Seite 2 von 2 ErsteErste 12
Zeige Ergebnis 16 bis 30 von 30

Thema: möglicher Angriff

  1. #16
    STARFACE User

    Registriert seit
    03.01.2013
    Ort
    Schweiz
    Beiträge
    72

    Standard

    OK, dann sollte es trotzdem die Möglichkeit geben dies entsprechend einzustellen (z.B. bei 10 Teilnehmer auf 40 Ports zu begrenzen). Zudem sollten diese auch im Interface eingestellt werden können.

  2. #17
    STARFACE Crew
    Benutzerbild von TomAnson
    Registriert seit
    11.11.2014
    Ort
    Karlsruhe
    Beiträge
    1.246

    Standard

    Zitat Zitat von Ahnungsloser Beitrag anzeigen
    OK, dann sollte es trotzdem die Möglichkeit geben dies entsprechend einzustellen (z.B. bei 10 Teilnehmer auf 40 Ports zu begrenzen). Zudem sollten diese auch im Interface eingestellt werden können.
    Und was soll das bringen? Es nervt natürlich wenn man eine Fritzbox hat wo man die Portfreigaben für UDP/10000-20000 bzw. TCP/10000-20000 nur in 20er oder 100er Blöcken einrichten kann, aber sonst?

    Sogut wie alle eingehenden Angriffe auf die STARFACE zielen auf die Webserver-Ports (80/443), SIP (5060/5061) und SSH (22) ab. Diese lassen sich über die Firewall prima abschotten gegen Unbefugte (5060/5061 muss man natürlich für sein Telefonieprovider freigeben, sonst kommen keine Anrufe an). SSH sollte mindestens über ein Proxy vor Zugriff von außerhalb geschützt sein (Authentifizierung am Proxy und dann darüber SSH tunneln auf die STARFACE sowie die anderen Diensten im Netzwerk).
    STARFACE Quality Assurance

    Bug gefunden? Hier melden!
    Featurewunsch oder Verbesserungsvorschlag? Trage es in unserem Feature Request Portal ein!
    Unsere Knowledge-Base für STARFACE findet ihr hier!

  3. #18
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.115

    Standard

    Zitat Zitat von Ahnungsloser Beitrag anzeigen
    Und wieso können diese nicht über einen oder von mir aus vier Ports begrenzt werden? Somit könnten wir bei der Firewall ordentlich Ports schliessen!
    Es leuchtet mir echt nicht ein, wieso ich ein riesiges Tunnel offen halten muss, um anschliessend nur Ameisen einen Durchmarsch zu ermöglichen!

    Dies ist doch in der starken Tendenz eine Fehlkonstruktion, oder nicht?
    Nein, das hat schon Gründe...

    https://support.starface.de/forum/sh...ll=1#post28526
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  4. #19
    STARFACE User

    Registriert seit
    03.01.2013
    Ort
    Schweiz
    Beiträge
    72

    Standard

    Eine Firtzbox ist bei uns nicht im Einsatz und wir können die Firewall ganz einfach so konfigurieren. Allerdings, wieso soll ich überhaupt eine Firewall haben, wenn ich das Scheunentor so weit offen habe?
    Grundsätzlich ist die Idee der Firewall ja nur das Notwendigste durchzulassen und es erschliesst sich mir nicht, wieso das nicht begrenzt werden kann.

    Bei uns ist zum Beispiel noch Software von Graphisoft im Einsatz. Dieser verwenden Standartmässig die Port 22000 und 22001 (beim Release der Version 23 wird dies 23000 und 23001 sein). Dies kann wohl konfiguriert werden, jedoch ist es mir unsympathisch so viele Ports einfach offen zu haben. Ich weiss nicht, wie dies bei ihrem Netzwerk ist, aber auch dieses wird vermutlich möglichst wenig offene Ports haben.

  5. #20
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.115

    Standard

    Zitat Zitat von Ahnungsloser Beitrag anzeigen
    Eine Firtzbox ist bei uns nicht im Einsatz und wir können die Firewall ganz einfach so konfigurieren. Allerdings, wieso soll ich überhaupt eine Firewall haben, wenn ich das Scheunentor so weit offen habe?
    Scheunentor? Du hast Fabian Zünds (Nucom) Antwort nicht gelesen -- und im obigen Link ist's auch nochmal erklärt.

    Zitat Zitat von Ahnungsloser Beitrag anzeigen
    Grundsätzlich ist die Idee der Firewall ja nur das Notwendigste durchzulassen und es erschliesst sich mir nicht, wieso das nicht begrenzt werden kann.
    Weil es am anderen Ende keinen Dienst gibt, wenn dieser nicht für ein konkretes Gespräch benötigt wird. Ich glaube, hier gibt es ein Verständnisproblem, was es bedeutet, wenn ein Port "offen" ist.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  6. #21
    STARFACE User

    Registriert seit
    03.01.2013
    Ort
    Schweiz
    Beiträge
    72

    Standard

    OK, zumindest bin ich nicht der Einzige der sich daran stört.
    Trotzdem erschliesst sich mir nicht wiese dies nicht eingegrenzt werden kann. Auch das Argument ob nun ein Port oder viele offen sind, kann ich nicht einfach so akzeptieren. Für irgend etwas ist die Firewall ja da und das Risiko das ein Angriff erfolgreich ist, ist sicher höher. Ansonsten könnte ich ja auch ein Exposed Host auf die Starface einrichten und behaupten dies wäre gleich sicher, wie mit einer sauber konfigurierten Firewall, nicht?
    Blockt die Starface eine IP zum Beispiel für alle Anfragen / Ports oder nur beim entsprechend angegriffenen?

  7. #22
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.115

    Standard

    Tut mir leid, aber ich fühle mich genötigt, es deutlicher zu sagen:
    Du verstehst nicht, wann ein "Port offen" ist und tust so, als würdest Du es besser wissen -- unterstellst anderen sogar "Fehlkonstruktionen" und die Schaffung von Sicherheitsrisiken.

    Solange an einen bestimmten Diensteport kein Dienst gebunden ist, ist das nicht mehr als irgendeine Zahl in einem Headerfeld eines UDP- oder TCP-Pakets.

    Ein Port ist offen, genau dann, wenn ein Dienst an diesem "Port" lauscht, man also mit einer Anwendung kommunizieren kann.
    Ein Port ist geschlossen, wenn das nicht der Fall ist. Es gibt dann keine Möglichkeit mit einer Anwendung Daten auszutauschen -- also auch keine Sicherheitsrisiken.

    Ob ein Port geschlossen oder zuvor gefiltert ist, spielt in Bezug auf die Sicherheit absolut keine Rolle!

    Um verschiedene Telefonie-Sessions parallel abzuhalten, wird für jedes Gespräch ein RTP-Port-Paar zufällig ausgewählt. Erst dann bindet sich ein Dienst an diese Ports und aus geschlossenen Ports werden Offene, die für den Datenaustausch benötigt werden.


    Für ein Sicherheitsrisiko muß ein Angreifer schon Daten an einen Dienst richten können. Hier kommen jetzt Firewalls ins Spiel, die den Datenaustausch nur vertrauenswürdigen Kommunikationspartnern erlaubt.
    Geändert von fwolf (31.01.2019 um 21:19 Uhr)
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  8. #23
    STARFACE Newbie
    Registriert seit
    24.01.2019
    Beiträge
    3

    Standard

    Kann man denn die Mailbenachrichtigung für die Angriffe deaktivieren? Wenn die Starface das blockiert reicht mir das ja. Ich muss da nicht alle paar Stunden eine Mailbenachrichtigung erhalten.

  9. #24
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.115

    Standard

    Die E-Mail-Benachrichtigung läßt sich abschalten. Siehe https://knowledge.starface.de/displa...+konfigurieren (zweiter Abschnitt).
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  10. #25
    STARFACE User

    Registriert seit
    03.01.2013
    Ort
    Schweiz
    Beiträge
    72

    Standard

    Ich glaube wir haben hier einfach zu unterschiedliche Ansichten.
    Zum Einen verstehe ich einfach nicht wieso soviele Ports offen sein müssen wenn maximal 1‘200 Ports benötigt werden (grösste Starface ist für 3000 User à 4 Ports).
    Zum Anderen, wenn jede Software so grosszügig mit den notwendigen Ports umgehen würde, hätten wir wohl ein kleines Problem...
    Übrigens gibt es Kunden, die wegen diesen vielen Ports nicht mehr Kunde sind oder auf gehostete gewechselt sind (kenne zumindest je einen Ich glaube wir haben hier einfach unterschiedliche Ansichten.
    Zum Einen verstehe ich einfach nicht wieso soviele Ports offen sein müssen wenn maximal 1‘200 Ports benötigt werden (grösste Starface ist für 3000 User à 4 Ports).
    Zum Anderen, wenn jede Software so grosszügig mit den notwendigen Ports umgehen würde, hätten wir wohl ein kleines Problem!
    Übrigens gibt es Kunden, die wegen diesen vielen Ports nicht mehr Kunde sind oder auf gehostete gewechselt sind. Falls dies die Idee ist, schade.
    Zu guter letzt musst du mir wohl zustimmen, das man im Grundsatz möglichst viele Ports zu hat und es bei anderen Softwareprodukten durchaus schon vorkam, das ein (un)wissender Open-Source-Entwickler einen spezifischen Port erreichbar lies.
    Aber vermutlich liegen unsere Auffassungen bezüglich den offenen Ports einfach zu weit auseinander...Fall). Falls dies die Idee ist, schade.
    Zu guter letzt musst du mir wohl zustimmen, das man im Grundsatz möglichst viele Ports zu hat und es bei anderen Softwareprodukten durchaus schon vorkam, das ein (un)wissender Open-Source-Entwickler einen spezifischen Port erreichbar lies.
    Aber vermutlich liegen unsere Auffassungen bezüglich den offenen Ports einfach zu weit auseinander...

  11. #26
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    902

    Standard

    Zitat Zitat von Ahnungsloser Beitrag anzeigen
    Zum Einen verstehe ich einfach nicht wieso soviele Ports offen sein müssen
    Die Ports sind ja nicht offen, solange kein Gespräch geführt wird!

    Die Ports auf denen die Gespräche geführt werden, werden durch die beiden involvierten Telefonanlagen beim Gesprächsaufbau ausgehandelt; Dein Problem ist, dass Du auf die Gegenstelle keinen Einfluss auf deren Ports hast sondern das akzeptieren musst was Dir angeboten wird. Da Du nicht weisst was da kommt, kannst Du auf der Firewall auch nichts abfangen.
    STARFACE Certified Partner

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: briefkasten ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, STARFACE-Telefonanlagen, Managed Services, Security

  12. #27
    STARFACE User

    Registriert seit
    03.01.2013
    Ort
    Schweiz
    Beiträge
    72

    Standard

    Nicht auf der Starface, aber auf der Firewall!

  13. #28
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.578

    Standard

    Hallo Ahnungsloser,

    na bei Dir ist das Pseudo ja scheinbar Programm - bitte nicht falsch verstehen, ich möchte Dir nicht zu nahe tretenn und es ist auch nicht böse gemeint.

    Wie VoIP funktioniert ist Dir so halbwegs schon klar, oder? Fabian hat ja nun schon ganz gut versucht zu erklären, wie das mit den "offenen Ports" zu verstehen ist. Nachlesen kann man auch, dass das mitnichten etwa etwas Starface-spezifisches sei, wie Du wohl mit dem Hinweis, man könne glauben die Kunden sollen in die Cloud gedrängt werden, erklären kann. Es ist einfach immer so - egal bei welchem Hersteller oder Telefonieanbieter. Das ist Stand der Technik.

    Ich verstehe was Dein Anliegen ist, wo Du Ängste hast oder Probleme siehst. Im Grunde würde ich dann eben auch z.B. in einem lokalen Netz nur mit einer halbwegs konfigurierbaren brauchbaren Firewall arbeiten (was man aber eh haben sollte). Bei einer Fritzbox einfach alle Ports zu öffnen würde mir sicher auch Bauchschmerzen bereiten.

    Und dass das richtig verstanden ist - auch im Rechenzentrum wird nicht anders gearbeitet ...

    Wenn Kunden weglaufen, weil man bei VoIP das beschriebene Port-Handling braucht, liegt es vielleicht am Dienstleister der nicht in der Lage ist den Kunden richtig zu vermitteln worum es geht und was da "passiert" ... und dann vielleicht eben das Ganze mit unklaren oder ganz fehlenden brauchbaren Firewall und Netzwerkkonzepten arbeitet (da würde ich auch weglaufen).

    Auch wenn es Trend der Zeit ist: man sollte jedenfalls nicht anderen gleich das Schlechte unterstellen, nur weil man etwas noch nicht in Gänze verstanden hat. Das ist auch wirklich wie gesagt gar nicht anmaßend oder böse gemeint, soll auch kein Fingerzeig sein. Fabian hat sich die Mühe gemacht das kurz zu erklären - notfalls hilft sogar die Suche im Internet ein wenig weiter. Über Sicherheitskonzepte kann man immer trefflich streiten und natürlich bitetet jeder zusätzliche Dienst im Netz neue Gefahrenquellen. Wenn Du es ganz sicher haben wolltest, müsstest Du Dir das Thema "Session Border Controller" anschauen, allerdings ist das ein eigentlich schon etwas sehr hoch gehängtes Thema und nicht ganz billig. Überlegen kann man immer auch, mit anderen Komponenten und Konzepten Netze zu trennen - es gibt viele Ansätze. Das die VoIP-Kommunikation ansich aber um das Portkonzept nie herum kommt, ändert das alles nichts.
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  14. #29
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    902

    Standard

    Zitat Zitat von Ahnungsloser Beitrag anzeigen
    Nicht auf der Starface, aber auf der Firewall!
    Ich dachte, ich hätte Firewall geschrieben, aber wenn Du lieber Starface liest ?.....
    Zitat Zitat von thomas.hertli Beitrag anzeigen
    .....kannst Du auf der Firewall auch nichts abfangen.
    STARFACE Certified Partner

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: briefkasten ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, STARFACE-Telefonanlagen, Managed Services, Security

  15. #30
    STARFACE Crew
    Benutzerbild von TomAnson
    Registriert seit
    11.11.2014
    Ort
    Karlsruhe
    Beiträge
    1.246

    Standard

    Zitat Zitat von Ahnungsloser Beitrag anzeigen
    Nicht auf der Starface, aber auf der Firewall!
    Offene (es wäre eventuell präziser "freigegebene") Ports auf einer Firewall bringen einem Angreifer nichts, wenn keine Anwendung auf die Anfrage hört.
    STARFACE Quality Assurance

    Bug gefunden? Hier melden!
    Featurewunsch oder Verbesserungsvorschlag? Trage es in unserem Feature Request Portal ein!
    Unsere Knowledge-Base für STARFACE findet ihr hier!

Ähnliche Themen

  1. Angriff auf unsere Starface
    Von epg789 im Forum STARFACE Einrichtung & Administration
    Antworten: 66
    Letzter Beitrag: 25.07.2017, 12:37
  2. Angriff oder Scan?
    Von epg789 im Forum STARFACE Einrichtung & Administration
    Antworten: 8
    Letzter Beitrag: 04.03.2014, 09:06

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •