garfield0815 hat geschrieben:versuch doch mahl bei einem nicht telekom anschluss die an deine telekom tlefon nummer anzumelden
soweit ich das weis geht es nicht da die tkom ihre nummern an den ensprechenden anschluss bandelt (warum auch immer )
Nein. Zum Einen erlaubt die Telekom eine nomadische Nutzung nur aus ihrem eigenen Netz. Sinn oder Unsinn oder vielleicht auch technische Hintergründe sind hier ebenfalls off-topic. Zum Anderen erlaubt sie beim eigenen Anschluss, die SIP-Registrierung ohne Benutzername/Passwort (als anonymous@t-online.de) vorzunehmen.
Aber grundsätzlich kann ich von jedem anderen Telekom Festnetzanschluss meine SIP-Registrierung vornehmen und somit nur mit ausreichend sicherem Username/Passwort telefonieren.
garfield0815 hat geschrieben:nuja aus genau solcen wie von euch beschribenen gründen hab ich mich inzwischen weitgehenst von dem lancom routern verabschiedet
sorry, das muss ich jetzt loswerden, auch wenn es mit dem Thema überhaupt nichts mehr zu tun hat:
Bist du also nur noch zum stänkern und für Negativ-publicity hier im Forum aktiv? In letzter Zeit habe ich den Eindruck gewonnen.
just my 2 cent
hyperjojo Deinen Beitrag hab ich gerade erst gesehen, evtl. haette Mein Kommentar hier besser hin gepasst! Es gibt ja scheinbar noch mehr User die meine Meinung zu garfield0815 teilen. http://www.lancom-forum.de/lancom-umts- ... tml#p83436
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Stellt sich allerdings noch eine andere Frage: Unterstützen aktuelle SIP-Clients denn eine zertifikatsbasierte Authentifizierung (also das Hinterlegen eines Zertifikats für die TLS-Verbindung)?
MoinMoin hat geschrieben:Stellt sich allerdings noch eine andere Frage: Unterstützen aktuelle SIP-Clients denn eine zertifikatsbasierte Authentifizierung (also das Hinterlegen eines Zertifikats für die TLS-Verbindung)?
Hallo Georg,
jaaa, wir verwenden konsequent Bria Softphones, die das unterstützen. Ein PoC würde diesbezüglich natürlich noch ausstehen, aber auf Grund der fehlenden Funktionalität auf Lancom-Seite konnte das halt noch nicht gemacht werden.
Das Problem ist halt, dass sich der VPN-Tunnel an den iPhone immer wieder abbaut und nicht selbständig wieder aufgebaut wird...
Gibt es denn für das IPhone einen SIP-Client, der das hinterlegen von Server/Client-Zeertifikat für eine SIPS-Verbindung unterstützt?
Du gestattest die Frage: Was bringt SIPS (außer der Verschlüsselung der SIP-Pakete) denn an Sicherheit, solange weiterhin ausschließlich der Passwort/Digest-Mechanismus von SIP verwendet wird? Die Unfähigkeit einiger Kunden, sichere Passwörter zu verwenden, war schließlich der Auslöser für die Sperrung des Zugangs per WAN.
MoinMoin hat geschrieben:...Du gestattest die Frage: Was bringt SIPS (außer der Verschlüsselung der SIP-Pakete) denn an Sicherheit, solange weiterhin ausschließlich der Passwort/Digest-Mechanismus von SIP verwendet wird? Die Unfähigkeit einiger Kunden, sichere Passwörter zu verwenden, war schließlich der Auslöser für die Sperrung des Zugangs per WAN...
Wenn man mal diesen Fall genauer betrachte ist dieses "möchte gern" Systemhaus selber Schuld und wurde zu Recht geschändet!
Denn Dummheit schützt nun mal nicht vor Strafe!
Und dass jetzt die ganzen anderen Lancom-Nutzer, die verantwortungsvoll und sicherheitsbewusst mit den Funktionalitäten der Geräte umgehen, dafür bestraft werden, finde ich schon ganz schön dreist !!!
Andere Anbieter werben gerade mit der WAN Anbindung von SIP-Softphones, Stichwort: Starface, Pascom, Askozia...
Das Lancom dann so ein wichtiges Thema aus "Angst ums Image" außen vor lässt, ist unverständlich...
stefanbunzel hat geschrieben:
... Desweiteren könnte man ja als erweiterte Default-Schutzmaßnahme unter Setup - Config - Zugriffstabelle - WAN einen Eintrag für SIP-Login mit Default "NEIN" einpflegen.
Und wenn man aus dem Produkt-Management noch mehr Sicherheitsmaßnahmen wünscht, dann wird der WAN-SIP-Zugriff nur für SIP-Benutzer erlaubt, bei denen ein Passwort, ggf. mit Forderung von bestimmter Passwortlänge, hinterlegt ist.
Weitere Sicherheitsmaßnahme, analog zu WLAN: SIP-IDS-Option integrieren!
Ich weiß, dass man sich ja eigentlich nicht selbst zitiert. Aber: Im November 2015 hatte ich dies gepostet und inzwischen wurde im LCOS 9.20 die "Geräte-Passwort-Richtlinie" für möglichst sichere Passwörter eingeführt. Wenn diese dann auch auf die SIP-Benutzer-Passwörter verpflichtend (!) angewandt wird, dann verspricht das schon recht gute Grund-Schutzmechanismen.
Und eine nicht deaktivierbare (!) SIP-IDS-Funktion, die dann bei Erfordernis eine SIP-Benutzeranmeldung über WAN für x Minuten oder sogar dauerhaft bis zur Entsperrung über CLI / WebInterface unterbindet inkl. SMS-, E-Mail- und / oder Syslog-Benachrichtigung würde meiner Meinung nach doch für eine sehr große Sicherheit seitens des Geräte-Herstellers sorgen. Dann dürfte sich so ein Missbrauch, wie zuvor verlinkt, doch eigentlich nicht mehr wiederholen - und die Lancom-User, die dieses Feature sich zurück wünschen, wären wieder glücklich.
Grundlage hierfür wäre aber vermutlich noch VoSIP mit SIPS/SRTP für die SIP-Benutzer und nicht nur für SIP-Leitungen.
stefanbunzel hat geschrieben:...Und eine nicht deaktivierbare (!) SIP-IDS-Funktion, die dann bei Erfordernis eine SIP-Benutzeranmeldung über WAN für x Minuten oder sogar dauerhaft bis zur Entsperrung über CLI / WebInterface unterbindet inkl. SMS-, E-Mail- und / oder Syslog-Benachrichtigung würde meiner Meinung nach doch für eine sehr große Sicherheit seitens des Geräte-Herstellers sorgen...
noch besser wäre es, wenn der Lancom nur die "(falsch) anmeldende WAN IP Adresse" nach x falschen Versuchen für x Minuten sperrt. Denn ansonsten kommt man selber mit "richtiger Anmeldung" nicht mehr aufs Gerät...
Eine dedizitäre WAN IP Filterung wäre schon von Vorteil!
stefanbunzel hat geschrieben:...Grundlage hierfür wäre aber vermutlich noch VoSIP mit SIPS/SRTP für die SIP-Benutzer und nicht nur für SIP-Leitungen...
cpuprofi hat geschrieben:noch besser wäre es, wenn der Lancom nur die "(falsch) anmeldende WAN IP Adresse" nach x falschen Versuchen für x Minuten sperrt.
viel zu viel Aufwand. Und gegen professionelle Angriffe, die mit jedem REGISTER-Versuch die IP-Adresse wechseln, hilft das dann nicht.
cpuprofi hat geschrieben:Denn ansonsten kommt man selber mit "richtiger Anmeldung" nicht mehr aufs Gerät...
Stimmt zwar, aber ist mit SSH ja z. B. auch nicht anders. Da nimmt man dann halt einen anderen Port.