VoIP Neuling braucht Hilfe
-
Gerne geschehen, ich drücke die Daumen, daß es läuft!
-
Hallo Flo,
also bis jetzt läuft alles. Nur die Unterbrechung der WAN Leitung lässt den Register des Yealink Telefons m,anchmal scheitern. Da habe ich beim Hersteller Support nachgefragt.
Die Zwangstrennung bei Telekom IP ist ja nur alle 180 Tage, damit kann ich erst einmal leben.
Ansonsten klappt es sehr gut, die Sprachqualität ist auch OK.Ich habe noch eine Frage zu Deiner Konfiguration. Habe gesehen, dass Du auch IPTV hast. Das war aber nicht Telekom, oder?
Musst Du für dieses Interface eigentlich auch das NAT einschalten? Ich meine die automatischen Regeln, die beim Outbound angelegt werden. Oder kann man die löschen?Gruß
Matthias -
Ich habe Entertain, also IPTV von der Telekom. (Sozusagen Triple-Play von der Telekom mit pfSense. ;))
Dafür habe ich neben dem WAN-Interface das WAN_IPTV mit VLAN8 angelegt. Hierfür werden tatsächlich genau wie für das WAN-Interface NAT-Regeln generiert. Die habe ich einfach gerade so gelassen wie sie waren. Ob man das löschen kann, weiß ich nicht. Ich vermute schon, aber das müßte ich ausprobieren …
-
Ah, ok. Ich hatte sie deaktiviert, das IPTV lief trotzdem. Ich werde sie mal löschen.
Sage mal, das Öffnen des Port 5060 im WAN ist das nötig?
Ich hatte gestern seltsame Anrufe eines anderen Servers auf diesem Port 506 mit der Rufnummer "100". Mehrfach. Habe jetzt den Server blockiert.
Sollte den der Port nicht automatisch auf sein, da der Verbindungsaufbau ja von Innen (Telefon) mit der Registrierung läuft? Wenn ich auf Port 80 surfe, ist der Port ja auch nicht explizit auf, sondern durch den Client getriggert?
Ich will nicht alle Telekom Server in die Regel eintragen, damit nur echte Anrufe kommen.Für die RTP Ports verstehe ich das, weil di ja nur implizit im SIP Protokoll an den SIP Server geschickt werden. Sie werden ja erst beim Telefonieren benutzt. Daher kann die Firewall nicht wissen, welcher Port wohin weitergeleitet werden soll. Daher die Regeln.
Gruß
matthias -
Hm, gute Frage. :-\
Theoretisch kann Dich tatsächlich jemand anrufen, ohne daß der Telekom-Server involviert ist. Dafür müßte der Port von außen für unbekannte Hosts geöffnet sein. Aber braucht man das?
Wenn man SIP nur mit bekannten Servern macht, die man selbst anspricht, dann hast Du recht: Die Verbindung müßte durch die periodischen Neuregistrierungen eigentlich offengehalten werden.
Probier es einfach mal aus. Im schlimmsten Fall wird ein eingehendes Telefonat nicht signalisiert. Ich teste das die Tage auch mal selbst.
Falls es nicht geht, würde ich den Port wieder öffnen aber eingehende Verbindungen auf die erforderlichen Server einschränken. Das ist zwar etwas pflegeintensiver, aber man kann die Server ja unter einem Alias zusammenfassen und da mit DNS-Namen statt IP-Adressen konfigurieren.
-
Genau das mit den Servern in einer Alias Liste habe ich aktuell im Telekom Forum gefragt. Da habe ich schwer "Haue" bekommen wegen dem offenen 5060 Port.
Das wollte ich mit Dir auch mal diskutieren. Ich mache mal den Port heute Abend zu und schaue, was passiert.Im Firewall Log sind auch Port 5061 5062 und 5063 drin. Das würde ja für die Theorie sprechen, dass man den Port 5060 nicht aufmachen muss.
Eine Liste der Server habe ich bekommen:
19950221 194.25.0.0/16 ALLOCATED PA
19961127 193.158.0.0/16 ALLOCATED PA
19970416 193.159.0.0/16 ALLOCATED PA
19970416 195.145.0.0/16 ALLOCATED PA
19970919 62.156.0.0/16 ALLOCATED PA
19971222 195.243.0.0/16 ALLOCATED PA
19980824 62.157.0.0/16 ALLOCATED PA
19981119 212.184.0.0/16 ALLOCATED PA
19990216 212.185.0.0/16 ALLOCATED PA
19990305 62.158.0.0/16 ALLOCATED PA
19990305 62.159.0.0/16 ALLOCATED PA
19991118 62.155.0.0/16 ALLOCATED PA
19991216 62.154.0.0/16 ALLOCATED PA
20000204 62.153.0.0/16 ALLOCATED PA
20000204 62.224.0.0/16 ALLOCATED PA
20000509 62.225.0.0/16 ALLOCATED PA
20000512 62.226.0.0/15 ALLOCATED PA
20000728 217.0.0.0/13 ALLOCATED PA
20001026 217.80.0.0/12 ALLOCATED PA
20010404 217.224.0.0/11 ALLOCATED PA
20010806 80.128.0.0/11 ALLOCATED PA
20020417 81.28.64.0/20 ALLOCATED PA
20040310 84.128.0.0/10 ALLOCATED PA
20050503 87.128.0.0/11 ALLOCATED PA
20060330 87.160.0.0/11 ALLOCATED PA
20060703 91.0.0.0/10 ALLOCATED PA
20070606 79.192.0.0/10 ALLOCATED PA
20080212 93.192.0.0/10 ALLOCATED PA
20100607 46.80.0.0/12 ALLOCATED PA
20050113 2003::/19Gruß
Matthias -
OK, danke für die Klärung!
Sind das in der Liste wirklich alles SIP-Server der Telekom? Mir kommt die Zahl der Server hoch vor. Immerhin ist tel.t-online.de in der Liste enthalten.
> tel.t-online.de [...] Non-authoritative answer: tel.t-online.de canonical name = ims.voip.t-ipnet.de. ims.voip.t-ipnet.de canonical name = ims001.voip.t-ipnet.de. ims001.voip.t-ipnet.de canonical name = s-ipp-a01.isp.t-ipnet.de. Name: s-ipp-a01.isp.t-ipnet.de Address: 217.0.17.42Die Adresse 217.0.17.42 ist im Subnetz 217.0.0.0/13 enthalten.
Ich muß da mal noch etwas recherchieren.
-
Die Liste hat mir einer aus dem Telekom Forum geschickt. Ist ein RIPE Auszug.
Gruß
Matthias -
Das liest sich aber für mich eher nach einer AS Liste welche Prefixe alle auf die Telekom registriert sind. Das müssen dann aber nicht alles Prefixe für VOIP sein (und werden es auch nicht).
-
Das glaube ich ehrlich gesagt auch. Irgendwo gab es mal für eine Asterisk Config eine Liste von Telekom SIP Servern… Die wäre sicherlich geeigneter. Aber ob die vollständig war, weiss ich nicht. Daher kam ja meine Überlegung.
-
In welchem Telekom-Forum warst Du denn unterwegs, hast Du evtl. einen Link?
Ein Gedanke: Die Fritzboxen (wie auch Speedports und weitere diverse vergleichbare Geräte) sind dafür gebaut als Zugangsrouter zu arbeiten. Wenn da IP-Telefonie konfiguriert ist, dann dürfte der Port 5060 (oder andere / weitere Ports bei andern Geräten) ins Internet auch offen sein, ohne daß der Zugriff auf bestimmte Server eingeschränkt ist. Ein reines VoIP-Telefon sollte sich vermutlich ebenfalls einigermaßen sicher ohne Enterprise-Grade-Firewall oder einer NAT betreiben lassen.
Ich bin also nicht so sicher, daß hier wirklich ein großes Risiko vorliegt. Ich recherchiere trotzdem nochmal selbst weiter.
Ich habe jetzt mal meine Logs analysiert. Sporadisch sehe ich Zugriffe auf Port 5060, die ich keinem SIP-Provider zuordnen kann. Die Adressen, die ich zuordnen kann, sind keineswegs durchgängig identisch mit den IP-Adressen der SIP-Server, die ich konfiguriert habe, weder eingehend noch ausgehend. Ich habe neben Telekom noch zwei VoIP-Provider konfiguriert, gleiches Bild hier.
Eine Einschränkung auf erlaubte SIP-Server im Internet ist da recht schwierig. Ein Weg die erlaubten Server einzuschränken wäre erst alles weitgehend zuzumachen und dann nach und nach die geblockten Server freizugeben (nach Prüfung natürlich). Ist aber sicher mühselig.
Ich sehe übrigens keine auffälligen Anrufe im Log meiner FritzBox seit ich das eingerichtet habe (jetzt knapp 3 Wochen).
-
Das war das "Stellen Sie eine Frage" Forum. https://feedback.telekom-hilft.de/questions/liste-sip-server
Ich habe den Port zugemacht. Alles läuft weiterhin prima.
Wenn Sich Deine Fritzbox registriert, dann schickt sie Infos an den Telekomserver. Danach wird eine Session gestartet. Über die kommen dann die Telefonate. Kann auch Port 5061 oder 506x sein! Daher findet sich die Fritzbox von selbst, ohne NAT!
Nur bei den RTP Ports bin ich mir nicht sicher.Ich habe Snort laufen und sehe da auch auf SIP Aktivitäten, die Snort aber blockt.
-
So, Ergebnisse. Zusammenfassung:
-
Ich habe auch die Port-Weiterleitung von Port 5060 abgestellt. Das funktioniert auch hier problemlos.
-
Trotz Port-Weiterleitung war das Setup sicher. Allerdings kann der offene Port in Verbindung mit bestimmter VoIP-Hardware und Fehlern beim Setup ein Risiko beinhalten, s.u.
Zur Port-Weiterleitung für 5060 hast Du selbst schon alles nötige gesagt, insb. warum es auch ohne funktioniert. Die RTP-Ports müssen m.E. weitergeleitet werden, weil ein Verbindungsaufbau auf diese Ports vom Telefoniegerät des von Dir Angerufenen oder des Anrufers ausgeht, nicht vom SIP-Server des Providers. Hier besteht nicht bereits eine Verbindung.
Zum Sicherheitsrisiko: Wenn man ein Gerät betreibt, an dem ein IP-Telefon registriert werden kann, und dabei ein schwaches Kennwort verwendet wird, und dieses Gerät aus dem Internet erreichbar ist, dann können Angreifer ein eigenes Telefon registrieren und kostenpflichtige Telefonate führen. Das ist ein erhebliches Kostenrisiko.
Genau das meint Stefan Heck in dem von Dir erwähnten Forum:
Man sollte NIEMALS einen SIP Server in das Internet stellen. Genau das machst Du aber anscheinend. Gelingt es einem Angreife an deinem SIP-Server eine Gerät zu registrieren, dann wird er sofort anfangen kostenpflichtige Übersee Mehrwertdienste anzurufen.
und
einen Kunden von mir hat dies 9500€ gekostet, weil er sich unbedingt mit dem iphone aus dem Internet am internen SIP Gateway anmelden wollte. Da das Passwort zu kurz war, hat sich jemand aus China brute force registriert und dann fleißig Nummer gewählt.
(Quelle: https://feedback.telekom-hilft.de/questions/liste-sip-server)
In meinem Fall habe ich ältere Fritz!Box Fon 5050. Diese erlaubt keine Registrierung von IP-Telefonen. Das Angriffsszenario ist damit komplett ausgeschlossen.
Neuere FritzBoxen erlauben die Registrierung von IP-Telefonen. Nutzt man das, dann muß unbedingt ein sehr gutes Kennwort eingestellt werden. Die FB erlaubt es die Anmeldung eines Telefons aus dem Internet komplett zu verbieten, aber dieses Feature dürfte nur bei Einsatz einer FB als Zugangsrouter funktionieren.
Ob ein normales IP-Telefon (z.B. Dein Yealink-Telefon) für ein solches Angriffsszenario verwundbar ist, bezweifle ich. Das wäre dann der Fall, wenn man an dem betreffenden IP-Telefon weitere Telefone registrieren kann.
Die ganze Diskussion ist aber zum Glück nicht nötig, da man den Port ja zu lassen kann. Trotzdem alles gut zu wissen …
-
