Vraag :
Mijn telefoonsysteem dat bereikbaar is vanaf internet, krijgt dagelijks veel e-mailmeldingen van IP-adressen op de IP Blacklist hoe komt dat?
Antwoord :
Er is een constante stroom van SIP-poortscans op internet, dus dit is niet echt verrassend. Om minder binnenkomend IP verkeer te krijgen, is het aan te raden om de Global 3CX Blacklist in te schakelen, een gedistribueerde lijst die we bijhouden. De meeste van deze IP's zijn al bekend en geblokkeerd aan onze kant. Dit gedrag is bekend binnen 3CX en komt voort uit de ingebouwde anti-hack/blacklist-mechanismen van het systeem.
🛡️ Waarom 3CX IP-adressen blacklists gebruikt
3CX beschermt PBX-installaties actief tegen brute-force-aanvallen en automatische scans vanaf internet. Als een buitenlands IP-adres herhaaldelijk foutieve authenticatiepogingen doet, ziet het systeem dit als een potentiële hackpoging en blacklist het adres tijdelijk om verdere pogingen te blokkeren. Dit is standaardveiligheid, niet per se een daadwerkelijke hackpoging op jouw specifieke klanten.
📍 Hoe dit precies werkt
• Aantal mislukte pogingen: als een IP-adres een bepaald aantal incorrecte authenticaties stuurt (bijv. SIP REGISTER of management login), wordt dit IP toegevoegd aan de blacklist.
• Reden in de melding: jouw melding “Requests rate is too high!” geeft aan dat dat IP teveel pogingen heeft gedaan in korte tijd.
• Tijdelijke blokkeerperiode: standaard blijft het IP een tijdje geblokkeerd (bijvoorbeeld 15 minuut tot meerdere uren/dagen afhankelijk van instellingen), waarna het automatisch weer wordt verwijderd.
• Global Blacklist: vanaf 3CX v16+ is er een “Global IP Blacklist”, een centrale lijst van IP’s die door veel 3CX-servers als aanvallend zijn aangemerkt. Deze wordt periodiek gedownload en lokaal toegepast.
Er zijn opties om het scannen van uw systeem nog verder te verminderen:
- Voeg/Configureer een Whitelist in de 3CX en beperk welke IP-adressen de 3CX mogen bereiken
(kan alleen vertrouwde IP-adressen bevatten, zoals uw VoIP-providers en externe STUN-telefoons (indien aanwezig) - Voeg een firewall/ACL toe voor de 3CX en gebruik geo-IP-blokkeringsfuncties
(Mag alleen landen toestaan waarvan u legitiem verkeer verwacht, werkt beter voor klanten met thuiskantoorgebruikers op dynamische openbare IP's)
Dat gezegd hebbende, kunt u er zeker van zijn dat dankzij de standaard anti-hacking-instellingen en inloggegevens die automatisch worden gegenereerd per extensie die zeer complex is, uw PBX SIP-extensies onmogelijk brute-forced kunnen worden geforceerd (tenzij de inloggegevens handmatig door de beheerder zijn gewijzigd), dus deze scans zijn slechts hinderlijk en veroorzaken e-mailmeldingen, maar vormen geen reëel risico.