Sicherheit: Accountmissbrauch bei SIP?

[olebole]

Hallo Forum,

ich habe gerade mit meiner Fritzbox eine unerfreuliche Entdeckung gemacht. Zuerst mein Setup:

Ich habe eine Fritzbox 7050 (Kabeldeutschland), als VOIP-Provider ist dus.net eingestellt.
Dahinter sitzen mein Computer sowie ein (gesichertes) WLAN für meine Nachbarn und ein (ungesichertes) Community-WLAN-Netzwerk.

Jetzt habe ich mal spasseshalber auf meinem PC eine VOIP-Software installiert (Linphone), dort als Port 5560 eingetragen (keinen Provider!) und spasseshalber [email protected] angerufen.

Ansage "Dieser Anruf kosten 17,9 ct/Min", Handy klingelt mit meiner bei dus.net registrierten Nummer! Das heisst, dass jeder, der über meine IP eine Verbindung zu dus.net herstellt, als "ich" angesehen wird. Meine Nachbarn können also auf meine Kosten und unter meiner Identität telefonieren!

Das ist natürlich nicht gewollt, aber ich weiss jetzt nicht, wo ich ansetzen muss: Ist dus.net schuld, weil sie die Zuordnung nur aufgrund der IP-Adresse tun (und muss ich entsprechend dort ein Ticket starten)?

Oder ist das Problem Protokoll-Inhärent? Kann ich dann in der Fritzbox irgendwie den Sip-Port blockieren (bzw. nur für meine eigenen Rechner öffnen)? Wäre natürlich schade; ich würde auch meinen Nachbarn gerne die Möglichkeit geben, voip zu fahren.

Da ich hier (noch) nicht so recht weiss, wo anzusetzen ist, habe ich das erstmal ins allgemeine Brett gestellt; bei Bedarf kann es natürlich umgebogen werden (bzw. ich schreibe einen neuen Beitrag im passenden Brett).

 

[gandalf94305]

Rein rechtlich gesehen begehst Du derzeit einen Verstoss gegen die AGB von Kabel Deutschland, denn diese schließen die Nutzung des Internetzugangs durch Dritte, die sich in einem anderen Haushalt befinden, explizit aus.

Das Verhalten von dus.net, nur nach der IP-Adresse zu gehen, halte ich persönlich für höchst seltsam (wenn es sich wirklich so verhält), denn in Netzen mit mehreren öffentlichen Teilnehmern hinter einer IP-Adresse (z.B. Internet-Café) wäre dann ja der erste VoIP-Teilnehmer derjenige, der alles zahlt. Das sollte man mit dus.net nochmals verifizieren. Ggf. gibt es hier einen anderen Effekt...

Wenn in Deinem Test die eingehende CallerId beim Handy wirklich Deine Rufnummer ist, sollte das auf jeden Fall ein Ticket bei dus.net wert sein.

Das Verhalten ist nicht protokoll-inhärent, denn man kann ja <ip;port> aus der letzten erfolgreichen Registrierung als Identifikation nehmen. So ist das jedenfalls gedacht, damit man auch mehrere Provider parallel nutzen bzw. zu einem Provider parallel mehrere Verbindungen aus dem gleichen Netz heraus aufbauen kann.

--gandalf.

 

[olebole]

Hi Gandolf,

Rein rechtlich gesehen begehst Du derzeit einen Verstoss gegen die AGB von Kabel Deutschland,

Nö; ich habe gerade nochmal nachgesehen: KD verbietet nur, den Zugang "Dritten zur ständigen Alleinbenutzung zu überlassen" (AGB 4.1.11), und die Community- und Nachbarszugänge sind keine ständige Alleinbenutzung. Weiterhin verbietet es den "unberechtigen Zugriff Dritter" (4.1.5) -- da ich ihn aber dem genannten Personenkreis explizit erlaube, ist er ja nicht unberechtigt.

Zum Thema: mir kommt es auch komisch vor; zumal ja bei der neu aufgebauten SIP-Verbindung als From: gar nicht die dus.net-Adresse zum Einsatz kommt, sondern ein lokaler Absender. Ich weiss nicht, wie dus.net bei zwei Verbindungen aus dem gleichen Netz klarkommt (war bei mir eigentlich so gedacht: 1x Privat, 1xWork).

Mal schauen, ob ein Ticket hilft. Silvester ist leider nicht die beste Zeit dafür :-(

 

[gandalf94305]

Die AGB haben sich gerade geändert, d.h. ein paar Passagen lauten jetzt etwas anders, aber 4.2.11 ist immer noch drin ;-)

--gandalf.

 

[olebole]

Der Kunde ist verpflichtet, folgendes zu unterlassen: ... 4.2.11 die von KD zur Verfügung gestellten Geräte unberechtigten Dritten außerhalb der Wohnung ... zugänglich zu machen

Auch dort findet sich die Passage "unberechtigte Dritte". Dem genannten Personenkreis (Nachbarn und Freifunk) habe ich den Zugriff aber explizit gestattet, sie sind also nicht unberechtigt. Außerdem ist durch entsprechende Vorkehrungen (Firewall) gesichert, dass niemand auf diese Geräte zugreifen kann -- und ich vermute, dass an dieser Stelle auch eher der physische Zugriff gemeint ist.

 

[padowa76]

Hallo Olebole,

mach anstelle eines Tickets eine Mail an [email protected] - hatte es in einem anderen Thread schon mal geschrieben, das dus.net mir mitteilte, dass man mit dem Ticketsystem momentan nicht hinterherkommt und daher eine Mail an [email protected] schneller bearbeitet wird.

Gruß Snuff

 

[olebole]

Das Ticket wurde recht schnell beantwortet, leider nicht erfolgreich: dus.net konnte es nicht nachvollziehen.

Lieget der Fehler eventuell bei mir? Hier mein Setup:

1. Fritz.Box fon wlan (7050) hinter einem Kabelmodem.
Dort ist dus.net als VOIP-Provider eingerichtet. Lokaler Adressbereich ist 192.168.178.0/24, lokale IP 192.168.178.1

2. Eigener Computer, Linux, IP 192.168.178.3, linphone 1.3.0, SIP-User-Agent an Port 5560, kein Provider eingerichtet, kein Passwort, keine weiteren VOIP-Programme in Betrieb

Auf linphone wird als Caller angegeben: [email protected]
Es erfolgt die Ansage "Dieses Telefonat kostet 17,9 ct/Min" und das Handy klingelt -- obwohl sich das Programm (linphone) nicht authentifiziert hat.

Die fehlende Authentifizierung ist nachvollziehbar im Wireshark-Protokoll, und zwar sowohl im lokalen Netz als auch (Dank der Mitschnittmöglichkeit in der Fritz.box) auf Kabelmodem-Seite.

Kann jemand mit einem ähnlichen Setup (Dus.Net und Fritzbox) das nachvollziehen? Und kann jemand diesen Thread ins Dus-Net-Forum verschieben? (oder kann ich das selbst und weiss es nur noch nicht?)

Was könnte sonst der Grund für das beobachtete Verhalten sein?

 

[ssteiner]

Wie funktioniert das bei dus.net denn normalerweise? Werden INVITEs authentifiziert oder geht das ohne? Falls letzteres der Fall ist, gibts nen Unterschied zwischen einem INVITE von der FBF und einem Invite von deinem Linux Rechner? Dank NAT sollten die ja eigentlich gleich aussehen, was wiederum auch erklären würde wieso der Anruf von deiner dus.net Nummer kommt.. dus.net bekommt ein neues INVITE von der IP und dem Port auf dem eine aktive Registrierung läuft..

 

[gandalf94305]

Die öffentlichen Quellports am Router sollten per NAT verschieden sein, da ja die internen Adressen verschieden sind.

Mit anderen Worten, man müßte folgendes nachvollziehen:

- dus.net Registrierung über Port z.B. 5060 auf einer öffentlichen IP-Adresse am NAT-Router. Telefonie klappt.

- ein zweiter Rechner hinter dem gleichen NAT-Router ruft eine dus.net SIP-URI an.

Wie kommt der Anruf beim Gegenüber an (CallerId)?
Taucht der Anruf im dus.net Account als getätigter Anruf auf?

Womöglich handelt es sich hier um ein ganz anderes Problem: der Anruf auf die dus.net SIP-URI erfolgt unauthentifiziert und dus.net läßt aus irgendeinem Fehlergrund diesen Anruf durch, da hier nur die IP-Adresse als Merkmal genutzt wird.

Letztendlich ist entscheidend: taucht der Anruf in der online-Anrufliste als abgehend (!) auf? Mit anderen Worten: wird er dem Konto hinter der IP-Adresse zugeschlagen?

--gandalf.

 

[olebole]

Ohne. Das INVITE de Linphone sieht so aus:

INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP 192.168.178.3:5560;rport;branch=z9hG4bK1958822803
From: <sip:[email protected]:5560>;tag=1995781517
To: <sip:[email protected]>
Call-ID: [email protected]
CSeq: 20 INVITE
Contact: <sip:[email protected]:5560>
Max-Forwards: 5
User-Agent: Linphone-1.3.0/eXosip
Subject: Phone call
Expires: 120
Allow: INVITE, ACK, CANCEL, BYE, OPTIONS, REFER, SUBSCRIBE, NOTIFY, MESSAGE
Content-Type: application/sdp
Content-Length:   353

v=0
o=olebole 123456 654321 IN IP4 192.168.178.3
s=A conversation
c=IN IP4 192.168.178.3
t=0 0
m=audio 7078 RTP/AVP 0 3 8 110 111 115 101
b=AS:20
a=rtpmap:0 PCMU/8000/1
a=rtpmap:3 GSM/8000/1
a=rtpmap:8 PCMA/8000/1
a=rtpmap:110 speex/8000/1
a=rtpmap:111 speex/16000/1
a=rtpmap:115 1015/8000/1
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11

Danach folgt ein "100 Trying" und dann ein Session Progress, die Ansage und das Handy klingelt mit der dus.net-Nummer. Wenn ich abnehme, erscheint der Anruf auf meiner Anrufliste bei dus.net.

Das INVITE der Fritzbox dagegen so:

INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP 91.ZZZ.XXX.YYY:5060;branch=z9hG4bKFC901E0F3EC79622
From: <sip:[email protected]>;tag=AD125AFF38AA8915
To: <sip:[email protected]>
Call-ID: [email][email protected][/email]
CSeq: 5 INVITE
Contact: <sip:[email protected];uniq=363F6208DDA52DDF5E95ED7504D71>
Max-Forwards: 70
Expires: 120
User-Agent: AVM FRITZ!Box Fon WLAN 7050 14.04.25 (Sep  6 2006)
Supported: 100rel,replaces
Allow-Events: telephone-event,refer
Allow: INVITE,ACK,OPTIONS,CANCEL,BYE,UPDATE,PRACK,INFO,SUBSCRIBE,NOTIFY,REFER,MESSAGE
Content-Type: application/sdp
Accept: application/sdp, multipart/mixed
Accept-Encoding: identity
Content-Length:   377

[Body geskippt]

Hier folgt von dus.net ein "407 Proxy Auth Required", darauf von der Fritzbox ein ACK und ein neues INVITE mit der zusätzlichen Zeile

Proxy-Authorization: Digest username="000387XXXXXX", realm="dus.net", nonce="43e46a0b", uri="sip:[email protected]", response="a2c8bca7ba7973db519842c9cf8fa5e5", algorithm=MD5

Dieser Authentifizierungsdialog fehlt beim Anruf mit Linphone.
Anrufnummer ist dabei als 0177XXXXXXX dargestellt, eigene Internet-IP als 91.ZZZ.XXX.YYY, dus.net-Nummer 000387XXXXXX.

 

[olebole]

Die öffentlichen Quellports am Router sollten per NAT verschieden sein, da ja die internen Adressen verschieden sind.

Linphone hat auf der Internet-Seite Port 61890, dus.net dabei 5060. Die Antwortpakete von dus.net gehen auch an die 61890 zurück.
Die Fritz-Box hat 5060, dus.net dabei ebenfalls 5060.

Wie kommt der Anruf beim Gegenüber an (CallerId)?

Die CLIP des dus.net-Accounts

Taucht der Anruf im dus.net Account als getätigter Anruf auf?

Ja.

Womöglich handelt es sich hier um ein ganz anderes Problem: der Anruf auf die dus.net SIP-URI erfolgt unauthentifiziert und dus.net läßt aus irgendeinem Fehlergrund diesen Anruf durch, da hier nur die IP-Adresse als Merkmal genutzt wird.

Das ist auch meine Vermutung. Leider kann dus.net das nicht nachvollziehen. Daher wäre eine unabhängige Bestätigung des Sachverhalts schön.

 

[ssteiner]

Wie siehts aus wenn du die Registration auf der FBF abstellst, wartest bis die Registration bie dus.net abgelaufen ist, dann nochmal vom Softphone aus versuchst? Und wenn das noch geht, gleiches Prozedere aber dieses mal inkl. Kabelmodem ausstecken (ich nehme an damit bekommst du dann eine neue IP Adresse)..

 

[olebole]

Ohne Registrierung durch die Fritzbox weist dus.net den Anruf ab. Die Registrierung kommt ja auch definitiv aus meiner Fritzbox; anderswo ist sie nie gespeichert worden. Man sieht auch an dem ersten SIP-Header, dass der Anruf mit einer ganz anderen Absenderadresse erfolgt ([email protected]:5560 statt [email protected]) und dass es im ersten Header nichts gibt, was auf den eigenen dus.net-Account hindeuten könnte -- außer der IP, die eben der IP entspricht, mit der sich die Fritzbox bei dus.net anmeldet.

 

[jodost]

Hallo olebole,

sehr interessanter Effekt, den Du da beschreibst.

Mir fällt spontan als Grund irgendwas in der folgenden Form ein (da gibt es zwar keine Indizien für, aber vielleicht magst Du in die Richtung mal weiter suchen):

- Dein UserAgent schickt sein INVITE an dus.net

- Das wird dort z.B. durch ein Please register abgelehnt. Das Please register aber - warum auch immer(*) - kommt nicht bei Deinem UserAgent an, sondern landet in der FBF. (* entweder, weil die FBF, die ja wenn ich das richtig sehe bei Dir NAT-Router spielt, sich da stärker einmischt als sie soll, oder, weil dus.net aus irgend einem Grund Deinen Port 5560 oder was immer Du eingestellt hattest ignoriert/überschreibt und an 5060 schickt, wo die FBF lauscht)

- Die FBF bekommt jetzt also ein Please register und versteht das als Aufforderung, sich mit Deinen Zugangsdaten (neu) zu registern. Da sie ja nun dus.net antwortet, übernimmt sie natürlich die von dus.net in der SIP-Nachricht mitgeschickte "Call-ID" (die dus.net wiederum aus Deinem INVITE übernommen hat, weil das PleaseRegister ja die Antwort darauf war).

- Dein Softphone hat davon nichts mitbekommen (weil die dus.net-Antwort ja auf der FBF gelandet war), es glaubt, dass es auf die INVITE-Nachricht keine Antwort bekommen hat und - ist ja UDP - schickt sie richtigerweise nochmal raus.

- dus.net erhält nun ein (aus deren Sicht neues, das vorherige war ja beantwortet) INVITE mit der gleichen Call-ID, die schon eben verwendet wurde (und mit der ja dann auch ein Register erfolgt ist) und lässt den Anruf zustande kommen, denn auf das vorherige PleaseRegister kam ja eine korrekte Registrierung zurück, d.h. die Identität ist geprüft.

(Wobei mir jetzt ehrlich gesagt kein plausibler Grund einfällt, warum ab dann alle dus.net-Nachrichten plötzlich bis zum Softphone durchkommen, während sie vorher auf der FBF gelandet sind).


Wie gesagt, ist nur so eine spontane Idee, vielleicht findest Du irgendwas in diese Richtung deutendes raus?

Gruß

Joern

 

[blacksun]

mögliches Sicherheitsproblem: keine Authentifizierung bei jedem Telefonat über Voip

Hallo zusammen,

mir ist doch gerade eine ziemlich brisante Fragestellung zum Thema Sicherheit beim Voip-en über das SIP-Protokoll über den Weg gelaufen.

Und zwar wurde in einem anderen Forum gesagt, dass es SIP-Provider gibt, die nicht jedes VoIP-Endgerät bei jedem Telefonat überprüfen. Dus.net sei ein solcher Fall.

So soll es möglich sein, dass wenn man die FBF benutzt und dort einen SIP-Provider hinterlegt, dass dann andere Voip-Geräte (z.B. Softphone oder ein Voip-Telefon) nicht selbst beim SIP-Provider anmelden müssen, um abgehende und ankommende Gespräche zu führen, sondern dass sich der SIP-Provider auf die erstmalige Anmeldung (in meinem Beispiel auf die FBF) verlässt und alle weiteren Geräte ohne eigene Anmeldung ebenfalls bedient werden.

Im Prinzip ein ähnliches Verhalten wie bei t-online, bei der man für das Abfragen des Email-Postfaches und zum Versenden von Mail kein Passwort benötigt, weil man sich lediglich auf die DSL-Anmeldung mit den richtigen Zugangsdaten verlässt.

Stimmt das wirklich?
Hat sowas schonmal jemand untersucht?

Auf das Thema wurde ich im Zusammenhang mit dem Betrieb eines privaten hotspots (fon.com, maxspot.de, freifunk.net) aufmerksam.
Wenn ich einen Hotspot am gleichen DSL-Anschluss wie VoIP Betreibe, sollte auf keinen Fall eine solche "Mitbenutzung" einer vorhanden SIP-Anmeldung möglich sein, um zu verhindern, dass andere auf meine Kosten telefonieren bzw. meine ankommenden Telefonate annehmen können.


Hat hier schon jemand Tests unternommen?

Gruß
Martin

 

[olebole]

Ich habe ja auf der Internet-Seite mitgeschnitten, und deshalb hätte ich auch registriert, wenn SIP-Kommandos von oder zu der Fritzbox geschickt würden.

Die Fritzbox ist während des Anrufs von linphone definitiv ruhig, auch dus.net schickt dort (Port 5060) keine Pakete hin.

 

[gandalf94305]

@blacksun, ich habe Deinen Beitrag hier in diesen Thread verschoben, da es ja genau um dieses Thema geht ;-)

@olebole, wenn Du per FBF registrierst, diese abschaltest (die Registrierung bleibt dennoch ja für ca. 1 Std. erhalten) und dann von einem anderen Softphone aus telephonierst, geht das? In diesem Fall sollte dieses Szenario (das dann ja reproduzierbar ist) dus.net gemeldet werden. Im Prinzip könnte man wahrscheinlich auch ein noch einfacheres Szenario verwenden: ein Rechner, der direkt am Internetzugang hängt (also ohne Router), zwei Softphones... eins ist registriert, eins nicht. Nach Beenden des ersten (nicht EXIT, da dies ggf. UNREGISTER macht, sondern kill -9) kann das zweite, vor dem ersten schon gestartete Softphone Anrufe tätigen, ohne sich zu registrieren.

--gandalf.

 

[olebole]

wenn Du per FBF registrierst, diese abschaltest (die Registrierung bleibt dennoch ja für ca. 1 Std. erhalten) und dann von einem anderen Softphone aus telephonierst, geht das?

Kann/Möchte ich nicht probieren, da die Fritzbox für meine Nachbarn das Internet bereitstellt. Scheint mir auch nicht besonders sinnvoll, da ich ja im Mitschnitt sehen kann, dass die Fritzbox nicht an der Kommunikation beteiligt ist.

dus.net ist per Ticket informiert, kann das Problem aber nicht nachvollziehen.

 

[voipoholic]

hi olebole.

das was du an sip paketen beträgst ist zu dürftig. um wirklich zu sehen was passiert benötigst du einen kompletten trace eines invite-dialoges. es reciht hier nicht das invitepaket deines linux oder der fbf zu posten. du brauchst auch die antworten von dus.net und zwar alle. nicht nur die, die bei deinem linuxrechner ankommen.

erstmal sei dir sicher das deine nachbarn nicht telefonieren können wenn du ihnen das per firewall verbietest. wenn die auf deiner fbf hängen können die nicht nur telefonieren sondern noch viele viele andere tolle dinge in deinem netz anstellen. da ich merke das du damit noch nicht so vertraut bist solltes du solche dinge von vorneherein erstmal lassen. wenn dein nachbar evil ist dann bist du ganz schön am ar.... siehe hierzu (http://www.heise.de/newsticker/meldung/83085) ... zum anderen sei noch gesagt das es bei dus.net keine unsicherheit im invite gibt.

viel eher ist die vermutung meinerseits dass du einen bug in der fbf gefunden hast

ich vermute mal ganz stark das die fbf den 407 ungefragt beantwortet denn da du ihn am linuxrechner nicht siehst heisst nicht das er nicht an der fritze ankommt und dort beantwortet wird. jeder meiner mitschnitte auf meinem gateway zeigt das auch während einer registrierung jeder invite authentifiziert werdenmuss. die registration ist nur für den inbound, also die kommenden telefonate zu dir wichtig für sonst garnix.

die bugtheorie ist nicht sicher ... dazu muss man mal bei dus.net anrufen und einen trace von der dortigen technik mitschneiden lassen. dann gibt es auch für das mysterium klarheit.

frohes neues

 

[olebole]

um wirklich zu sehen was passiert benötigst du einen kompletten trace eines invite-dialoges. es reciht hier nicht das invitepaket deines linux oder der fbf zu posten. du brauchst auch die antworten von dus.net und zwar alle. nicht nur die, die bei deinem linuxrechner ankommen.

Da ist nix weiter angekommen als beschrieben. Ich habe ja auf die Pakete der Internet-Seite geloggt, und da gab es definitiv keine Pakete von der Fritzbox.

Das Protoll sieht wirklich so aus:

91.ZZZ.XXX.YYY:61890 --> voip.dus.net:5060: INVITE (s.o.)
voip.dus.net:5060 --> 91.ZZZ.XXX.YYY:61890: 100 Trying
voip.dus.net:5060 --> 91.ZZZ.XXX.YYY:61890: 139 Session Progress

und dann klingelt schon das Handy. Es gibt keine weiteren SIP-Pakete, weder von mir (91.ZZZ.XXX.YYY), noch von voip.dus.net. Es gibt insbesondere keine Pakete von der/an die Fritzbox (die auf 91.ZZZ.XXX.YYY Port 5060 sitzt).

Wie gesagt, der Mitschnitt erfolgt auf Seiten des Internets; entsprechende Pakete hätte ich also sehen müssen (sie sind auch sichtbar, da ich ja den Traffic bei Anruf über die Fritzbox mitschneiden konnte).

dazu muss man mal bei dus.net anrufen und einen trace von der dortigen technik mitschneiden lassen. dann gibt es auch für das mysterium klarheit.

dus.net ist per Ticket informiert, sie können es jedoch nicht nachvollziehen. (Muss ich hier eigentlich alles mehrfach wiederholen?)