Firewall SIP Port 5060

[supr3m3]

Hi,

wie kann es moeglich sein das obwohl wir auf unserem 1823 VoiP den Port 5060 NICHT nach draussen Publiziert oder sonstwie geforwarded haben, dennoch erfolgreiche (!) Hackversuche stattfinden koennen auf diesem Port ?

Ich habe ein Schreiben der Telekom hier die diesen Vorgang kennt aber das WARUM fehlt mir !

[MoinMoin]

Moin, moin!

Weil der VoIP-Router selber auf dem LANCOM diesen Port geöffnet hat und darüber Pakete annimmt. Siehe auch <http://lcs-inx.lancom.de/inxmail/archiv ... &w=display>

Ciao, Georg

[supr3m3]

"....Wir bitten Sie zu prüfen, ob eine Anmeldung auf das LANCOM Gerät von SIP-Benutzern über eine maskierte WAN-Gegenstelle vorübergehend unterbunden werden kann. Dazu ist der verwendete Port zur SIP-Registrierung über die entsprechende maskierte WAN-Gegenstelle mittels Port-Forwarding auf eine nicht verwendete private IP-Adresse umzuleiten. Wie Sie dies konfigurieren, erfahren Sie in der LANCOM Knowledge Base....."

sorry das ist wohl die PEINLICHSTE Lösung die man sich nur irgendwie vorstellen kann. wir haben das so geloest weil wir dachten wir waeren noch nicht auf die richtige vorgehensweise gekommen aber das der Hersteller selbst solch einen Quatsch vorschlaegt schlaegt dem Fass den Boden DIREKT in die Fresse.

Wenn ich den Port WEDER FORWARDE noch PUBLIZIERE DARF NICHTS und NIEMAND daranf connecten! Ein Hersteller der sich damit bruestet ueber so und soviel Millionen Devices verkauft zu haben sollte sich doch wenigstens solche Basics zu herzen nehmen.

NOCH haben wir 30 Lancoms im einsatz, NOCH.

[MoinMoin]

Moin supr3m3!

Wenn du ein Gerät mit SIP-Callmanager hast, dann ist prinzipiell eine Anmeldung auch aus dem WAN erlaubt. Damit ist der Port offen und es gibt jenamden, der auf ankommende Pakete reagiert. Wenn du das nicht willst, warum nimmst du dann ein Gerät mit VoIP?

Ciao, Georg

[backslash]

Hi supr3m3,

was meinst du eigentlich mit "Wenn ich den Port WEDER FORWARDE noch PUBLIZIERE" hier mit "publizieren"? Ein offener Port ist nunmal ein offener Port und da wird nichts publiziert! Das LANCOM reagiert ja auch auf Telnet, HTTP, etc...

Wenn du Anmeldungen aus dem WAN verhindern willst, dann kannst du natürlich den Port über das Portforwarding ins Nirvana schicken. Die korrekte vorgehensweise wäre sicherlich, den SIP-Usern sichere Paßwörter zuzuweisen, so daß niemand sich anmelden kann - damit läßt sich dann der Account und somit etwaige Flatrates des "heimischen" Anschhlusses auch von überall her nutzen

Gruß
Backslash

[supr3m3]

Moin supr3m3!

Wenn du ein Gerät mit SIP-Callmanager hast, dann ist prinzipiell eine Anmeldung auch aus dem WAN erlaubt. Damit ist der Port offen und es gibt jenamden, der auf ankommende Pakete reagiert. Wenn du das nicht willst, warum nimmst du dann ein Gerät mit VoIP?

Das ist in etwa so, als wuerde ich eine Tür kaufen die NUR offen stehen bleiben kann und falls ich Sicherheit moechte, stelle ich ein Schild davor " bitte da lang ".

Alleine die Tatsache das ich sowas ncoch erklaeren muss ist doch Peinlich Leute.

WARUM verdammt noch mal muss ein SIP Port ins WAN std komplett offen sein ? WARUM ? Es gibt KEINEN Grund. Gar keinen. Wenn ich auf einem Router in den Firewall Settings eine DENY ALL Rule anlege, dann bedeutet das DENY FUCKING ALL und nicht DENY-ALL BUT NOT SIP.

aach ich reg mich schon wieder auf. lancom = saftladen, fertig aus. Lancom fliegt hier raus und ich werde alles dafuer tun (!) das auch in allen aussenstellen bzw. segmenten das ding rausfliegt, das waeren dann nochmal so um die 250-300 stueck.

[supr3m3]

Hi supr3m3,

Wenn du Anmeldungen aus dem WAN verhindern willst, dann kannst du natürlich den Port über das Portforwarding ins Nirvana schicken.

Nein, nicht ich WILL, ich MUSS. Das ist ein kleiner aber zum himmel schreiender Unterschied.

Die korrekte vorgehensweise wäre sicherlich, den SIP-Usern sichere Paßwörter zuzuweisen, so daß niemand sich anmelden kann

Nein, die richtige vorgehensweise waere das wenn man einen Block setzt dieser auch sitzt wie er soll, sodass nur intern sip genutzt wird, denn hier machen komplexe GAR KEINEN SINN,wenn der Router sicher ist, was er im Lancom fall NICHT IST.

- damit läßt sich dann der Account und somit etwaige Flatrates des "heimischen" Anschhlusses auch von überall her nutzen

genau, weil die lancoms ja auch quasi DAS standard gerät fuer den heimgebrauch ist. ist ja nicht so das lancom mal fuer business stand, sorry habe ich wohl vergessen oder vieleicht habe ich es auch verdraengt.

mir war nicht klar das lancom sich jetzt auf fritzbox niveau befindet....ach....hopla... Die Fritzbox ist im gegensatz zum lancom was SIP angeht ja sicherer...hmm......vieleicht sollten wir auf Fritzboxen umsteigen...danke fuer den Tip.

[Dr.Einstein]

Verstehe nicht, was das Problem ist. Wir haben diverse VoIP Geräte im Einsatz, wo explizit die Funktion über WAN benötigt wird, sei es über VPN oder über WAN direkt. Und dann muss man halt mit sicheren Passwörtern arbeiten. Das ganze ist doch auch relativ logisch: Man schaltet den Call-Manager an, dann ist es halt ein Dienst, der von allen Richtungen genutzt werden kann, wie VPN, HTTPS, Telnet, was auch immer. Fritz!Boxen und andere Geräte sind halt nur für den heimischen Bereich von nutzen, wo man auf spezielle Vernetzungssachen nicht angewiesen ist. Und wenn man sowieso nur 0815 braucht, wieso legt man sich dann Lancoms zu?

Mit der 8.6 RC kann man jetzt auch WAN-Zugriffe komplett blockieren...

[LoUiS]

Hi,

Verstehe nicht, was das Problem ist. Wir haben diverse VoIP Geräte im Einsatz, wo explizit die Funktion über WAN benötigt wird, sei es über VPN oder über WAN direkt. Und dann muss man halt mit sicheren Passwörtern arbeiten. Das ganze ist doch auch relativ logisch: Man schaltet den Call-Manager an, dann ist es halt ein Dienst, der von allen Richtungen genutzt werden kann, wie VPN, HTTPS, Telnet, was auch immer. Fritz!Boxen und andere Geräte sind halt nur für den heimischen Bereich von nutzen, wo man auf spezielle Vernetzungssachen nicht angewiesen ist. Und wenn man sowieso nur 0815 braucht, wieso legt man sich dann Lancoms zu?

Mit der 8.6 RC kann man jetzt auch WAN-Zugriffe komplett blockieren...

Ja, ich denke das wird wohl der wunde Punkt sein. Der Threadstarter hat eben keine sicheren Passwoerter im SIP verwendet und aergert sich nun darueber, kann ich soweit auch nachvollziehen.
Aber, ich verstehe nicht mehr ganz was diese weitere Diskussion soll? Im aktuellen LCOS 8.6 hat LANCOM ja bereits auf den Wunsch reagiert! Der Hinweis den Port ins Nirvana zu leiten war ja sehr offensichtlich nur ein "Workaround" um schnell zu helfen! Es wurde aber sofort auf das Feedback eingegangen und die Moeglichkeit geschaffen die Anmeldung der SIP User entsprechend auf WAN/LAN/VPN zu beschraenken.
Immerhin gibt es SIP im LANCOM schon seit einigen Jahren und scheinbar hatte bisher niemand sonst Probleme mit der aktuellen Umsetzung.
Mein Feedback war bisher, dass die Moeglichkeit der WAN Anmeldung genau das war, was die Benutzer haben wollen um eben per WAN auf die vorhandene SIP Infrastruktur zuzugreifen zu koennen und es war durchaus positiv, dass dies ohne weitere Verrenkungen moeglich war.

Diese Diskussion ist mir aktuell etwas zu emotional und der Threadstarter sollte erst mal wieder runter kommen und sachlich diskutieren. Ich denke man sollte allgemein bei Diskussionen schon so offen und flexibel sein und auch seinen eigenen Standpunkt ueberdenken koennen.


Ciao
LoUiS

P.S.: Auch VPN Verbindungen werden angenommen, obwohl eine Deny-All Regel existiert. Da muessen auch keine Ports/Protokolle weitergeleitet werden. Wuerde man dabei auch fuer alle Verbindungen das gleiche Passwort ala "12345" verwenden?