14r1 Suggestions (closed)

Registered 13 years 147 days

Axel 258 Monday, 22 May 2023, 09:41 AM

AppPlatform: Ungesicherter Zugriff über Reverse Proxy

Im Reverse Proxy werden per default alle Zugriffe auf apps.domain.tld und apps.domain.tld/* an die IP Adresse der AppPlatform weiter geleitet.

Name	apps.domain.tld
H.323
SIP
LDAP		<ip app platform>	389	636
http://<host>		<ip app platform>	80	443

Das führt dazu, dass ein Aufruf von apps.domain.tld auf der Login Seite der App Platform (apps.domain.tld/manager/xxxxxx/manager.htm) landet.

Diese Seite ist vollständig ungeschützt. Ein Angreifer kann hier unendlich lange versuchen mit Passwörtern Zugriff zu erlangen.

Den einzigen Weg, den ich gefunden habe, dies zu verhindern...

Eine zusätzliche Zeile in die Konfiguration einzutragen.

Name	apps.domain.tld
H.323
SIP
LDAP		<ip app platform>	389	636
http://<host>	/manager	0.0.0.0	80	443
http://<host>		<ip app platform>	80	443

Das hat jedoch einen Nachteil.

Die App "AP Manager" lässt sich nicht mehr starten. Diese zeigt ja auf "https://apps.domain.tld/manager/manager"

Es sollte Grundsätzlich verhindert werden, dass ein solcher ungeschützter Zugriff von extern möglich ist.

(Edited by Elias Lievens (innovaphone) - original submission Tuesday, 16 May 2023, 08:59 AM)

Registered 13 years 147 days

Axel 258 Tuesday, 16 May 2023, 09:12 AM

Re: AppPlatform: Ungesicherter Zugriff über Reverse Proxy

Jetzt habe ich gerade einen Fehler entdeckt

und kann dies nicht mehr ändern

Die zusätzliche Zeile sieht natürlich so aus breit grinsend

http://<host>

/manager

0.0.0.0

443

Moderator

Registered 9 years 241 days

Nico Finzel (innovaphone) Tuesday, 4 July 2023, 09:31 PM

Re: AppPlatform: Ungesicherter Zugriff über Reverse Proxy

Hi Axel,

for this we have the new feature Default URL in the App Platform Manager Settings in 13r3.

https:wiki.innovaphone.com/index.php?title=Reference13r3:Release_Notes_Firmware#120317_-_AP_Manager:_new_configuration_"Default_URL"

Possibility to configure a default URL to which the webserver redirects if just IP/DNS of AP are used.

Can you try this?

Best regards

Nico

Registered 13 years 147 days

Axel 258 Friday, 21 July 2023, 09:11 AM

Re: AppPlatform: Ungesicherter Zugriff über Reverse Proxy

Hallo Nico

wo kann ich da eine Einstellung finden?

Was muss ich da einstellen?

Gruß

Axel

Registered 13 years 147 days

Axel 258 Friday, 21 July 2023, 09:19 AM

Re: AppPlatform: Ungesicherter Zugriff über Reverse Proxy

Ah... ok... hab die Einstellung gefunden. breit grinsend

Wenn ich an dieser Stelle irgend eine andere URL eintragen würde...

z.B. "manager/nothing.htm"

dann würde dies zwar das Problem erstmal lösen.

ABER...

Ein Angreifer, der weiß, dass hier eine Innovaphone Anlage zu finden ist, weiß natürlich, dass er über die Standard URL ran kommt.

UND

Dann ist die App Plattform auch nicht mehr von intern erreichbar.

Sehe ich nicht als echte Lösung.

Gruß

Axel

Registered 13 years 147 days

Axel 258 Friday, 21 July 2023, 09:31 AM in response to Axel 258

Re: AppPlatform: Ungesicherter Zugriff über Reverse Proxy

Ich habe inzwischen einen weiteren Nachteil dieser Anpassung im Reverse Proxy gefunden.

In der App "PBX Manager" werden keine Apps mehr angezeigt.

Dazu habe ich jetzt folgende Veränderung im Reverse Proxy vorgenommen.

Name	apps.domain.tld
H.323
SIP
LDAP		<ip app platform>	389	636
http://<host>	/manager/manager.htm	0.0.0.0	80	443
http://<host>	/manager/manager.png	0.0.0.0	80	443
http://<host>		<ip app platform>	80	443

Damit funktioniert die App "PBX Manager" wieder wie gewünscht

Die Zeile "/manager/manager.png" ist nicht unbedingt nötig.

Wenn diese Zeile nicht eingetragen wird, zeigt die App Platform für die App "AP Manager" das Icon

- Die App selbst startet nicht

Wenn diese Zeile eingetragen ist, wird an der App "AP Manager" das Icon nicht angezeigt

- Somit kann ich als Admin sofort sehen, dass die App nicht funktionieren wird

You are here