Unser SIP-Trunk an der Starface wird gehackt - keine Erklärung


  • Vielen Dank dafür Fabian Funktioniert 1A und erspart mir weitere graue Haare :D


    lg Patrick

  • Kurzer Hinweis an dieser Stelle:


    Wenn ein Angreifer im Besitz gültiger SIP-Zugangsdaten ist, hilft es nicht, nur den Port 5060/UDP für ihn zu sperren.
    Man kann sich auch über 5061/TCP damit anmelden.


    Und hier kommt die Einschränkung:
    Wenn man wirklich beide Ports einschränkt, war's das an dieser Stelle, mit der Nutzung von Mobile Clients und Home Office Geräten -- die funktionieren nicht mehr.



    Außerdem gibt es clientseitige Möglichkeiten per injiziertem JavaScript (per JavaScript SIP-Stack (sipML5, SIP-JS, ...)) oder SIP-Stacks für WebRTC einen Browser innerhalb eines Unternehmens dazu zu bringen, sich mit den bekannten Zugangsdaten anzumelden und zu telefonieren.
    Hierzu muß ich nur einen Mitarbeiter des Unternehmens dazu bringen, auf eine modifizierte Website zu gehen.


  • Außerdem gibt es clientseitige Möglichkeiten per injiziertem JavaScript (per JavaScript SIP-Stack (sipML5, SIP-JS, ...)) oder SIP-Stacks für WebRTC einen Browser innerhalb eines Unternehmens dazu zu bringen, sich mit den bekannten Zugangsdaten anzumelden und zu telefonieren.
    Hierzu muß ich nur einen Mitarbeiter des Unternehmens dazu bringen, auf eine modifizierte Website zu gehen.


    Wow diesen Weg hatte ich gar nicht bedacht, danke für den Hinweis Fabian, wieder was gelernt.

  • Wir haben hier Android mit OpenVPN und der pfSense, das läuft über den ganzen Tag auch wenn die Benutzer in Ost Asien sind, ohne Probleme.


    Das kann ich so unterschreiben. Vpns die nach 56minuten stoppen? .... nicht sehr vielversprechende vpn lösung. Openvpn läuft definitiv durch.

  • Ich bin durch Google nochmals über diesen Beitrag gestolpert. An anderer Stelle hatte ich meine Lösung bereits geschrieben, aber vielleicht auch hier anschließend.


    Derzeit nutze ich WireGuard in einer VM und die App auf dem Handy. Es ist zwar noch in der Alpha-Phase, aber ich bin bisher zufrieden, auch da man angeben kann, welche Apps den Tunnel nutzen dürfen und so anderer Traffic nicht beeinflusst wird. Normalerweise setze ich Weiterleitungsrouten, da mein Internet zu Hause zu lahm ist.


    In meinem Ubiquiti Security Gateway haben ich nur Port 5060 auf die Starface geleitet und erlaube nur die IPs der SIP-Provider.


    Seit dem kein neuer Eintrag in der Blacklist und ich habe für diese auch die eMail-Benachrichtigung wieder aktiviert, falls doch mal was sein sollte.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!