Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VoIP Neuling braucht Hilfe

    Scheduled Pinned Locked Moved Deutsch
    23 Posts 3 Posters 7.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • -flo- 0-
      -flo- 0
      last edited by

      In welchem Telekom-Forum warst Du denn unterwegs, hast Du evtl. einen Link?

      Ein Gedanke: Die Fritzboxen (wie auch Speedports und weitere diverse vergleichbare Geräte) sind dafür gebaut als Zugangsrouter zu arbeiten. Wenn da IP-Telefonie konfiguriert ist, dann dürfte der Port 5060 (oder andere / weitere Ports bei andern Geräten) ins Internet auch offen sein, ohne daß der Zugriff auf bestimmte Server eingeschränkt ist. Ein reines VoIP-Telefon sollte sich vermutlich ebenfalls einigermaßen sicher ohne Enterprise-Grade-Firewall oder einer NAT betreiben lassen.

      Ich bin also nicht so sicher, daß hier wirklich ein großes Risiko vorliegt. Ich recherchiere trotzdem nochmal selbst weiter.

      Ich habe jetzt mal meine Logs analysiert. Sporadisch sehe ich Zugriffe auf Port 5060, die ich keinem SIP-Provider zuordnen kann. Die Adressen, die ich zuordnen kann, sind keineswegs durchgängig identisch mit den IP-Adressen der SIP-Server, die ich konfiguriert habe, weder eingehend noch ausgehend. Ich habe neben Telekom noch zwei VoIP-Provider konfiguriert, gleiches Bild hier.

      Eine Einschränkung auf erlaubte SIP-Server im Internet ist da recht schwierig. Ein Weg die erlaubten Server einzuschränken wäre erst alles weitgehend zuzumachen und dann nach und nach die geblockten Server freizugeben (nach Prüfung natürlich). Ist aber sicher mühselig.

      Ich sehe übrigens keine auffälligen Anrufe im Log meiner FritzBox seit ich das eingerichtet habe (jetzt knapp 3 Wochen).

      1 Reply Last reply Reply Quote 0
      • P
        power_matz
        last edited by

        Das war das "Stellen Sie eine Frage" Forum. https://feedback.telekom-hilft.de/questions/liste-sip-server

        Ich habe den Port zugemacht. Alles läuft weiterhin prima.
        Wenn Sich Deine Fritzbox registriert, dann schickt sie Infos an den Telekomserver. Danach wird eine Session gestartet. Über die kommen dann die Telefonate. Kann auch Port 5061 oder 506x sein! Daher findet sich die Fritzbox von selbst, ohne NAT!
        Nur bei den RTP Ports bin ich mir nicht sicher.

        Ich habe Snort laufen und sehe da auch auf SIP Aktivitäten, die Snort aber blockt.

        1 Reply Last reply Reply Quote 0
        • -flo- 0-
          -flo- 0
          last edited by

          So, Ergebnisse. Zusammenfassung:

          • Ich habe auch die Port-Weiterleitung von Port 5060 abgestellt. Das funktioniert auch hier problemlos.

          • Trotz Port-Weiterleitung war das Setup sicher. Allerdings kann der offene Port in Verbindung mit bestimmter VoIP-Hardware und Fehlern beim Setup ein Risiko beinhalten, s.u.

          Zur Port-Weiterleitung für 5060 hast Du selbst schon alles nötige gesagt, insb. warum es auch ohne funktioniert. Die RTP-Ports müssen m.E. weitergeleitet werden, weil ein Verbindungsaufbau auf diese Ports vom Telefoniegerät des von Dir Angerufenen oder des Anrufers ausgeht, nicht vom SIP-Server des Providers. Hier besteht nicht bereits eine Verbindung.

          Zum Sicherheitsrisiko: Wenn man ein Gerät betreibt, an dem ein IP-Telefon registriert werden kann, und dabei ein schwaches Kennwort verwendet wird, und dieses Gerät aus dem Internet erreichbar ist, dann können Angreifer ein eigenes Telefon registrieren und kostenpflichtige Telefonate führen. Das ist ein erhebliches Kostenrisiko.

          Genau das meint Stefan Heck in dem von Dir erwähnten Forum:

          Man sollte NIEMALS einen SIP Server in das Internet stellen. Genau das machst Du aber anscheinend. Gelingt es einem Angreife an deinem SIP-Server eine Gerät zu registrieren, dann wird er sofort anfangen kostenpflichtige Übersee Mehrwertdienste anzurufen.

          und

          einen Kunden von mir hat dies 9500€ gekostet, weil er sich unbedingt mit dem iphone aus dem Internet am internen SIP Gateway anmelden wollte. Da das Passwort zu kurz war, hat sich jemand aus China brute force registriert und dann fleißig Nummer gewählt.

          (Quelle: https://feedback.telekom-hilft.de/questions/liste-sip-server)

          In meinem Fall habe ich ältere Fritz!Box Fon 5050. Diese erlaubt keine Registrierung von IP-Telefonen. Das Angriffsszenario ist damit komplett ausgeschlossen.

          Neuere FritzBoxen erlauben die Registrierung von IP-Telefonen. Nutzt man das, dann muß unbedingt ein sehr gutes Kennwort eingestellt werden. Die FB erlaubt es die Anmeldung eines Telefons aus dem Internet komplett zu verbieten, aber dieses Feature dürfte nur bei Einsatz einer FB als Zugangsrouter funktionieren.

          Ob ein normales IP-Telefon (z.B. Dein Yealink-Telefon) für ein solches Angriffsszenario verwundbar ist, bezweifle ich. Das wäre dann der Fall, wenn man an dem betreffenden IP-Telefon weitere Telefone registrieren kann.

          Die ganze Diskussion ist aber zum Glück nicht nötig, da man den Port ja zu lassen kann. Trotzdem alles gut zu wissen …

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.