SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von hyperjojo »

hi garfield,

ist zwar offtopic, aber....
garfield0815 hat geschrieben:versuch doch mahl bei einem nicht telekom anschluss die an deine telekom tlefon nummer anzumelden
soweit ich das weis geht es nicht da die tkom ihre nummern an den ensprechenden anschluss bandelt (warum auch immer :G) )
Nein. Zum Einen erlaubt die Telekom eine nomadische Nutzung nur aus ihrem eigenen Netz. Sinn oder Unsinn oder vielleicht auch technische Hintergründe sind hier ebenfalls off-topic. Zum Anderen erlaubt sie beim eigenen Anschluss, die SIP-Registrierung ohne Benutzername/Passwort (als anonymous@t-online.de) vorzunehmen.

Aber grundsätzlich kann ich von jedem anderen Telekom Festnetzanschluss meine SIP-Registrierung vornehmen und somit nur mit ausreichend sicherem Username/Passwort telefonieren.

Gruß hyperjojo
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von hyperjojo »

hallo garfield,
garfield0815 hat geschrieben:nuja aus genau solcen wie von euch beschribenen gründen hab ich mich inzwischen weitgehenst von dem lancom routern verabschiedet
sorry, das muss ich jetzt loswerden, auch wenn es mit dem Thema überhaupt nichts mehr zu tun hat:
Bist du also nur noch zum stänkern und für Negativ-publicity hier im Forum aktiv? In letzter Zeit habe ich den Eindruck gewonnen.
just my 2 cent

Gruß hyperjojo
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von LoUiS »

Hi,

hyperjojo Deinen Beitrag hab ich gerade erst gesehen, evtl. haette Mein Kommentar hier besser hin gepasst! Es gibt ja scheinbar noch mehr User die meine Meinung zu garfield0815 teilen.
http://www.lancom-forum.de/lancom-umts- ... tml#p83436


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von DirkK »

Hi,

mal wieder zurück zum Thema:
mit LCOS 9.20 kommt ja "Voice over Secure IP". kann man nicht da das Thema SIP über WAN wieder aufgreifen?

Beste Grüße
Dirk
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von MoinMoin »

Moin Dirk!
DirkK hat geschrieben:mit LCOS 9.20 kommt ja "Voice over Secure IP". kann man nicht da das Thema SIP über WAN wieder aufgreifen?
Du willst jetzt also zu jedem per WAN angemeldeten SIP-Client noch ein Zertifikat hinterlegen?

Ciao, Georg
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von DirkK »

MoinMoin hat geschrieben:Du willst jetzt also zu jedem per WAN angemeldeten SIP-Client noch ein Zertifikat hinterlegen?
Wäre bei einer Hand voll SIP-Clients ja kein großer Akt.

Beste Grüße
Dirk
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von MoinMoin »

Moin Dirk!

Stellt sich allerdings noch eine andere Frage: Unterstützen aktuelle SIP-Clients denn eine zertifikatsbasierte Authentifizierung (also das Hinterlegen eines Zertifikats für die TLS-Verbindung)?

Ciao, Georg
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von DirkK »

MoinMoin hat geschrieben:Stellt sich allerdings noch eine andere Frage: Unterstützen aktuelle SIP-Clients denn eine zertifikatsbasierte Authentifizierung (also das Hinterlegen eines Zertifikats für die TLS-Verbindung)?
Hallo Georg,

jaaa, wir verwenden konsequent Bria Softphones, die das unterstützen. Ein PoC würde diesbezüglich natürlich noch ausstehen, aber auf Grund der fehlenden Funktionalität auf Lancom-Seite konnte das halt noch nicht gemacht werden.
Das Problem ist halt, dass sich der VPN-Tunnel an den iPhone immer wieder abbaut und nicht selbständig wieder aufgebaut wird...

Gruß
Dirk
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von MoinMoin »

Moin Dirk!

Gibt es denn für das IPhone einen SIP-Client, der das hinterlegen von Server/Client-Zeertifikat für eine SIPS-Verbindung unterstützt?

Du gestattest die Frage: Was bringt SIPS (außer der Verschlüsselung der SIP-Pakete) denn an Sicherheit, solange weiterhin ausschließlich der Passwort/Digest-Mechanismus von SIP verwendet wird? Die Unfähigkeit einiger Kunden, sichere Passwörter zu verwenden, war schließlich der Auslöser für die Sperrung des Zugangs per WAN.

Ciao, Georg
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von cpuprofi »

Hallo MoinMoin,
MoinMoin hat geschrieben:...Du gestattest die Frage: Was bringt SIPS (außer der Verschlüsselung der SIP-Pakete) denn an Sicherheit, solange weiterhin ausschließlich der Passwort/Digest-Mechanismus von SIP verwendet wird? Die Unfähigkeit einiger Kunden, sichere Passwörter zu verwenden, war schließlich der Auslöser für die Sperrung des Zugangs per WAN...
Du machst wohl auf diesen Fall eine Anspielung:
http://www.badische-zeitung.de/freiburg ... 04756.html

Wenn man mal diesen Fall genauer betrachte ist dieses "möchte gern" Systemhaus selber Schuld und wurde zu Recht geschändet!

Denn Dummheit schützt nun mal nicht vor Strafe!

Und dass jetzt die ganzen anderen Lancom-Nutzer, die verantwortungsvoll und sicherheitsbewusst mit den Funktionalitäten der Geräte umgehen, dafür bestraft werden, finde ich schon ganz schön dreist !!!

Andere Anbieter werben gerade mit der WAN Anbindung von SIP-Softphones, Stichwort: Starface, Pascom, Askozia...

Das Lancom dann so ein wichtiges Thema aus "Angst ums Image" außen vor lässt, ist unverständlich... :roll:

Grüße
Cpuprofi
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von stefanbunzel »

Hallo in die Runde.
stefanbunzel hat geschrieben: ... Desweiteren könnte man ja als erweiterte Default-Schutzmaßnahme unter Setup - Config - Zugriffstabelle - WAN einen Eintrag für SIP-Login mit Default "NEIN" einpflegen.
Und wenn man aus dem Produkt-Management noch mehr Sicherheitsmaßnahmen wünscht, dann wird der WAN-SIP-Zugriff nur für SIP-Benutzer erlaubt, bei denen ein Passwort, ggf. mit Forderung von bestimmter Passwortlänge, hinterlegt ist.

Weitere Sicherheitsmaßnahme, analog zu WLAN: SIP-IDS-Option integrieren!
Ich weiß, dass man sich ja eigentlich nicht selbst zitiert. Aber: Im November 2015 hatte ich dies gepostet und inzwischen wurde im LCOS 9.20 die "Geräte-Passwort-Richtlinie" für möglichst sichere Passwörter eingeführt. Wenn diese dann auch auf die SIP-Benutzer-Passwörter verpflichtend (!) angewandt wird, dann verspricht das schon recht gute Grund-Schutzmechanismen.

Und eine nicht deaktivierbare (!) SIP-IDS-Funktion, die dann bei Erfordernis eine SIP-Benutzeranmeldung über WAN für x Minuten oder sogar dauerhaft bis zur Entsperrung über CLI / WebInterface unterbindet inkl. SMS-, E-Mail- und / oder Syslog-Benachrichtigung würde meiner Meinung nach doch für eine sehr große Sicherheit seitens des Geräte-Herstellers sorgen. Dann dürfte sich so ein Missbrauch, wie zuvor verlinkt, doch eigentlich nicht mehr wiederholen - und die Lancom-User, die dieses Feature sich zurück wünschen, wären wieder glücklich.

Grundlage hierfür wäre aber vermutlich noch VoSIP mit SIPS/SRTP für die SIP-Benutzer und nicht nur für SIP-Leitungen.

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von cpuprofi »

Hallo Stefan,
stefanbunzel hat geschrieben:...Und eine nicht deaktivierbare (!) SIP-IDS-Funktion, die dann bei Erfordernis eine SIP-Benutzeranmeldung über WAN für x Minuten oder sogar dauerhaft bis zur Entsperrung über CLI / WebInterface unterbindet inkl. SMS-, E-Mail- und / oder Syslog-Benachrichtigung würde meiner Meinung nach doch für eine sehr große Sicherheit seitens des Geräte-Herstellers sorgen...
noch besser wäre es, wenn der Lancom nur die "(falsch) anmeldende WAN IP Adresse" nach x falschen Versuchen für x Minuten sperrt. Denn ansonsten kommt man selber mit "richtiger Anmeldung" nicht mehr aufs Gerät...

Eine dedizitäre WAN IP Filterung wäre schon von Vorteil!
stefanbunzel hat geschrieben:...Grundlage hierfür wäre aber vermutlich noch VoSIP mit SIPS/SRTP für die SIP-Benutzer und nicht nur für SIP-Leitungen...
Auch hier teile ich Deine Meinung!

Viele Grüße
Cpuprofi
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von Jirka »

Hallo zusammen,
cpuprofi hat geschrieben:noch besser wäre es, wenn der Lancom nur die "(falsch) anmeldende WAN IP Adresse" nach x falschen Versuchen für x Minuten sperrt.
viel zu viel Aufwand. Und gegen professionelle Angriffe, die mit jedem REGISTER-Versuch die IP-Adresse wechseln, hilft das dann nicht.
cpuprofi hat geschrieben:Denn ansonsten kommt man selber mit "richtiger Anmeldung" nicht mehr aufs Gerät...
Stimmt zwar, aber ist mit SSH ja z. B. auch nicht anders. Da nimmt man dann halt einen anderen Port.

Viele Grüße,
Jirka
Antworten