Registrierung Externer SIP-Benutzer verbieten?

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von Jirka »

Hallo sixty,

oh oh, hier kommt aber auch ein Problem zum anderen. Der Absturz im SSH ist nicht schön, vielleicht kann Alfred was dazu sagen. Habe es mal separat hier eingestellt. (fragen-zur-lancom-systems-routern-und-g ... 18837.html)

Der Trace sieht übel aus. Also da stimmt was nicht, meiner Meinung nach. Bei den SIP-Leitungen wird mit "SIP-Nachrichten nur vom Registrar erlauben" (das ist doch in allen SIP-Leitungen angehakt, oder?) alles dichtgemacht, und beim Standard-Port 5060 wird dann alles angenommen? Nö.
Man sieht im Trace ja auch die REGISTER Deiner SIP-Leitungen. Da sieht man ja auch schön, dass die auf anderen Ports laufen, also das kann es nicht sein.
Weiterhin sieht man, dass die Angriffe offensichtlich nur auf der einen Leitung eintreffen (oder nur diese "offen" ist?).

Hmm. Nun müsste man schauen, durch welche Konfiguration das so auftritt. Ich vermute ja, dass der Loadbalancer da irgendwie mit zu tun hat, da wurde ja zur 10.4x auch einiges geändert. Also ich bin noch ratlos. Vielleicht schauen wir mal gemeinsam über die Konfig? Ich probiere hier die Tage noch mal mit der gleichen Firmware wie Du aktuell hast das nachzustellen.

Wenn Dir das Anonymisieren des Traces zu viel Arbeit macht, kannst ihn mir auch per E-Mail schicken (ggf. vorher nach der Adresse fragen).

Soweit erst mal. Vielleicht hat Georg ja auch noch eine Meinung.

Viele Grüße,
Jirka
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von MoinMoin »

Moin Jirka,

ich bin auch ratlos. Wenn da keine Überraschung in der Konfiguration auftaucht, weiß ich auch nicht, wieso die Pakete überhaupt bearbeitet werden.

Ciao, Georg
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von backslash »

Hi sixty,

die Angriffe kommen offenbar über eine Leitung mit Routing-Tag 145. Hast du vielleicht eine Default-Route auf eine VPN-Verbindung gelegt, die das Tag 145 hat?
Wenn ja, dann kommt der Angriff wohl durch das VPN und umgeht somit die Sicherheitsprüfung, daß WAN-Registrierungen nur über VPN möglich sind...
Das würde dann aber auch bedeuten, daß du auf der Gegnseite des VPNs offenbar ein Portforwarding für den Port 5060 auf dein Gerät eingerichtet hättest.

Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von Jirka »

Hallo Backslash,

interessanter und nachvollziehbarer Ansatz, den Du da durch "scharfes Hinsehen" aufgestellt hast. Bin gespannt, was am Ende bei rauskommt.

Vielen Dank und viele Grüße,
Jirka
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Hallo und guten Morgen,

zunächst muß ich mich dafür entschuldigen, daß ich gestern nicht mehr geantwortet habe, aber das Tagesgeschäft hat mich einfach überrannt.

Vielen Dank an Backslash, den Routing-Tag 145 hatte ich tatsächlich bisher in den Traces nicht bewußt wahrgenommen.
Tatsächlich hatte ich vor einiger Zeit eine DMZ mit diesem Tag eingerichtet.
DMZ.png
DMZ2.PNG
Ziel war es, eine externe Allokation (IPv6 /48) dorthin zu routen und einige Server darüber anzubinden.
Allerdings ist es dazu bisher nicht gekommen (das macht im Moment ein Linux mit SIT-Tunnel), so daß ich das Netz eigentlich nicht brauche.

Weil ich keine Möglichkeit gefunden hatte, die DMZ nur zu deaktivieren habe ich sie jetzt gelöscht.
Damit hörte der Spuk sofort auf - Problem gelöst. So erklärt sich auch, warum die Zugriffe nur über eine IP gekommen sind.

Der Vollständigkeit halber (Jirka hatte gefragt) hier noch die Konfiguration der Leitungen:
SIP-Leitungen.png
Der Wizard hatte tatsächlich überall "SIP nur vom Registrar" gesetzt.

Ich möchte mich an dieser Stelle ganz herzlich bei allen für die freundliche und kompetente Hilfe in diesem Forum bedanken und für eventuell angerichtetes Kopfzerbrechen entschuldigen :P

Schöne Grüße
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von Jirka »

Eine DMZ deaktiviert man, indem man die IP-Adresse auf 0.0.0.0 setzt (die eigentliche Adresse kann man sich notfalls in den Kommentar kopieren).

Bei der IP-Adresse hätte Dir dann doch aber schon vorher auffallen müssen, dass das die von der DMZ ist... Oh, oh.

Was bedeutet der Fall jetzt unterm Strich? VCM und Nutzung einer DMZ schließen sich aus? So ganz klar ist mir das jetzt noch nicht.
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von sixty »

Jirka hat geschrieben: 18 Mai 2021, 08:49Was bedeutet der Fall jetzt unterm Strich? VCM und Nutzung einer DMZ schließen sich aus? So ganz klar ist mir das jetzt noch nicht.
Nicht unbedingt.

Zunächst, sorry dafür daß ich eine der IPs in die DMZ weitergeleitet hatte.
In die DMZ sollte eigentlich nur ein IPv6-Netz für verschiedene extern erreichbare Server.
Die IPv4 hatte ich testweise eingetragen um dort einen 6in4-Tunnel zu terminieren.
Da das nicht wie gewünscht funktioniert hat macht das jetzt ein Linux-Rechner.
Dabei hatte ich vergessen, die Adresse wieder zu entfernen (vorher stand da tatsächlich 0.0.0.0) und - weil das Ganze schon länger zurückliegt - einfach vergessen.

Das weltweit erreichbare Adressen auch von "bösen Buben" ausprobiert werden ist (leider) relativ normal.
Auf unseren Webservern z.B. beobachte ich permanent Zugriffsversuche mit geratenen URLs z.B. typischer phpMyAdmin-Installationen, verwundbarer
Wordpress-CGIs oder auch diverser Windows-ASP-Schwachstellen. Alles sauber mit 404 beantwortet.
Ähnliches ist auf dem Mailserver, dort wird lustig von Anton bis Zylinderhut das gesamte Telefonbuch nach offenen Postfächern durch geraten.
Nun macht es wenig Sinn, IPs aus Vietnam, Korea oder Argentinien irgendwelche Anzeigen hinterher zuschicken, zumal der reine Zugriff auf nicht existierende Seiten erst mal auch in Deutschland kein Straftatbestand ist.

Dafür gibt es gängige Methoden (z.B. Fail2Ban oder mod_security), mit denen man das zumindest etwas limitieren kann.

Von daher hat mich in dem erstellten Trace gefreut, daß auch bei SIP alle Verbindungsversuche (z.B. auf amerikanische 0900er Nummern) sauber mit 404 abgefangen wurden. Lediglich die Anzeige im Lanmonitor hat mich irritiert.

Ich bin ein Freund davon Angriffsflächen nach außen so gering wie möglich zu halten. Deswegen war meine Ausgangsfrage, ob es im VCM
möglich ist, nur den Server-Teil (an dem sich Clients registrieren) abzuschalten. Das scheint jedoch nicht vorgesehen zu sein (daß man den
gesamten VCM abschalten kann hatte ich gesehen). Auch gibt es wohl eine Limitierung der Fehlversuche, die aber nur bei immer gleicher Nummer zu
greifen scheint.

Wie dem auch sei, das Problem ist dank Eurer tatkräftigen Hilfe jetzt gelöst.

An dieser Stelle nochmal vielen Dank dafür.
klabar
Beiträge: 5
Registriert: 18 Mär 2022, 21:51

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von klabar »

Hi,

nachdem ich eben diesen Dialog gelesen habe, ist mir klar geworden, dass ich wohl ein unlösbares Problem habe.

Ich habe einen eigenen IP(V4)-Bereich, der über den Provider B zu mir geroutet wird. Mein Internet-Anschluss ist aber bei der Telekom mit NAT. Damit meine IP-Adressen erreichbar sind, habe ich eine VPN-Verbindung zu Provider B und darüber laufen meine eigenen IP-Adressen.

Jetzt zu dem Problem. Ich habe auch etliche Registrierungsversuche Externer SIP-Benutzer. Wenn die Pakete über die Telekom/WAN kommen, würden sie nicht beim VCM ankommen. Da aber auch Versuche auf meine eigenen IP-Adressen über Provider B und VPN kommen, kommen sie durch und ich kann es nicht verhindern.

Hab ich das so richtig verstanden, oder gibt es doch eine Möglichkeit?

(Ich habe 1783VAW mit LCOS 10.32.0093 (SU3))

Gruß
Klaus
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von MoinMoin »

Moin Klaus,

brauchst du denn die Möglichkeit, daß sich SIP-Endgeräte per VPN anmelden?

Ciao, Georg
klabar
Beiträge: 5
Registriert: 18 Mär 2022, 21:51

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von klabar »

Hi Georg,

genau das soll nicht sein. Endgeräte sollen sich nur local anmelden können. Anmeldungen von WAN und VPN sollen verboten sein. Aber es kommen immer wieder unerwünschte Versuche durch.
SIP_WAN_01.JPG
Bei den Leitungen habe ich auf LAN eingeschränkt.
SIP_Leitung_01.JPG
Und leider kann man über den Firewall den Port 5060 zum VCM nicht blocken.

Gruß und Danke
Klaus
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von plumpsack »

@Klaus

Guckst du hier zu 104.214.69.222:

https://www.abuseipdb.com/check/104.214.69.222

Die IP ist ja bekannt.

Ist wohl aus der MS-Klaut :)

Nachtrag:
Da ich mit Microsoft nichts mehr am Hut habe kann ich das Netzwerk 104.208.0.0/13 ohne Probleme via Routing-Tabelle blockieren.

Das müsste dann für dich, per lcs (Lancom Skriptdatei), dann wohl so aussehen:

block_ms_cloud_104.208.0.0-13_via_routing-table.lcs

Code: Alles auswählen

lang English
flash No
cd /
cd /Setup/IP-Router/IP-Routing-Table 
add  104.208.0.0      255.248.0.0      0        0               "0.0.0.0"              0         No          Yes      "block US Microsoft Corporation 104.208.0.0/13"
cd /
flash Yes
# done
exit
Falls das Skript falsch ist bitte ich um Korrektur.
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von MoinMoin »

Moin Klaus,

bei dem SIP-Benutzer ist aber laut LANmonitor der Zugriff über WAN erlaubt. Bist du sicher, daß der richtig konfiguriert ist?

Ciao, Georg
klabar
Beiträge: 5
Registriert: 18 Mär 2022, 21:51

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von klabar »

Hi Georg und plumpsack,

ich kann natürlich nicht ausschließen, dass ich irgendwo einen Fehler habe, aber ich finde meine SIP-Benutzer Liste sieht gut aus:
SIP_Benutzer_01.JPG
Alle legal angemeldeten User haben auch:
"Zugriff über WAN: Nicht erlaubt"

Leider tauchen auch andere IP-Adressen auf, jetzt gerade "<sip:1100@52.171.223.163:51461>"

Gruß
Klaus
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
awi
Beiträge: 61
Registriert: 19 Jun 2013, 15:22

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von awi »

Hallo Klaus,

das ist schon seltsam.
Vor allem, warum im LANmonitor der Zugriff vom WAN als erlaubt angegeben ist,
während deine SiP-User alle als 'nicht erlaubt' konfiguriert sind.
Kannst du die Registrierung von der externen IP mal mittracen (SIP-Packet, Callmanager und SIP-Connection)?
Und dazu die dabei genutzte Konfiguration der SIP-User nochmals anhängen.
Am besten auch die Sip-User-Tabelle. (Konsole)

Gruß
Awi
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von plumpsack »

klabar hat geschrieben: 20 Mär 2022, 20:34 ich kann natürlich nicht ausschließen, dass ich irgendwo einen Fehler habe, ...
Mal abgesehen von der Aussage
klabar hat geschrieben: 20 Mär 2022, 20:34 Ich habe einen eigenen IP(V4)-Bereich, der über den Provider B zu mir geroutet wird. Mein Internet-Anschluss ist aber bei der Telekom mit NAT. Damit meine IP-Adressen erreichbar sind, habe ich eine VPN-Verbindung zu Provider B und darüber laufen meine eigenen IP-Adressen.
Da habe ich gerade einen ganz großen Knoten im Hirn ...

Wenn die IP-Adressen eh schon zu dir geroutet werden, für was brauchst du dann noch den VPN-Tunnel?

Und zu den "üblichen SIP-Attacken" an Port 5060 verstehe ich auch nicht die wirren SIP-Benutzer-Konfigurationen ...

Wer darf und wer darf nicht SIPS benutzen?

Hast du mal ins SYSLOG geguckt?

Was sagt denn dein SYSLOG zu 104.214.69.222 und 52.171.223.163 ?
Antworten