innovaphone Forum

You are here

Help with Search (new window)
Picture of Nathanael 3988
Registered 6 years 225 days
Nathanael 3988 Friday, 20 March 2020, 08:47 AM
Security : HTTPS Ciphren und No Passwort = Login OK?
Hallo Innovaphone Jungs,

CIPHREN ...
gibt es auf der roadmap einen To-Do wann Ihr GCM Ciphren beim Innovaphone HTTP Client einführt?

Nach SSL Labs sollte man langsam auf CBC verzichten und dennoch ist es das einzige was der HTTP Client von Inno kann.

Inno Forum: https://wiki.innovaphone.com/index.php?title=Howto:Security_works_with_innovaphone#Additional_Security_Features_in_Version_12
Beispiel meines HTTPS Reverse Proxy welcher CBC eingeschaltet haben muss wegen Inno : https://www.ssllabs.com/ssltest/analyze.html?d=pbx.fuog.net


PASSWORT...

Also mir ist bei V13 eine Eigenheit aufgefallen, die mich schon sehr verwundert, ich kann mich mit fast jedem Objekt im MyApps anmelden welches KEIN Passwort hat. Also wenn ich zB ein Fax Objekt erstelle und mit MAC Adresse Registriere - damit auch kein MyApps benutze und vielleicht das passwort nicht ausfülle, kann ich mit Registrieren ...

Ich kann mich auch mit Username und leerem Passwort H323 registrieren ..
SIP ohne Passwort? - noch nicht getestet ...

Ich kann mich auch mit "Devices" anmelden wenn kein Passwort hinterlegt ist.. (Wäre bestimmt lustig wenn das mit SIP auch klappen würde ....)

Ja, nun kann man sagen, dass es mein Fehler ist, wenn ich kein Passwort hinterlege, aber ich halte es doch für fahrlässig solch ein verhalten der PBX Ich kann nur dazu aufrufen, dass sich so manche Admins die Objekte nochmals genauer anschauen welche kein Passwort hinterlegt haben...

Mein Vorschlag an innovaphone :
Kein Passwort = Random Passwort oder zumindest Access Denied .....

MFG
Nathan

PS: Nein Christoph kann mir da nicht weiter helfen.. das ist schon an euch gerichtet. @Inno





Picture of Peter 627
Registered 13 years 120 days
Peter 627 Friday, 20 March 2020, 09:46 AM
Re: Security : HTTPS Ciphren und No Passwort = Login OK?
Hi,

interessant, ich kann es teilweise nachstellen.

1. "Ich kann mich auch mit Username und leerem Passwort H323 registrieren"
--> ja das geht wenn "No of Regs w/o pwd" nicht auf "0" steht und du kein IP Filter konfiguriert hast. Ansonsten geht das nicht so einfach.

2. Wenn man keine "2Faktor eingeschaltet hat" , und man erstellt ein App Objekt "ohne Passwort", dann kann ich mich in myApps tatsächlich anmelden indem ich einfach nur den Namen des App Objektes eingebe.

Ist schon ein Bug, auch wenn man dann mit der Session nichts anfangen kann.

Wenn du die FaxApp über den Manager anlegst, sind die Passwortfelder aber gefüllt. Du musst also über den alten GUI die Objekte angelegt haben. Hier muss man aber auch drauf achten, dann ein Passwort zu setzen. (Auch wenn das oben beschriebene nicht passieren sollte).

Gruß

Peter


Picture of Nathanael 3988
Registered 6 years 225 days
Nathanael 3988 Friday, 20 March 2020, 10:29 AM
Re: Security : HTTPS Ciphren und No Passwort = Login OK?
1. hätte ich auch gedacht, aber es war auf 0 gesetzt. https://i.imgur.com/pDJDGFL.png
(ich teste es nochmal, die H323 registration ohne pw war TLS über Reverse proxy nur mit Username)

zieht dieses Setting auch für SIP?

2. Ob ich mit der Session was anfangen kann, kann ich nicht im Detail beantworten. Natürlich habe ich der App keine Permissions auf irgend etwas gegeben aber nur Innovaphone oder Leute mit zuviel Langeweile können genau testen ob eine gültige Session ohne zusätzliche permissions wirklich "sicher" ist. - ich halte es ebenfalls für ein Bug.

@Fax haben wir uns falsch verstanden, ich beziehe mich auf ein User Objekt für die Registration eines TEL-Port. Ich war da wohl etwas undeutlich. sry.

Ich will allgemein darauf hinweisen, dass normal kein PW = Access Denied sein soll. Bei einer Firewall ist normal Default Policy auch Deny nicht Allow. Ist mir klar, dass man darüber streiten kann ob mein spezifisches setup dem best practices entspricht. (sofern es dann sowas offiziell gibt ;) )

Ich finde es nur lustig, das Innovaphone Random-PWs zwischen den Apps und AppPlatform erzwingt und in dieser Angelegenheit so laxe Richtlinien verfolgt. Ich denke man sollte da etwas konsequenter sein.

Wenn mein Beitrag hier zumindest für die kommende Roadmap intern diskutiert wird, habe ich erreicht was ich wollte smile ( Das gleiche gilt auch für die Ciphren... )

grüsse
Nathan


Picture of Peter 627
Registered 13 years 120 days
Peter 627 Friday, 20 March 2020, 10:48 AM
1 of 1 users consider this post helpful
Re: Security : HTTPS Ciphren und No Passwort = Login OK?
1. hätte ich auch gedacht, aber es war auf 0 gesetzt. https://i.imgur.com/pDJDGFL.png
(ich teste es nochmal, die H323 registration ohne pw war TLS über Reverse proxy nur mit Username)

--> Ah über den Reverseproxy.. ja da muss man aufpassen. Wenn du in der PBX definierst dass diese dem Reverseproxy mit seinem Cert vertraut und gleichzeitig aber der Reverseproxy kein "Check certificate" für die GK-ID hat, dann erzeugtst du quasie das eine nicht verifzierte Session am ReverseProxy weitergeleitet wird an die PBX. Die PBX sagt sich dann "kommt vom RVP , alles klar darf rein".

--> Für SIP wird das nicht gehen, wenn das nicht ähnliche am RVP eingestellt ist.


Schlimmer wäre du hättest die PBX mit einer Puplic IP erreichbar und Reg without Password erlaubt, dann viel spaß. Dann greift nämlich die Annahme von Registrierungen ohne Passwort auch für SIP und naja nach ein paar Erreichbarkeit, hat man eigentlich schon etliche SIP Attacken diverser Bots.
Ich vermute nach wenigen Wochen schießt die Rechnung für Gespräche in schwindelerregende höhen^^.


--------------------------------

Ich muss aber auch hier zugeben. Eigentlich wäre es besser garnicht so ein offenes Loch konfigurieren zu können smile.





Gruß

Peter

Picture of Nathanael 3988
Registered 6 years 225 days
Nathanael 3988 Friday, 20 March 2020, 11:04 AM
Re: Security : HTTPS Ciphren und No Passwort = Login OK?
1. @ReverseProxy Jo, dann macht es sinn. Aber wir haben da ja auch das problem, dass du den Reverse Proxy nur bedingt das Cert prüfen lassen kannst. Wegen IPVA, Softphone, und Mobile App. Okay, mann kann sagen, dass zwei davon rausfliegen werden wenn V13 überall umgesetzt wurde. App und Softphone wechseln ja auf WebRTC.

Kann auf dem RP eine Ausnahme machen und einer IPVA vertrauen welche kein gültiges Cert hat?

Für mich ändert es aber dennoch nichts an der haltung "no pw set = no access" - das sollte normal sein.
Picture of Peter 627
Registered 13 years 120 days
Peter 627 Friday, 20 March 2020, 12:27 PM
Re: Security : HTTPS Ciphren und No Passwort = Login OK?
Die Komponenten die kein aktzeptiertes zert haben, schickst du dann per H323/TLS mit Nutzername und Kennwort zum RVP. Der macht dann den Switch nach intern auf TCP 1720 und nutzt Username und Kennwort als Authentifzierung.

--> Für mich ändert es aber dennoch nichts an der haltung "no pw set = no access" - das sollte normal sein. --> ja bin voll bei dir. Das muss am besten sofort in der client gui und im backend auch berücksichtigt werden. sehe ich 100% auch so. Hoffe das nimmt inno auf.

Gruß

Peter
← You can define your color theme preference here