Seite 1 von 4 123 ... LetzteLetzte
Zeige Ergebnis 1 bis 15 von 52

Thema: Sicherheit bei der Starface

  1. #1
    STARFACE User

    Registriert seit
    20.09.2015
    Ort
    Kahl am Main
    Beiträge
    80

    Standard Sicherheit bei der Starface

    Hi,
    ich bekomme seit einigen Tagen folgende emails:

    Dies ist eine automatisch generierte Sicherheitswarnung Ihres Telefonsystems:
    Über die IP-Adresse 5.79.69.82 wurde innerhalb von 0 Minuten 10-mal versucht einen nicht-autorisierten Wählvorgang einzuleiten!
    Die IP 5.79.69.82 wurde deshalb in die Blacklist gesperrter Adressen übernommen und verbleibt dort bis 13.02.16 20:40.
    Die Einstellungen des Security Advisors können Sie im Administrationsfenster im Bereich Sicherheit überprüfen und ändern.

    Es ist nur Port 5060 vom Router auf Starface weitergeleitet.

    Gibt es noch etwas, um das Sicherer zu machen? Für mich würde auch statt 10 mal 1 mal reichen mit falscher Anmeldung um auf die BlackList zu kommen.

    Grüße
    Heinz
    KB Consulting
    Heinz Krischeu
    Portenstrasse 14
    63796 Kahl am Main

    T 06188 9120010

  2. #2
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.629

    Standard

    Klar - geht.

    Was ist das denn für ein Router? Verfügt der über eine umfassend konfigurierbare Firewall?

    Greifst Du auch von außen von beliebigen Zugängen auf die Starface zu, oder eher gar nicht?
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  3. #3
    STARFACE User

    Registriert seit
    20.09.2015
    Ort
    Kahl am Main
    Beiträge
    80

    Standard

    Hi Ulf,

    das ist ein Netgear DGN2200Bv4. Der Starface Vertriebsmitarbeiter verschwieg mir die Problematik mit der Fritzbox ... Da mußte es dann richtig schnell gehen. Medimax hat da nicht wirklich die Auswahl.

    Ich glaube, ich greife nicht von beliebigen Zugängen auf die Starface von außen zu. Ich wüsste bei 4 Personen, die dort im Hause sind auch nicht, warum. Es ist nur der Telekom All-IP Call and Surf Quatsch am Laufen.

    Es ist mit der Starface auch eigentlich total Oversized. Aber! Der Kunde wollte das unbedingt.

    Grüße

    Heinz
    KB Consulting
    Heinz Krischeu
    Portenstrasse 14
    63796 Kahl am Main

    T 06188 9120010

  4. #4
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.629

    Standard

    Ich kenne leider diesen Router nicht. Aber gehen wir mal davon aus, dass das Teil im Bereich der Firewall-Regeln ein wenig umfassender konfigurierbar ist - dann kannst Du in Deinem Fall als kleine, wirkungsvolle Maßnahme natürlich den Zugriff von außen über Port 5060 schon mal auf den Host des genutzten VOIP-Anbieters beschränken.
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  5. #5
    STARFACE User

    Registriert seit
    20.09.2015
    Ort
    Kahl am Main
    Beiträge
    80

    Standard

    Hi Ulf,
    das bekomme ich hin.

    Ich schau mal ob der Router das kann ....
    Aber bei der Telekom stecken in der Regel dynamisch, sich ändernde Hosts IP-Adressen. Damit müßte die Firewall den Hosteintrag dynamisch selbst ändern, oder?

    Grüße
    Heinz
    Geändert von krischeu (12.02.2016 um 23:10 Uhr)
    KB Consulting
    Heinz Krischeu
    Portenstrasse 14
    63796 Kahl am Main

    T 06188 9120010

  6. #6
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.629

    Standard

    ... gemeint ist die IP des VOIP-Hosts - bei der Telekom (aktuelle Endkundenprodukte): 217.0.23.100
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  7. #7
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.207

    Standard

    Zur Beruhigung: Der Security Advisor der STARFACE ist sehr gut. Die Anlagen hängen als Cloud-Anlagen nackt und ohne weitere Firewalls im Netz. Das wäre nicht möglich, wenn die STARFACE nicht selbst sehr zuverlässig auf Angriffsversuche reagieren und diese unterbinden würde. Ich verstehe, dass die genannten Emails manch einen verunsichern. Dabei sollten sie eigentlich das Gegenteil bewirken und nur zeigen "die Anlage hat alles unter Kontrolle und erkennt und blockiert Angriffe". Dass Angriffe stattfinden, sobald ein SIP-Port erreichbar ist, ist nicht ungewöhnlich. Komischerweise fühlen sich viele besser, wenn die Hinweisemails der STARFACE abgeschaltet werden – was man nicht weiß, macht einen nicht heiß
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  8. #8
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.629

    Standard

    Hallo Fabian,

    da hast Du natürlich völlig recht. Ich wollte auch absolut nicht transportieren, dass die Anlagen in diesen Punkten "unsicher" seien. Beantwortet wurde damit auch "nur" die Frage, was man noch machen kann - das sollte absolut nicht wertend sein.

    Tatsächlich ist es aber vielen Kunden (richtigerweise) wichtig, das man ins lokale Netz hinwein exakt nur den Verkehr zulässt, der auch wirklich unbedingt nötig ist. Bei den Kunden, die noch ruhiger schlafen wollen, kanalisieren wir z.B. auch im Vorfeld schon ein wenig, was da überhaupt reingehen kann. Wenn denn dann ein Zugriff von extern nicht benötigt wird, kann man das auch schon ein bissel weiter einschränken, meine ich. Durch ein Tor das gar nicht erst aufsteht, hält man natürlich mehr Gauner ab, als wenn die erste Tür schon mal sperrangelweit und einladend offen ist.

    Ich denke, man kann diesen Punkt tatsächlich dem Sicherheitsbedürfniss eines jedem überlassen - ganz "übertrieben" ist es tatsächlich ja auch nicht, hier ein Schloss mehr dran zu hängen - zumal das in der Regel bei vielleicht eh vorhandener Firewall ja weder einen großen noch einen finanziell belastenden Mehraufwand darstellt. Auch klar ist, dass selbst die beschriebene Maßnahme keinen "absoluten" Schutz darstellt, aber eine zusätzliche Hürde eben schon ...
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  9. #9
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.207

    Standard

    Das hast Du natürlich vollkommen Recht. Ich wollte deine Hinweise auch nur ergänzen und nicht den Eindruck erwecken, sie wären verkehrt.

    Vielleicht noch einen kurzen Nachtrag: Wenn man aus Sicherheitsgründen Firewalls zwischen STARFACE und (externe) Endgeräte oder STARFACE und Provider hängt, sollte man berücksichtigen, dass zusätzliche aktive Komponenten Latenzen und im schlimmeren Fall Jitter erzeugen. Auf UTM-Funktionen sollte innerhalb von VoIP-Verbindungen auf jeden Fall verzichtet werden! Auch sollte man sich Gedanken um die Performance seiner Geräte machen. VoIP-Traffic hat tendenziell keine hohen Bandbreitenanforderungen, erzeugt jedoch unter Umständen und je nach Gesprächsaufkommen hohe Paketraten. Diese belasten übermäßig stark die Hardware von (VPN-)Routern und Firewalls! Die Herstellerangaben bezüglich der Performance und dem Durchsatz dieser Geräte gehen von maximalen Paketgrößen aus. Oft ist man gut beraten, etwas größer dimensionierte Hardware für Firwalls und Router einzusetzen.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  10. #10
    STARFACE Admin
    Benutzerbild von DW-Goerlitz
    Registriert seit
    07.04.2014
    Ort
    02827 Görlitz
    Beiträge
    131

    Standard

    Hallo,

    ich kann es teilweise verstehen und teilweise auch nicht.

    Ok, also die Starface ist denke ma schon sicher...extrem sicher ist Sie natürlich nur, wenn a) keine Internetanschluss vorhanden ist oder b) sie ausgeschalten ist.

    Wir haben seit letzter Woche auch 2 Anlagen in einem RZ direkt am Coreswitch in Betrieb, und man gucke da, binnen ein paar Stunden erfolgen die ersten SSH, Anruf oder SIP-Angriffe...werden natürlich gesperrt...ein bisschen flexibler könnten diese jedoch sein, weil die glaub nur für 24 oder 48 Stunden gesperrt werden...hier könnte man z.B. mal sagen bleib für 1 Monat gesperrt, also als auto-vorwahl, das wäre ein wenig schicker.
    Was auch in dem Zusammenhang nützlich wäre, wenn man hier sagen könnte...ok nach 2 fehlerhaften versuchen oder 3, bzw halt generell ein auswahlfeld, soll die Sperre erfolgen.

    Ein Hinweis bezüglich des SSH-Port´s dass dieser nicht zu ändern ist, habe ich bereits an die Produktentwicklung weitergeleitet, ob dieser Umgesetzt wird oder nicht ...keine Ahnung.
    Mir wäre es schon wichtig, wenn man über die Konsole den SSH-Port abschalten könnte und bei Bedarf wieder aktivieren...was dann nur für ein bestimmte Zeitraum wäre.

    Das aber sicherlich auch alles eine Frage des Geschmacks...aber ich muss sagen, ich bin beruhigt wie zuverlässig die Anlage arbeitet, auch in dieser Hinsicht...und die kleinen Verbesserungen werden sicherlich noch Stück für Stück umgesetzt werden.

    Hutab für die letzte Aktualisierung, binnen einer Woche...das ist mehr als OK, denke ich...
    jaja binnen 2 Minuten wäre besser gewesen...Jungs nicht übertreiben...

    In diesem Sinne
    ein erholsames Wochenende
    Daniel

  11. #11
    STARFACE Crew
    Benutzerbild von TomAnson
    Registriert seit
    11.11.2014
    Ort
    Karlsruhe
    Beiträge
    1.394

    Standard

    Mir wäre es schon wichtig, wenn man über die Konsole den SSH-Port abschalten könnte und bei Bedarf wieder aktivieren...was dann nur für ein bestimmte Zeitraum wäre.

    Tipp: service xyz stop



    Sollte man natürlich nur machen, wenn man nicht auf SSH Zugriff angewiesen ist...
    STARFACE Quality Assurance

    Bug gefunden? Hier melden!
    Featurewunsch oder Verbesserungsvorschlag? Trage es in unserem Feature Request Portal ein!
    Unsere Knowledge-Base für STARFACE findet ihr hier!

  12. #12
    STARFACE Admin
    Benutzerbild von DW-Goerlitz
    Registriert seit
    07.04.2014
    Ort
    02827 Görlitz
    Beiträge
    131

    Standard

    Zitat Zitat von TomAnson Beitrag anzeigen
    Tipp: service xyz stop

    Na nu verrate mir nur noch wie du den dann wieder startest

    Ja sicherlich eine Option wenn man ihn wirklich wirklich, alsooo WIRKLICH nicht braucht...
    Ok mitm Neustart könnte er evtl. wieder starten...aber auch keine wirkliche Option...

    Mit Grüßen
    Daniel

  13. #13
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.207

    Standard

    Zitat Zitat von DW-Goerlitz Beitrag anzeigen
    Wir haben seit letzter Woche auch 2 Anlagen in einem RZ direkt am Coreswitch in Betrieb, und man gucke da, binnen ein paar Stunden erfolgen die ersten SSH, Anruf oder SIP-Angriffe...werden natürlich gesperrt...ein bisschen flexibler könnten diese jedoch sein, weil die glaub nur für 24 oder 48 Stunden gesperrt werden...hier könnte man z.B. mal sagen bleib für 1 Monat gesperrt, also als auto-vorwahl, das wäre ein wenig schicker.
    Was auch in dem Zusammenhang nützlich wäre, wenn man hier sagen könnte...ok nach 2 fehlerhaften versuchen oder 3, bzw halt generell ein auswahlfeld, soll die Sperre erfolgen.
    Intern bietet die STARFACE diese Flexibilität - es gibt nur kein User Interface dafür
    Teil des STARFACE-Konzeptes ist, es den Kunden leicht zu machen, die Anlage zu administrieren und zu bedienen. Die Abwägung ist da nicht immer ganz einfach.

    Zitat Zitat von DW-Goerlitz Beitrag anzeigen
    Mir wäre es schon wichtig, wenn man über die Konsole den SSH-Port abschalten könnte und bei Bedarf wieder aktivieren...was dann nur für ein bestimmte Zeitraum wäre.
    Das An-/Abschalten des SSH-Dienstes oder das Hinzufügen von Firewall-Regeln ist über die Konsole problemlos möglich. Das An-/Abschalten über das Webinterface sehe ich kritisch. Man schaltet den Dienst ab, unterbricht die Anlage blöderweise bei einem Backup (ja, so etwas kommt regelmäßig vor! Dazu gibt es haufenweise Tickets) oder läßt die Platte voll laufen und hat dan ein Stück Hardware, mit dem man nichts mehr anfängt. Die Weboberfläche startet nicht mehr und per SSH kann man auch nicht mehr auf die Anlage.

    Man kann den SSH-Dienst jedoch auch einfach per Modulfunktion deaktivieren und auch wieder aktivieren. Nach einem Anlagenneustart ist der Dienst dann wieder aktiv.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  14. #14
    STARFACE Admin
    Benutzerbild von DW-Goerlitz
    Registriert seit
    07.04.2014
    Ort
    02827 Görlitz
    Beiträge
    131

    Standard

    Hallo,

    also irgendwie vermute ich bald, dass ich mir die Antwort nach dem ganzen schon bald selber geben kann.

    So seitdem unsere SF in nem RZ ist, gehts los mit den Angriffen...witziger weise sogar auch von dt RZ´s mit gleichen Subnetz...
    So und jetzt...genauuuuu... wieso gibts keine Möglichkeit gleich nen ganzes Subnetz 12.34.56.* bzw. 12.34.*.* zu sperren?
    Genauso...ich meine man kann Benutzer und alles mögliche mit csv hochladen...wieso geht das bei der Blacklist nie ?

    Einfache überschaubare Bedienung, ok, geh ich mit...aber das echt nervig...

    Das wäre echt ne Verbesserung...

    Grüße aus Görlitz
    Daniel

  15. #15
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.207

    Standard

    Wenn man die Eingabe von Subnetzen erlaubt, sind aufwendige Prüfroutinen notwendig, damit nicht aus Versehen, durch eine falsch gesetzte Netzmaske der Provider, interne Netze oder Ähnliches gesperrt werden.
    Mit einer Wildcard-Eingabe kann ich mich leicht selbst aussperren. Bei Eingabe einer einzelnen IP-Adresse eher nicht.

    Es wäre auch nicht wirklich viel gewonnen, außer, dass man weniger Angriffsemails bekommt, die man jedoch abschalten kann. Will man gezielt ACLs umsetzen, sollte man dafür eine Firewall einsetzen.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

Ähnliche Themen

  1. Java Version in Starface und die Sicherheit
    Von slu im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 13.06.2012, 23:01
  2. SIP Sicherheit verschärfen
    Von Merowinger im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 19.03.2009, 15:01

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •