ebenfalls recht, schadet nicht den Zugriff auf die Server der DTAG bzw. anderer Provider die genutzt werden zu beschränken.

lG MOS
aqui
aqui 01.07.2018 um 11:36:41 Uhr
Goto Top
Dass die IP zu einem Dialin-Pool der DTAG gehört, wusste ich nicht, danke für die Info.
Dafür darfst du dich bei http://www.utrace.de/?query=217.0.27.52 bedanken face-smile
LordGurke
LordGurke 01.07.2018 um 12:37:58 Uhr
Goto Top
Ihr beiden Helden hättet auch mal eine Vorwärtsauflösung von tel.t-online.de machen sollen face-smile
tel.t-online.de.        600     IN      CNAME   ims.voip.t-ipnet.de.
ims.voip.t-ipnet.de.    86400   IN      CNAME   ims001.voip.t-ipnet.de.
ims001.voip.t-ipnet.de. 86400   IN      CNAME   do-epp-801.isp.t-ipnet.de.
do-epp-801.isp.t-ipnet.de. 600  IN      A       217.0.27.52
;; Received 130 bytes from 194.25.2.132#53(194.25.2.132) in 57 ms

Das ist ein SIP-Server der Telekom, auch wenn die Telekom ihren WHOIS nicht ordentlich angepasst hat.

Was die TK-Anlage des TO vermutlich gesehen hat waren OPTIONS-Anfragen zu den registrierten Rufnummern. Damit wird die Erreichbarkeit der Telefonanlage getestet, wenn man von der über einen längeren Zeitraum nichts gehört hat. Darauf antwortet die Telefonanlage üblicherweise irgendwie und diese Antwort (es ist wirklich egal, was geantwortet wird) ist dann für den SIP-Server der Telekom der "Beweis", dass deine Telefonanlage noch erreichbar ist und tendenziell eingehende Anrufe entgegen nehmen kann.

Diese Anfragen kommen pro Registrierung. Hast du einen Account/Rufnummer registriert, bekommst du nur eine Anfrage alle (ich glaube) 10 bis 15 Minuten. Hast du mehrere Registrierungen dann natürlich entsprechend mehr.
Antwortet deine Telefonanlage nicht darauf, wiederholt der SIP-Server die Anfragen nach ein paar Sekunden und das ein paar Mal.
Dann erklärt er deine Telefonanlage für unerreichbar und du erhältst keine eingehenden Anrufe mehr.

Ich würde an deiner Stelle die ACL schleunigst wieder entfernen face-wink
Wenn die Telefonanlage das nächste Mal wieder meckert, soll sie dies bitte konkreter machen und eventuell solltest du dann auch mal nachsehen, was denn da für Anfragen kommen face-wink
MOS6581
MOS6581 01.07.2018 um 12:49:04 Uhr
Goto Top
Also doch Recht gehabt (wo ist das tanzende Bananensmiley wenn man es braucht?) :D

Das mit den Options-Anfragen ist hochinteressant, danke für den Einblick, @LordGurke
Von der Telekom sind glaube ich 7 oder 8 Rufnummern registriert, am Wochenende ist hier natürlich tote Hose, maximal kommt mal ein Werbefax.
Hatte gestern auch im Log der TKA nachgesehen. Mehr als das was in der Mail stand war da leider auch nicht zu sehen.
Rein Interessehalber könnte ich den Netzwerkverkehr am WE mal mitschneiden, um sowas in Wireshark mal gesehen zu haben.

Nichts desto trotz hat der Kollege @aqui schon Recht damit, dass eine ACL sinnvoll ist. Die Telekom wird natürlich ausgespart ;)

Schönen Frei.. Sonntag,

MOS
LordGurke
LordGurke 01.07.2018 um 14:28:36 Uhr
Goto Top
Ein Nachtrag noch zu der Eingangsfrage, wieso die Telekom manchmal Post und E-Mails mit Sicherheitswarnungen verschickt:
Die scannen mit hoher Wahrscheinlichkeit nicht selbst. Die bekommen - wie quasi alle anderen Provider in Deutschland auch - vom BSI unaufgefordert Abuse-Meldungen mit Listen von IP-Adressen aus dem AS des Providers.

Die kann man dann automatisiert verarbeiten und die betroffenen Kunden anschreiben. Eine Pflicht dazu besteht zwar nicht, aber getreu dem Motto "unser Netz soll schöner werden" spart es ja auch Bandbreite, wenn die Kunden keine offenen DNS-Resolver betreiben oder anderweitig für derartige Attacken eingespannt werden.

So eine E-Mail über offene DNS-Resolver sieht dann z.B. so aus:

Sehr geehrte Damen und Herren,

in den letzten Monaten haben DDoS-Reflection-Angriffe mittels
DNS-Amplification weiter zugenommen. Auch eine große Anzahl in
Deutschland gehosteter DNS-Server wird regelmäßig für derartige
Angriffe gegen IT-Systeme Dritter missbraucht.

Nachfolgend senden wir Ihnen eine Liste offener DNS-Resolver in
Ihrem Netzbereich, welche für DDoS-Reflection-Angriffe missbraucht
werden können, sofern keine Gegenmaßnahmen wie Rate-Limiting
implementiert wurden. Der Zeitstempel (Zeitzone UTC) gibt an,
wann der jeweilige offene DNS-Resolver identifiziert wurde.

Wir möchten Sie bitten zu prüfen, ob die offenen Resolver in Ihrem
Netzbereich beabsichtigt als solche konfiguriert sind und falls ja,
ob entsprechende Schutzmaßnahmen zur Verhinderung des Missbrauchs
der Server für DDoS-Angriffe implementiert wurden.

Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.

Weitere Informationen zu dieser Benachrichtigung, Hinweise zur
Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf häufig
gestellte Fragen finden Sie unter:
<https://reports.cert-bund.de/>

Diese E-Mail ist mittels PGP digital signiert.
Informationen zu dem verwendeten Schlüssel finden Sie unter:
<https://reports.cert-bund.de/digitale-signatur>

Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht. Antworten an die
Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen
und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
unter Beibehaltung der Ticketnummer [CB-Report#...] in der
Betreffzeile an <certbund@bsi.bund.de>.

!! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter
!! <https://reports.cert-bund.de/> verfügbar sind.

======================================================================
Bitte teilen Sie uns an <certbund@bsi.bund.de> mit, wenn Sie die Daten
zu betroffenen Systemen als Dateianhang statt inline erhalten möchten.

Please let us know at <certbund@bsi.bund.de> if you would like to receive
the data on affected systems as a file attachment instead of inline.
======================================================================

Betroffene Systeme in Ihrem Netzbereich:
Affected hosts on your networks:

"asn","ip","timestamp"  
"ASNXX","********.78","2018-06-30 00:17:44"  
"ASNXX","********.70","2018-06-30 00:36:36"  
"ASNXX","********.86","2018-06-30 00:36:48"  
"ASNXX","********.254","2018-06-30 00:39:04"  
"ASNXX","********.69","2018-06-30 00:43:57"  
"ASNXX","********.77","2018-06-30 00:47:55"  
"ASNXX","********.94","2018-06-30 00:52:57"  
"ASNXX","********.91","2018-06-30 00:55:05"  
"ASNXX","********.72","2018-06-30 01:01:26"  
"ASNXX","********.65","2018-06-30 01:04:49"  
"ASNXX","********.248","2018-06-30 01:06:23"  
"ASNXX","********.79","2018-06-30 01:10:06"  
"ASNXX","********.146","2018-06-30 01:21:40"  
"ASNXX","********.82","2018-06-30 01:24:23"  
"ASNXX","********.81","2018-06-30 01:30:23"  
"ASNXX","********.93","2018-06-30 01:35:42"  
"ASNXX","********.90","2018-06-30 01:34:11"  
"ASNXX","********.76","2018-06-30 01:36:37"  
"ASNXX","********.71","2018-06-30 01:39:57"  
"ASNXX","********.87","2018-06-30 01:42:18"  
"ASNXX","********.88","2018-06-30 02:09:32"  
"ASNXX","********.73","2018-06-30 02:17:44"  
"ASNXX","********.80","2018-06-30 02:17:00"  
"ASNXX","********.92","2018-06-30 02:21:58"  
"ASNXX","********.89","2018-06-30 02:22:57"  
"ASNXX","********.84","2018-06-30 02:21:05"  
"ASNXX","********.67","2018-06-30 02:25:40"  
"ASNXX","********.75","2018-06-30 02:33:15"  
"ASNXX","********.68","2018-06-30 02:40:58"  
"ASNXX","********.3","2018-06-30 03:09:17"  
"ASNXX","********.83","2018-06-30 03:03:21"  
"ASNXX","********.85","2018-06-30 03:10:16"  
"ASNXX","********.66","2018-06-30 03:20:07"  
"ASNXX","********.74","2018-06-30 03:26:42"  


Mit freundlichen Grüßen / Kind regards
Team CERT-Bund

Bundesamt für Sicherheit in der Informationstechnik
Federal Office for Information Security (BSI)
Referat CK22 - CERT-Bund
Godesberger Allee 185-189, 53175 Bonn, Germany
Lochkartenstanzer
Lochkartenstanzer 02.07.2018 um 08:52:22 Uhr
Goto Top
Zitat von @MOS6581:

Soweit nichts besonderes, aber ich habe mir mal die Mühe gemacht zu gucken, wem die IP eigentlich gehört. Der Witz: 217.0.27.52 löst auf tel.t-online.de auf. Die werden doch nicht...?

Moin,

217.0.0.0/13 gehört zwar der telekom, aber zumindest für 217.0.27.52 bekomme ich keine reverse-Aufläsung. Welchen nameserver hast Du denn gefragt?

lks