Wie berechnet man den "user_hash"?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
P

philwo

Neuer User
Mitglied seit
7 Mai 2005
Beiträge
99
Punkte für Reaktionen
0
Punkte
6
Hallo Leute,

ich möchte gern meine Snom-Telefone über eine settings-Datei auf meinem Webserver verwalten. Da sich die Snoms diese übers Internet organisieren und nicht in einem LAN stecken, würde ich ungern das SIP-Passwort als user_pass übersenden. Dazu gibt es ja wohl user_hash als Alternative. Ich habe aber zwei Definitionen dazu gefunden:

http://kb.snom.com/kb/index.php?View=entry&CategoryID=20&EntryID=44
Code: 
"user_hash" setting. It will be calculated as follows:
user_hash = md5 (user:realm:pass)

Und:
http://wiki.snom.com/Settings/user_pass
Code: 
user_hash is a MD5 encrypted password, which can be used instead of user_pass.

Nun.. beides funktioniert nicht. ;) Mit PHP ausprobiert:

Code: 
user_hash1: <?php echo md5("username:sipgate.de:passwort") . "\n"; ?>
oder
Code: 
user_hash1: <?php echo md5("passwort") . "\n"; ?>

Es kommt immer Unauthorized. Übersende ich das gleiche Passwort als user_pass, funktioniert es.

Habt ihr eine Idee?

Viele Grüße,
Philipp
 
Mal eine Generelle Frage...

Was bringt dir dieser hash?
Sicherheitstechnisch kann der hash doch genauso ausgelesen und benutzt werden. Auch wenn er nicht entschlüsselt werden kann, da md5 (sowie jeder andere hash) nur eine one-way "verschlüsselung" bieten.
 
Okay.. Mist. ;) Da habe ich gar nicht dran gedacht.. mir fällt aber leider auch keine andere Möglichkeit ein, das sicherer zu machen. Ich checke die MAC die übertragen wird und gebe dann nur die entsprechenden Settings raus, aber die kann man natürlich theoretisch auch mithören. Selbst wenn sich das Snom die Settings über HTTPS holen würde (weiß gar nicht, ob das geht), könnte man immer noch die MACs durchprobieren.. da müsste sich das Snom gegenüber dem Settings-Server ja mittels SSL Client Zertifikat authentifizieren, aber das geht vermutlich nicht. Und leider haben wir hier keine 370er rumstehen, sonst würde es über das OpenVPN gehen.. sondern nur 300er. :(
 
Aber mal davon abgesehn... ist die URL nach außen denn bekannt?
Ich mein, bis jemand die URL rausgefunden hat, dauert das ja schon etwas.

ansonsten... haben die endgeräte (bzw. deren Router) eine feste IP, dann kann man da mitm Apache, glaube ich, schon etwas filtern.
 
Hi,

es würde mich trotzdem mal interessieren, wie das mit dem MD5 funktioniert.

THX
 
ich möchte gern meine Snom-Telefone über eine settings-Datei auf meinem Webserver verwalten.
Zum Vergrößern anklicken....
Genau das Gleiche möchte ich auch machen. Mir ist es aber auch zu gefährlich, die Settings-Datei offen auf einen Webserver im Internet zu legen.

Es ist schon richtig, dass man zum Auslesen der Datei die Mac-Adresse des Telefons braucht, für das die Settings bestimmt sind. Mit php könnte man wohl auch http-Header der anfragenden Clients auswerten (z. B. welche Browserversion hat der Client) und die Settings-Datei nur freigeben, wenn der Header mit dem eines Snoms übereinstimmt. Das ist aber alles nichts, was ein Angreifer nicht mit vertretbarem Aufwand umgehen könnte.

Kennt jemand eine Möglichkeit, die Settings-Dateien sicher auf einem öffentlichen Webserver abzulegen?
 
Das Thema is na nun schon nen Tag älter ;)
Ich habe mit der 7er Frmware noch so gut wie nix zu tun gehabt, aber gibt es da evtl. ne option die mit Zertifikaten arbeitet?

Ansonsten häng doch an die ?mac={mac} noch ein &secret=12345 dran, welches du dann mit php prüfst. Und wenn dann noch https gehen würde währe es schon "recht" sicher ;)

Ansonsten die gleiche frage wie oben:
Hängen die Endgeräte hinter einem Router mit fester IP? Wenn ja, kannst du ja damit filtern.


@philwo: Falls du das noch lesen solltest... habe grade zufällig eine Antwort auf dein Hash-Problem gefunden ;)
http://kb.snom.com/kb/index.php?View=entry&CategoryID=20&EntryID=44
 
Code: 
Und wenn dann noch https gehen würde währe es schon "recht" sicher
Im Mass Deployment Guide (http://snom.com/download/docu/md_rev2.pdf) steht, dass unter Verwendung von HTTPS Konfigurationsparameter eingeschränkt übergeben werden können und Firmware-Updates nicht möglich sind. Wie genau die Einschränkungen beim Übergeben von Konfigurationsparametern aussehen, habe ich nicht gefunden.
 
Bitte das Setting "challenge_response" auf "an" setzen, dann sollte es gehen.
 
Hi,

auch wenn die URL hinter einem "htpasswd" liegt wäre schon ein Schritt sicherer, denn dann kann keiner so schnell die Daten vom Webserver bekommen, allerdings fehlt da die Möglichkeit am Telefon dies zu nutzen.

Grüße
Timm
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 548 (Mitglieder: 31, Gäste: 517)

Neueste Beiträge

Statistik des Forums

Themen
246,722
Beiträge
2,256,495
Mitglieder
374,736
Neuestes Mitglied
Lutz Schneider
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück