innovaphone Forum

You are here

Help with Search (new window)
Picture of Roman 753
Registered 11 years 355 days
Roman 753 Friday, 20 November 2015, 11:30 AM
1 of 1 users consider this post helpful
SBC Security-Features
Hallo,

der SBC ist ein tolles Feature um mehr Sicherheit zu erlangen, vor allem wenn man ihn mit dem Reverse-Proxy kombiniert, jedoch funktioniert dieser zu gut, das heißt er leitet auch korrekte Anriffsmuster weiter, da können z.B. Bufferoverflows durch sehr lange Rufnummern sein oder Re-Register Attacken um nur 2 Beispiele zu nennen.

Ich denke der SBC wird auch sehr viel Nutzen bringen in Richtung des SIP-Providers, dieser hat ja häufig eine öffentliche-IP und somit hängt/hing die PBX ja zumindest mit dem Port 5060 SIP-Technisch recht unsicher im Internet.

Mein Wunsch/Vorschlag für den SBC wäre:
-> Dass der Reverseproxy auch so angepasst wird, dass UDP-Pakete inspiziert werden können.
-> Dass man Regelmentierungen einbinden kann wie:
max. Anzahl an (Re)Registrierungen / Zeitspanne / IP
Content-Filter (zB Regex für erlaubte Zeichen im Invite Header)
Max. Rufnummernlänge
SIP/H323-Paketvalidierung (ist das Paket überhaupt ein valides Paket für das Ziel)
Rudimentärer DoS/DDoS Schutz mt Blacklisting (wie im Reverseproxy)

Liebes Froum, liebe Innovaphone.
Das ist weniger eine Frage mehr ein Feature-Request, wenn Ihr das auch gerne hättet, würde ich mich über positive Votes freuen oder über weitere Ideen.
Picture of Christoph Künkel (innovaphone)
Moderator Registered 14 years 357 days
Christoph Künkel (innovaphone) Monday, 30 November 2015, 11:17 AM
Re: SBC Security-Features
Hallo Roman,

vorab, eins verstehe ich nicht: "in Richtung des SIP-Providers, dieser hat ja häufig eine öffentliche-IP und somit hängt/hing die PBX ja zumindest mit dem Port 5060 SIP-Technisch recht unsicher im Internet". Mir ist nicht klar, was für ein Szenario Dir da vor schwebt. Ein SIP Provider wird von der PBX ausgehend über NAT angesprochen, es gibt keinen Grund, der PBX dafür eine öffentliche IP Adresse zu geben. Das würde man nur tun, wenn der Provider keine Registrierung unterstützt und dann sollte das durch ein VPN oder eine dedizierte FW abgesichert werden. Port 5060 zur PBX ist beim normalen Szenario nicht offen.

LG, Christoph
Picture of Peter 1333
Registered 11 years 16 days
Peter 1333 Monday, 30 November 2015, 11:34 AM
Re: SBC Security-Features
Hallo Christoph,

Das mit der öffentlichen IP hat schon einen Sinn. Das Problem ist die NAT. SIP Protokoll ist nicht per Definition NAT fähig. Manche Router funktionieren besser, bei manchen gar nicht. Da hilft dir nicht mal ein STUN Server. Bin sogar draufgekommen, dass per Default die Mikrotik Geräte auch im Routing SIP Pakete modifizieren...
Wenn du nicht von einem Routerhersteller abhängig sein willst bei der Funktion ist die public IP die universellste Lösung.

SBC ist zwar eine Lösung, nur gefällt sie mir auch nicht ganz. Mir wäre lieber wenn der Kunde sich z.B. per MyPBX an der Anlage anmelden muss (als so eine Art Zertifikatsaustausch) und dann wird die IP Adresse erst in der Firewall so lange der Client aktiv ist freigeschalten.

Ich lasse in meinem Router ein Protokoll mitlaufen wo registriert wird wer probiert auf die Anlage zuzugreifen. Im Durchschnitt kommen von ca. 150 verschiedenen IP Adressen am Tag Requests aus aller Welt die auf die Anlage wollen, wobei die nicht nur einmal anläuten ;)

Peter
Picture of Christoph Künkel (innovaphone)
Moderator Registered 14 years 357 days
Christoph Künkel (innovaphone) Monday, 30 November 2015, 01:29 PM
Re: SBC Security-Features
Hallo Peter,

ich denke hier gehen 2 Dinge durcheinander. Ein Router, der SIP Pakete modifiiert ist halt ein unbrauchbares Gerät, das kann man aber in der Regel abschalten. Ein SIP Trunk funktioniert schon über NAT, wenn er NAT detection kann oder STUN verwendet wird. Wenn nicht, dann ist er sicher bald out-of-business.
Natürlich hilft es bei derartigen Problemen, das SIP Interface in die SBZ zu verlegen. Das erreicht man auch, in dem man gleich die ganze PBX in die SBZ verlegt - aber das ist das Kind mit dem Bade ausgeschüttet!
In Ordnung hingegen ist es, ein innovaphone Gerät (z.B. auch eine IPVA) in die SBZ zu stellen und dort das SIP interface zu konfigurieren.
Und noch mal: bei einem richtig konfigurierten SIP Trunk mit Registrierung ist die PBX nicht über 5060 offen!

Bei dem anderen von Dir angesprochene Thema (Zugriff auf die PBX von außen) sieht es in der Tat anders aus.

LG, Christoph
Picture of Peter 1333
Registered 11 years 16 days
Peter 1333 Monday, 30 November 2015, 01:51 PM
Re: SBC Security-Features
Hallo Christoph,

Theoretisch ja, du kannst NAT dectection ausschalten, oder STUN verwenden, aber STUN alleine hilft dir auch nicht immer, weil du ja noch den RTP Stream hast.... Außerdem hat man nicht immer "die Macht" über den Router und somit kannst du gewissen Einstellungen nicht verändern. Bei einem Provider waren die einfach zu unfähig von sich aus einen DNS Forwarder einzurichten noch den ordentlich zu konfigurieren. Wenn ich da mit den SIP Sachen gekommen wäre, wäre es das totale aus gewesen.
In dem Moment wo du einen User und ein Passwort eingibst bist du bei mir schon auf der unsicheren Seite. Die sind sooo schnell abgegriffen, vor allem bei den DAU Usern (wie war das nochmals mit Facebook DAU's smile ) , egal welches Betriebssystem du hast, dass bei mir nur noch Dinge als sicher eingestuft werden welche eine "dritte Person" brauchen.

Peter
← You can define your color theme preference here