Zeige Ergebnis 1 bis 12 von 12

Thema: Starface 6.4.3 Beta | sip.conf => tlsdontverifyserver=yes | Sicherheitsrisiko!

  1. #1
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard Starface 6.4.3 Beta | sip.conf => tlsdontverifyserver=yes | Sicherheitsrisiko!

    Mir ist bei der Fehlersuche beim diffen von /etc aufgefallen das die Starface 6.4.3 Beta jetzt "tlsdontverifyserver=yes" in der sip.conf stehen hat.
    Hintergrund ist wohl das seit der 6.4.3 Beta die IPs anstatt die FQDN in der sip.conf stehen, was auch schon zu Problemen [1] geführt hat.

    Ich verstehe nicht warum man solche eine Option setzt?!

    [1] https://support.starface.de/forum/sh...Toplink-Xpress
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  2. #2
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.405

    Standard

    Zitat Zitat von slu Beitrag anzeigen
    Ich verstehe nicht warum man solche eine Option setzt?!
    Weil man ansonsten für jeden Server ein gültiges Zertifikat inklusive gültiger Zertifikatskette benötigt. Und wenn die Prüfung fehlschlägt, war's das mit dem Telefonieren :/
    Das Ziel ist deshalb nur Verschlüsselung ohne Prüfung der Identität des Gegenübers.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  3. #3
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Zitat Zitat von fwolf Beitrag anzeigen
    Weil man ansonsten für jeden Server ein gültiges Zertifikat inklusive gültiger Zertifikatskette benötigt.
    Wir kennen diese Probleme aus der Praxis, aber der Preis ist hoch.
    Ich würde es verstehen wenn das eine Option wäre die man über das Webinterface z.B. in den "Erweiterten Einstellungen" setzen könnte, aber so allgemein für alle in der sip.conf, nein das geht gar nicht.
    Zitat Zitat von fwolf Beitrag anzeigen
    Das Ziel ist deshalb nur Verschlüsselung ohne Prüfung der Identität des Gegenübers.
    Ich würde da nicht mehr von Verschlüsselung sprechen, viel schlimmer ist das eine falsche Sicherheit suggeriert wird.
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  4. #4
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.405

    Standard

    Ich gebe dir teilweise Recht. Es gibt keine Garantie, dass der Provider mit dem ich spreche, auch tatsächlich mein Provider ist. Mehr aber auch nicht.

    Wenn ich diese Garantie möchte, muß der Provider sich mit einem Zertifikat ausweisen, dem ich vertraue.
    Und jetzt geht's los:
    * Entweder es ist ein self-signed Zertifikat des Providers. Das muß ich prüfen(!) einspielen und darauf achten, es rechtzeitig zu ersetzen, bevor es abläuft.
    * Oder es ist ein fremdsigniertes (von einer vertrauenswürdigen CA) Zertifikat des Providers. Dann muß ich darauf achten, dass die Chain of Trust abgebildet ist und die Root-CA-Zertifikate in der Anlage hinterlegt sind. Auch muß ich hier wieder darauf achten, es rechtzeitig zu ersetzen, bevor es abläuft.

    Und dann muß ich eigentlich auch noch regelmäßig prüfen, ob die Zertifikate nicht zurückgezogen wurden. Das heißt ich muß CRLs prüfen.

    Im Ergebnis wäge ich also ab zwischen dem Identitätsausweis des Gegenübers und einem zusätzlichen Dutzend möglicher Punkte, an denen die Telefonie scheitern kann.

    Gibt es überhaupt einen SIP-Anbieter am Markt, der sich mit einem vertrauenswürdigen Zertifikat ausweist, dieses öffentlich macht und eine CRL-URL mitteilt?
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  5. #5
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Zitat Zitat von fwolf Beitrag anzeigen
    Im Ergebnis wäge ich also ab zwischen dem Identitätsausweis des Gegenübers und einem zusätzlichen Dutzend möglicher Punkte, an denen die Telefonie scheitern kann.
    Ich gebe dir vollkommen recht, aber die Lösung kann nicht sein Systemweit die ganze Überprüfung abzuschalten.

    Zitat Zitat von fwolf Beitrag anzeigen
    Gibt es überhaupt einen SIP-Anbieter am Markt, der sich mit einem vertrauenswürdigen Zertifikat ausweist, dieses öffentlich macht und eine CRL-URL mitteilt?
    Kann ich dir leider nicht sagen, vermutlich die Telekom mit dem SIP Trunk, hier ist die Verschlüsselung aktiv (siehe Providerprofil).
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  6. #6
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.405

    Standard

    Ich finde in den Schnittstellenbeschreibungen der Telekom etwas widersprüchliche Angaben dazu.
    In einem der Dokumente wird auf das Telesec-Root-Zertifikat verwiesen: https://www.telesec.de/de/public-key...ot-zertifikate

    Allerdings habe ich keinen Telekom-Anschluss, um das zu verifizieren, aber in einigen Dokumenten wird angegeben, dass sich das Telekom NGN mit einem Server-Zertifikat ausweist.

    Du könntest es aber versuchen, indem Du deine Änderungen in die sip_custom.conf schreibst.
    Unter https://wiki.asterisk.org/wiki/displ...+TLS+Transport ist beschrieben, wie Du die Zertifikate und Chiffreneinstellungen konfigurierst. Ich bin neugierig, ob das bei der Telekom zuverlässig klappt
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  7. #7
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Zitat Zitat von fwolf Beitrag anzeigen
    Du könntest es aber versuchen, indem Du deine Änderungen in die sip_custom.conf schreibst.
    Denke das ist nicht nötig, müsste schon alles per Default in der Starface sein:
    Code:
    tcpenable=yes
    tcpbindaddr=0.0.0.0
    tlsenable=yes
    tlsbindaddr=0.0.0.0
    tlscertfile=/etc/asterisk/keys/asterisk.pem
    tlscapath=/etc/asterisk/keys/trustedcas
    tlsdontverifyserver=yes
    tlscipher=DEFAULT:!IDEA:!RC4:!DES:!3DES
    Zitat Zitat von fwolf Beitrag anzeigen
    Ich bin neugierig, ob das bei der Telekom zuverlässig klappt
    Nachdem seit der 6.4.3 Beta per Default die IP anstatt des FQDN steht hat sich das eh erledigt.

    Verstehe mich nicht falsch, ich verstehe was Du meinst aber eine Option so hart zu setzen halt ich einfach für falsch.
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  8. #8
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.405

    Standard

    Zitat Zitat von slu Beitrag anzeigen
    Verstehe mich nicht falsch, ich verstehe was Du meinst aber eine Option so hart zu setzen halt ich einfach für falsch.
    Das ist ein boolescher Wert. Das heißt, es gibt zwei Optionen.
    Die Option tlsdontverifyserver=no erfordert zwingend ein Server- und CA-Zertifikat.
    Für STARFACE als Hersteller gibt es daher praktisch fast nur die Option die Zertifikatsprüfung standardmäßig auszuschalten, da man ansonsten künstlich die Telefonie der meisten Kunden stören würde.
    Das gäbe einen Aufschrei... (und Supportaufwand).

    Der Fehler ist eigentlich, dass das im Asterisk ein globaler Schalter ist – das müßte leitungsbezogen sein. Und dann müßte es pro Leitung aktivierbar bzw. deaktivierbar sein.
    Als globaler Schalter muß man die Zertifikateprüfung ja quasi ausschalten, wenn man Verschlüsselung breit einsetzen möchte.

    Im Übrigen kann die Zertifikatsprüfung auch mit IP-Adressen funktionieren – die müssen dann halt im Common Name (CN) oder Subject Alternative Name (SAN) des Zertifikats stehen.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  9. #9
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Zitat Zitat von fwolf Beitrag anzeigen
    Das gäbe einen Aufschrei... (und Supportaufwand).
    Da gebe ich dir recht, ich finde es jedoch nach wie vor falsch diese Option nicht im Webinterface anzuzeigen (mich stört es nicht, ich hab ja die Konsole).

    Zitat Zitat von fwolf Beitrag anzeigen
    Der Fehler ist eigentlich, dass das im Asterisk ein globaler Schalter ist – das müßte leitungsbezogen sein. Und dann müßte es pro Leitung aktivierbar bzw. deaktivierbar sein.
    Danach habe ich schon gesucht, aber nichts gefunden...weil es vermutlich auch nicht geht.

    Zitat Zitat von fwolf Beitrag anzeigen
    Im Übrigen kann die Zertifikatsprüfung auch mit IP-Adressen funktionieren – die müssen dann halt im Common Name (CN) oder Subject Alternative Name (SAN) des Zertifikats stehen.
    Guter Punkt, das hatte ich nicht bedacht.
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  10. #10
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Schade das hier kein Feedback von Starface kommt.
    Ich bin immer noch der Meinung das man das Bool in der GUI sehen und auch ändern können sollte.
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  11. #11
    STARFACE Expert

    Registriert seit
    23.03.2015
    Beiträge
    789

    Standard

    Ich bin zufällig auf diesen Thread gestoßen, auch hier wäre es toll, wenn STARFACE wie selbst AVM Let's Encrypt einsetzen würde...
    Beste Grüße & bleibt gesund

    d i r k

  12. #12
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Sehr schade das man dieses Thema bei Starface so ignoriert.
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

Ähnliche Themen

  1. Antworten: 26
    Letzter Beitrag: 07.01.2019, 08:06
  2. ntp.conf auf 6.2.0.15
    Von brudy im Forum Bugreports
    Antworten: 0
    Letzter Beitrag: 30.05.2016, 09:29
  3. Realm in der sip.conf ändern
    Von sbielski im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 28.12.2009, 19:11
  4. Änderung der extensions.conf
    Von Rolf im Forum STARFACE Erweiterungen & Integrationen
    Antworten: 5
    Letzter Beitrag: 07.05.2008, 17:49
  5. Statische Änderungen in .conf-Dateien
    Von lordmike1503 im Forum STARFACE Erweiterungen & Integrationen
    Antworten: 2
    Letzter Beitrag: 19.12.2007, 23:33

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •