möglicher Angriff

  • Hallo zusammen


    Seit einigen Tagen, erhalten wir täglich mindestens eine Warnung über einen möglichen Angriff auf unsere Starface-Anlage. Teilweise auch über fünf Warnungen. Die IP wird entsprechend auf die Blacklist gesetzt.
    Gibt es aktuell vermehrt Angriffe oder kann dies mit unserem Providerwechsel (neu Glasfaser) zusammen hängen?
    Wir haben aktuell folgende Ports für die Starface von aussen freigegeben: 5060, 5061, 5222, 10000-65535. Können diese weiter reduziert werden? Gerne möchten wir jedoch von aussen mit der Starface-App auf unsere Anlage zugreifen können.


    Beste Grüsse


    Ahnungsloser

  • Hallo Ahnungsloser


    Daran wirst du dich wohl gewöhnen müssen.


    Uns ist aufgefallen, dass man in gewissen IP-Ranges viel "Anfälliger" für Port-Scans und Bots ist. Das zielt nicht nur auf die Starface ab, sondern allgemein.


    In der Woche bekommen wir zwischen 100-200 E-Mails mit dem Titel "Es wurde¨ein möglicher Angriff über..."


    Ich habe in Modul geschrieben, welches solche IP's über mehrere Anlagen aus permanent Blockiert. Die Liste hat in der Zwischenzeit 406 verschiedene IP-Einträge, und dennoch hört das ganze nie auf, und wird auch nie aufhören.


    Die von dir genannten Dienste müssen effektiv gegen aussen geöffnet sein, dass die Telefonanlage richtig funktioniert. Mehr Reduzieren geht da nicht mehr, wenn du die Mobile-App nutzen willst.


    MfG


    Fabian

  • Hallo Fabian


    Herzlichen Dank, dann werden wir wohl damit leben müssen. Interessant wäre eine Blacklist von Seiten Starface, sprich Einträge würden auf alle Anlagen gepusht werden (ähnlich der Liste von Apple).


    Ansonsten werden wir wohl damit leben müssen ;(


    Beste Grüsse


    Ahnungsloser

  • Hallo Ahnungsloser.


    Ich verweise dort noch auf das Thema Mass Black/Whitelisting


    Das Problem ist hier die Integrierte "Firewall" mit den IPTables wird's der Starface sehr schnell sehr lastig, was sich negativ auf die Telefonie und andere Dienste auswirkt.


    Eine Backlist würde nichts mehr bringen, wenn dann Plötzlich die kleinen Compact Anlagen dem nicht mehr gewachsen wären.


    MfG


    Fabian

  • Sperrt das doch in der Firewall vor der Starface oder einfach die ganze Starface hinter ein VPN setzten, dann ist Ruhe ;)
    Sicher ist das etwas unbequemer und geht auch nicht bei jedem Setup, das ist schon klar.

  • Ich habe vorhin einen solchen post in "off topic" erstellt. Erst jetzt hab ich die Frage hier gesehen. Bei mir ist das gerade auch ein Problem. Nervt. Gibt es eine Liste, welche Ports bei der Starface für welche Themen wichtig sind? Ich bin da nicht ganz so fit in dem Thema und will eine möglichst kleine Angriffsfläche bieten.


    Grüße


    Dr. M. Rothsching

  • Du könntest zumindest die Ports die nicht für die mobileApps genutzt werden soweit einschränken, dass nur Anfragen von Deinem VoIP-Provider erlaubt sind.


    Oder Du machst gegen aussen (mit Ausnahme Deines VoIP-Providers) alles dicht und arbeitest über VPN-Zugänge.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Ich persönlich benutze OpenVPN dazu. Das VPN hat noch den Vorteil, dass für externe Clients nur ein Port geöffnet werden muss - der OpenVPN Port und all die Clients dann praktisch im LAN stehen...

  • Ich persönlich benutze OpenVPN dazu. Das VPN hat noch den Vorteil, dass für externe Clients nur ein Port geöffnet werden muss - der OpenVPN Port und all die Clients dann praktisch im LAN stehen...


    Generell wäre es noch eine tolle Sache, wenn in der Mail der Starface-Anlage noch der Port stehen würde, der attackiert wurde. Vielleicht kann man das noch ändern.

  • Leider nehmen die Angriffe bei uns ja nicht ab, was mit dem automatischen Verschieben der Mails von mir aus "erledigt ist".


    Mit folgenden beiden Punkten habe ich aber echt ein Problem mit Starface:
    - Wieso können diese Mails nicht z.B. täglich verschickt werden mit einer Zusammenfassung?
    - Wieso in aller Welt werden fast 60'000 offene Ports für die Kommunikation benötigt? Können die Ports 10000-20000 und 20000-65535 nicht jeweils zu einem Port zusammengefasst werden?
    Es gibt noch andere Software, welche auch gerne einen offenen Port haben möchte und wir möchten nun wirklich nicht so viele Ports öffnen, sonst kann die Firewall auch gleich deaktiviert werden!


    Welche Lösungsmöglichkeiten gibt es hier ausser VPN (was nicht sehr komfortabel ist) oder ist Starface hier am nachbessern?

  • Hallo Ahnungsloser


    Die RTP-Ports 10000-20000 und 20000-65535 haben keine Funktionalität, und antworten auch nicht, bis ein Anruf zustande kommt.


    Wenn also jemand Anruft, wählt das Asterisk zufällig Ports aus diesem Port Bereich (Je nachdem bis zu 4 pro Anruf).
    Du kannst den Port Bereich in der rtp.conf auf der Starface anpassen. Natürlich auf eigene Verantwortung.


    MfG


    Fabian

  • Leider nehmen die Angriffe bei uns ja nicht ab, was mit dem automatischen Verschieben der Mails von mir aus "erledigt ist".


    Mit folgenden beiden Punkten habe ich aber echt ein Problem mit Starface:
    - Wieso können diese Mails nicht z.B. täglich verschickt werden mit einer Zusammenfassung?
    - Wieso in aller Welt werden fast 60'000 offene Ports für die Kommunikation benötigt? Können die Ports 10000-20000 und 20000-65535 nicht jeweils zu einem Port zusammengefasst werden?
    Es gibt noch andere Software, welche auch gerne einen offenen Port haben möchte und wir möchten nun wirklich nicht so viele Ports öffnen, sonst kann die Firewall auch gleich deaktiviert werden!


    Welche Lösungsmöglichkeiten gibt es hier ausser VPN (was nicht sehr komfortabel ist) oder ist Starface hier am nachbessern?


    Die Freigabe auf der Firewall bspw. auf die SIP-Provider beschränken; ansonsten gibt es ausser VPN zurzeit keine sinnvollen Möglichkeiten.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Und wieso können diese nicht über einen oder von mir aus vier Ports begrenzt werden? Somit könnten wir bei der Firewall ordentlich Ports schliessen!
    Es leuchtet mir echt nicht ein, wieso ich ein riesiges Tunnel offen halten muss, um anschliessend nur Ameisen einen Durchmarsch zu ermöglichen!


    Dies ist doch in der starken Tendenz eine Fehlkonstruktion, oder nicht?

  • OK, dann sollte es trotzdem die Möglichkeit geben dies entsprechend einzustellen (z.B. bei 10 Teilnehmer auf 40 Ports zu begrenzen). Zudem sollten diese auch im Interface eingestellt werden können.

  • OK, dann sollte es trotzdem die Möglichkeit geben dies entsprechend einzustellen (z.B. bei 10 Teilnehmer auf 40 Ports zu begrenzen). Zudem sollten diese auch im Interface eingestellt werden können.


    Und was soll das bringen? Es nervt natürlich wenn man eine Fritzbox hat wo man die Portfreigaben für UDP/10000-20000 bzw. TCP/10000-20000 nur in 20er oder 100er Blöcken einrichten kann, aber sonst?


    Sogut wie alle eingehenden Angriffe auf die STARFACE zielen auf die Webserver-Ports (80/443), SIP (5060/5061) und SSH (22) ab. Diese lassen sich über die Firewall prima abschotten gegen Unbefugte (5060/5061 muss man natürlich für sein Telefonieprovider freigeben, sonst kommen keine Anrufe an). SSH sollte mindestens über ein Proxy vor Zugriff von außerhalb geschützt sein (Authentifizierung am Proxy und dann darüber SSH tunneln auf die STARFACE sowie die anderen Diensten im Netzwerk).

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Und wieso können diese nicht über einen oder von mir aus vier Ports begrenzt werden? Somit könnten wir bei der Firewall ordentlich Ports schliessen!
    Es leuchtet mir echt nicht ein, wieso ich ein riesiges Tunnel offen halten muss, um anschliessend nur Ameisen einen Durchmarsch zu ermöglichen!


    Dies ist doch in der starken Tendenz eine Fehlkonstruktion, oder nicht?


    Nein, das hat schon Gründe...


    https://support.starface.de/fo…8526&viewfull=1#post28526

  • Eine Firtzbox ist bei uns nicht im Einsatz und wir können die Firewall ganz einfach so konfigurieren. Allerdings, wieso soll ich überhaupt eine Firewall haben, wenn ich das Scheunentor so weit offen habe?
    Grundsätzlich ist die Idee der Firewall ja nur das Notwendigste durchzulassen und es erschliesst sich mir nicht, wieso das nicht begrenzt werden kann.


    Bei uns ist zum Beispiel noch Software von Graphisoft im Einsatz. Dieser verwenden Standartmässig die Port 22000 und 22001 (beim Release der Version 23 wird dies 23000 und 23001 sein). Dies kann wohl konfiguriert werden, jedoch ist es mir unsympathisch so viele Ports einfach offen zu haben. Ich weiss nicht, wie dies bei ihrem Netzwerk ist, aber auch dieses wird vermutlich möglichst wenig offene Ports haben.

  • Eine Firtzbox ist bei uns nicht im Einsatz und wir können die Firewall ganz einfach so konfigurieren. Allerdings, wieso soll ich überhaupt eine Firewall haben, wenn ich das Scheunentor so weit offen habe?


    Scheunentor? Du hast Fabian Zünds (Nucom) Antwort nicht gelesen -- und im obigen Link ist's auch nochmal erklärt.



    Grundsätzlich ist die Idee der Firewall ja nur das Notwendigste durchzulassen und es erschliesst sich mir nicht, wieso das nicht begrenzt werden kann.


    Weil es am anderen Ende keinen Dienst gibt, wenn dieser nicht für ein konkretes Gespräch benötigt wird. Ich glaube, hier gibt es ein Verständnisproblem, was es bedeutet, wenn ein Port "offen" ist.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!