[Problem] Auerswald Compact 3000 gehackt + teure Telefonate geführt

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Steve D

Steve D

Neuer User
Mitglied seit
9 Sep 2004
Beiträge
31
Punkte für Reaktionen
0
Punkte
6
Hallo Forum!

Ich habe soeben meine letzte Telefonrechnung erhalten. Es wurden (zum Glück nur) über 150 EUR an, von mir nicht geführten, Telefonaten verrechnet. Die Zielländer waren Australien, Großbritannien, Emsat, Moldawien.

Der Sache bin ich in meinem Netzwerk nachgegangen. Ich hatte den VoIP Port zur Anlage offen, um mich selbst von außen mit einer Nebenstelle anzumelden. Da der Benutzername für die Nebenstellen immer die Nebenstellennummer ist und das Passwort aus genau 6 Ziffern bestehen muss, war ein Brute-Force Angriff in kürzester Zeit erfolgreich. Von außen ist die Anlage daher NICHT ohne schwere Sicherheitseinbußen zu nutzen.

Ich bitte Euch, hier im Thread zu schreiben falls Euch etwas ähnliches passiert ist.

lg
Steve
 
Das Problem hat nichts mit deiner TK-Anlage zu tun, sondern eher damit wie man den Zugang benutzt. Die einzige sichere Variante ist die Nutzung über einen VPN Tunnel.
 
Da kann man nur sagen "Selber Schuld" aber Glück gehabt, dass es "nur" 150€ waren. Den SIP-Port nach aussen freizugeben ist immer eine schlechte Idee. Wenn überhaupt macht man ein asymmetrisches Portforwarding von einen beliebigen 5stelligen externen Port auf den internen SIP-Port. Das verhindert zwar den Mißbrauch nicht, verringert aber enorm die Wahrscheinlichkeit.

Ansonsten wie gesagt VPN, das ist ja mit aktuellen Routern kein großes Problem mehr.

jo
 
Wenn der Zugang wirklich durch einen Brute-Force Angriff erfolgt ist, dann haben die Programmierer von Auerswald geschlampt. Bei mehreren Falschanmeldungen muss der Zugang gesperrt werden, am Besten zeitlich abgestuft, nach fünf oder zehn Versuchen ganz.
 
chked schrieb:
Wenn der Zugang wirklich durch einen Brute-Force Angriff erfolgt ist, dann haben die Programmierer von Auerswald geschlampt. Bei mehreren Falschanmeldungen muss der Zugang gesperrt werden, am Besten zeitlich abgestuft, nach fünf oder zehn Versuchen ganz.
Zum Vergrößern anklicken....
Im Prinzip hast Du natürlich absolut Recht ... aber wenn die Programmierer von Auerswald das hier lesen, sind sie hoffentlich auch so schlau, so eine Sperre auf eine IP-Adresse zu beschränken, ansonsten ist der DoS-Angriff sofort wieder möglich, wenn man auch den rechtmäßigen Benutzer aussperren kann auf diese Weise.

Andererseits haben heutzutage solche Angreifer dann meist ein komplettes Subnetz unter ihrer Kontrolle, wie Dir viele Eigentümer eines Asterisk-Servers bestätigen können, wo gerne die "INVITE"-Requests mit "number guessing" von unterschiedlichen Adressen in einem Netzsegment kommen.

Das ist also immer ein zweischneidiges Schwert ... die Frage ist, ob ich eher den Mißbrauch verhindern oder den normalen Service sicherstellen will. Beides gleichzeitig zu 100% ist dann vom Aufwand her schon wieder ziemlich gewaltig ... ein "großer" Server könnte sich z.B. gleich per "whois" das Subnetz holen und dieses komplett sperren. Wobei auch das wieder nicht optimal sein muß ... wenn ein kompromittierter Telekom-DSL-Anschluß für die komplette Sperrung eines Telekom-Segments verantwortlich sein kann, ist das in aller Regel auch nicht das, was man erreichen wollte. ;) Also heißt es dann wieder, die Adressen aus diesem Segment in Bezug zu den Fehlversuchen pro Zeiteinheit zu setzen und so ufert so eine "intelligente" Lösung dann schnell aus.

Wenn man natürlich nur den Mißbrauch verhindern will, ist das komplette Sperren für eine bestimmte Zeit sinnvoll. Aber daß so etwas auch schnell nach hinten losgehen kann, sieht man z.B. am FRITZ!Box-Login. Wenn man da erst einmal die Wartezeiten durch automatische falsche Logins nach oben getrieben hat (ob das inzwischen auf IP-Adressbasis (oder sogar auf Layer2) gesperrt wird, weiß ich nicht, wobei auf Layer2 ja dann wieder alle anderen hinter einem AP o.ä. betroffen wären), treibt man den Besitzer auch in den Wahnsinn.

Und wenn ein Konkurrent eines Router-Herstellers (der bei einem Provider einen Fuß mit seinen eigenen Produkten in die Tür kriegen will) einen Blackhat beauftragt, für entsprechende DoS-Angriffe in bekannten Netzwerk-Segmenten des Providers zu sorgen (und das nicht alles direkt auch China kommt und auf Provider-Ebene schon gefiltert werden kann), dann ist so eine komplette Sperre - die dann vielleicht die Kunden nicht mal mehr den Support des Providers erreichen läßt - auch schnell ein Schuß ins Knie ... und die kämpfen da mit genauso harten Bandagen wie in jedem anderen Markt auch.
 
Dass es eine wenig sinnvolle Idee ist den port nach aussen freizugeben habe ich mir gedacht, das risiko allerdings etwas geringer eingeschätzt. Ich hatte den port testweise exponiert, die anmeldung an der anlage ist MIR so aber nie gelungen. aus diesem grund läuft meine mobile nebenstelle über VPN.

@PeterPawn

Wenn du sagst, dass ein Angreifer ein komplettes subnetz unter seiner kontrolle hat, meinst du dann das subnetz des providers in dem ich mich mit meiner öffentlichen IP befinde, oder meinst du das in meinem lan?
 
Steve D schrieb:
Wenn du sagst, dass ein Angreifer ein komplettes subnetz unter seiner kontrolle hat, meinst du dann das subnetz des providers in dem ich mich mit meiner öffentlichen IP befinde, oder meinst du das in meinem lan?
Zum Vergrößern anklicken....
Ich meine irgendein Subnetz bei irgendeinem ausländischen (vorzugsweise chinesischen, aber ich habe da keine Vorurteile, das kann auch jedes andere technologisch fortgeschrittene Land sein) Anbieter, das sich solche professionellen Angreifer dann gleich komplett (z.B. als /24 oder sogar noch mehr - also weniger Einsen in der Maske) von diesem Anbieter zuweisen lassen, so daß Sperren einzelner IP-Adressen relativ wirkungslos sind bzw. Sperrlisten mit mind. 254 Einträgen entstehen, um so ein /24-Netz zu blockieren.

Je nach Anzahl solcher Netze in der Hand des Angreifers kann dann eine entsprechend lange Blacklist schon eine Einschränkung bedeuten. Und solche Netze wechseln dann natürlich auch in Abständen, damit sich IDS/IPS nicht zu sehr darauf einstellen können und am Ende diese Netze schon per se blockieren.

Wenn das keine kompletten Netze unter Kontrolle eines Angreifers sind, reichen ja auch schon mehrere Bots in einem solchen Segment. Zwar werden die potentiellen Blacklists dann nicht so lang, aber da verteilen sich die Bots eines solchen Botnets natürlich erst recht über mehrere whois-Einträge.

Wenn ein Angreifer Dein eigenes LAN unter Kontrolle hat, dürfte ein extern offener SIP-Port mit schlechtem Kennwort Dein geringeres Problem sein. ;)
 
Das würde dann heißen, der Angriff zielt nicht auf eine man-in-the-middle attacke ab?

Ich hab sofort den offenen Port (den ich eben vergessen habe) geschlossen.

Wenn wer bei mir im LAN sitzen würde, wäre 100% schon mehr passiert, aber man weiss ja nie. Ich achte auch immer darauf nur E-Mail Anhänge zu öffnen die *.exe oder *.scr sind, bzw *.zip sind. Bei *.txt bin ich dafür sehr vorsichtig :D

PeterPawn schrieb:
Ich meine irgendein Subnetz bei irgendeinem ausländischen (vorzugsweise chinesischen, aber ich habe da keine Vorurteile, das kann auch jedes andere technologisch fortgeschrittene Land sein) Anbieter, das sich solche professionellen Angreifer dann gleich komplett (z.B. als /24 oder sogar noch mehr - also weniger Einsen in der Maske) von diesem Anbieter zuweisen lassen, so daß Sperren einzelner IP-Adressen relativ wirkungslos sind bzw. Sperrlisten mit mind. 254 Einträgen entstehen, um so ein /24-Netz zu blockieren.

Je nach Anzahl solcher Netze in der Hand des Angreifers kann dann eine entsprechend lange Blacklist schon eine Einschränkung bedeuten. Und solche Netze wechseln dann natürlich auch in Abständen, damit sich IDS/IPS nicht zu sehr darauf einstellen können und am Ende diese Netze schon per se blockieren.

Wenn das keine kompletten Netze unter Kontrolle eines Angreifers sind, reichen ja auch schon mehrere Bots in einem solchen Segment. Zwar werden die potentiellen Blacklists dann nicht so lang, aber da verteilen sich die Bots eines solchen Botnets natürlich erst recht über mehrere whois-Einträge.

Wenn ein Angreifer Dein eigenes LAN unter Kontrolle hat, dürfte ein extern offener SIP-Port mit schlechtem Kennwort Dein geringeres Problem sein. ;)
Zum Vergrößern anklicken....
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 818 (Mitglieder: 35, Gäste: 783)

Neueste Beiträge

Statistik des Forums

Themen
246,090
Beiträge
2,245,933
Mitglieder
373,560
Neuestes Mitglied
MultiFinder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück