innovaphone Forum

You are here

Help with Search (new window)
Picture of Archimedes
Registered 10 years 99 days
Archimedes Tuesday, 27 June 2017, 02:35 PM
Sicherheit der USB Ports an IPxxx Telefonen
Hallo zusammen,

es kam seitens unseres IT-Wirtschaftsprüfers die Frage auf in wie weit die vorhandenen USB Ports an den IPxxx Telefonen ein Sicherheitsrisiko darstellen, bzw. welche Schutzmaßnahmen existieren.

Prinzipiell sind die USB Ports zum Anschluss von Headsets, Lautsprechern und Beistellmodulen gedacht. Darüber hinaus können die USB Ports auch zum Laden von verschiedenen USB-Geräten genutzt werden.

Ist es möglich sich über präparierte USB Sticks an den Telefonen z.B. Malware einzufangen, oder DoS Attacken im internen VoIP Netz zu fahren? Und wie wird das ggf. jetzt schon unterbunden?

Clientseitig setzen wir eine Endpoint Protection Lösung für PCs/Notebooks ein, die explizit u.a. USB Ports sperrt. Das zieht aber nur für Windows Systeme. Die Telefone sind in einem eigenen VLAN und von daher gekapselt. Somit könnte ein Schaden zumindest auf das VoIP LAN beschränkt werden.

Kann dazu eine Aussage getroffen werden, wie die Telefone vor präparierten USB Sticks mit Malware geschützt sind?

Gruß,
Lars
Picture of Peter 1333
Registered 11 years 18 days
Peter 1333 Tuesday, 27 June 2017, 11:45 PM
Re: Sicherheit der USB Ports an IPxxx Telefonen
Ich gib dir eine Tipp! Denke wie es in der Natur ist. Hast du eine Monokultur, hast du schnell einen Schädling der die komplette Kultur befällt.
Damit ein angesteckter USB Stick etwas anhaben kann muss dazu ein ausführbarer Code generiert werden der dies macht. Ehrlich gesagt ist nicht einmal bekannt welcher Prozessor, noch die interne Struktur bekannt somit wird ein X86 Code dem Ding nicht viel anhaben können. Auch wenn ein Schädling auf dem Stick ist, der kann da nicht viel machen. Und ich glaub nicht dass jemand speziell einen USB Stick herrichtet der genau auf die Inno Telefone abzielt ist eher unwahrscheinlich.

Peter
Picture of Thomas Ackermann (innovaphone)
Moderator Registered 11 years 358 days
Thomas Ackermann (innovaphone) Wednesday, 28 June 2017, 08:12 AM in response to Archimedes
3 of 3 users consider this post helpful
Re: Sicherheit der USB Ports an IPxxx Telefonen
Hallo,
das Risiko halten wir für sehr gering, denn die Telefonsoftware basiert weder auf Windows, noch auf Linux, noch auf sonst einem "Standardsystem".
Auch die USB-Schnittstelle ist komplett eigen-entwickelt.
Wenn ein Gerät angesteckt wird, wird die Geräte-ID ausgelesen und dann wird geschaut, ob dieses Gerät ein bekanntes und unterstütztes Headsets ist.
Falls nicht, wird das Gerät nicht bedient.
Die bekannten und unterstützten Headsets werden auch komplett selbst gesteuert. Es kommt kein Fremdcode zur Ausführung. Kein Gerätetreiber des Headset-Herstellers.
Das hat den Nachteil, dass neue Headsets erst bei innovaphone "erforscht" und implementiert werden müssen.
Aber andererseits genau den gewissen Sicherheits-Vorteil, dass kein Fremdcode ausgeführt wird.
Programmcode kann auf einem Telefon grundsätzlich nicht installiert werden.
Externe Geräte per USB aufladen kann man an einem Telefon sehr wohl, aber "sprechen" kann und tut das Telefon nur mit einem angeschlossenen USB-Gerät nur, wenn es eines der unterstützten Headsets ist.
Gruß
Thomas
Picture of Archimedes
Registered 10 years 99 days
Archimedes Wednesday, 28 June 2017, 11:17 AM
Re: Sicherheit der USB Ports an IPxxx Telefonen
Danke an beide für die Antworten! Das kommt meiner Erklärung an den Wirtschaftsprüfer ziemlich nah. Von daher super, dass sich meine Annahme bestätigt.
Ich nehme die Antworten mit auf in unsere Risikobetrachtungen.

Gruß,
Lars
Picture of Peter 1333
Registered 11 years 18 days
Peter 1333 Wednesday, 28 June 2017, 02:27 PM
0 of 1 users consider this post helpful
Re: Sicherheit der USB Ports an IPxxx Telefonen
Achja, vergiss bitte nicht den Kommentar in der Riskobetragung : "Das größte Problem sitzt zwischen Tastatur und Sessel" ;)

lg

Peter
Picture of Roland
Registered 12 years 347 days
Roland Thursday, 29 June 2017, 08:58 AM in response to Thomas Ackermann (innovaphone)
2 of 2 users consider this post helpful
Re: Sicherheit der USB Ports an IPxxx Telefonen
Hallo Thomas,

meine Empfehlung: Ähnliche Stellungnahme/Info als offizielle Download Variante auf Eurer Webseite zur Verfügung stellen.
Ebenso in den security works aufnehmen.

Das Thema ist durchaus interessant und wird auch bei uns derzeit behandelt.

Gruß Roland
Picture of Muschelpuster
Registered 7 years 344 days
Muschelpuster Friday, 14 July 2017, 09:39 AM
1 of 1 users consider this post helpful
Re: Sicherheit der USB Ports an IPxxx Telefonen
Jo, eine offizielle Stellungnahme ist wirklich hilfreich. Wir hatten schon einige Sicherheitsaudits mit anderen Systemen. Wenn der Auditor ein Praktiker ist, wird dem das gefallen.
Bei einem Theoretiker hat man eh schlechte Karten, denn der konstruiert Dinge, von denen ich nicht mal träumen kann.
Theoretisch könnte man ein Headset emulieren und mithören. Eigentlich zwar nicht, denn der User entscheidet ja über Hand- oder Headset, aber diese Menschen reden so lange, bis klar ist, dass das ein Risiko ist. Hier kann man aber auch nur empfehlen, komplett auf Unternehmenskommunikation zu verzichten, das ist dann sicher.

unsichere Grüße
Niels
Picture of Peter 1333
Registered 11 years 18 days
Peter 1333 Friday, 14 July 2017, 09:54 PM
0 of 1 users consider this post helpful
Re: Sicherheit der USB Ports an IPxxx Telefonen
Warum ein Headset emulieren. Man kann ohne Probleme die magnetischen Wellen des Ohrhörers mit einer Richtfunkantenne empfangen und somit mithören.
Solchen Leuten empfehle ich immer sie sollten ja nicht mit dem Auto fahren, denn sie könnten mit einem Elefanten einen Kollision haben ;)

Peter

Picture of Christoph Künkel (innovaphone)
Moderator Registered 14 years 359 days
Christoph Künkel (innovaphone) Friday, 11 August 2017, 09:20 AM in response to Muschelpuster
1 of 1 users consider this post helpful
Re: Sicherheit der USB Ports an IPxxx Telefonen
Habs fish-help.png im wiki aufgenommen.

Christoph
Picture of Roland
Registered 12 years 347 days
Roland Monday, 28 August 2017, 02:21 PM
2 of 2 users consider this post helpful
Re: Sicherheit der USB Ports an IPxxx Telefonen
Update:

Mit der Version 12r1 Release 14 wurden zwei weitere USB security features implementiert:

Configured in WEB-GUI under "Phone/Protect/USB":

- config add USB-HOST /disable (applied after reset only)

 

 o no USB function block (PHY, VBUS, Controller) is powered/started o "USB disabled" popup on phone display when pressing the phone headset key

- config add USB-HOST /secure 

 o serve only USB devices with audio and (optionally) HID interface(s) o trigger alarm when another device is plugged
Picture of Sebastian Hayer-Lutz (innovaphone)
Moderator Registered 6 years 334 days
Sebastian Hayer-Lutz (innovaphone) Tuesday, 8 January 2019, 10:03 AM in response to Archimedes
Re: Sicherheit der USB Ports an IPxxx Telefonen
Hallo zusammen,

ab V12r2 SR21 wird auf den Telefonen ein weiteres Feature zur Verfügung stehen.

Der Befehl
!mod cmd USB-HOST port
gibt Informationen über die aktuell angeschlossenen USB Gräte aus.

Beispiel:
<info><port type="hub" port="1"/><port type="device" port="4" vendor="0xb0e" product="0x245d" release="0x118" product_name="Jabra Link 370"/></info>

Ebenso wird nun einen Syslogeintrag bei plug/unplug erzeugt, sodass man - sofern nötig - per Syslog auswerten und einen eigenen Alarm generieren kann.

Beispiel:
20190103-140636 USB-DEVICE plugged: vendor=1395 'Sennheiser' product=0051 'Sennheiser USB-ED CC 01' release=0603
20190103-140637 USB-DEVICE unplugged: vendor=1395 'Sennheiser' product=0051 'Sennheiser USB-ED CC 01' release=0603

Picture of Tom
Registered 9 years 253 days
Tom Tuesday, 8 January 2019, 09:18 AM
Re: Sicherheit der USB Ports an IPxxx Telefonen
Hallo zusammen,

ich habe das Feature mal getestet. Bei uns führt das dazu, das nicht alle eingesetzten Headsets richtig erkannt werden und dann bei den betroffenen Telefonen die USB Ports gesperrt werden.

Es funktioniert zwar bei ca. 90% der Telefone aber eben ca. 10 % der Telefone können so ihr Headset nicht mehr benutzen.

Wir haben V12r2sr20 im Einsatz.

Gibt es schon andere Erfahrungen damit?

Gruß Tom

Picture of Roland
Registered 12 years 347 days
Roland Tuesday, 8 January 2019, 09:56 AM
Re: Sicherheit der USB Ports an IPxxx Telefonen
Hallo Tom,
von was genau für einem feature redest du?
Bei uns gibt es keinerlei Probleme. Welche USB devices verwendet ihr?
Gruß Roland
Picture of Tom
Registered 9 years 253 days
Tom Tuesday, 8 January 2019, 11:26 AM
Re: Sicherheit der USB Ports an IPxxx Telefonen

IP222-2f-fc-e0

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0115 'Voyager Legend' release=0107

IP222-2f-95-b8

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0115 'Voyager Legend' release=0106

IP222-2f-95-a0

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0115 'Voyager Legend' release=0106

IP222-2f-96-27

USB-HOST

Unsecure Device: No Audio Interface - vendor=0b0e '' product=245d 'Jabra Link 370' release=0118

IP222-2f-96-30

USB-HOST

Unsecure Device: Not an Extension Module - vendor=0b0e '' product=a346 'Jabra LINK 360' release=0124

IP222-2f-95-8d

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0127 'Plantronics Voyager Focus UC' release=0040

IP222-2f-96-20

USB-HOST

Unsecure Device: Not an Extension Module - vendor=0b0e '' product=a346 'Jabra LINK 360' release=0122

IP222-2f-fc-f7

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0115 'Voyager Legend' release=0106

IP222-2f-95-c0

USB-HOST

Unsecure Device: No Audio Interface - vendor=0b0e '' product=0420 'Jabra SPEAK 510 USB' release=0210

IP222-2f-96-13

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0115 'Voyager Legend' release=0106

IP222-2f-95-d6

USB-HOST

Unsecure Device: Not an Extension Module - vendor=047f 'Plantronics' product=0415 'Plantronics BT300' release=0861

IP222-2f-96-1c

USB-HOST

Unsecure Device: Not an Extension Module - vendor=047f 'Plantronics' product=0415 'Plantronics BT300' release=0861

IP222-2f-95-9a

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0115 'Voyager Legend' release=0106

IP222-2f-fd-49

USB-HOST

Unsecure Device: No Audio Interface - vendor=0b0e '' product=0420 'Jabra SPEAK 510 USB' release=0207

IP222-2f-fd-e9

USB-HOST

Unsecure Device: No Audio Interface - vendor=047f 'Plantronics' product=0115 'Voyager Legend' release=0107
Picture of Tom
Registered 9 years 253 days
Tom Tuesday, 8 January 2019, 11:29 AM
Re: Sicherheit der USB Ports an IPxxx Telefonen
Hallo Roland,

danke für die schnelle Antwort,

wir haben bei den IP222 folgende Einstellung neu vorgenommen:
- config add USB-HOST /secure

Als Beispiel habe ich dir mal einige Alarmmeldungen angefügt.

Gruß Tom
Picture of Roland
Registered 12 years 347 days
Roland Tuesday, 8 January 2019, 11:46 AM
Re: Sicherheit der USB Ports an IPxxx Telefonen
Hallo Tom,

bei der Option /secure sollte es so sein dass alle audio-devices funktionieren.

Eigentlich sollten selbst audio Geräte welche nicht von Innovaphone supportet werden als pure audio device unterstützt weden.

Mit solch einem Effekt hatten wir bisher keine Probleme.

Gruß Roland
← You can define your color theme preference here