lcer00
Aug 08, 2019
view2745
view9
0
Goto Top

Cisco SG350X verbindet zu 52.205.197.159

GermansolvedQuestionSwitches, HubsHardware
Hallo zusammen,

Mein switch zeigt unter TCP/UDP Services folgende Verbindung an:

Unknown TCP 192.168.200.2 59160 52.205.197.159 443

wobei 192.168.200.2 ein Interface des Switches ist. Wer telefoniert da nach Hause? Die cisco-Switch Firmware oder ungebetene Gäste?

Grüße

lcer
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 483009

Url: https://administrator.de/contentid/483009

Printed on: April 20, 2024 at 08:04 o'clock

9 Comments
Latest comment
Goto Top
Member: LordGurke
Solution LordGurke Aug 08, 2019 at 07:13:43 (UTC)
Goto Top
~: openssl s_client -connect '52.205.197.159:443'  
CONNECTED(00000003)
depth=2 C = US, O = Cisco Systems, CN = Cisco RXC-R2
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=San Jose/O=Cisco Technology, Inc./CN=devicehelper.cisco.com
   i:/C=US/O=Cisco Systems/CN=Cisco XSSL-R2
 1 s:/C=US/O=Cisco Systems/CN=Cisco XSSL-R2
   i:/C=US/O=Cisco Systems/CN=Cisco RXC-R2
 2 s:/C=US/O=Cisco Systems/CN=Cisco RXC-R2
   i:/C=US/O=Cisco Systems/CN=Cisco RXC-R2
---

Das Zertifikat, welches der Server auf der HTTPS-Verbindung zeigt, ist ausgestellt auf "devicehelper.cisco.com", wird also irgendein tolles Feature von Cisco sein.
Allerdings ist das Zertifikat nicht von irgendeiner bekannten CA unterschrieben, kann also theoretisch jeder erstellt haben.

~: dig devicehelper.cisco.com. +short
pnp-connect-production-1950043792.us-east-1.elb.amazonaws.com.
52.205.197.159
52.203.231.173
Allerdings zeigt der DNS-Name unter anderem auf diese IP, es ist also wirklich von Cisco face-wink
Member: Lochkartenstanzer
Solution Lochkartenstanzer Aug 08, 2019 updated at 07:22:29 (UTC)
Goto Top
Zitat von @lcer00:

Hallo zusammen,

Mein switch zeigt unter TCP/UDP Services folgende Verbindung an:

Unknown TCP 192.168.200.2 59160 52.205.197.159 443

wobei 192.168.200.2 ein Interface des Switches ist. Wer telefoniert da nach Hause? Die cisco-Switch Firmware oder ungebetene Gäste?

https://www.abuseipdb.com/whois/52.205.197.159

Da redet jemand mit der Amazon cloud. Vermutlich hat der switch Heimweh.

Ein direkt Aufruf im Browser ergibt 503 Service Temporarily Unavailable und das Zertifikat ist auf devicehelper.cisco.com angeblich von Cisco selbst ausgestellt.

Du könntest bei Cisco selbst nachfragen, ob das deren Kiste ist.

lks
Member: lcer00
lcer00 Aug 08, 2019 at 07:23:44 (UTC)
Goto Top
OK, dann gehe ich mal davon aus, dass ich hierbei nur cisco und ausländischen Nachrichtendiensten vertrauen muss. Hat jemand eine Idee, ob man das abschalten kann (am switch, nicht unterbinden per firewall)? Ich finde da in der Switch-GUI nix.

Grüße

lcer
Member: LordGurke
Solution LordGurke Aug 08, 2019 at 07:35:03 (UTC)
Goto Top
Naja, das Zertifikat heißt "devicehelper" — dazu findet sich dieser Artikel:

https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play ...
Member: aqui
Solution aqui Aug 08, 2019 at 07:38:55 (UTC)
Goto Top
Einfach nur mal die Augen auf machen beim Konfigurieren !!!
Das ist in den PNP Settings wo du die Konfig automatisch von Cisco sichern und laden kannst:

cisco

Der Haken bei "Enabled" gehört natürlich entfernt und dann telefoniert auch dein Switch nicht mehr in die Amazon Cloud ! face-wink
Member: lcer00
lcer00 Aug 08, 2019 at 07:39:33 (UTC)
Goto Top
Hallo,
Zitat von @LordGurke:

Naja, das Zertifikat heißt "devicehelper" — dazu findet sich dieser Artikel:

https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play ...

Ja, das habe ich jetzt auch gefunden. Lustig ist nur, dass PNP deaktiviert ist:
PNP Session
Administrative Status: Disabled
Operational Status: Ready
PNP Agent State: Disabled
Transport Protocol: HTTPS (Default Value)
TCP Port: 443 (Default Value)
Server IP Address: devicehelper.cisco.com (Default Value)
Username:
Password MD5:
Ich hatte es tatsächlich vor ein paar Tagen kurz aktiviert (bitte nicht fragen warum face-smile ), und anschließend gleich deaktiviert. Ich werde mal noch prüfen, ob es nach einem Neustart des Switches immer noch angezeigt wird.

Grüße

lcer
Member: aqui
aqui Aug 08, 2019 updated at 07:46:51 (UTC)
Goto Top
Aktuellstes Firmware Image hast du geflasht ??:
Cisco Security Warnung für SoHo Switches der SG Serie
Member: lcer00
lcer00 Aug 08, 2019 at 08:03:44 (UTC)
Goto Top
Zitat von @aqui:

Aktuellstes Firmware Image hast du geflasht ??:
Cisco Security Warnung für SoHo Switches der SG Serie
Nee, natürlich noch nicht, bin noch im April/2019. Das werde ich mit dem der Reboot gleich verbinden.

Grüße

lcer
Member: lcer00
lcer00 Aug 08, 2019 at 11:14:41 (UTC)
Goto Top
Nach Reboot mit aktuellem Image ist der Eintrag weg.

Grüße

lcer
GermansolvedQuestionSwitches, HubsHardware
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment