CallManager angreifbar?

[Dr.Einstein]

Hallo Raudi,

ich finde die ganze schon sehr bedenklich. Damals hatten wir zig SIP Hacking Fälle, sei es durch Unwissenheit und/oder zu leichte Passwörter. Konntest du bis jetzt herausfinden seit wann das in der neuen Geräte-Generation hinzugekommen ist? Ist einfach seit der Call Manager enthalten ist?

Gruß Dr.Einstein

[Raudi]

Ich denke mal seit dem der CallManager integriert ist bei aktivierter All-IP Option. Alles andere wäre unlogisch.

[stefanbunzel]

Hallo,
wenn ich das hier lese, muss ich auch mal meinen Senf dazu geben. Normalerweise hätte ich über das geschwiegen, was ich vor rd. 2 oder 3 Wochen erlebt hatte, da ich an mir selbst gezweifelt hatte:

1. Bei meinem Provider gab es eine kurzzeitige Störung, vermutlich der DNS-Server. Meine PPPoE-Verbindung stand, aber normale Internet-Nutzung war nicht möglich. Gleichfalls meldete VCM im LANmonitor, dass meine SIP-Leitungen gestört sind. Meine Backup-Schaltung auf LTE streikte gleichfalls (vgl. anderen Beitrag hier im Forum...), da wohl die Pings der Leitungsüberwachung beantwortet wurden.

2. Während ich also krampfhaft nach dem Grund der Backup-Störung suchte, machte ich folgende kurze (1 bis 2 Minuten) Beobachtung im LANmonitor:
- ständig Anmeldeversuche von mehreren SIP-Benutzern mit zum Beispiel der Internet-IP 190.65.172.238 (kritzelte ich schnell auf einen Zettel, der mich hier seitdem anstarrt!)
- Die SIP-Benutzer waren immer nur wenige Sekunden im LANmonitor zu sehen und verschwanden dann auch wieder.
- LANmonitor meldete zu den Anmeldeversuchen der SIP-Benutzer definitif: "Zugriff über WAN: ..." (allerdings weiß ich nicht mehr die genaue Meldung hinter dem Doppelpunkt. Allerdings stand da nicht VPN sondern irgendwas mit WAN!!! - was ja in der Config gar nicht angeboten wird.)
- Als ich gerade einen Screenshot machen wollte war die Provider-Störung bereits wieder behoben und die Anmeldeversuche mit einem Schlag verschwunden.

3. Ich habe danach sämtliche Syslogs (externer Syslog-Server) vom VCM durchsucht und keine Einträge dazu gefunden!!! Leider hatte ich keine FW-Regel mit Syslog eingerichtet, so dass es da auf dem Syslogserver auch keine Infos gab. Gleichfalls weitere kurze Kontrollen im Geräte-Syslogspeicher ergab nichts auffälliges!

Ich hatte danach auch gezweifelt, ob es sich hier wirklich um eine Störung beim Provider oder um eine Gerätestörung des 1781EF+ gehandelt hatte. Da der Spuk aber ohne Geräteneustart verschwand, ging ich von einer Provider-Störung aus.

Mit "Nichts" kann man ja auch leider nichts anfangen - daher hatte ich mich hier dazu auch nicht geäußert. Allerdings fiel mir jetzt beim Lesen des Threads mein Erlebnis wieder ein, welches ich hier wenigstens wiedergeben wollte - in der Hoffnung, dass es zur Lösung des Problems beitragen könnte.

Viele Grüße,
Stefan

[Raudi]

Moin,

ich habe hier noch mal den LANtracer längere Zeit laufen lassen, hier kommen in 24 Stunden gut 250 INVITES rein bei denen "sipcli" im User-Agent steht. Bei meinem Vater dagegen nur 3 in 8 Stunden, aber selbst nach einem wechsel der IP Adresse ein INVITE von der selben Quelle. Die suchen dann wirklich permanent das gesamte Internet durch...

Bei mir ist dagegen die IP am Kabel Anschluss seit Ewigkeiten die gleiche, vielleicht daher auch die vielen versuche.

Die Quell IP Adressen dieses mal:

62.210.162.178 (FR)
62.210.167.35 (FR)
69.64.57.177 (US)
5.189.149.132 (DE)
194.63.143.70 (RU)

Wie gesagt, ein besseres Gefühl hätte ich wenn der Port von extern dicht wäre.

Viele Grüße
Stefan

[LoUiS]

Hi,

in der aktuellen Build 0521 des LCOS 9.10 wurde an dem Thema gearbeitet und dabei auch der Port 5060 geschlossen.
Jetzt kommt bei einer SIP Anfrage ein "Port unreachable".


Ciao
LoUiS

[cpuprofi]

Hallo LoUiS,

ich würde mir für die Zukunft wünschen, dass der VCM dann auch wieder eine schaltbare eine SIP-Anmeldung per WAN zulassen würde. Denn erst eine VPN von einem Handy aufbauen zu müssen, damit man danach eine SIP-Anmeldung am Lancom machen kann, sprengt meistens die Leitungskapazitäten der Mobilverbindung (nicht überall gibt es LTE oder UMTS!). Mit HSPA+ und EDGE ist dieses dann gar nicht möglich...

Superideal wäre dann noch, wenn der VCM auch zusätzlich zu G.711a und G.711u, den GSM Codec unterstützen (und zwischen den genannten Codec's wandeln) würde, denn dann hätte man immer (auch unterwegs und im Ausland!) eine funktionierende Verbindung.

Bei den 1722-1724er Geräten war dieses kein Problem und die SIP-Telefonie funktionierte wunderbar auch aus Asien und Südamerika.

Grüße
Cpuprofi

[Raudi]

Hallo LoUiS,

wunderbar, werde es mal testen und berichten...

Und Cpuprofi, mir ist zu Ohren gekommen, dass eine VoIP Verbindung über LTE gar nicht funktioniert, dass dieses von der Telekom z.B. gar nicht zugelassen wird. Da muss man zuerst einen VPN machen, damit dieses überhaupt funktioniert...

Aber sind das nicht Sachen die in die Feature Wünsche Ecke gehören?

Viele Grüße

Stefan

[Raudi]

Habe mal ein Portscan gemacht, alles gut bis auf:

port80.jpg

Kann man das nicht auch noch dicht machen wenn deaktiviert?

Die anderen Ports wie SSH, Telnet, TFTP scheinen ja dicht zu sein, warum der HTTP nicht?

Viele Grüße
Stefan

[LoUiS]

Hi,

da wirst Du vmtl. einen Dienst im LANCOM aktiviert haben, der den Port braucht. Z.B. "ipsec over https" annehmen Port 443, oder die interne CA mit CRL auf Port 80.


Ciao
LoUiS

[cpuprofi]

Hallo,

...Und Cpuprofi, mir ist zu Ohren gekommen, dass eine VoIP Verbindung über LTE gar nicht funktioniert, dass dieses von der Telekom z.B. gar nicht zugelassen wird...

es gibt mehr als nur EINEN Mobilfunk-Provider in Deutschland und bei Vodafone geht das OHNE VPN! Außerdem sprach ich explizit auch vom Ausland, wo die direkte SIP-WAN-Anmeldung wegen der Bandbreite zwingend erforderlich ist!

Und nur mal zu Deiner Info: In Frankreich ist die Nutzung von VPN gesetzlich verboten und in vielen Asiatischen Ländern wird VPN blockiert!

...Aber sind das nicht Sachen die in die Feature Wünsche Ecke gehören?...

Ich sehe das nicht als NEUES FEATURE welches der Lancom nie konnte, sondern die 1722-1724 Geräte (von denen der VCM ja fast 1zu1 übernommen wurde) konnten dieses und die Funktion ist auch noch im "neuen" VCM aka. ALL-IP Option drin, sonst hätte dieser Dir ja nicht auf Port 5060 geantwortet...

Daher auch mein Verlangen danach, dass diese Funktion wieder zum Leben erweckt wird!

Bei VoIP muß man globaler denken und nicht nur klein geistig an Deutschland und Telekom...

Und bevor Du jetzt mir noch an den Kopf wirfst, dass dann die VoIP-Gespräche dann abgehört werden "könnten", Lancom arbeitet schon an SIPS und SRTP und dann wären die Gespräche über diese SIP-WAN-Anmeldung sogar "abhörgeschützt".

Grüße
Cpuprofi

[LoUiS]

Hi,

das ist schon ein neues Features was hier gewuenscht wird und gehoert auch in meinen Augen nicht in diesen Thread.
Bitte mach doch im entsprechenden Bereich einen neuen Thread auf, da kann das gerne diskutiert werden.


Ciao
LoUiS

[cpuprofi]

Bitte mach doch im entsprechenden Bereich einen neuen Thread auf, da kann das gerne diskutiert werden.

Wurde gemacht.

Grüße
Cpuprofi

[Raudi]

da wirst Du vmtl. einen Dienst im LANCOM aktiviert haben, der den Port braucht. Z.B. "ipsec over https" annehmen Port 443, oder die interne CA mit CRL auf Port 80.

In der Tat war ipsec oder https eingeschaltet, warum auch immer, aber da habe ich den Haken nun entfernt, aber ist immer noch offen. In der CA ist bei Verteiler-Hostname nichts eingetragen, auch wird im LANmonitor bei CRLs keine angezeigt. Dann sollte die doch nicht aktiv sein, oder?

Was kann das noch sein? Public Spot? Die wäre nicht weiter konfiguriert. Aber alles würde ja nur einen Zugriff von intern benötigen und nicht vom WAN Interface.

Soll ich dir mal meine Config zukommen lassen?

Viele Grüße
Stefan