[Spielzeug] Alle Blacklist Einträge für immer Blocken

  • Hallo Miteinander


    Wieder ein Spielzeug für euch.


    Es setzt alle Einträge, die in der Blacklist sind auf das Enddatum "Nie"


    Lässt sich auch planen, so dass dies Z.b. 1 Mal Täglich gemacht wird. Somit werden auch Einträge, die später dazukommen wieder auf das Enddatum "nie" gesetzt.



    Download: http://module.si-solutions.ch/…lock/Infinityblock_v6.rar


    MfG


    Fabian

  • Sieht cool aus, muss ich bei Gelegenheit mal ausprobieren. Schöner wäre aber, wenn es eine Möglichkeit gäbe, generell alle externen Zugriffe auf die SIP Funktionen zu blockieren. Warum soll ich bei einer stand-alone Anlage mich dem Risiko aussetzen, dass sich Telefone von extern einwählen können? Ich verstehe nicht ganz, warum Starface dafür nicht endlich einen Schalter in der config einbaut :( Zusätzlich wäre eine blacklist mit wildcards total wichtig. So könnten auch admins, die externe Geräte anbinden müssen, die IP Bereiche beschränken, aus denen das möglich ist. Bisher steht da ein echtes Scheunentor offen!

  • So könnten auch admins, die externe Geräte anbinden müssen, die IP Bereiche beschränken, aus denen das möglich ist. Bisher steht da ein echtes Scheunentor offen!


    Ordentliche Firewall davor, das ist kein Thema der Starface.

  • Sieht cool aus, muss ich bei Gelegenheit mal ausprobieren. Schöner wäre aber, wenn es eine Möglichkeit gäbe, generell alle externen Zugriffe auf die SIP Funktionen zu blockieren. Warum soll ich bei einer stand-alone Anlage mich dem Risiko aussetzen, dass sich Telefone von extern einwählen können? Ich verstehe nicht ganz, warum Starface dafür nicht endlich einen Schalter in der config einbaut :( Zusätzlich wäre eine blacklist mit wildcards total wichtig. So könnten auch admins, die externe Geräte anbinden müssen, die IP Bereiche beschränken, aus denen das möglich ist. Bisher steht da ein echtes Scheunentor offen!


    Es gibt doch seit der 6.4.3 eine Konfiguration dazu in Administrationsbereich/Telefone/IP-Beschränkung :)

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Zitat

    Es gibt doch seit der 6.4.3 eine Konfiguration dazu in Administrationsbereich/Telefone/IP-Beschränkung :)


    In dem Zusammenhang: wie löscht man dort eigentlich Einträge, die man eventuell nicht mehr haben will? Geht das nur bei mir nicht oder soll das so sein ... ist es ein Fehlerchen?

  • Ordentliche Firewall davor, das ist kein Thema der Starface.


    Das ist nicht so einfach wie es sich anhört. Ich hab mich mit dem Thema mal beschäftigt. Eine richtig gute Cisco Firewall kann das, aber Lancom oder andere Router für den Gebrauch in kleinen Betrieben nicht. Die kann nämlich nur die SIP Ports ganz abschalten oder ganz offen halten, nicht aber je nach Inhalt oder je nach IP verwerfen. Und es kann halt nicht jeder viel Geld für einen großen Router ausgeben. Ist auch überhaupt nicht nötig, weil die Starface ja die fremden Pakete verwerfen kann, man muss es nur so konfigurieren können.

  • Es gibt doch seit der 6.4.3 eine Konfiguration dazu in Administrationsbereich/Telefone/IP-Beschränkung :)


    ich bin platt! :eek: Ich hatte den Schalter nicht gesehen. Das löst schon mal 70% des Problems, wird sofort konfiguriert. Danke für den wichtigen Hinweis! ;)

  • Aber jetzt doch noch eine Nachfrage: Wie ist die Nomenklatur hier für einen IP-Adressbereich? Wenn ich alle 168.178er IPs zulassen will, schreibe ich dann "168.178" oder etwas anderes, z.B. mit IP wildcards? Bin bei wildcards nicht so fit.

  • Hallo Rothsching


    Du musst die Netzgrösse mit einem Abschliessend /[Subnet] definieren.


    Beispiele:
    Klasse C: 192.168.123.0/24 == 192.168.123.0 - 192.168.123.255
    Klasse B: 172.123.0.0/16 == 172.123.0.0 - 172.123.255.255
    Klasse A: 10.0.0.0/8 == 10.0.0.0 - 10.255.255.255


    MfG


    Fabian

  • In dem Zusammenhang: wie löscht man dort eigentlich Einträge, die man eventuell nicht mehr haben will? Geht das nur bei mir nicht oder soll das so sein ... ist es ein Fehlerchen?


    Das ist ein Fehler mit der CSS Klasse, wird mit der 6.5 beta behoben sein.


    Hallo Rothsching


    Du musst die Netzgrösse mit einem Abschliessend /[Subnet] definieren.


    Beispiele:


    Ist zwar richtig aber die Klassen hast du falsch rum :)


    /8 ist Klasse A, /16 Klasse B, /24 Klasse C :)

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

    Einmal editiert, zuletzt von TomAnson ()

  • rothsching:


    Zitat

    Eine richtig gute Cisco Firewall kann das, aber Lancom oder andere Router für den Gebrauch in kleinen Betrieben nicht. Die kann nämlich nur die SIP Ports ganz abschalten oder ganz offen halten, nicht aber je nach Inhalt oder je nach IP verwerfen.


    Kleine Korrektur dazu:


    Es ist keine Frage, das "richtig gute Firewalls" auch richtig viel können, aber auch richtig viel kosten - die Aussage im Zusammenhang mit Lancom-Routern kann man allerings so nicht stehen lassen - die stimmt so nicht. Richtig ist nur, dass es deutlich unkomfortabler funktioniert und gewisse Grenzen hat. Mit eigenständigen Firewall-Lösungen, die gerne das 10-Xfache eines Lancoms kosten würde ich das auch nicht auf eine Stufe setzen wollen, aber können tut der schon mehr als hier unterstellt und besser als der Einsatz der gerne mitgelieferten 08-15 Router ist es allemal.


    Wer schon Überzeugungsarbeit leisten muss, um bei Nutzern überhaupt eine - selbst "kleine" Firewall-Lösung bereitzustellen, dürfte mit anderen Ansätzen gleich ganz verloren haben ...


    Ob allerdings der Ansatz, diese Dinge erst im zu schützenden Endgerät erledigen zu wollen ganz optimal ist, ist sicher eine Auffassungsfrage - ich halte bestimmte Dinge gerne grundsätzlich aus dem LAN fern.


    Damit wir uns aber nicht falsch verstehen: das eine Firewallfunktionalität in der Starface mitgeliefert wird, ist in jedem Fall (ergänzend) absolut kein Fehler und sicher ein MUSS.


  • Ich wollte auch nicht sagen, dass die Lancoms schlecht sind. Die sind gut und ich mag sie. Aber sie haben ihre Grenzen. Ist schon etwas her, dass ich das Thema genauer recherchiert hatte und hatte im letzten Jahr auch einen Techniker engagiert, der sich mit Routern gut auskennt. Am Ende waren wir aber einig, dass alle Versuche, die Anmeldung von Telefonen und den Versuch, unauthorisierte Rufe aufzubauen, nicht mit dem Lancom, den wir haben, zu machen ist. Grund war, dass Lancom normalerweise nur Ports sperren kann, aber nicht im SIP Port die Art der SIP Nachricht analysieren kann. Das können aber diverse Ciscos. Dazu hatte ich auch eine schone page im Netz gefunden, die ich gerade nicht mehr griffbereit hatte. Bei den Ciscos konnte man genau definieren: Sperre alle Anrufe, die aus xy-Adressbereich kommen. Das wüsste ich nicht, wie das mit dem Lancom geht, oder ob Lancom Geräte hat, die das können. Wenn ich im Lancom einfach nur externe Adressbereiche in der Firewall ausblende, kommen die SIP Zugriffe trotzdem durch, so lange ich nicht die SIP Ports sperre, und dann ist die Telefonie tot. War zumindest das Ende der Tests...


    Am Ende bin ich zwar Deiner Meinung, man sollte die Starface hinter einem Router und hinter der Firewall betreiben. Aber die config im Bereich Blockierung der externen Anmeldungen und Anrufe ist hier halt echt kompliziert und nicht jeder hat da einen Spezialisten zur Hand, der dann die Lösung hat. Deshalb sollte man in der Starface einfache Schalter haben, wie jetzt auch im Telefone-Menü eingebaut, um externe Anmeldungen zu blocken. Und am Ende ist es immer gut, auch im Endgerät selbst noch mal wichtige Sicherheitstechniken zu implementieren, wenn man durch Wurstfinger die Firewall versehentlich offen steht :)

    Einmal editiert, zuletzt von rothsching ()

  • rothsching:


    Zitat

    Ich wollte auch nicht sagen, dass die Lancoms schlecht sind. Die sind gut und ich mag sie. Aber sie haben ihre Grenzen.


    Das hatte ich auch nicht so verstanden (bin auch nicht der "Anwalt" von Lancom) :)


    Richtig ist natürlich auch, dass wie immer - "wo Licht ist, es auch Schatten gibt". Natürlich können die Geräte nicht alles und andere Dinge die die können viellicht nicht perfekt oder zumind. nicht komfortabel. Wäre es anders, hätten spezialisierte Firewall-Lösungen ja keine Berechtigung.


    Zitat

    ... Grund war, dass Lancom normalerweise nur Ports sperren kann, aber nicht im SIP Port die Art der SIP Nachricht analysieren kann. ... Bei den Ciscos konnte man genau definieren: Sperre alle Anrufe, die aus xy-Adressbereich kommen.


    Vielleicht reden wir aneinander vorbei, aber die Option bestimmte Dienste für bestimmte Ports auch für ganz bestimmte Adresbereiche zu sperren (oder zu erlauben, oder Beides), hat man schon auch beim Lancom. Wir tun genau das im Zusammenhang mit den eingesetzten VoIP-Installationen und haben auch keine Probleme damit. Wer nicht reinkommen soll, bleibt dabei auch draußen - das Zugriffe erfolgreich verhindert worden, wird protokolliert usw. ... also eigentlich kein Problem.


    Was zugegebenermaßen der Fall ist: es lässt sich etwas weniger komfortabel einrichten und pflegen und wäre auch nicht "unendlich" ausbaubar. Schwierigkeiten kann und wird es geben, wenn man eine gewisse Anzahl von Firewallregeln überschreitet - hier haben dann andere Lösungen a) klar die Nase vorn und sind b) auch die einzigst möglich Wahl.


    Zitat

    Wenn ich im Lancom einfach nur externe Adressbereiche in der Firewall ausblende, kommen die SIP Zugriffe trotzdem durch, so lange ich nicht die SIP Ports sperre, und dann ist die Telefonie tot. War zumindest das Ende der Tests...


    Das ist wie gesagt wirklich nicht so - da ist dann was falsch oder besser gesagt unvollständig konfiguriert worden.


    In einem Punkt hast Du sicher recht:


    Wie immer kann man natürlich Dinge übersehen und unvollständig implementieren, so dass dann das Ergebnis entsprechend ausfällt. Die durchaus weniger "übersichtliche" Konfiguration bei den Lancoms (die ja auch div. Admins eher abschreckt) kann u.U. verstärken, dass gemachte Fehler übersehen werden. Tatsächlich ist hier mehr Konzentration als bei anderen Lösungen angesagt und man sollte die Grenzen der Systeme kennen.


    Unterm Strich sind es aber Produkte, die deutlich über dem Niveau anderer, von großen Telekommunikationsanbietern so gerne standardmäßig mitgelieferten Lösungen liegen. Wer den Anspruch auf eine richtig gute Firewall hat, sollte natürlich auch sowas einsetzen - das da mehr geht ist unbestritten.


    Zitat

    Am Ende bin ich zwar Deiner Meinung, man sollte die Starface hinter einem Router und hinter der Firewall betreiben. Aber die config im Bereich Blockierung der externen Anmeldungen und Anrufe ist hier halt echt kompliziert und nicht jeder hat da einen Spezialisten zur Hand, der dann die Lösung hat.


    Verstanden, was Du meinst ...


    Aber auch eine sehr gute Firewall würde in jedem Fall eines "Spezialisten" bedürfen, da zumindest Kenntnisse dafür vorhanden sein sollten, was zielführend zu tun ist - das sagen einem in der Regel auch spezialisierte und einfacher zu bedienende Firewall-Lösungen eher nicht so ganz automatisch.


    Mir ist völlig klar, was damit gemeint ist:


    Zitat

    Deshalb sollte man in der Starface einfache Schalter haben, wie jetzt auch im Telefone-Menü eingebaut, um externe Anmeldungen zu blocken. Und am Ende ist es immer gut, auch im Endgerät selbst noch mal wichtige Sicherheitstechniken zu implementieren, wenn man durch Wurstfinger die Firewall versehentlich offen steht :)


    Das ist keine Frage.


    Richtig und wichtig ist m.E., dass es eine brauchbare (und ja vorhandene) Funktionalität in der Starface gibt, die hier nachrangig wirkt - zumal es ja durchaus Installationen gibt, bei denen die Geräte einfach ohne irgendwelche andere Maßnahmen ans Internet geklemmt werden (das würden betreffende Leute auch tun, wenn die Starface erklärterweise keine integrierte Firewall hätte). Wie oft hört man den (sorry: "dämlichen") Satz: "ich bin doch nur ein ganz kleines Hansel, wer sollte bei mir etwas suchen oder mich gar "anreifen" wollen ... ich habe noch nie was gehabt oder gemerkt ...".


    Das ich (m.M.) bestimmte Dinge schon vor einem LAN abgefangen haben möchte, hatte ich schon hier oder an anderer Stelle ausgeführt. Was gar nicht erst ins Netz kommt, kann auch keinen Schaden anrichten. Das die Starface von Haus aus auch schützend aktiv ist, lässt mich noch etwas ruhiger schlafen. Nur auf die Starface allein verlassen würde ich mich in dem Punkt aber eben wirklich nicht (@Starface: ist absolut keine Kritik oder irgendeine versteckte Botschaft). Selbst wenn die Starface all die Dinge schützend abfängt, habe ich diversem Kram trotzdem erst mal im Netz und dort sollen die nicht hin. Ergo: es sollte m.E. noch etwas "davor" ...


    Ein Punkt ist tatsächlich unterm Strich wichtig: zunehmend werden Spezialisten im Bereich Netzwerksicherheit an Bedeutung erlangen - unsere schöne IoT-Welt inkl. im Privatbereich angeschlossene Smart-TVs mit teils haarsträubender "Gesprächigkeit" und völlig fehlenden Schutzmaßnahmen bei gleichzeitig unbedarfter Integration aller gerade mal am Markt befindlichen Techniken, tun ihr Übriges. Und leider scheint mit zunehmender unterstellbarer Erfahrung im IT-Bereich das Verständnis für Schutzbedürftigkeit rasant zuenhmend abzunehmen. Mir werden zu leicht Dinge auf den Markt gegeben, die in der Form wie man das sehen kann allergrößte Sicherheitsrisiken bergen. Und niemand sollte eben sagen "wer soll schon etwas von mir wollen ...".


    Unterm Strich sind wir uns glaube ich aber ganz einig ...

  • Es gibt doch seit der 6.4.3 eine Konfiguration dazu in Administrationsbereich/Telefone/IP-Beschränkung :)


    Noch eine Frage dazu: Ist es normal, dass ich nach Einrichten der Beschränkung immer noch Meldungen der blacklist nach dem Schema "Telefonregistrierung mit ungültigen Zugangsdaten " bekomme? Oder müssten die weg sein?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!