Sicherheit der FB / offene VoIP-Ports

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
N

nibor99

Neuer User
Mitglied seit
2 Sep 2007
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
Hallo Forum,

ich habe einige Fragen zu den Sicherheitseinstellungen der FB (7170).
  1. Welche Ports sind außer dem 5060 noch offen (hab's mit Shields Up herausgefunden, kennt jemand eine bessere Webseite, mit der man mehr als 63 Ports auf einmal scannen kann)?
  2. Inwieweit sind diese Ports eine Gefahr für das eigene Netzwerk?
  3. Kann man diese Ports schließen, wenn man keine Anrufe aus dem Internet erwartet / empfangen möchte, da alle eingehenden Anrufe über das Festnetz erfolgen?
  4. Auf meinem (einzigen) Rechner im Netzwerk habe ich eine SW-Firewall installiert. Um über ein Softphone telefonieren zu können, war es nur notwendig, folgende Regeln aufzustellen:
    • UDP (in/out) lokal 5600 -> remote 5600
    • UDP (in/out) lokal 10600 -> remote 40000-60000
    Es würde mich interessieren, wieso ich erfolgreich ein Telefongespräch führen konnte, wo es meistens Probleme mit Routern gibt? Portweiterleitung habe ich keine eingestellt. Meine Vermutung ist, dass es auf Grund der bereits von der FBF verwendeten Ports und / oder wegen der Verwendung der gleichen Sipprovider und -accounts durchgeleitet wird. Die UDP-Antworten kommen wohl durch, da die FB-Firewall sie als Antworten auf vom Rechner initiierten Anfragen betrachtet, oder?

Vielen Dank und freue mich auf Eure Antworten!
nibor99
 
Hallo,

fehlt es hier am Sicherheitsbewusstsein oder habe ich einfach nur Pech, dass hier keine Leute vorbeischauen, die sich mit Netzwerken auskennen? :noidea:
Offene Ports sind doch sicherlich ein wichtiges Thema, das ich hier mal ansprechen möchte.
 
Habe über die Firma für die ich arbeite einen Pentrationstest gegen eine 7170 mit Firmware .34 gefahren. Ergebnis keine Sicherheitslücken gefunden. Reicht Dir dies als Antwort?
 
Offene Ports werden gerne als Sicherheitslücken dargestellt, auch wenn das nicht so ist.
Ein Port ist nicht Einfach so 'offen' wie eine Haustür. Ein Port ist offen, wenn da irgendein Dienst läuft.
Und da können auch Dienste laufen (auch Trojaner o.ä.), die entweder nicht laufen sollen oder nur intern benötigt werden.
Bei der Fritz!Box die speziell für VoIP und DSL gedacht ist, kann man aber davon ausgehen, das die 'sicher' ist. Wobei testen natürlich Sinnvoll ist, was der TÜV getan hat.
 
nibor99 schrieb:
Welche Ports sind außer dem 5060 noch offen (hab's mit Shields Up herausgefunden, kennt jemand eine bessere Webseite, mit der man mehr als 63 Ports auf einmal scannen kann)?
Zum Vergrößern anklicken....
Hänge die FBF an einen Switch im LAN und scanne selbst gegen deren WAN-Port ;-) Portscan-Software gibt es genug. Du wirst außer 5060 wahrscheinlich keinen Port finden - es sei denn, es ist VPN aktiv.
nibor99 schrieb:
Inwieweit sind diese Ports eine Gefahr für das eigene Netzwerk?
Zum Vergrößern anklicken....
Alles ist ein Risiko. Die Frage ist, wie Du die Risiken bewertest. Natürlich sind wir vor einem SIP-Bug nicht gefeit, der z.B. per BufferOverflow die FBF für feindlichen Code öffnet und damit Dein internes LAN exponiert. Die Wahrscheinlichkeit dafür ist jedoch recht gering.

Durch Port 5060 kann ansonsten niemand in Dein LAN "durchgreifen", so daß dies hinreichend sicher ist. Es kann natürlich Denial-of-Service-Angriffe geben, die verhindern, daß Du noch irgendwie telefonieren kannst. Das liegt in der Natur der Sache und kann nur durch Redundanz [teilweise] beseitigt werden.
nibor99 schrieb:
Kann man diese Ports schließen, wenn man keine Anrufe aus dem Internet erwartet / empfangen möchte, da alle eingehenden Anrufe über das Festnetz erfolgen?
Zum Vergrößern anklicken....
Das Einfachste wäre doch, die FBF abzuschalten. Das ist sicher.

Wenn Du keine Anrufe aus dem Internet erwartest, dann kannst Du ja einen Router vorschalten, der eingehenden Traffic auf Port 5060 verhindert. Ich habe meine FBF beispielsweise im LAN als System, nicht als Router im Einsatz.

nibor99 schrieb:
Auf meinem (einzigen) Rechner im Netzwerk habe ich eine SW-Firewall installiert. [...] Die UDP-Antworten kommen wohl durch, da die FB-Firewall sie als Antworten auf vom Rechner initiierten Anfragen betrachtet, oder?
Zum Vergrößern anklicken....
Das ist in der Tat so. Manche Router beherrschen dies nicht und benötigen dann komplexere Regeln für die Weiterleitung von Ports.

Für den Zweck als Router und VoIP-Gateway zuhause würde ich die FBF-Modelle als hinreichend sicher bezeichnen. Willst Du mehr Sicherheit (absolute Sicherheit gibt es natürlich nie), dann musst Du auch mehr investieren als die paar mongolischen Tugriks für eine FBF.

--gandalf.
 
Erstmals danke für Eure zahlreichen Antworten!

@ktw2003
Schön zu hören, danke.

@mega
So ähnlich habe ich mir das auch vorgestellt. Bleibt zu hoffen, dass der Dienst der FB sicher vor Attacken ist, die zum BufferOverflow führen. Auf Grund der langen Erfahrung von AVM auf diesem Gebiet und dem Einsatz von Linux hoffe ich mal drauf ;-)

@gandalf94305
Hänge die FBF an einen Switch im LAN und scanne selbst gegen deren WAN-Port Portscan-Software gibt es genug. Du wirst außer 5060 wahrscheinlich keinen Port finden - es sei denn, es ist VPN aktiv.
Zum Vergrößern anklicken....
Ist solche Software nicht verboten? ;)
Ne, leider habe ich im Moment diese Möglichkeit nicht.
Es kann natürlich Denial-of-Service-Angriffe geben, die verhindern, daß Du noch irgendwie telefonieren kannst.
Zum Vergrößern anklicken....
War da nicht mal was?
Das Einfachste wäre doch, die FBF abzuschalten. Das ist sicher.
Wenn Du keine Anrufe aus dem Internet erwartest, dann kannst Du ja einen Router vorschalten, der eingehenden Traffic auf Port 5060 verhindert. Ich habe meine FBF beispielsweise im LAN als System, nicht als Router im Einsatz.
Zum Vergrößern anklicken....
Ja ja, die Sache mit der Zange und der Sicherheit... Ich habe deshalb gefragt, da ich nicht sicher bin, ob es nicht doch eine Einstellung in der Firmware gibt, die sich indirekt so auswirkt.
 
[EDIT: unnötiges Fullquote gelöscht. --gandalf94305]

1. Da hat es mal was gegeben, womit man von außen her den Telefondienst killen konnte. Nach einem Neustart der Box lief der dann wieder.

2. Man darf doch seine eigene Sicherheit prüfen?
Microsoft-Word ist auch erlaubt, obwohl man damit Erpresserbriefe schreien kann :D

3. Stell einfach die Trennung der Internet-Verbindung nach Inaktivität ein.
 
mega schrieb:
1. Da hat es mal was gegeben, womit man von außen her den Telefondienst killen konnte. Nach einem Neustart der Box lief der dann wieder.
Zum Vergrößern anklicken....
Das waren Pakete mit Port 0 oder der Größe 0... ähh... Ist inzwischen behoben.
mega schrieb:
2. Man darf doch seine eigene Sicherheit prüfen?
Zum Vergrößern anklicken....
Portscans verstoßen gegen die Nutzungsbedingungen Deines ISP, wenn Du dies gegen Systeme im Internet ohne deren Einwilligung durchführst. Gegen die eigenen ist das immer möglich und im Rahmen von Security-Scans für Kunden mache ich das natürlich auch (mit deren Einwilligung).
mega schrieb:
3. Stell einfach die Trennung der Internet-Verbindung nach Inaktivität ein.
Zum Vergrößern anklicken....
Na, ich hätte das so verstanden, daß er Internet ohne VoIP haben will. Das wiederum würde bedeuten, man muss den voipd killen...

--gandalf.
 
gandalf94305 schrieb:
Na, ich hätte das so verstanden, daß er Internet ohne VoIP haben will. Das wiederum würde bedeuten, man muss den voipd killen...
Zum Vergrößern anklicken....
Über VoIP möchte ich nur abgehende Anrufe tätigen, denn eingehende Anrufe kommen nur über das Festnetz. Ich dachte da eher an die Möglichkeit, dass die FB vielleicht die Ports sperrt, wenn man per Einstellungen kein Gerät für VoIP-Telefonnummern klingeln lässt. Ob die FB so schlau ist, habe ich noch nicht ausprobiert.
Die Internetverbindung wird bei mir bereits jetzt nach fünf Minuten Inaktivität getrennt.
Btw, es ist schon vorgekommen, dass während eines VoIP-Anrufs die FritzBox anscheinend neu bootete. Ob es ein Angriff oder ein Fehler in der Firmware war, werde ich wohl nie herausfinden. Das wäre vielleicht auch mit einem gesperrten Port 5060 passiert. Es ist auch schon einmal vorgekommen, dass die FB auch beim ausgeschalteten Rechner die Internetverbindung nicht trennen wollte. Ich musste sie vom Strom trennen und wieder anschließen. Schon davor hat sie keine DNS-Anfragen beantwortet, sodass sich wohl der DNS-Server aufgehängt hat. Sie selbst war aber erreichbar (fritz.box). Hmm, das spricht wieder dagegen. Naja, wie dem auch sei, das nur am Rande.
 
Nun, mit einem Router vor der FBF kannst Du das einfach erreichen, indem eben der Port 5060 von außen eingehend blockiert wird. Da hofft man, daß bei dennoch eingehenden Anrufen nicht Deine Registrierung flöten geht, wenn Dich der Provider-Server eingehend dann nicht erreichen kann. Hmm... zur Not dürfte eine Neuregistrierung bei Bedarf bei einem abgehenden Anruf erfolgen.

--gandalf.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 895 (Mitglieder: 31, Gäste: 864)

Neueste Beiträge

Statistik des Forums

Themen
246,472
Beiträge
2,252,619
Mitglieder
374,233
Neuestes Mitglied
H-Meyer55
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück