möglicher Angriff

  • OK, zumindest bin ich nicht der Einzige der sich daran stört.
    Trotzdem erschliesst sich mir nicht wiese dies nicht eingegrenzt werden kann. Auch das Argument ob nun ein Port oder viele offen sind, kann ich nicht einfach so akzeptieren. Für irgend etwas ist die Firewall ja da und das Risiko das ein Angriff erfolgreich ist, ist sicher höher. Ansonsten könnte ich ja auch ein Exposed Host auf die Starface einrichten und behaupten dies wäre gleich sicher, wie mit einer sauber konfigurierten Firewall, nicht?
    Blockt die Starface eine IP zum Beispiel für alle Anfragen / Ports oder nur beim entsprechend angegriffenen?

  • Tut mir leid, aber ich fühle mich genötigt, es deutlicher zu sagen:
    Du verstehst nicht, wann ein "Port offen" ist und tust so, als würdest Du es besser wissen -- unterstellst anderen sogar "Fehlkonstruktionen" und die Schaffung von Sicherheitsrisiken.


    Solange an einen bestimmten Diensteport kein Dienst gebunden ist, ist das nicht mehr als irgendeine Zahl in einem Headerfeld eines UDP- oder TCP-Pakets.


    Ein Port ist offen, genau dann, wenn ein Dienst an diesem "Port" lauscht, man also mit einer Anwendung kommunizieren kann.
    Ein Port ist geschlossen, wenn das nicht der Fall ist. Es gibt dann keine Möglichkeit mit einer Anwendung Daten auszutauschen -- also auch keine Sicherheitsrisiken.


    Ob ein Port geschlossen oder zuvor gefiltert ist, spielt in Bezug auf die Sicherheit absolut keine Rolle!


    Um verschiedene Telefonie-Sessions parallel abzuhalten, wird für jedes Gespräch ein RTP-Port-Paar zufällig ausgewählt. Erst dann bindet sich ein Dienst an diese Ports und aus geschlossenen Ports werden Offene, die für den Datenaustausch benötigt werden.



    Für ein Sicherheitsrisiko muß ein Angreifer schon Daten an einen Dienst richten können. Hier kommen jetzt Firewalls ins Spiel, die den Datenaustausch nur vertrauenswürdigen Kommunikationspartnern erlaubt.

  • Kann man denn die Mailbenachrichtigung für die Angriffe deaktivieren? Wenn die Starface das blockiert reicht mir das ja. Ich muss da nicht alle paar Stunden eine Mailbenachrichtigung erhalten. ;)

  • Ich glaube wir haben hier einfach zu unterschiedliche Ansichten.
    Zum Einen verstehe ich einfach nicht wieso soviele Ports offen sein müssen wenn maximal 1‘200 Ports benötigt werden (grösste Starface ist für 3000 User à 4 Ports).
    Zum Anderen, wenn jede Software so grosszügig mit den notwendigen Ports umgehen würde, hätten wir wohl ein kleines Problem...
    Übrigens gibt es Kunden, die wegen diesen vielen Ports nicht mehr Kunde sind oder auf gehostete gewechselt sind (kenne zumindest je einen Ich glaube wir haben hier einfach unterschiedliche Ansichten.
    Zum Einen verstehe ich einfach nicht wieso soviele Ports offen sein müssen wenn maximal 1‘200 Ports benötigt werden (grösste Starface ist für 3000 User à 4 Ports).
    Zum Anderen, wenn jede Software so grosszügig mit den notwendigen Ports umgehen würde, hätten wir wohl ein kleines Problem!
    Übrigens gibt es Kunden, die wegen diesen vielen Ports nicht mehr Kunde sind oder auf gehostete gewechselt sind. Falls dies die Idee ist, schade.
    Zu guter letzt musst du mir wohl zustimmen, das man im Grundsatz möglichst viele Ports zu hat und es bei anderen Softwareprodukten durchaus schon vorkam, das ein (un)wissender Open-Source-Entwickler einen spezifischen Port erreichbar lies.
    Aber vermutlich liegen unsere Auffassungen bezüglich den offenen Ports einfach zu weit auseinander...Fall). Falls dies die Idee ist, schade.
    Zu guter letzt musst du mir wohl zustimmen, das man im Grundsatz möglichst viele Ports zu hat und es bei anderen Softwareprodukten durchaus schon vorkam, das ein (un)wissender Open-Source-Entwickler einen spezifischen Port erreichbar lies.
    Aber vermutlich liegen unsere Auffassungen bezüglich den offenen Ports einfach zu weit auseinander...


  • Zum Einen verstehe ich einfach nicht wieso soviele Ports offen sein müssen


    Die Ports sind ja nicht offen, solange kein Gespräch geführt wird!


    Die Ports auf denen die Gespräche geführt werden, werden durch die beiden involvierten Telefonanlagen beim Gesprächsaufbau ausgehandelt; Dein Problem ist, dass Du auf die Gegenstelle keinen Einfluss auf deren Ports hast sondern das akzeptieren musst was Dir angeboten wird. Da Du nicht weisst was da kommt, kannst Du auf der Firewall auch nichts abfangen.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Hallo Ahnungsloser,


    na bei Dir ist das Pseudo ja scheinbar Programm :rolleyes: - bitte nicht falsch verstehen, ich möchte Dir nicht zu nahe tretenn und es ist auch nicht böse gemeint.


    Wie VoIP funktioniert ist Dir so halbwegs schon klar, oder? Fabian hat ja nun schon ganz gut versucht zu erklären, wie das mit den "offenen Ports" zu verstehen ist. Nachlesen kann man auch, dass das mitnichten etwa etwas Starface-spezifisches sei, wie Du wohl mit dem Hinweis, man könne glauben die Kunden sollen in die Cloud gedrängt werden, erklären kann. Es ist einfach immer so - egal bei welchem Hersteller oder Telefonieanbieter. Das ist Stand der Technik.


    Ich verstehe was Dein Anliegen ist, wo Du Ängste hast oder Probleme siehst. Im Grunde würde ich dann eben auch z.B. in einem lokalen Netz nur mit einer halbwegs konfigurierbaren brauchbaren Firewall arbeiten (was man aber eh haben sollte). Bei einer Fritzbox einfach alle Ports zu öffnen würde mir sicher auch Bauchschmerzen bereiten.


    Und dass das richtig verstanden ist - auch im Rechenzentrum wird nicht anders gearbeitet ...


    Wenn Kunden weglaufen, weil man bei VoIP das beschriebene Port-Handling braucht, liegt es vielleicht am Dienstleister der nicht in der Lage ist den Kunden richtig zu vermitteln worum es geht und was da "passiert" ... und dann vielleicht eben das Ganze mit unklaren oder ganz fehlenden brauchbaren Firewall und Netzwerkkonzepten arbeitet (da würde ich auch weglaufen).


    Auch wenn es Trend der Zeit ist: man sollte jedenfalls nicht anderen gleich das Schlechte unterstellen, nur weil man etwas noch nicht in Gänze verstanden hat. Das ist auch wirklich wie gesagt gar nicht anmaßend oder böse gemeint, soll auch kein Fingerzeig sein. Fabian hat sich die Mühe gemacht das kurz zu erklären - notfalls hilft sogar die Suche im Internet ein wenig weiter. Über Sicherheitskonzepte kann man immer trefflich streiten und natürlich bitetet jeder zusätzliche Dienst im Netz neue Gefahrenquellen. Wenn Du es ganz sicher haben wolltest, müsstest Du Dir das Thema "Session Border Controller" anschauen, allerdings ist das ein eigentlich schon etwas sehr hoch gehängtes Thema und nicht ganz billig. Überlegen kann man immer auch, mit anderen Komponenten und Konzepten Netze zu trennen - es gibt viele Ansätze. Das die VoIP-Kommunikation ansich aber um das Portkonzept nie herum kommt, ändert das alles nichts.

  • Nicht auf der Starface, aber auf der Firewall!


    Ich dachte, ich hätte Firewall geschrieben, aber wenn Du lieber Starface liest ?.....

    .....kannst Du auf der Firewall auch nichts abfangen.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Falls "Ahnungsloser" immer noch von extern Clients anmelden will, kann er mal WireGuard probieren. Damit habe ich mir auf meinen Androiden einen permanenten VPN eingerichtet. Da WireGuard noch in der Alpha-Phase ist, hängt es gelegentlich und man muss es neu starten. Sehe ich bei mir aber relativ schnell daran, dass Zoiper nicht mehr verbunden ist. Es passiert meist bei mir, wenn ich meine IP ändert, sprich ich vom WLAN ins Mobilfunknetz gehe oder wieder zurück ins WLAN.
    Somit kann ich den Client von außen anmelden und habe derzeit nur Port 5060 zur Starface geöffnet, der auf 2 IPs meines Providers beschränkt ist, die ich der Whitelist meiner Starface entnommen habe.


    Vielleicht ist das ja eine Lösung für dich.


    Mit freundlichem Gruß
    Andreas

  • [Internet] -> [VPN/Router/Firewall] -> [Starface]


    Wo ist das Problem, der Router/VPN Server kann doch routen.

    Gruß
    slu


    ---
    Ich bin kein Starface Partner - zufriedener Starface Anwender seit Anfang 2008.

  • Du stellst doch über den VPN Zugang zum Netz her in welchem die STARFACE dann (wenn der VPN-Tunnel steht) als Node angesprochen werden kann.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • ???


    Was ist bei Dir Node ?


    VPN Endpunkt ?


    VPN-Endpunkt auf der STARFACE ist Unsinn

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Zum Glück habe ich keine Ahnung, was gefordert ist.
    Ich habe Wireguard in einer VM auf meiner Synology eingerichtet. Es läuft auch auf einem Raspberry. Seitdem habe ich in Zoiper die direkte IP z.B. 192.168.178.123 der Starface eingetragen und bisher nur das Problem, dass ich WireGuard auf dem Androiden gelegentlich bei Netzwechsel neu verbinden muss, was man über einen Shortcut in der Statuszeile bequem machen kann.
    Seit dem ich dann nur noch Port 5060 an die Starface weiterreiche und diesen auf die IP meiner Provider beschränkt habe, ist die Blacklist leer, so wie es sein soll.
    Keine Ahnung, was man noch mehr wünscht.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!