Hallo Kurt,

ich bin mir auch nicht sicher ob es Aufgabe der TK-Anlage sein muß, sich vor Atacken zu schützen. Hier sehe ich auch eher die Aufgabe bei der Firewall.
Natürlich kann ein zusätzlicher Schutz von seinten der Innovaphone nicht schaden.
Es wurde leider nicht ausführlich beschrieben was genau dieses featurer "IP Blacklist" bewirkt.

SIP-Registrierungen im Internet sind definitiv stark von solchen Atacken betroffen und sollten nicht schön geredet werden.

Wenn die Telekom auf All-IP umstellt könnte die Gefahr noch deutlich dramatischer werden.

Von unserer Seite wurde schon die Empfehlung an Innovaphone herangebracht, ein Sicherheitsgateway auf Basis Innovaphone anzubieten. Vom BSI sind sicherlich Detailanforderungen für solch ein GW in Erfahrung zu bringen.

Gruß Roland

Hallo zusammen,

das ist ein interessantes Thema vor allem im Hosting Bereich (also Anmeldung von Endgeräten kommt außerhalb des eigenen LANs)

>> Ich selbst nehme dazu meine Mikrotik und sperre alle Daten von extern bis auf die vom Provider

damit kommt man da nicht weiter. Ich wüsste auch nicht wie eine Firewall hier Abhilfe schaffen soll, eine Firewall weiss noch nicht von misslungen anmelde versuchen. Ich bin schon der Meinung das innovaphone hier in der Pflicht ist mehr Sicherheit Möglichkeiten anzubieten


vg
niko

Hallo allerseits,

vielleicht könnt Ihr mal einen Blick in  Advanced - Public PBX Access werfen, da sind unsere Empfehlungen drin.

Unser DOS Schutz funktioniert so:

• Auf die IP-Blacklist wird eine Remote-Adresse gesetzt wenn ein REGISTER reinkommt für einen User, den es nicht gibt oder
  
• wenn ein REGISTER reinkommt mit falschen Passwort (also mit ungültiger Digest-Authentication)
• Wenn eine Remote-Adresse auf der Liste steht, werden keine Requests von dort mehr beantwortet.
  

Christoph

Meines Wissens wird in Österreich auch ein eigenes Netz gefahren für VoIP Telefon bei der Telekom, wobei die sogar einen eigenen ATM Kanal aufmachen damit sie keine Probleme mit dem Traffic bekommen. Private Firmen verlangen eine statische IP oder man muss aus ihrem IP Netz kommen

Peter

ich versteh das Bild ja nicht, vielleicht kannst Du mir auf die Sprünge helfen. Das Bild legt ja nahe, dass der Multi-Service-Access-Node eine eigene Leitung zum Kunden hat und der Rest des Internetzugangs über einen separaten Breitband-Access geht.

Aber so ist es doch nicht? Der Kunde hat doch nur eine Leitung (eben seinen DSL Anschluss).

Grübel.

Guten Tag!
Ich bin noch ein paar Tage im Urlaub auf einer Insel und daher etwas zurückgezogen! Sorry.

Vielleicht hilft folgendes zu Klärung:

1.)
Ein Angreifer hat von ein- und derselben IP-Adresse in 40 Stunden 10000 Versuche unternommen, mit den Durchwalhen von 10 bis 9999 als Username und den üblichen Passwörtern aus einer Lsite (123, 1234,123456,aaa, abc usw.) über SIP eine Nebenstelle zu registrieren. Der war erfolglos. Am liebsten würde ich aber nun das IP-Netz, aus dem der Angriff kam, lebenslänglich sperren.
(Vielleicht könnte man auf diese Weise den französischen Internetprovider, aus dessen Bereich sie stammt, bewegen, Kunden, die bekanntermassen seit Jahren VoIP Server hacken, zu verjagen. Auf friedlichem Weg ist mir das nicht gelungen. Aber wenn seine Kunden nirgends mehr draufkommen, seine IP-Adrssen unbrauchbar sind, vielleicht würde er dann überlegen, wen er als Kunden wollen?)
Wenn auch nur ein minimaler Fortschritt, aber doch einer wäre die Möglichkeit, dieses IP-Netz zu sperren.
Einem anderer Angreifer von einer anderen IP-Adresse ist es nach 8 Stunden probieren(!!!) gelungen, ein Passwort zu erraten. Der hat dann in 28 Stunen u, € 23.000,- telefoniert.
Interessant dürfte sein, dass sich alle 3 angreifenden Adressen in anderen Blacklists finden. (zB Googlesuche nach "212.83.154.218 voip").
Und es waren keine "distributed" Angriffe!

In anderen Systemen haben wir erfolgreich implementiert:
3 Fehlversuche: 10 min Sperre;
3 * Sperre in einer Stunde: 1 Jahr Sperre;
... und Ruhe ist:
5 sind jetzt gerade auf der 10 min Liste,
1600 sind auf der Jahresliste.

Daher: 25 sec. ist viel zu kurz.

2.) SIP steht suf einer Ebene mit SMTP.
SIP ist nicht der Ersatz für eine ISDN Leitung. Das kann man auch mahen, aber es ist VIEL mehr:
SIP ist in Verbidung mit DNS und den SIP-SRV-Records eine Technik, die bald das Telefonnetz und Wählämter so überflüssig machen wird wie ein E-Mail Postamt und Briefmarken für E-Mails.
Per SMTP reden die Mail-Server von Untenehmen miteineander. Per SIP die Telefonserver der Unternehmen. Ohne Telefongebüreh natürlich. ENUM dient in der Transitionsphase als Übersetzer zwischen Rufnummern und SIP-Adressen, solange es noch Rufnummern gibt
Dem SIP-Server eine private Adresen zu geben, um ihn zu verstecken scheidet daher aus.
Das wäre ja, als würde man E-Mails nur von seinem E-Mail-Provider !?!?! empfangen wollen. (Solche Mail Systeme wurden mal gebaut, sie sind aber mit dem Aufkommen der Internet E-Mail aus leicht erkennbaren Gründen über Nacht veschwunden.)

3.
Brauchbar dafür sind VoIP-Systeme, die im Internet leben können, ohne mords Firewalls rundherum. Und das ist, wie die Blacklsits -sinnvoll angewendet- gezeigt haben, recht einfach zu haben.
DIe Mailserver haben ja auch rasch gelernt, wie man sinnlose Mails erkennen kann; und die web-Server, wie man triviale http-Angriffe erkennt.

4. Wenn man für all die netten Dinge, die man mit myPBX und Co. - jetzt nativ auch unter Android - machen kann, mangels Erreichbarkeit der IPxxxx aus dem Internet erst einmal ein VPN auf all den mobilen Geräten einrichten muss, damit sie sicher genutzt werden können, dann reduziert sich der Kreis der Anwender gleich einmal auf einen Bruchteil. (Ich kann mir schwer vorstellen, dass ein Kunde im Rahmen der Telefonanalgenerneuerung auch ein VPN-Projekt für seine mobilen Devices investiert.)

MfG Kurt Krenn