Ist mein Asterisk sicher ohne externe Provider?

[Bib]

Hallo,
ich hab eine Fritzbox, welche die Anmeldung der SIP-Provider (Sipgate, Telekom) übernimmt. Dahinter dann einen Asterisk, der sich über die Fritzbox anmeldet und dann dadurch auch nach extern telefonieren kann. Zusätzlich habe ich von meiner Arbeit eine SIP-Telefonnummer, also mein Asterisk wählt sich über VPN direkt beim Telefon-Server im Büro ein und ich kann auch damit nach extern telefonieren.

Meine Frage jetzt:

Ist dieses Setup sicher? Oder kann trotzdem irgendjemand Unfug damit treiben, in dem er sich von aussen einhackt und dann hohe Telefonkosten verursacht? In meinem Asterisk sind keinerlei externe SIP-Provider hinterlegt, ich habe immer entweder meine Fritzbox oder die Arbeits-Telefonanlage dazwischen.

 

[koyaanisqatsi]

Moin


Da Sicherheit nur ein Gefühl ist, und du dir da nicht sicher bist, ist die Antwort: Nein
Davon musst du dich schon selbst überzeugen.
Entweder einen Hacker deines Vertrauens beauftragen, oder selbst tätig werden mit Drittanbietersoftware für Penetrationstests.
Da kann zum Beispiel SIP Vicious helfen, dir zumindest die Augen zu öffnen.
...such mal auf "Deine Röhre"* nach: sipvicious
...und schau genau hin.


* YouTube

 

[Bib]

Also der normale "Einbruch" in einen Asterisk ist aber doch, dass sich jemand von extern als User anmelden kann und dann darüber Ferngespräche führt, die ich dann bezahlen muss...

Wenn ich im Kontext für ausgehende Gespräche aber Gespräche ins Ausland und kostenpflichtige Sonderrufnummern von vornherein nicht zulasse, dann bin ich doch schon ein gutes Stück "sicherer" unterwegs, oder?

Und wenn ich mich nicht direkt bei Sipgate oder der Telekom mit dem Asterisk anmelde, sondern die Fritzbox als Gateway dazwischen habe, dann ist das doch ein weiterer wichtiger Baustein, um die ganze Sache noch "sicherer" zu machen?

_____

Dass ich niemals 100% "sicher" bin ist mir klar, wenn ja sogar bei großen Firmen oder der NASA eingebrochen wird... Aber diese Hacker haben es wohl nicht auf ein paar kostenlose Telefonate über meinen Asterisk abgesehen...

 

[koyaanisqatsi]

Auf jeden Fall, das F!B-Gateway machts schon einmal sicherer.
Aber eine in der FRITZ!BOX angelegte Internetrufnummer, die sich am Asterisk registriert, reisst ein direktes Loch auf, mit der ein "friendly-scanner"...

2019-09-03 10:00:11.099 - IN: my=192.168.178.1%16:5060 peer=185.53.88.41 port=5305 UDP, sipiface=none:
INVITE sip:[email protected].#.# 2.0
Via: SIP/2.0/UDP 185.53.88.41:5305;branch=<hash>;rport
From: "sipvicious" <sip:[email protected]>;tag=<hash>
To: "sipvicious" <sip:[email protected]>
Call-ID: <hash>
CSeq: 1 INVITE
Contact: <sip:[email protected]:5305>
User-Agent: friendly-scanner
Max-Forwards: 70
Accept: application/sdp
Content-Length: 0

( sipvicious --> F!B Fantasienummer zwecks Weiterleitung == Abgeschmettert )
...aus dem Internet deinen Asterisk erreichen wird.
...mit der Authorisation der FRITZ!BOX.

Aber diese Hacker haben es wohl nicht auf ein paar kostenlose Telefonate über meinen Asterisk abgesehen.

"Hacker", die Böses wollen, bezeichne ich als: Blackhats
...die verdienen auch Kohle damit.
Und kleine Firmen oder Privatleute übers Ohr zu hauen ist unaufälliger und risikoloser, bei den großen Internetriesen gehts meist um was ganz Anderes.

 

[ubsyathEe]

Also der normale "Einbruch" in einen Asterisk ist aber doch, dass sich jemand von extern als User anmelden kann und dann darüber Ferngespräche führt, die ich dann bezahlen muss...

Nee, da gibt es noch ganz andere Tricks, aber das Sperren von potentiell teuren Nummern hilft schon, es sein denn man kann sie irgendwie umgehen. Es scheint sich mittlerweile rumgesprochen zu haben, dass man sich bei bestimmten Einstellungen von Asterisk nicht selbst autorisieren muss, um wieder rauswählen zu können. Es gibt durchaus Angriffe, wo fail2ban wirklich nichts bringt.