innovaphone Forum

You are here

Help with Search (new window)
Picture of Mike
Registered 4 years 300 days
Mike Sunday, 19 April 2020, 10:49 PM
Clients (Telefone) akzeptieren offensichtlich jedes Zertifikat
Hallo zusammen!

Wir haben die Connection zwischen den Clients und dem Reverse-Proxy über unsere Firewall geschützt bzw. liefert diese ein Zertifikat, dass durch unsere interne PKI ausgestellt wurde.

Nun befindet sich dieses CA-Zertifikat nicht in der innovaphone-Trustlist und dementsprechend müssten die Clients die Verbindung eigentlich ablehnen - tun sie jedoch nicht, sie connecten sich brav mit dem Reverse Proxy als ob das Zertifikat von innovaphone käme. Heißt für mich im Umkehrschluss: Wir sind nicht safe gegen MITM-Attacken.

Wie kann ich dieses Verhalten ändern?

Danke!
Picture of Achim 1648
Registered 10 years 245 days
Achim 1648 Monday, 20 April 2020, 03:41 PM
Re: Clients (Telefone) akzeptieren offensichtlich jedes Zertifikat
Moin,

das Anmelden ohne passendes Zertifikat kann man mit dem Haken "Check Certificate" in den Services des ReverseProxy bei H.323 verhindern. So die Theorie ...

Gruß Achim
Picture of Mike
Registered 4 years 300 days
Mike Monday, 20 April 2020, 04:57 PM
Re: Clients (Telefone) akzeptieren offensichtlich jedes Zertifikat
Hallo Achim,

danke für die rasche Antwort. Wir haben leider den Haken schon gesetzt, das ist das Problem dabei...

Grüße
Picture of Uwe 2460
Registered 9 years 58 days
Uwe 2460 Tuesday, 21 April 2020, 10:27 AM
Re: Clients (Telefone) akzeptieren offensichtlich jedes Zertifikat
Hallo Mike,

das Verhalten ist mir auch schon länger aufgefallen.
Das "Check Certificate" am RP aktiviert nur die TLS-Client-Authentifizierung. Das heißt, das Telefon muss dem RP ein vertrauenswürdiges Zertifikat präsentieren welches der RP prüft.
Das Flag für die TLS-Server-Authentifizierung (RP präsentiert dem Telefon ein Zertifikat, welches das Telefon prüft) habe ich leider auch noch nicht gefunden.
Picture of Benjamin
Registered 13 years 80 days
Benjamin Tuesday, 21 April 2020, 05:58 PM in response to Mike
Re: Clients (Telefone) akzeptieren offensichtlich jedes Zertifikat
Moin Mike,

nach meinem Verständnis ist für die Überprüfung des RP/GK-Zertifikat notwendig, dass in den Anmeldeeinstellungen am Telefon der Name aus dem Zertifikat hinterlegt wird, zum Beispiel unter Phone - User-1 - General:
  • Protocol: H.323/TLS
  • Prim Gatekeeper: pbx.domain.com
  • Gatekeeper ID: domain.com
  • Gatekeeper Certificate: pbx.domain.com

Wenn ich das Telefon dann über den Reverse Proxy registrieren möchte, erhalte ich auch einen Zertifikatfehler am Endgerät, sofern die ausstellende CA des RP-Zertifikats nicht in der Trust-List des Endgerätes vorhanden ist:
  • Typ Alarm
  • Code 0x000c1002
  • Schweregrad: Indeterminate
  • Quelle IP2xx-12-34-56 / x509
  • Beschreibung Rejected certificates
Ich habe diese Konfiguration allerdings bisher nur mit dem PHP Updateserver verteilt; bei den DHCP-Optionen oder in der Devices App unter Gerätekonfiguration habe ich bisher noch keine Möglichkeit gefunden, das umzusetzen; vielleicht hat ja jemand noch eine Idee?

Viele Grüße,
Benjamin

← You can define your color theme preference here