abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Sie sind hier:
Aktueller Hinweis
Antworten
Gelöst

Digitalisierungs Box Premium offener SIP Port

Highlighted
1 Sterne Mitglied
1 Sterne Mitglied
Beitrag: 1 von 9

Zur Zeit konfiguriere ich die Digitalisierungs Box Premium im Modus Telefonanlage. Es funktioniert soweit auch alles.
Jedoch habe ich mittels eines Portscans (nmap -v xx.xxx.xx.xxx -p 5060,5061) von ausserhalb entdeckt das die Ports 5060 und 5061 nach außen offen/erreichbar sind.

Meine Fragen:

  1. Sind die Ports standardmäßig aus dem Internet erreichbar?
  2. Durch welche Konfiguration könnte ich das aus Versehen freigeschaltet haben, wie mache ich es wieder rückgängig?
  3. Selbst durch einen Eintrag in der Firewall
    Quelle: ANY Ziel: ANY Dienst: sip Aktion: Verweigern
    war der Port 5060 nach außen noch offen. Der Dienst: sip ist als TCP/UDP Port 5060 definiert.
    Wie kann das sein?

Dankeschön

2 AKZEPTIERTE LÖSUNGEN

Akzeptierte Lösungen
5 Sterne Mitgestalter
5 Sterne Mitgestalter
Lösung
Akzeptiert von
Beitrag: 2 von 9

Hallo @Daniel21,

ohne offene Ports würden keine eingehenden Anrufe funktionieren. Sie brauchen sich aber keine Sorgen zu machen, denn die Digitalisierungsbox lässt keine Endgeräte-Registrierungen aus dem Internet zu.

Gruß,
Karlheinz Schmidthaus
selbstst. IT-Dienstleister & DigiBox-Premium/Smart - Experte (kein Telekom-Mitarbeiter) www.ksit.de
.........................................................................................
bintec be.ip plus / Digitalisierungsbox Premium
für den ALL-IP-Anschluss, incl. vorhandener ISDN-TK-Anlage, Team-Ruf, WLAN-Controller, Anrufbeantworter, Nachtschaltung, Parallelruf, VPN, u.v.m.
Hilfe / Kontakt per PN etc. möglich
5 Sterne Mitgestalter
5 Sterne Mitgestalter
Lösung
Akzeptiert von
Beitrag: 3 von 9

Ich habe hier schonmal versucht, die be.ip / Digitalisierungsbox auf Port 5060/61 abzudichten.

Grund waren zeitweilig massive Versuche von extern, Schwachstellen des SIP-Servers zu finden. Im Gedenken an die Probleme, die es vor einiger Zeit mit Fritzboxen gab war ich bemüht, eine Lösung zu finden.

 

Ich habe derzeit die entsprechenden Regelketten am laufen - die werden nicht über die Firewall eingepflegt sondern über die Zugriffskontrolle. Problem dabei ist: Man muss die Herkunfts-IP's / Netze berechtigter Anfragen kennen. Da ist Telekom aber wenig kooperativ, wie diverse Anfragen von Asterisk-Jüngern zeigen.

Wenn nur Telekom als SIP-Provider aktiv sind die Regeln noch überschaubar:

Unbenannt.PNG

 

Kommen weitere SIP-Provider dazu wird es lustig. Bei mir sind es in der Summe 19 Regeln für 3 Provider. Ändern die Provider ihre Ip-Zuordnungen hat man erstmal den Zonk, weil dann nix mehr geht. Gemäß Murphy denkt man als letztes erst an die Verbarrikadierung. Zusätzliche Hürde bei bintec: Die Reihenfolge der Regeln in der GUI entspricht nicht in jedem Fall der Abarbeitungsreihenfolge.

Also viel Fehlerpotential für so eine Konfig.

Schlussendlich habe ich aber so das Anklopfen aus China, Russland, Kanada, USA und weiß der liebe Gott woher wirkungsvoll unterbunden. Im Heise-Netzwerkscan werden die SIP-Ports bei mir als geschlossen/gefiltert angezeigt.

--
Man muß nicht meiner Meinung sein - das gilt umgekehrt aber auch.
8 ANTWORTEN 8
5 Sterne Mitgestalter
5 Sterne Mitgestalter
Lösung
Akzeptiert von
Beitrag: 2 von 9

Hallo @Daniel21,

ohne offene Ports würden keine eingehenden Anrufe funktionieren. Sie brauchen sich aber keine Sorgen zu machen, denn die Digitalisierungsbox lässt keine Endgeräte-Registrierungen aus dem Internet zu.

Gruß,
Karlheinz Schmidthaus
selbstst. IT-Dienstleister & DigiBox-Premium/Smart - Experte (kein Telekom-Mitarbeiter) www.ksit.de
.........................................................................................
bintec be.ip plus / Digitalisierungsbox Premium
für den ALL-IP-Anschluss, incl. vorhandener ISDN-TK-Anlage, Team-Ruf, WLAN-Controller, Anrufbeantworter, Nachtschaltung, Parallelruf, VPN, u.v.m.
Hilfe / Kontakt per PN etc. möglich
5 Sterne Mitgestalter
5 Sterne Mitgestalter
Lösung
Akzeptiert von
Beitrag: 3 von 9

Ich habe hier schonmal versucht, die be.ip / Digitalisierungsbox auf Port 5060/61 abzudichten.

Grund waren zeitweilig massive Versuche von extern, Schwachstellen des SIP-Servers zu finden. Im Gedenken an die Probleme, die es vor einiger Zeit mit Fritzboxen gab war ich bemüht, eine Lösung zu finden.

 

Ich habe derzeit die entsprechenden Regelketten am laufen - die werden nicht über die Firewall eingepflegt sondern über die Zugriffskontrolle. Problem dabei ist: Man muss die Herkunfts-IP's / Netze berechtigter Anfragen kennen. Da ist Telekom aber wenig kooperativ, wie diverse Anfragen von Asterisk-Jüngern zeigen.

Wenn nur Telekom als SIP-Provider aktiv sind die Regeln noch überschaubar:

Unbenannt.PNG

 

Kommen weitere SIP-Provider dazu wird es lustig. Bei mir sind es in der Summe 19 Regeln für 3 Provider. Ändern die Provider ihre Ip-Zuordnungen hat man erstmal den Zonk, weil dann nix mehr geht. Gemäß Murphy denkt man als letztes erst an die Verbarrikadierung. Zusätzliche Hürde bei bintec: Die Reihenfolge der Regeln in der GUI entspricht nicht in jedem Fall der Abarbeitungsreihenfolge.

Also viel Fehlerpotential für so eine Konfig.

Schlussendlich habe ich aber so das Anklopfen aus China, Russland, Kanada, USA und weiß der liebe Gott woher wirkungsvoll unterbunden. Im Heise-Netzwerkscan werden die SIP-Ports bei mir als geschlossen/gefiltert angezeigt.

--
Man muß nicht meiner Meinung sein - das gilt umgekehrt aber auch.
5 Sterne Mitgestalter
5 Sterne Mitgestalter
Beitrag: 4 von 9

Anmerkung: Der Aufwand ist unnötig, denn:

1.) Die DigiBox ist keine FB, sondern ein Gerät aus der Profi-Liga mit hohen Sicherheitsanforderungen als Grundeinstellung.

2.) Wie man im Logbuch der DigiBox sehen kann, werden unzulässige Verbindungen zuverlässig abgewiesen. Durch die Regelketteneinträge wird dann die Ablehnung nur verlagert.

Gruß,
Karlheinz Schmidthaus
selbstst. IT-Dienstleister & DigiBox-Premium/Smart - Experte (kein Telekom-Mitarbeiter) www.ksit.de
.........................................................................................
bintec be.ip plus / Digitalisierungsbox Premium
für den ALL-IP-Anschluss, incl. vorhandener ISDN-TK-Anlage, Team-Ruf, WLAN-Controller, Anrufbeantworter, Nachtschaltung, Parallelruf, VPN, u.v.m.
Hilfe / Kontakt per PN etc. möglich
1 Sterne Mitglied
1 Sterne Mitglied
Beitrag: 5 von 9

Mir ist der Aufwand auch zu hoch und ich vertraue der DigiBox einfach mal.

Aber es ist gut zu wissen das man etwas machen könnte, wenn man will.

Vielen Dank für die Hilfe