Evtl. gefaehrlich: Sonderbehandlung UDP

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Koppelfeld »

Guten Tag nach langer Zeit !

In eigener Sache: Aus mitgeteilten Gründen habe ich das LANCOM-Forum für längere Zeit gemieden.
Nun ist mir etwas aufgefallen, das potentiell gefährlich erscheint. Hier im Forum habe ich von sehr vielen Mitgliedern qualifizierte und aufwendige Hilfe erhalten. So etwas verpflichtet auch. Deswegen dieser Beitrag.


Problem:
Anfragen auf die "feste" öffentliche IP eines LANCOM 1906VA-4G (FW 10.42.280RU1) gegen 5060/UDP werden ungefragt an die im Intranet angeschlossene Telephonanlage weitergeleitet.

Es besteht kein "Port Forwarding".

Eine Telephonanlage existiert tatsächlich, die registriert sich ausgehend über das Intranet.

Firewall: 'deny-all', eine Regel "allow any gegen UDP/TK-Anlage".
Router: NAT-Haltezeit 180 s.

Die TK-Anlage registriert sich natürlich beim Provider mit abgehend 5060/UDP.

Zusätzlich, für einen "historischen" Altanschluß, nimmt der VCM drei Telekom-SIP-Accounts direkt auf und routet diese unmittelbar auf die TK-Anlage. Nur der Vollständigkeit halber.

Die Konfiguration mit dem NAT ist hanebüchen schlecht, quasi "best practise", denn eine TK-Anlage hat gefälligst eine eigene, öffentliche, statische IP-Adresse. Da kann gerade der LANCOM seinen großen Vorteil der "echten" DMZ ausspielen. /29er Netz ist seit geraumer Zeit bestellt.

Bislang hat alles funktioniert.

BLOSS ETWAS ZU GUT ...

Völlig ungefragt nimmt der LANCOM auch von anderen Hosts als dem SBC des SIP-Providers Anfragen an 5060/UDP an und leitet sie weiter an die TK-Anlage im Intranet.

WIE KANN DAS SEIN ?

Heute sehe ich unter STATUS/IP_ROUTER/VERBINDUNGEN gleich 120 Verbindungen irgendwo aus den Niederlanden. Alle wollen sich registrieren und wahrscheinlich dann nach Papua-Neuguinea telephonieren.
Die Asterisk weist das ab. ACLs und "allowguest=no" sind aktiv.

Aber ich habe gern "security by redundancy" PLUS "security in depth", alles andere ist MIST.
Eine Firewall ist dazu da, den Endkunden vor den Fehlern der Admins zu schützen.

Nun kommt hier offensichtlich jemand durch, weil der Port 5060/UDP offenbar eine Sonderbehandlung erfährt.

Natürlich habe ich die Regel angepaßt und mit dem passenden Quell-IP-Range versehen, aber den hat man ja nicht immer und es irritiert mich schwer, daß eine "Weiterleitung nach Gefühl" durch den LANCOM erfolgt.

In dem Zusammenhang möchte ich auch die Teilnehmer hier warnen.


Kann jemand etwas dazu sagen ? Den aktuellen Release-Update kann ich aus organisatorischen Gründen nicht installieren.


Lieben Gruß !
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Dr.Einstein »

Hi,

l /Setup/Voice-Call-Manager/Lines/SIP-Provider/Line/LEITUNGSNAME

-> Strict-Mode: no ?

Gruß Dr.Einstein
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Koppelfeld »

Danke für den Hinweis mit dem 'strict mode', aber die VCM-"Leitungen" sind nicht das Problem.

Wohl aber die Weiterleitung eines "wildfremden" SIP REGISTER an die TK-Anlage. Wie kommt der Router darauf?
Warum schickt er den Request nicht an die (IP-) Frankiermaschine ?
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von MoinMoin »

Moin Koppelfeld,

der VCM verwendet für seine Leitungen normalerweise nicht 5060 als lokalen Port. Wie der SIP-ALG das hält, weiß ich nicht. ich denke aber, der wird eine Portmaskierung machen, so daß extern auch nicht die 5060 verwendet wird. Damit sollte im WAN eigentlich der Port 5060 zu sein.

Dein Internet ist sicherlich maskiert. Daher werden auch die Registrierungen deiner TK-Anlage nicht mit lokalem Port 5060 rausgehen.

Wenn Pakete aus dem Internet bei deiner TK-Anlage auf Port 5060 ankommen, können die eigentlich nur über die Maskierung von deren Registrierungssession reinkommen. Allerdings bin ich mir sicher, daß darüber nur Pakkete reinkommen, die von der IP/Port Kombination des Registrars deiner TK-Anlage kommen.

Verwendest du den SIP-ALG?

Ciao, Georg
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Koppelfeld »

Kein ALG. Der VCM läuft "nebenher", den kann man auch abschalten.
Es kommen trotzdem SIP REGISTER auf Port 5060/UDP auf der Telephonanlage an.
Aus Holland aktuell. Dahin haben wir NIE gesendet.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Dr.Einstein »

D.h. keine Portweiterleitung, VCM wirklich testweise mal komplett deaktivieren, nur die TK-Anlage via UDP extern registriert und du bekommst durch Testtools wie

https://www.ipvoid.com/udp-port-scan/

im ip-router Trace eine Ausgabe, dass diese externe Adresse ans LAN weitergereicht wird? Wenn dem so wäre, gute Nacht. Habe trotzdem das Gefühl, dass du ein bestimmtes Detail nicht erwähnst wie z.B. eine konfigurierte DMZ für das TK-Anlagennetzwerk.

Was sagt

Code: Alles auswählen

l /Status/IP-Router/Connection-List
?

Gruß Dr.Einstein
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von ua »

Moin,

was ist das denn für eine PBX?
Zufällig eine Swyx mit der Instant-Messaging-Funktion?
If, der Server dazu steht in NL.

VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
GrandDixence
Beiträge: 1055
Registriert: 19 Aug 2014, 22:41

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von GrandDixence »

Um allfällige NAT-Slipstreaming-Angriffe auf die TK-Anlage abwehren zu können, müssen alle ALG's abgeschaltet werden und konsequent VLAN+ARF im internen Netzwerk eingesetzt werden.
https://www.heise.de/news/NAT-Slipstrea ... 78104.html

fragen-zur-lancom-systems-routern-und-g ... tml#p90529

fragen-zum-thema-firewall-f15/portfreig ... tml#p99671
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Koppelfeld »

Dr.Einstein hat geschrieben: 18 Mär 2021, 11:07 D.h. keine Portweiterleitung, VCM wirklich testweise mal komplett deaktivieren,
Erledigt, schon im Anfang.
Am WE (kann schlecht im laufenden Betrieb testen) probiere ich es 'mal mit nmap von verschiedenen externen Rechnern, es war sehr dumm von mir, das nicht von Anfang an zu tun.
im ip-router Trace eine Ausgabe, dass diese externe Adresse ans LAN weitergereicht wird? Wenn dem so wäre, gute Nacht.
Es will fast so aussehen.
Einzige Erklärung: Die Asterisk selbst sendet irgendeinen Schwachsinn in die Niederlande und "macht den Weg frei". Auf dem Asterisk-Rechner gibt es kein IP-Forwarding und so auch keine Netfilter-Regeln, die VoIP-Endgeräte sind alle schön in einem lokalen Netz ohne Externzugriff, alles ist extrem einfach gehalten.
Habe trotzdem das Gefühl, dass du ein bestimmtes Detail nicht erwähnst wie z.B. eine konfigurierte DMZ für das TK-Anlagennetzwerk.
Ich allerdings auch. Vermutete Fehler in Zusatzkomponenten sind bei mir in 90% selbst verusrsacht, Ausnahmen Microsoft und Lancom. Da sind es vllt. 50%.

Eine fiese Sache gibt es, einen WLAN-Controller und einige Access Points mit privaten Geräten drin. Natürlich im Extra-Netz, natürlich haben WLC und APs ein getrenntes Management-VLAN. Sollte also nix passieren können.
Was sagt

Code: Alles auswählen

l /Status/IP-Router/Connection-List
?
Da stehen die Verbindungen mit Timeout, IP, Quell- und Zielport sowie der angezogenen FW-Regel sauber gelistet. 120 Stück, alle eingehend.

Unterdessen habe ich die FW-Regel auf den Range des Providers angepaßt. Das kaschiert aber einen Fehler anstatt ihn zu lokalisieren und zu beheben.

Mein weiblicher Instinkt sagt mir, "Das muß abgeklärt werden".
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Koppelfeld »

ua hat geschrieben: 18 Mär 2021, 21:30
Hallo !
Zufällig eine Swyx mit der Instant-Messaging-Funktion?
If, der Server dazu steht in NL.
Nicht zu fassen.

Diese "Spezialanlage" sieht schon von außen aus wie ein Sack Flöhe.

Nein, wir nehmen immer eine ganz normale Asterisk.
Ist zwar phantasielos, aber zuverlässig.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Evtl. gefaehrlich: Sonderbehandlung UDP

Beitrag von Koppelfeld »

GrandDixence hat geschrieben: 18 Mär 2021, 21:53 Um allfällige NAT-Slipstreaming-Angriffe auf die TK-Anlage abwehren zu können, müssen alle ALG's abgeschaltet werden und konsequent VLAN+ARF im internen Netzwerk eingesetzt werden.
https://www.heise.de/news/NAT-Slipstrea ... 78104.html
Danke, das tun wir bereits, allein aus administrativen Gründen, sehr konsequent.

Slipstream. Eigentlich heißt das u.a. "Fahrtwind".

Ich lese das 'mal am Wochenende durch, DANKE !

*seufz*
Man hätte dieses geNATte niemals einführen dürfen, stattdessen wären zwei zusätzliche Oktette in der IP-Adresse, per Default mit 0 belegt, eine einfache, aufwärtskompatible und zielführende Lösung vieler Probleme gewesen.
Stattdessen wurde mit Schwarmintelligenz ein unübersichtliches Monster erschaffen, und das erste, was man nachkartete, war NAT. Mir fällt da nix mehr dazu ein.
Antworten