Sicherheit bei der Starface

  • Hi,
    ich bekomme seit einigen Tagen folgende emails:


    Dies ist eine automatisch generierte Sicherheitswarnung Ihres Telefonsystems:
    Über die IP-Adresse 5.79.69.82 wurde innerhalb von 0 Minuten 10-mal versucht einen nicht-autorisierten Wählvorgang einzuleiten!
    Die IP 5.79.69.82 wurde deshalb in die Blacklist gesperrter Adressen übernommen und verbleibt dort bis 13.02.16 20:40.
    Die Einstellungen des Security Advisors können Sie im Administrationsfenster im Bereich Sicherheit überprüfen und ändern.


    Es ist nur Port 5060 vom Router auf Starface weitergeleitet.


    Gibt es noch etwas, um das Sicherer zu machen? Für mich würde auch statt 10 mal 1 mal reichen mit falscher Anmeldung um auf die BlackList zu kommen.


    Grüße
    Heinz

    KB Consulting
    Heinz Krischeu
    Portenstrasse 14
    63796 Kahl am Main


    T 06188 9120010

  • Hi Ulf,


    das ist ein Netgear DGN2200Bv4. Der Starface Vertriebsmitarbeiter verschwieg mir die Problematik mit der Fritzbox ... Da mußte es dann richtig schnell gehen. Medimax hat da nicht wirklich die Auswahl.


    Ich glaube, ich greife nicht von beliebigen Zugängen auf die Starface von außen zu. Ich wüsste bei 4 Personen, die dort im Hause sind auch nicht, warum. Es ist nur der Telekom All-IP Call and Surf Quatsch am Laufen.


    Es ist mit der Starface auch eigentlich total Oversized. Aber! Der Kunde wollte das unbedingt.


    Grüße


    Heinz

    KB Consulting
    Heinz Krischeu
    Portenstrasse 14
    63796 Kahl am Main


    T 06188 9120010

  • Ich kenne leider diesen Router nicht. Aber gehen wir mal davon aus, dass das Teil im Bereich der Firewall-Regeln ein wenig umfassender konfigurierbar ist - dann kannst Du in Deinem Fall als kleine, wirkungsvolle Maßnahme natürlich den Zugriff von außen über Port 5060 schon mal auf den Host des genutzten VOIP-Anbieters beschränken.

  • Hi Ulf,
    das bekomme ich hin.


    Ich schau mal ob der Router das kann ....
    Aber bei der Telekom stecken in der Regel dynamisch, sich ändernde Hosts IP-Adressen. Damit müßte die Firewall den Hosteintrag dynamisch selbst ändern, oder?


    Grüße
    Heinz

    KB Consulting
    Heinz Krischeu
    Portenstrasse 14
    63796 Kahl am Main


    T 06188 9120010

    Einmal editiert, zuletzt von krischeu ()

  • Zur Beruhigung: Der Security Advisor der STARFACE ist sehr gut. Die Anlagen hängen als Cloud-Anlagen nackt und ohne weitere Firewalls im Netz. Das wäre nicht möglich, wenn die STARFACE nicht selbst sehr zuverlässig auf Angriffsversuche reagieren und diese unterbinden würde. Ich verstehe, dass die genannten Emails manch einen verunsichern. Dabei sollten sie eigentlich das Gegenteil bewirken und nur zeigen "die Anlage hat alles unter Kontrolle und erkennt und blockiert Angriffe". Dass Angriffe stattfinden, sobald ein SIP-Port erreichbar ist, ist nicht ungewöhnlich. Komischerweise fühlen sich viele besser, wenn die Hinweisemails der STARFACE abgeschaltet werden – was man nicht weiß, macht einen nicht heiß ;)

  • Hallo Fabian,


    da hast Du natürlich völlig recht. Ich wollte auch absolut nicht transportieren, dass die Anlagen in diesen Punkten "unsicher" seien. Beantwortet wurde damit auch "nur" die Frage, was man noch machen kann - das sollte absolut nicht wertend sein.


    Tatsächlich ist es aber vielen Kunden (richtigerweise) wichtig, das man ins lokale Netz hinwein exakt nur den Verkehr zulässt, der auch wirklich unbedingt nötig ist. Bei den Kunden, die noch ruhiger schlafen wollen, kanalisieren wir z.B. auch im Vorfeld schon ein wenig, was da überhaupt reingehen kann. Wenn denn dann ein Zugriff von extern nicht benötigt wird, kann man das auch schon ein bissel weiter einschränken, meine ich. Durch ein Tor das gar nicht erst aufsteht, hält man natürlich mehr Gauner ab, als wenn die erste Tür schon mal sperrangelweit und einladend offen ist.


    Ich denke, man kann diesen Punkt tatsächlich dem Sicherheitsbedürfniss eines jedem überlassen - ganz "übertrieben" ist es tatsächlich ja auch nicht, hier ein Schloss mehr dran zu hängen - zumal das in der Regel bei vielleicht eh vorhandener Firewall ja weder einen großen noch einen finanziell belastenden Mehraufwand darstellt. Auch klar ist, dass selbst die beschriebene Maßnahme keinen "absoluten" Schutz darstellt, aber eine zusätzliche Hürde eben schon ... :)

  • Das hast Du natürlich vollkommen Recht. Ich wollte deine Hinweise auch nur ergänzen und nicht den Eindruck erwecken, sie wären verkehrt.


    Vielleicht noch einen kurzen Nachtrag: Wenn man aus Sicherheitsgründen Firewalls zwischen STARFACE und (externe) Endgeräte oder STARFACE und Provider hängt, sollte man berücksichtigen, dass zusätzliche aktive Komponenten Latenzen und im schlimmeren Fall Jitter erzeugen. Auf UTM-Funktionen sollte innerhalb von VoIP-Verbindungen auf jeden Fall verzichtet werden! Auch sollte man sich Gedanken um die Performance seiner Geräte machen. VoIP-Traffic hat tendenziell keine hohen Bandbreitenanforderungen, erzeugt jedoch unter Umständen und je nach Gesprächsaufkommen hohe Paketraten. Diese belasten übermäßig stark die Hardware von (VPN-)Routern und Firewalls! Die Herstellerangaben bezüglich der Performance und dem Durchsatz dieser Geräte gehen von maximalen Paketgrößen aus. Oft ist man gut beraten, etwas größer dimensionierte Hardware für Firwalls und Router einzusetzen.

  • Hallo,


    ich kann es teilweise verstehen und teilweise auch nicht.


    Ok, also die Starface ist denke ma schon sicher...extrem sicher ist Sie natürlich nur, wenn a) keine Internetanschluss vorhanden ist oder b) sie ausgeschalten ist.


    Wir haben seit letzter Woche auch 2 Anlagen in einem RZ direkt am Coreswitch in Betrieb, und man gucke da, binnen ein paar Stunden erfolgen die ersten SSH, Anruf oder SIP-Angriffe...werden natürlich gesperrt...ein bisschen flexibler könnten diese jedoch sein, weil die glaub nur für 24 oder 48 Stunden gesperrt werden...hier könnte man z.B. mal sagen bleib für 1 Monat gesperrt, also als auto-vorwahl, das wäre ein wenig schicker.
    Was auch in dem Zusammenhang nützlich wäre, wenn man hier sagen könnte...ok nach 2 fehlerhaften versuchen oder 3, bzw halt generell ein auswahlfeld, soll die Sperre erfolgen.


    Ein Hinweis bezüglich des SSH-Port´s dass dieser nicht zu ändern ist, habe ich bereits an die Produktentwicklung weitergeleitet, ob dieser Umgesetzt wird oder nicht ...keine Ahnung.
    Mir wäre es schon wichtig, wenn man über die Konsole den SSH-Port abschalten könnte und bei Bedarf wieder aktivieren...was dann nur für ein bestimmte Zeitraum wäre.


    Das aber sicherlich auch alles eine Frage des Geschmacks...aber ich muss sagen, ich bin beruhigt wie zuverlässig die Anlage arbeitet, auch in dieser Hinsicht...und die kleinen Verbesserungen werden sicherlich noch Stück für Stück umgesetzt werden.


    Hutab für die letzte Aktualisierung, binnen einer Woche...das ist mehr als OK, denke ich...
    jaja binnen 2 Minuten wäre besser gewesen...Jungs nicht übertreiben...


    In diesem Sinne
    ein erholsames Wochenende
    Daniel

  • Zitat

    Mir wäre es schon wichtig, wenn man über die Konsole den SSH-Port abschalten könnte und bei Bedarf wieder aktivieren...was dann nur für ein bestimmte Zeitraum wäre.



    Tipp: service xyz stop


    :)


    Sollte man natürlich nur machen, wenn man nicht auf SSH Zugriff angewiesen ist...

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Tipp: service xyz stop


    :)


    Na nu verrate mir nur noch wie du den dann wieder startest :p


    Ja sicherlich eine Option wenn man ihn wirklich wirklich, alsooo WIRKLICH nicht braucht...
    Ok mitm Neustart könnte er evtl. wieder starten...aber auch keine wirkliche Option...


    Mit Grüßen
    Daniel


  • Wir haben seit letzter Woche auch 2 Anlagen in einem RZ direkt am Coreswitch in Betrieb, und man gucke da, binnen ein paar Stunden erfolgen die ersten SSH, Anruf oder SIP-Angriffe...werden natürlich gesperrt...ein bisschen flexibler könnten diese jedoch sein, weil die glaub nur für 24 oder 48 Stunden gesperrt werden...hier könnte man z.B. mal sagen bleib für 1 Monat gesperrt, also als auto-vorwahl, das wäre ein wenig schicker.
    Was auch in dem Zusammenhang nützlich wäre, wenn man hier sagen könnte...ok nach 2 fehlerhaften versuchen oder 3, bzw halt generell ein auswahlfeld, soll die Sperre erfolgen.


    Intern bietet die STARFACE diese Flexibilität - es gibt nur kein User Interface dafür ;)
    Teil des STARFACE-Konzeptes ist, es den Kunden leicht zu machen, die Anlage zu administrieren und zu bedienen. Die Abwägung ist da nicht immer ganz einfach.



    Mir wäre es schon wichtig, wenn man über die Konsole den SSH-Port abschalten könnte und bei Bedarf wieder aktivieren...was dann nur für ein bestimmte Zeitraum wäre.


    Das An-/Abschalten des SSH-Dienstes oder das Hinzufügen von Firewall-Regeln ist über die Konsole problemlos möglich. Das An-/Abschalten über das Webinterface sehe ich kritisch. Man schaltet den Dienst ab, unterbricht die Anlage blöderweise bei einem Backup (ja, so etwas kommt regelmäßig vor! Dazu gibt es haufenweise Tickets) oder läßt die Platte voll laufen und hat dan ein Stück Hardware, mit dem man nichts mehr anfängt. Die Weboberfläche startet nicht mehr und per SSH kann man auch nicht mehr auf die Anlage.


    Man kann den SSH-Dienst jedoch auch einfach per Modulfunktion deaktivieren und auch wieder aktivieren. Nach einem Anlagenneustart ist der Dienst dann wieder aktiv.

  • Hallo,


    also irgendwie vermute ich bald, dass ich mir die Antwort nach dem ganzen schon bald selber geben kann.


    So seitdem unsere SF in nem RZ ist, gehts los mit den Angriffen...witziger weise sogar auch von dt RZ´s mit gleichen Subnetz...
    So und jetzt...genauuuuu... wieso gibts keine Möglichkeit gleich nen ganzes Subnetz 12.34.56.* bzw. 12.34.*.* zu sperren?
    Genauso...ich meine man kann Benutzer und alles mögliche mit csv hochladen...wieso geht das bei der Blacklist nie ?


    Einfache überschaubare Bedienung, ok, geh ich mit...aber das echt nervig...


    Das wäre echt ne Verbesserung...


    Grüße aus Görlitz
    Daniel

  • Wenn man die Eingabe von Subnetzen erlaubt, sind aufwendige Prüfroutinen notwendig, damit nicht aus Versehen, durch eine falsch gesetzte Netzmaske der Provider, interne Netze oder Ähnliches gesperrt werden.
    Mit einer Wildcard-Eingabe kann ich mich leicht selbst aussperren. Bei Eingabe einer einzelnen IP-Adresse eher nicht.


    Es wäre auch nicht wirklich viel gewonnen, außer, dass man weniger Angriffsemails bekommt, die man jedoch abschalten kann. Will man gezielt ACLs umsetzen, sollte man dafür eine Firewall einsetzen.

  • Oh man, ... als wenn ich es gewusst hätte :(


    Ist jetzt echt nie böse gemeint...aber sinngemäß hatte ich von Gigaset die selbige Antwort bekommen
    Beim c610ip war und ist es nicht möglich über den Analogport ein Gespräch zu empfangen und diesen auf VoIP weiterzuleiten.
    Grund: Der Benutzer würde ja nicht wissen können, dass eine Rufumleitung Geld kostet...


    Ist quasi hier das selbe...man könnte sich ja aus sperren ... oder subnetz abschalten etc...


    Ehrlich Meinung dazu...ich hab mich auch oft genug zerkonfiguriert und hin und her und zerwürgt bis zum geht nimmer...
    Und das ja das geile daran, mitm Backup isses schnell wieder gerichtet. Klaro bei einer virtuellen Anlage isses weniger ein Problem...
    Das Nächste, wenn sich einer Administrator nennt, dann sollte er schon ein wenig Ahnung haben grade was Netzwerk und co angeht.


    Wenn es hier um 1-2 Angriffe am Tag gehen würde hätte ich auch weniger nen Problem...
    Und da wäre wieder das Problem, das einfachste wäre die Optionen zu erweitern...wenn eine IP geblockt wird dann sollte wenigstens die Zeit veränderbar sein, wie lange diese gesperrt ist...und nicht standardmäßig 1 Tag...
    Wenn ich jetzt sage, dass ich jeden Montag mehrere hundert IP´s auf Dauerblock setze....da könnte einen echt die Lust vergehen...


    Fakt: Die Lösung ist es definitiv nicht !


    Mit Grüßen
    Daniel

  • Zitat

    Und da wäre wieder das Problem, das einfachste wäre die Optionen zu erweitern...wenn eine IP geblockt wird dann sollte wenigstens die Zeit veränderbar sein, wie lange diese gesperrt ist...und nicht standardmäßig 1 Tag...


    Die Dauer des IP Bans kann man über Administration -> Sicherheit -> Filter -> Blacklist -> Eintrag editieren verändern (Eigener Zeitraum, in einem Monat, in 3 Monate, in 6 Monate, Nie).

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Hallo TomAnson,


    Die Dauer des IP Bans kann man über Administration -> Sicherheit -> Filter -> Blacklist -> Eintrag editieren verändern (Eigener Zeitraum, in einem Monat, in 3 Monate, in 6 Monate, Nie).


    Danke für den Hinweis, das mache ich bereits tag täglich...aber wie geht es automatisch....z.B. 2 Tage oder 1 Woche etc.
    Ich weiß es geht nicht automatisch...


    Ich rechne mir das nur einfach durch...
    nen einfaches Botnetz mit 100 Rechnern...was ja sehr klein ist...
    10 Angriffe pro IP -> 1000 Möglichkeiten ein Passphrase zu erhaschen...


    so über´s we sollte man bissl abschalten, also gehen wir von 2 Tagen aus...da die IP´s ja nach 24 Stunden wieder freigegeben werden...das ganze mal 2...
    Heißt genau 2000 Passphrasen Möglichkeiten...


    So kleine Auswertung von einer Anlage...vielleicht versteht es dann jemand besser bzw ist nachvollziehbarer...


    log.PNG


    So man beachte folgende Uhrzeiten/Tage
    1.4. -> 18:18
    2.4. -> 19:07


    In diesem Sinne einen stressfreien Sonntag


    Grüße aus Görlitz
    Daniel

  • Die STARFACE ist sicherlich extrem sicher und mag einen Grossteil der unberechtigten Anfragen abfangen.


    Bleibt neben der Sicherheit aber immer noch der Netzerkverkehr der auf dem betreffenden Port der Anlage aufläuft und somit die Anlage auch performance-seitig beeinflusst oder durch DDOS-Attacken lahmgelegt werden kann. Klar, wenn ich einem DDOS-Angriff ausgesetzt bin funktioniert alles gegen aussen nur noch sehr zäh bis gar nicht, aber zumindest kann dann intern noch telefoniert werden, wenn diese Anfragen gar nicht erst bis zur Anlage kommen.


    Mein Tipp: Eine Firewall davor sollte schon sein. Auf dieser den Datenverkehr so regeln, dass nur die SIP-Provider Zugang zur STARFACE bekommen; sprich den eingehenden Verkehr zur STARFACE so regeln, dass nur die Hosts der SIP-Provider berechtigt werden.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Hallo Thomas,


    genau das ist mein Problem...das RZ bietet es leider nicht mehr an, weil sich zu viele Kunden selber ausgesperrt haben...


    Ich hoffe aber trotzdem, dass man sich das Thema in Hinsicht der Firewall ein wenig Flexibler zu gestalten...
    Es wäre schon völlig ausreichend wenn man ein Subnetz z.B. 12.34.56.* sperren könnte...
    Aus einem IP Bereich über 3 Anlagen hab ich hier glatt 14 IP´s gefunden...



    Ich bin ja auch nicht der Meinung, dass die SF generell unsicher ist/sind...aber ein wenig flexibler in diesem Punkt wäre echt Zukunftstechnisch besser.


    Mit Grüßen
    Daniel

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!