- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
Digitalisierungs Box Premium offener SIP Port
20.11.2017 12:53
Zur Zeit konfiguriere ich die Digitalisierungs Box Premium im Modus Telefonanlage. Es funktioniert soweit auch alles.
Jedoch habe ich mittels eines Portscans (nmap -v xx.xxx.xx.xxx -p 5060,5061) von ausserhalb entdeckt das die Ports 5060 und 5061 nach außen offen/erreichbar sind.
Meine Fragen:
- Sind die Ports standardmäßig aus dem Internet erreichbar?
- Durch welche Konfiguration könnte ich das aus Versehen freigeschaltet haben, wie mache ich es wieder rückgängig?
- Selbst durch einen Eintrag in der Firewall
Quelle: ANY Ziel: ANY Dienst: sip Aktion: Verweigern
war der Port 5060 nach außen noch offen. Der Dienst: sip ist als TCP/UDP Port 5060 definiert.
Wie kann das sein?
Dankeschön
Gelöst! Gehe zu Lösung.
20.11.2017 13:58 Zuletzt bearbeitet: 20.11.2017 14:00 durch den Autor
Ich habe hier schonmal versucht, die be.ip / Digitalisierungsbox auf Port 5060/61 abzudichten.
Grund waren zeitweilig massive Versuche von extern, Schwachstellen des SIP-Servers zu finden. Im Gedenken an die Probleme, die es vor einiger Zeit mit Fritzboxen gab war ich bemüht, eine Lösung zu finden.
Ich habe derzeit die entsprechenden Regelketten am laufen - die werden nicht über die Firewall eingepflegt sondern über die Zugriffskontrolle. Problem dabei ist: Man muss die Herkunfts-IP's / Netze berechtigter Anfragen kennen. Da ist Telekom aber wenig kooperativ, wie diverse Anfragen von Asterisk-Jüngern zeigen.
Wenn nur Telekom als SIP-Provider aktiv sind die Regeln noch überschaubar:
Kommen weitere SIP-Provider dazu wird es lustig. Bei mir sind es in der Summe 19 Regeln für 3 Provider. Ändern die Provider ihre Ip-Zuordnungen hat man erstmal den Zonk, weil dann nix mehr geht. Gemäß Murphy denkt man als letztes erst an die Verbarrikadierung. Zusätzliche Hürde bei bintec: Die Reihenfolge der Regeln in der GUI entspricht nicht in jedem Fall der Abarbeitungsreihenfolge.
Also viel Fehlerpotential für so eine Konfig.
Schlussendlich habe ich aber so das Anklopfen aus China, Russland, Kanada, USA und weiß der liebe Gott woher wirkungsvoll unterbunden. Im Heise-Netzwerkscan werden die SIP-Ports bei mir als geschlossen/gefiltert angezeigt.
Hallo @Daniel21,
ohne offene Ports würden keine eingehenden Anrufe funktionieren. Sie brauchen sich aber keine Sorgen zu machen, denn die Digitalisierungsbox lässt keine Endgeräte-Registrierungen aus dem Internet zu.
© Telekom Deutschland GmbH ist weltweit eines der führenden Dienstleistungsunternehmen der Telekommunikations- und Informationstechnologiebranche. Unseren Kunden bieten wir Produkte und Services rund um das vernetzte Leben und Arbeiten.