Porta 5060 Skype for Business

Freemaui

Ciao a tutti,
versione 2.6.o di PFSENSE.
Ho il seguente problema che davvero mi sta tormentando negli ultimi 10 giorni e non riesco a trovare una soluzione.
L'hosting del sito web mi sta segnalando ogni giorno dal nostro ip pubblico tentativi di connessione verso porte non standard (5060 e 5061) al loro IP pubblico, causando sistematicamente il BAN del nostro IP.
Le porte sono generalmente quelle usate da Skype for Business.
Sul firewall ho inserito due regole per bloccare il traffico sulla 5060 e 5061

Il servizio di assistenza mi ha fornito questa stringa di log

2022-03-08 07:28:20 | "PORT HIT": "MIO_IP_PUBLIC:53747->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:55778->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:64588->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:31638->HOSTING_IP:5060",
2022-03-02 07:36:11 | "PORT HIT": "MIO_IP_PUBLIC:60941->HOSTING_IP:5060",

purtroppo non mi aiuta ad identificare quale indirizzo interno genera il problema.
mi fa sospettare che siano altre le porte da bloccare.

In generale, se volessi bloccare proprio Skype for Business come devo fare?

psp

@freemaui
Ciao, puoi mettere la regola nell'interfaccia di LAN davanti a tutte le altre con il log attivo sulla porta incriminata (5060/TCP). Controllando il log puoi capire da quale IP parte il tentativo di connessione.

Freemaui

@psp
d'accordissimo farò così.
Ti ringrazio perchè è ottima l'idea del log per risalire alla fonte.
Grazie

Freemaui

in effetti la regola l'avevo già messa (quindi temo che non "blocchi" nulla)
però ho attivato i log, vediamo cosa esce fuori

https://ibb.co/PtxxSp5

psp

@freemaui Ottimo. La regola è configurata nell'interfaccia LAN (non nella WAN)?

Freemaui

@psp
no no in entrambe, in quella LAN, come hai suggerito tu...ho attivato il LOG (che sottovalutavo)

psp

@freemaui OK. Il traffico outbound (quello che interessa il tuo problema) è gestito dalle regole nella LAN, quindi così dovresti riuscire a trovare il colpevole... Buona caccia.

Freemaui

@psp
scusa la domanda "barbara"... ovviamente il log scriverà solo quando ci sarà l'evento di "block" (pacifico).
Lo vado a recuperare in Status/System Logs/Firewall e trovo il riferimento con il nome che ho messo nella description della Rule?

psp

@freemaui
Sì, oppure puoi premere l'icona "filtro": si apre "Advanced log filter" e lì puoi specificare nel campo "Destination port" 5060. Con "Apply" filter visualizzi solo i record che ti interessano.

Freemaui

@psp
direi perfetto, mi hai dato degli "strumenti da caccia" davvero adeguati...
grazie davvero

Freemaui

Stamattina stesso problema di BAN IP...
cambiando completamente il log che ha registrato l'hosting del sito web

2022-03-14 08:39:13 | Url: [lyncdiscoverinternal.miodominio.it/]

Url: [lyncdiscoverinternal.miodominio.it/]
Remote connection: [MIOIP_PUBBLICO:7050]
Headers: [array (
'Host' => 'lyncdiscoverinternal.miodominio.it',
'Cache-Control' => 'no-cache',
'Connection' => 'Keep-Alive',
'Pragma' => 'no-cache',
'Accept' => 'application/vnd.microsoft.rtc.autodiscover+xml;v=1',
'User-Agent' => 'OC/16.0.14931.20132 (Skype for Business)',
'x-ms-client-request-id' => '515F1A56-7D96-4906-82C5-1CCD6E7B9C11',
'ms-telemetry-id' => 'e2c1093b-86e8-4862-aa7f-5ec178d37d0a',
)]
Get data: [Array
(
[sipuri] => ma###@###miodominio.it
)
]

Parto dalla fine, perchè ristringe la ricerca ad un indirizzo che ha come account "ma" il che ristringe la ricerca a circa 10 account. Effettivamente su 4 delle 10 postazioni c'era ed ho rimosso Skype... questo per intervenire in maniera "casereccia".
Mi farebbe piacere capire come intercettare lyncdiscoverinternal.miodominio.it e bloccare
Remote connection: [MIOIP_PUBBLICO:7050] (in un caso) e
Remote connection: [MIOIP_PUBBLICO:55506] (in un secondo log che mi hanno sottoposto)

Ovviamente nei log id PFSENSE, nessuna traccia (credo per colpa mia perchè ho lasciato passare troppo tempo e mi sono perso le info dei log)

Freemaui

Nulla, la faccenda diventa sempre più "allucinante".
Ho verificato direttamente tutte le postazioni che avessero come utenza ma###@miodominio.it, dove ho incrociato Skype l'ho rimosso selvaggiamente.
Un solo giorno di tregua e mi segnalano nuovamente il blocco dell'IP.

Ritorno sui log che mi hanno inviato, pochi per la verità...forse nemmeno per giustificare un blocco su una porta... rassegnato al fatto che la porta MIO_IP_PUBLIC:_random non è intercettabile

2022-03-16 07:33:16 | "PORT HIT": "MIO_IP_PUBLIC:50132->HOSTING_IP:5060",
2022-03-16 07:33:16 | "PORT HIT": "MIO_IP_PUBLIC:12906->HOSTING_IP:5060",
2022-03-16 07:33:16 | "PORT HIT": "MIO_IP_PUBLIC:23836->HOSTING_IP:5060",
2022-03-15 07:33:04 | "PORT HIT": "MIO_IP_PUBLIC:6066->HOSTING_IP:5060",
2022-03-15 07:33:04 | "PORT HIT": "MIO_IP_PUBLIC:14601->HOSTING_IP:5060",
2022-03-08 07:28:20 | "PORT HIT": "MIO_IP_PUBLIC:53747->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:55778->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:64588->HOSTING_IP:5060",
2022-03-03 07:31:54 | "PORT HIT": "MIO_IP_PUBLIC:31638->HOSTING_IP:5060",
2022-03-02 07:36:11 | "PORT HIT": "MIO_IP_PUBLIC:60941->HOSTING_IP:5060",
2022-03-02 07:36:11 | "PORT HIT": "MIO_IP_PUBLIC:39271->HOSTING_IP:5060",
2022-03-18 07:59:30 | "PORT HIT": "MIO_IP_PUBLIC:57940->HOSTING_IP:5060",
2022-03-18 07:59:30 | "PORT HIT": "MIO_IP_PUBLIC:14896->HOSTING_IP:5060",
2022-03-18 07:59:19 | "PORT HIT": "MIO_IP_PUBLIC:46045->HOSTING_IP:5060",

Faccio caso però alla ricorrenza dell'orario, al massimo due postazioni/utente rientrano in quella fascia. Rimosso anche da li SKYPE.

Nel frattempo la regola che mi ha fatto inserire PSP, su LAN e porta 5060 mi segnala 6 miseri kb di log.... recuperato l'id della regola nei log, non c'è traccia dell'HOSTING_IP come "bersaglio" finale.

Concludo e qui vi richiedo consiglio....quando mi arriva l'estratto del log abitualmente passano oltre due ore (nella migliore delle ipotesi) da quando è stato registrato... quindi lo ricevo 9:30/10:00 per un evento delle 7:30... vorrei "manualmente" capire, estrarre anche il solo intervallo 7:28 - 7:35 per avere uno spaccato più attendibile...ma putroppo mi accorco che gli eventi registrati sono tanti e la profondità di memorizzazione non mi consente di tornare così indietro...dove posso impostare e ampliare l'intervallo di scrittura dei log??

psp

@freemaui said in Porta 5060 Skype for Business:

dove posso impostare e ampliare l'intervallo di scrittura dei log?

In Status/System Logs/Settings nella voce "Log Rotation Size (Bytes)" puoi impostare la dimensione massima dei file.

Però potresti anche solo temporaneamente togliere tutti i log che "disturbano". Partendo per esempio dai vari "Log firewall default blocks" togliendo la spunta ai relativi checkbox e verificando se altre regole loggano.

Freemaui

@psp (davvero grazie per la velocità e tempestività)
ok, ricevuto...portato ad un ricco 100Mb e disattivati tutti i default blocks
link text
immagino che ora mi tocchi aspettare che si "popoli" debitamente