Hallo,
Ik heb een 3CX installatie (v18) op een lokale Linux server in een aparte Debian (v10) container en deze werkt prima (SOHO toepassing). Na een zoveelste ghost call naar één van de toestellen ben ik in de logs gaan zoeken wat de oorzaak hiervan is. Mij viel op dat er in de router logs veel pogingen worden onderschept (of niet...) naar port 22, zover ik kan zien (steekproefsgewijs gecontroleerd) allen van een dubieuze herkomst (China, Rusland, etc.)
Om een indruk te krijgen: (192.168.10.68 is de lokale IP van de 3CX server)
[LAN access from remote] from 35.228.169.211:52712 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:37
[LAN access from remote] from 49.88.112.73:12706 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:26
[LAN access from remote] from 185.201.89.122:52572 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:22
[LAN access from remote] from 49.88.112.73:34073 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:21
[LAN access from remote] from 49.88.112.73:56934 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:16
[LAN access from remote] from 112.85.42.229:57609 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:04
[LAN access from remote] from 112.85.42.229:20862 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:50
[LAN access from remote] from 112.85.42.229:57612 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:37
[LAN access from remote] from 185.201.89.122:39050 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:23
[LAN access from remote] from 112.85.42.229:24985 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:22
[LAN access from remote] from 112.85.42.229:53851 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:08
[LAN access from remote] from 112.85.42.229:13630 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:52
[LAN access from remote] from 13.127.49.199:46402 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:50
[LAN access from remote] from 35.228.169.211:52772 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:34
[LAN access from remote] from 49.88.112.73:21489 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:27
[LAN access from remote] from 185.201.89.122:53758 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:24
[LAN access from remote] from 185.201.89.122:40236 to 192.168.10.68:22, Thursday, January 27, 2022 14:22:25
[LAN access from remote] from 49.88.112.73:34343 to 192.168.10.68:22, Thursday, January 27, 2022 14:21:54
[LAN access from remote] from 35.228.169.211:54590 to 192.168.10.68:22, Thursday, January 27, 2022 14:21:42
[LAN access from remote] from 185.201.89.122:54942 to 192.168.10.68:22, Thursday, January 27, 2022 14:21:29
[LAN access from remote] from 185.201.89.122:41420 to 192.168.10.68:22, Thursday, January 27, 2022 14:20:34
[LAN access from remote] from 49.88.112.73:28734 to 192.168.10.68:22, Thursday, January 27, 2022 14:20:27
[LAN access from remote] from 49.88.112.73:45571 to 192.168.10.68:22, Thursday, January 27, 2022 14:20:22
En dit is pas in een tijdspanne van 5 minuten.
Alleen de vereiste poorten van 3CX worden door de router doorverwezen naar de 3CX server. Poort 22 dus niet, ook niet naar een ander intern adres. Het is geen uitgebreide log van de router en ik weet dus niet of de 'dubieuze partijen 'in hun pogingen slagen of al bij de router worden tegengehouden. Dan is het ook wel weer interessant hoe de router bepaalt dat een pakket bestemd voor poort 22 naar dit interne adres moet worden doorverwezen, omdat er minimaal 5 andere interne systemen zijn die poort 22 ook open hebben staan. Maar dat is een vraag die op een ander forum thuishoort denk ik.
Maar die ghost calls doen het e.e.a. vermoeden dit niet in alle gevallen dit wordt voorkomen. Tot nu toe is er geen schade aangericht, maar ik zet alles liever potdicht.
Poort 22 is geopend op de Debian server (zie afbeelding onder) . Ik vraag mij af of ik deze zonder problemen (althans, voor de 3CX server) kan sluiten. Heeft iemand hier ervaring mee. Ook andere beveiligingstips zijn van harte welkom.
Peter
Ik heb een 3CX installatie (v18) op een lokale Linux server in een aparte Debian (v10) container en deze werkt prima (SOHO toepassing). Na een zoveelste ghost call naar één van de toestellen ben ik in de logs gaan zoeken wat de oorzaak hiervan is. Mij viel op dat er in de router logs veel pogingen worden onderschept (of niet...) naar port 22, zover ik kan zien (steekproefsgewijs gecontroleerd) allen van een dubieuze herkomst (China, Rusland, etc.)
Om een indruk te krijgen: (192.168.10.68 is de lokale IP van de 3CX server)
[LAN access from remote] from 35.228.169.211:52712 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:37
[LAN access from remote] from 49.88.112.73:12706 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:26
[LAN access from remote] from 185.201.89.122:52572 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:22
[LAN access from remote] from 49.88.112.73:34073 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:21
[LAN access from remote] from 49.88.112.73:56934 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:16
[LAN access from remote] from 112.85.42.229:57609 to 192.168.10.68:22, Thursday, January 27, 2022 14:25:04
[LAN access from remote] from 112.85.42.229:20862 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:50
[LAN access from remote] from 112.85.42.229:57612 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:37
[LAN access from remote] from 185.201.89.122:39050 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:23
[LAN access from remote] from 112.85.42.229:24985 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:22
[LAN access from remote] from 112.85.42.229:53851 to 192.168.10.68:22, Thursday, January 27, 2022 14:24:08
[LAN access from remote] from 112.85.42.229:13630 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:52
[LAN access from remote] from 13.127.49.199:46402 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:50
[LAN access from remote] from 35.228.169.211:52772 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:34
[LAN access from remote] from 49.88.112.73:21489 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:27
[LAN access from remote] from 185.201.89.122:53758 to 192.168.10.68:22, Thursday, January 27, 2022 14:23:24
[LAN access from remote] from 185.201.89.122:40236 to 192.168.10.68:22, Thursday, January 27, 2022 14:22:25
[LAN access from remote] from 49.88.112.73:34343 to 192.168.10.68:22, Thursday, January 27, 2022 14:21:54
[LAN access from remote] from 35.228.169.211:54590 to 192.168.10.68:22, Thursday, January 27, 2022 14:21:42
[LAN access from remote] from 185.201.89.122:54942 to 192.168.10.68:22, Thursday, January 27, 2022 14:21:29
[LAN access from remote] from 185.201.89.122:41420 to 192.168.10.68:22, Thursday, January 27, 2022 14:20:34
[LAN access from remote] from 49.88.112.73:28734 to 192.168.10.68:22, Thursday, January 27, 2022 14:20:27
[LAN access from remote] from 49.88.112.73:45571 to 192.168.10.68:22, Thursday, January 27, 2022 14:20:22
En dit is pas in een tijdspanne van 5 minuten.
Alleen de vereiste poorten van 3CX worden door de router doorverwezen naar de 3CX server. Poort 22 dus niet, ook niet naar een ander intern adres. Het is geen uitgebreide log van de router en ik weet dus niet of de 'dubieuze partijen 'in hun pogingen slagen of al bij de router worden tegengehouden. Dan is het ook wel weer interessant hoe de router bepaalt dat een pakket bestemd voor poort 22 naar dit interne adres moet worden doorverwezen, omdat er minimaal 5 andere interne systemen zijn die poort 22 ook open hebben staan. Maar dat is een vraag die op een ander forum thuishoort denk ik.
Maar die ghost calls doen het e.e.a. vermoeden dit niet in alle gevallen dit wordt voorkomen. Tot nu toe is er geen schade aangericht, maar ik zet alles liever potdicht.
Poort 22 is geopend op de Debian server (zie afbeelding onder) . Ik vraag mij af of ik deze zonder problemen (althans, voor de 3CX server) kan sluiten. Heeft iemand hier ervaring mee. Ook andere beveiligingstips zijn van harte welkom.
Peter
Telefooncentrale 