Wie sicher ist *

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

funky

Neuer User
Mitglied seit
1 Feb 2005
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich möchte mit diesem Thread eine kleine Kontroverse bzgl. der sicheren Anmeldung und Kommunikation mit dem * eröffnen.

Folgendes Beispiel:

- es wird ein * hinter einem DSL-Router betrieben
- Portumleitung auf den * funktioniert
- man kann sich aus dem Internet z.B. über Xlite anmelden, um dann Anrufe über das Festnetz zu tätigen (sehr praktisch für viele Pendler, die Ihren Telefonanschluss nicht aufgeben wollen)

Grosse Frage: Wie ist es denn mit der Sicherheit bestellt?

Ist eine verschlüsselte Anmeldung am * möglich (über SIP)?
Wenn nein, dann kann die Anmeldung abgefangen werden, so dass später Mißbrauch der eigenen Telefonleitung nicht ausgeschlossen werden kann.
Können Gespräche verschlüsselt werden (sonst kann ja jeder mithören)!?

Wenn jemandem weitere Fragen auffallen, kann er sie gern hier stellen, damit wir eine fundierte Sammlung für evtl. spätere FAQ zu diesem Thema zu haben.

Meine Recherchen ergaben, dass * wohl https, also SSL Verschlüsselung anbieten soll, diese sei aber noch nicht fertig.

Wer weiss mehr?
 
Ist eine verschlüsselte Anmeldung am * möglich (über SIP)?
Wenn nein, dann kann die Anmeldung abgefangen werden, so dass später Mißbrauch der eigenen Telefonleitung nicht ausgeschlossen werden kann.
Können Gespräche verschlüsselt werden (sonst kann ja jeder mithören)!?
Zum Vergrößern anklicken....
SIP handelt nur die Verbindung zwischen IP-Phone und Asterisk aus und wird im Klartext vollzogen. DIe Sprache wird dann ueber RTP abgewickelt, was auch "unsicher" ist. "Sicher", waere die Sprachuebertragung ueber SRTP, was der Asterisk (noch?) nicht unterstuetzt.
Also, um es vor dem Internet "sicher" zu haben, muesste man z.B. erst ein VPN aufbauen und sich dann in seinem privaten Netz zum Asterisk verbinden.
Ich hoffe mal, dass sich beim IAX-Protokoll noch was in die Richtung, der verschluesselten Uebertragung tut.
 
Das gleiche gilt uebrigens auch fuer alle mir bekannten VoIP-Anbieter.

SIP wird uebrigens zwar tatsaechlich unverschluesselt uebertragen allerdings wird bei der Anmeldung challenge response verwendet. Eine replay-Attacke wird damit ausgeschlossen.

Bei IAX wird wohl an einer Moeglichkeit zur Verschluesselung gearbeitet.
 
ist bei iax nicht schon die md5 authentifizierung realisiert?
zumindest sagen das die conf-dateien beim *.
leider nur für die authentifizierung, die verbindung ist weiterhin abhörbar.
an echter (SSL) Verschlüsselung wird wohl noch geackert.
 
funky schrieb:
ist bei iax nicht schon die md5 authentifizierung realisiert?
Zum Vergrößern anklicken....

Die Authentifiziereung laeuft entweder aehnlich wie bei SIP ueber md5 mit challenge-response oder ueber rsa-keys.

zumindest sagen das die conf-dateien beim *.
leider nur für die authentifizierung, die verbindung ist weiterhin abhörbar.
an echter (SSL) Verschlüsselung wird wohl noch geackert.
Zum Vergrößern anklicken....

Da wird dann wohl auch eher AES zur Verschluesselung eingesetzt werden. SSL ist glaube ich fuer UDP ungeeignet.
 
sag mal maik, ist jetzt beim * die anmeldung challenge-response implementiert und wird auch eingesetzt oder nicht?

weisst du das zufällig?

[edit: auf SIP bezogen]
 
Hat schonmal irgendjemand versucht, eine VoIP-Verbindung "abzuhören" ? So einfach ist das gar nicht, wie das immer dargestellt wird.
 
naja, das abhören ist ja nicht das "schlimme", vielmehr stört es mich, dass
die anmeldung am * mitgesnifft werden kann.

somit kann sich jeder anmelden und über den eigenen tel anschluß telefonieren.
 
Du kannst doch die Anmeldung auf bestimmte IP-Adressen oder Hostnamen einschränken. Und bei Anmeldung über RSA keys ist ohnehin nicht mehr viel los von wegen "mitsniffen"
 
funky schrieb:
sag mal maik, ist jetzt beim * die anmeldung challenge-response implementiert und wird auch eingesetzt oder nicht?

weisst du das zufällig?

[edit: auf SIP bezogen]
Zum Vergrößern anklicken....

Ja. Challenge-response ist drin. Das ist eigentlich auch die uebliche Methode fuer eine Anmeldung. Die meisten Server unterstuetzen nichts anderes.
 
betateilchen schrieb:
Du kannst doch die Anmeldung auf bestimmte IP-Adressen oder Hostnamen einschränken. Und bei Anmeldung über RSA keys ist ohnehin nicht mehr viel los von wegen "mitsniffen"
Zum Vergrößern anklicken....

aha, das klingt doch interessant!

kannst du mir bitte sagen, wie der * zu konfigurieren ist, dass die Anmeldung von Xlite aus auf den Hostnamen oder mit den RSA-Keys beschränkt wird?
 
Wie wäre es mit einem VPN? Ein Linux ist ja aufgrund von Asterisk eh vorhanden, von daher sollte VPN auf der Seite kein Problem sein. Da X-Lite genutzt wird, ist der Client also ein PC. Dort VPN installieren und fertig. Nagut so einfach isses nicht ;)
Aber so würde man die Kommunikation zwischen X-Lite und Asterisk absichern können.
 
ich benutze z.Z. vpn, jedoch ist der upstream eines gewöhnlichen dsl-anschlusses auch mit 192 KB zu wenig, um normale gespräche führen zu können.

ausserdem ist das nicht unbedingt massentauglich für viele nutzer, es hat einen sehr geringen WAF (woman acceptance factor) ;-)
 
jedoch ist der upstream eines gewöhnlichen dsl-anschlusses auch mit 192 KB zu wenig, um normale gespräche führen zu können.
Zum Vergrößern anklicken....

:shock:

Was für einen Codec verwendest Du ? G711u-7-Kanal-Digital-Surround ?
 
benutze GSM, trotzdem höre ich mein gegenüber nur in bruchstücken - evtl. ist der VPN Overhead doch ein wenig zu viel für 192 Upstream???
 
evtl. ist der VPN Overhead doch ein wenig zu viel für 192 Upstream???
Zum Vergrößern anklicken....

nie im Leben ... "normales" DSL hat nur 128 kB/s und es funktioniert problemlos.
 
hmm, ohne VPN habe ich aber keine Probleme, misst.

Wie war das nochmal mit der EInschränkung der Anmeldung auf bestimmte IP's oder Hostadressen?

Kann bitte jemand mehr dazu posten?

Danke!!!
 
Das müsste aber das absolute Über-VPN sein. ;)
 
Je nach VPN-Typ und -Konfiguration laufen die Datenpakete ueber TCP-Verbindungen. TCP wiederholt verlorengegangene Pakete, kann Verbindungen dynamisch "abbremsen", und aehnliche Spaesse. Das ist alles Zeuch, was man fuer die mit RTP uebertragenen Sprachdaten nicht haben moechte - hier kann es zu massiven Problemen kommen.
Auch sollte man bedenken, dass die Verschluesselung der zu transportierenden Daten zusaetzliche Zeit kostet.

Ein VPN zur Absicherung der Verbindung Client -> * sollte daher genau durchdacht werden.
 
Anmeldung auf bestimmte IP's oder Hostadressen?
Zum Vergrößern anklicken....
z.B. in der sip.conf statt host=dynamic host=ip/hostname verwenden
Ansonsten kann man sich ja auch seine Firewall entsprechend konfigurieren, dass z.B. SIP nur von/zu bestimmten IPs geht
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 744 (Mitglieder: 24, Gäste: 720)

Neueste Beiträge

Statistik des Forums

Themen
246,488
Beiträge
2,252,940
Mitglieder
374,281
Neuestes Mitglied
Andreas70
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück