1 of 1 users consider this post helpful
Re: IP blacklist
Hallo Herr Künkel!
Vielen Dank für die Antwort.
Ein letztes Mal meine Meinung zu diesem Thema:
1.
Internet E-Mail hätte keine Chance gehabt, müsste mit jedem, von dem man ein Mail empfangen können will, erstmal Zertifikate austauschen und Filtereinstellungen anpassen. Mit Federation wird SIP nicht der grosse Renner werden und das Potential, das in dieser Technologie steckt, nicht wecken können.
2.
ISDN zum Teilnehmer wird gerade abgeschaltet, wohl auch aus Kostengründen. Die ISDN-Technik war zu wenig verbreitet und auch zu komplex.
Eigene Wählämter für die Teilnehmeranschlatung zu betreiben ist -nicht zuletzt angesichts er verfallenden Telefongebühren- nicht mehr drin.
Ich glaube in logischer Konsequenz, dass es nicht mehr ewig wirtschaftlich machbar sein wird, all die übergeordneten Vermittlungsstellen und am Ende des Tages das Telefonnetz überhaupt zu betreiben.
Egal ob das nun gut ist oder schlecht, ich gehe davon aus, dass das Telefonieren in absehbarer Zukunft so funktionieren wird wie E-Mail heute: SIP Server rufen sich gegenseitig an.
Ein E-Mail Postamt hätte schon seine Berechtigung, keine Frage. Aber wrtschafltich betreiben wird es sich wohl nie lassen. Man lernte, mit dem überall gegenwärtigen Missbrauch zu leben.
3.
SIP und Firewall gibt wegen der NAT immer Ärger. SIP Endgeräte hinter einer Firewall zu betreiben, geht mittlerweile ganz gut.
SIP Server hinter eine Firewall zu platzieren, ohne an Funktionalität und Erreichbarkeit zu verlieren, halte ich für derzeit nicht sinnvoll möglich.
Dazu benötigt es schon Systeme, die das SIP Protokoll in seinem vollen Umfang verstehen, und das sind wohl am besten die SIP Server selbst.
4.
Für den Masseneinsatz wird es zu teuer sein, zwei SIP-Server (zB PBX und SBC) hintereinander aufzubauen, dass kann auf Dauer nur ein einziges integriertes System sein.
Ich denke, nun die Position von innovaphone zu kennen. Ich denke aber aus gesagten Gründen, dass das zu wenig ist: Man hat die geschilderten Herausforderungen -die naturgemäß durcheinander gehen- wenn man SIP Server im Internet betreibt, und braucht ein System, mit dem man möglichst einfach möglichst viele davon lösen kann.
NB: Aus den genannten Gründen fügen wir bei uns im Hause gerade vorhandenes zusammen und bauen eine spezielle Version unserer “Firewall" mit Intrusion Protection auf.
Es ist eine stealth Firewall, die auf Layer 2 angesiedelt ist und -ausser für administrativen Zugriff- keine IP Adresse hat. Sie ist damit auf Layer 3 für den Voice Traffic gar nicht sichtbar.
Damit kann sie zwischen Internetrouter und PBX gehen, ohne dass die beiden was davon merken und konfiguriert werden müssten.
Sie wertet aber in Echtzeit die Protokolle der PBX aus und beginnt, IP-Pakete des Angreifers zu verwerfen, sobald ein Angriff erkannt wird.
Damit lässt sich -wie die Erfahrung gezeigt hat- die Attraktivität einer PBX für einen Angreifer mit diesen recht einfachen Mitteln um Potenzen reduzieren.
LG
Kurt Krenn
Vielen Dank für die Antwort.
Ein letztes Mal meine Meinung zu diesem Thema:
1.
Internet E-Mail hätte keine Chance gehabt, müsste mit jedem, von dem man ein Mail empfangen können will, erstmal Zertifikate austauschen und Filtereinstellungen anpassen. Mit Federation wird SIP nicht der grosse Renner werden und das Potential, das in dieser Technologie steckt, nicht wecken können.
2.
ISDN zum Teilnehmer wird gerade abgeschaltet, wohl auch aus Kostengründen. Die ISDN-Technik war zu wenig verbreitet und auch zu komplex.
Eigene Wählämter für die Teilnehmeranschlatung zu betreiben ist -nicht zuletzt angesichts er verfallenden Telefongebühren- nicht mehr drin.
Ich glaube in logischer Konsequenz, dass es nicht mehr ewig wirtschaftlich machbar sein wird, all die übergeordneten Vermittlungsstellen und am Ende des Tages das Telefonnetz überhaupt zu betreiben.
Egal ob das nun gut ist oder schlecht, ich gehe davon aus, dass das Telefonieren in absehbarer Zukunft so funktionieren wird wie E-Mail heute: SIP Server rufen sich gegenseitig an.
Ein E-Mail Postamt hätte schon seine Berechtigung, keine Frage. Aber wrtschafltich betreiben wird es sich wohl nie lassen. Man lernte, mit dem überall gegenwärtigen Missbrauch zu leben.
3.
SIP und Firewall gibt wegen der NAT immer Ärger. SIP Endgeräte hinter einer Firewall zu betreiben, geht mittlerweile ganz gut.
SIP Server hinter eine Firewall zu platzieren, ohne an Funktionalität und Erreichbarkeit zu verlieren, halte ich für derzeit nicht sinnvoll möglich.
Dazu benötigt es schon Systeme, die das SIP Protokoll in seinem vollen Umfang verstehen, und das sind wohl am besten die SIP Server selbst.
4.
Für den Masseneinsatz wird es zu teuer sein, zwei SIP-Server (zB PBX und SBC) hintereinander aufzubauen, dass kann auf Dauer nur ein einziges integriertes System sein.
Ich denke, nun die Position von innovaphone zu kennen. Ich denke aber aus gesagten Gründen, dass das zu wenig ist: Man hat die geschilderten Herausforderungen -die naturgemäß durcheinander gehen- wenn man SIP Server im Internet betreibt, und braucht ein System, mit dem man möglichst einfach möglichst viele davon lösen kann.
NB: Aus den genannten Gründen fügen wir bei uns im Hause gerade vorhandenes zusammen und bauen eine spezielle Version unserer “Firewall" mit Intrusion Protection auf.
Es ist eine stealth Firewall, die auf Layer 2 angesiedelt ist und -ausser für administrativen Zugriff- keine IP Adresse hat. Sie ist damit auf Layer 3 für den Voice Traffic gar nicht sichtbar.
Damit kann sie zwischen Internetrouter und PBX gehen, ohne dass die beiden was davon merken und konfiguriert werden müssten.
Sie wertet aber in Echtzeit die Protokolle der PBX aus und beginnt, IP-Pakete des Angreifers zu verwerfen, sobald ein Angriff erkannt wird.
Damit lässt sich -wie die Erfahrung gezeigt hat- die Attraktivität einer PBX für einen Angreifer mit diesen recht einfachen Mitteln um Potenzen reduzieren.
LG
Kurt Krenn