Evtl. gefaehrlich: Sonderbehandlung UDP
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Evtl. gefaehrlich: Sonderbehandlung UDP
Guten Tag nach langer Zeit !
In eigener Sache: Aus mitgeteilten Gründen habe ich das LANCOM-Forum für längere Zeit gemieden.
Nun ist mir etwas aufgefallen, das potentiell gefährlich erscheint. Hier im Forum habe ich von sehr vielen Mitgliedern qualifizierte und aufwendige Hilfe erhalten. So etwas verpflichtet auch. Deswegen dieser Beitrag.
Problem:
Anfragen auf die "feste" öffentliche IP eines LANCOM 1906VA-4G (FW 10.42.280RU1) gegen 5060/UDP werden ungefragt an die im Intranet angeschlossene Telephonanlage weitergeleitet.
Es besteht kein "Port Forwarding".
Eine Telephonanlage existiert tatsächlich, die registriert sich ausgehend über das Intranet.
Firewall: 'deny-all', eine Regel "allow any gegen UDP/TK-Anlage".
Router: NAT-Haltezeit 180 s.
Die TK-Anlage registriert sich natürlich beim Provider mit abgehend 5060/UDP.
Zusätzlich, für einen "historischen" Altanschluß, nimmt der VCM drei Telekom-SIP-Accounts direkt auf und routet diese unmittelbar auf die TK-Anlage. Nur der Vollständigkeit halber.
Die Konfiguration mit dem NAT ist hanebüchen schlecht, quasi "best practise", denn eine TK-Anlage hat gefälligst eine eigene, öffentliche, statische IP-Adresse. Da kann gerade der LANCOM seinen großen Vorteil der "echten" DMZ ausspielen. /29er Netz ist seit geraumer Zeit bestellt.
Bislang hat alles funktioniert.
BLOSS ETWAS ZU GUT ...
Völlig ungefragt nimmt der LANCOM auch von anderen Hosts als dem SBC des SIP-Providers Anfragen an 5060/UDP an und leitet sie weiter an die TK-Anlage im Intranet.
WIE KANN DAS SEIN ?
Heute sehe ich unter STATUS/IP_ROUTER/VERBINDUNGEN gleich 120 Verbindungen irgendwo aus den Niederlanden. Alle wollen sich registrieren und wahrscheinlich dann nach Papua-Neuguinea telephonieren.
Die Asterisk weist das ab. ACLs und "allowguest=no" sind aktiv.
Aber ich habe gern "security by redundancy" PLUS "security in depth", alles andere ist MIST.
Eine Firewall ist dazu da, den Endkunden vor den Fehlern der Admins zu schützen.
Nun kommt hier offensichtlich jemand durch, weil der Port 5060/UDP offenbar eine Sonderbehandlung erfährt.
Natürlich habe ich die Regel angepaßt und mit dem passenden Quell-IP-Range versehen, aber den hat man ja nicht immer und es irritiert mich schwer, daß eine "Weiterleitung nach Gefühl" durch den LANCOM erfolgt.
In dem Zusammenhang möchte ich auch die Teilnehmer hier warnen.
Kann jemand etwas dazu sagen ? Den aktuellen Release-Update kann ich aus organisatorischen Gründen nicht installieren.
Lieben Gruß !
In eigener Sache: Aus mitgeteilten Gründen habe ich das LANCOM-Forum für längere Zeit gemieden.
Nun ist mir etwas aufgefallen, das potentiell gefährlich erscheint. Hier im Forum habe ich von sehr vielen Mitgliedern qualifizierte und aufwendige Hilfe erhalten. So etwas verpflichtet auch. Deswegen dieser Beitrag.
Problem:
Anfragen auf die "feste" öffentliche IP eines LANCOM 1906VA-4G (FW 10.42.280RU1) gegen 5060/UDP werden ungefragt an die im Intranet angeschlossene Telephonanlage weitergeleitet.
Es besteht kein "Port Forwarding".
Eine Telephonanlage existiert tatsächlich, die registriert sich ausgehend über das Intranet.
Firewall: 'deny-all', eine Regel "allow any gegen UDP/TK-Anlage".
Router: NAT-Haltezeit 180 s.
Die TK-Anlage registriert sich natürlich beim Provider mit abgehend 5060/UDP.
Zusätzlich, für einen "historischen" Altanschluß, nimmt der VCM drei Telekom-SIP-Accounts direkt auf und routet diese unmittelbar auf die TK-Anlage. Nur der Vollständigkeit halber.
Die Konfiguration mit dem NAT ist hanebüchen schlecht, quasi "best practise", denn eine TK-Anlage hat gefälligst eine eigene, öffentliche, statische IP-Adresse. Da kann gerade der LANCOM seinen großen Vorteil der "echten" DMZ ausspielen. /29er Netz ist seit geraumer Zeit bestellt.
Bislang hat alles funktioniert.
BLOSS ETWAS ZU GUT ...
Völlig ungefragt nimmt der LANCOM auch von anderen Hosts als dem SBC des SIP-Providers Anfragen an 5060/UDP an und leitet sie weiter an die TK-Anlage im Intranet.
WIE KANN DAS SEIN ?
Heute sehe ich unter STATUS/IP_ROUTER/VERBINDUNGEN gleich 120 Verbindungen irgendwo aus den Niederlanden. Alle wollen sich registrieren und wahrscheinlich dann nach Papua-Neuguinea telephonieren.
Die Asterisk weist das ab. ACLs und "allowguest=no" sind aktiv.
Aber ich habe gern "security by redundancy" PLUS "security in depth", alles andere ist MIST.
Eine Firewall ist dazu da, den Endkunden vor den Fehlern der Admins zu schützen.
Nun kommt hier offensichtlich jemand durch, weil der Port 5060/UDP offenbar eine Sonderbehandlung erfährt.
Natürlich habe ich die Regel angepaßt und mit dem passenden Quell-IP-Range versehen, aber den hat man ja nicht immer und es irritiert mich schwer, daß eine "Weiterleitung nach Gefühl" durch den LANCOM erfolgt.
In dem Zusammenhang möchte ich auch die Teilnehmer hier warnen.
Kann jemand etwas dazu sagen ? Den aktuellen Release-Update kann ich aus organisatorischen Gründen nicht installieren.
Lieben Gruß !
-
- Beiträge: 2921
- Registriert: 12 Jan 2010, 14:10
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Hi,
l /Setup/Voice-Call-Manager/Lines/SIP-Provider/Line/LEITUNGSNAME
-> Strict-Mode: no ?
Gruß Dr.Einstein
l /Setup/Voice-Call-Manager/Lines/SIP-Provider/Line/LEITUNGSNAME
-> Strict-Mode: no ?
Gruß Dr.Einstein
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Danke für den Hinweis mit dem 'strict mode', aber die VCM-"Leitungen" sind nicht das Problem.
Wohl aber die Weiterleitung eines "wildfremden" SIP REGISTER an die TK-Anlage. Wie kommt der Router darauf?
Warum schickt er den Request nicht an die (IP-) Frankiermaschine ?
Wohl aber die Weiterleitung eines "wildfremden" SIP REGISTER an die TK-Anlage. Wie kommt der Router darauf?
Warum schickt er den Request nicht an die (IP-) Frankiermaschine ?
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Moin Koppelfeld,
der VCM verwendet für seine Leitungen normalerweise nicht 5060 als lokalen Port. Wie der SIP-ALG das hält, weiß ich nicht. ich denke aber, der wird eine Portmaskierung machen, so daß extern auch nicht die 5060 verwendet wird. Damit sollte im WAN eigentlich der Port 5060 zu sein.
Dein Internet ist sicherlich maskiert. Daher werden auch die Registrierungen deiner TK-Anlage nicht mit lokalem Port 5060 rausgehen.
Wenn Pakete aus dem Internet bei deiner TK-Anlage auf Port 5060 ankommen, können die eigentlich nur über die Maskierung von deren Registrierungssession reinkommen. Allerdings bin ich mir sicher, daß darüber nur Pakkete reinkommen, die von der IP/Port Kombination des Registrars deiner TK-Anlage kommen.
Verwendest du den SIP-ALG?
Ciao, Georg
der VCM verwendet für seine Leitungen normalerweise nicht 5060 als lokalen Port. Wie der SIP-ALG das hält, weiß ich nicht. ich denke aber, der wird eine Portmaskierung machen, so daß extern auch nicht die 5060 verwendet wird. Damit sollte im WAN eigentlich der Port 5060 zu sein.
Dein Internet ist sicherlich maskiert. Daher werden auch die Registrierungen deiner TK-Anlage nicht mit lokalem Port 5060 rausgehen.
Wenn Pakete aus dem Internet bei deiner TK-Anlage auf Port 5060 ankommen, können die eigentlich nur über die Maskierung von deren Registrierungssession reinkommen. Allerdings bin ich mir sicher, daß darüber nur Pakkete reinkommen, die von der IP/Port Kombination des Registrars deiner TK-Anlage kommen.
Verwendest du den SIP-ALG?
Ciao, Georg
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Kein ALG. Der VCM läuft "nebenher", den kann man auch abschalten.
Es kommen trotzdem SIP REGISTER auf Port 5060/UDP auf der Telephonanlage an.
Aus Holland aktuell. Dahin haben wir NIE gesendet.
Es kommen trotzdem SIP REGISTER auf Port 5060/UDP auf der Telephonanlage an.
Aus Holland aktuell. Dahin haben wir NIE gesendet.
-
- Beiträge: 2921
- Registriert: 12 Jan 2010, 14:10
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
D.h. keine Portweiterleitung, VCM wirklich testweise mal komplett deaktivieren, nur die TK-Anlage via UDP extern registriert und du bekommst durch Testtools wie
https://www.ipvoid.com/udp-port-scan/
im ip-router Trace eine Ausgabe, dass diese externe Adresse ans LAN weitergereicht wird? Wenn dem so wäre, gute Nacht. Habe trotzdem das Gefühl, dass du ein bestimmtes Detail nicht erwähnst wie z.B. eine konfigurierte DMZ für das TK-Anlagennetzwerk.
Was sagt?
Gruß Dr.Einstein
https://www.ipvoid.com/udp-port-scan/
im ip-router Trace eine Ausgabe, dass diese externe Adresse ans LAN weitergereicht wird? Wenn dem so wäre, gute Nacht. Habe trotzdem das Gefühl, dass du ein bestimmtes Detail nicht erwähnst wie z.B. eine konfigurierte DMZ für das TK-Anlagennetzwerk.
Was sagt
Code: Alles auswählen
l /Status/IP-Router/Connection-List
Gruß Dr.Einstein
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Moin,
was ist das denn für eine PBX?
Zufällig eine Swyx mit der Instant-Messaging-Funktion?
If, der Server dazu steht in NL.
VG
was ist das denn für eine PBX?
Zufällig eine Swyx mit der Instant-Messaging-Funktion?
If, der Server dazu steht in NL.
VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
-
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Um allfällige NAT-Slipstreaming-Angriffe auf die TK-Anlage abwehren zu können, müssen alle ALG's abgeschaltet werden und konsequent VLAN+ARF im internen Netzwerk eingesetzt werden.
https://www.heise.de/news/NAT-Slipstrea ... 78104.html
fragen-zur-lancom-systems-routern-und-g ... tml#p90529
fragen-zum-thema-firewall-f15/portfreig ... tml#p99671
https://www.heise.de/news/NAT-Slipstrea ... 78104.html
fragen-zur-lancom-systems-routern-und-g ... tml#p90529
fragen-zum-thema-firewall-f15/portfreig ... tml#p99671
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Erledigt, schon im Anfang.Dr.Einstein hat geschrieben: ↑18 Mär 2021, 11:07 D.h. keine Portweiterleitung, VCM wirklich testweise mal komplett deaktivieren,
Am WE (kann schlecht im laufenden Betrieb testen) probiere ich es 'mal mit nmap von verschiedenen externen Rechnern, es war sehr dumm von mir, das nicht von Anfang an zu tun.
Es will fast so aussehen.im ip-router Trace eine Ausgabe, dass diese externe Adresse ans LAN weitergereicht wird? Wenn dem so wäre, gute Nacht.
Einzige Erklärung: Die Asterisk selbst sendet irgendeinen Schwachsinn in die Niederlande und "macht den Weg frei". Auf dem Asterisk-Rechner gibt es kein IP-Forwarding und so auch keine Netfilter-Regeln, die VoIP-Endgeräte sind alle schön in einem lokalen Netz ohne Externzugriff, alles ist extrem einfach gehalten.
Ich allerdings auch. Vermutete Fehler in Zusatzkomponenten sind bei mir in 90% selbst verusrsacht, Ausnahmen Microsoft und Lancom. Da sind es vllt. 50%.Habe trotzdem das Gefühl, dass du ein bestimmtes Detail nicht erwähnst wie z.B. eine konfigurierte DMZ für das TK-Anlagennetzwerk.
Eine fiese Sache gibt es, einen WLAN-Controller und einige Access Points mit privaten Geräten drin. Natürlich im Extra-Netz, natürlich haben WLC und APs ein getrenntes Management-VLAN. Sollte also nix passieren können.
Da stehen die Verbindungen mit Timeout, IP, Quell- und Zielport sowie der angezogenen FW-Regel sauber gelistet. 120 Stück, alle eingehend.Was sagt?Code: Alles auswählen
l /Status/IP-Router/Connection-List
Unterdessen habe ich die FW-Regel auf den Range des Providers angepaßt. Das kaschiert aber einen Fehler anstatt ihn zu lokalisieren und zu beheben.
Mein weiblicher Instinkt sagt mir, "Das muß abgeklärt werden".
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Nicht zu fassen.
Diese "Spezialanlage" sieht schon von außen aus wie ein Sack Flöhe.
Nein, wir nehmen immer eine ganz normale Asterisk.
Ist zwar phantasielos, aber zuverlässig.
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Evtl. gefaehrlich: Sonderbehandlung UDP
Danke, das tun wir bereits, allein aus administrativen Gründen, sehr konsequent.GrandDixence hat geschrieben: ↑18 Mär 2021, 21:53 Um allfällige NAT-Slipstreaming-Angriffe auf die TK-Anlage abwehren zu können, müssen alle ALG's abgeschaltet werden und konsequent VLAN+ARF im internen Netzwerk eingesetzt werden.
https://www.heise.de/news/NAT-Slipstrea ... 78104.html
Slipstream. Eigentlich heißt das u.a. "Fahrtwind".
Ich lese das 'mal am Wochenende durch, DANKE !
*seufz*
Man hätte dieses geNATte niemals einführen dürfen, stattdessen wären zwei zusätzliche Oktette in der IP-Adresse, per Default mit 0 belegt, eine einfache, aufwärtskompatible und zielführende Lösung vieler Probleme gewesen.
Stattdessen wurde mit Schwarmintelligenz ein unübersichtliches Monster erschaffen, und das erste, was man nachkartete, war NAT. Mir fällt da nix mehr dazu ein.