LANCOM-Forum.de

Moin,

ich lese hier schon lange mit aber jetzt brauche ich auch mal eure Hilfe.

Meinem Problem:

Hinter einem Lancom Router ist ein zweiter Lancom Router geschaltet der nur als SBC für die Telefonanlage dient. Jetzt kommen aber sehr viele SIP-Anfragen über den ersten Router herein. Der erste Router interpretiert diese als DoS-Attacken und macht zu. Erst wenn ein Telefonat von innen nach aussen geführt wird werden die Ports wieder geöffnet. Das ist sehr unangenehm für meinen Kunden wenn morgens noch kein Telefonat nach aussen geführt wurde und ein Anrufer dann die Ansage bekommt das die Telefonnummer momentan nicht erreichbar ist.

Hat das schon mal jemand gehabt und kennt eine Lösung?

Hi z3networks

Jetzt kommen aber sehr viele SIP-Anfragen über den ersten Router herein. Der erste Router interpretiert diese als DoS-Attacken und macht zu.

Das heißt aber, daß die Anfragen nicht beantwortet werden. Das LANCOM zeählt "halboffene" Verbindungen und wenn mehr als unter Firewall/Qos -> DoS -> Maximalzahl halboffener Verbindungen innerhalb von 30 Sekuden aufschlagen, wird das als Flooding-Attacke gewertet...

Hat das schon mal jemand gehabt und kennt eine Lösung?

Es gibt im Prinzip zwei Lösungen:

• Das DoS quasi abklemmen, in dem die Paket-Aktion auf Übertagen gestellt wird - dann informiert dich der Router aber noch über den möglichen Angriff (wenn gewünscht)
• Die Schwelle heraufsetzen...

Ach ja: Ganz wichtig: Bei Sonstige Maßnahmen solte man tunlicht weder Absender-Adresse sperren noch Zielport schließen anhaken... Diese Punkte gibt es nur, weil die selbsternannten Experten diverser Computerzeitschriften es sooooo Toll finden. Derartige Sperren bringen keinerlei Sicherheit - im Gegenteil: u.U. machen sie einen DoS-Angriff erst erfolgreich

Gruß
Backslash

Danke @Backslash für die Erklärung.
Ich werde ausprobieren.

Zustandstabelle der Firewall kontrollieren:
fragen-zum-thema-firewall-f15/verschluc ... 19377.html

LCOS-Menübaum/Status/IP-Router/Verbindungsliste

Damit der erste LANCOM-Router eingehende Telefonanrufe (Telefongespräch von aussen nach innen) durchlässt, muss dieser über eine entsprechende Firewallregel für SIP aufweisen (Zielport: UDP 5060)?!