.titleBar { margin-bottom: 5px!important; }

[Frage] FritzBox IP-Telefon von extern / Port 5060 - unverschlüsselt?

Dieses Thema im Forum "FRITZ!Box Fon: Telefonie" wurde erstellt von RAMler, 15 März 2019.

  1. RAMler

    RAMler Mitglied

    Registriert seit:
    22 März 2010
    Beiträge:
    762
    Zustimmungen:
    0
    Punkte für Erfolge:
    18
    Tagchen,

    die Fritze bietet ja die Möglichkeit IP-Telefone auch von extern zu registrieren, was auch wunderbar funktioniert.
    Nur ist das ganze auch sicher? Port wird ja 5060 genutzt, nicht 5061.

    Ich habe von VoIP nicht wirklich Ahnung, daher hier die Fragen.
    Wird da nun wirklich die Anmeldung unverschlüsselt vorgenommen oder über TLS / SIPS?

    Aufklärung wäre nett. Wäre natürlich fatal wenn da jeder Hinz und Kunz die Logindaten mitsniffen könnte.

    RAMler
     
  2. Zentronix

    Zentronix Mitglied

    Registriert seit:
    24 Jan. 2010
    Beiträge:
    447
    Zustimmungen:
    14
    Punkte für Erfolge:
    18
  3. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    10,977
    Zustimmungen:
    163
    Punkte für Erfolge:
    63
    Moinsen


    Jede in der Fritz!Box eingerichtete VoIP Nummer kann aus dem Internet auf SIP Port 5060 ( UDP und TCP ) via SIP URI Call erreicht werden.
    ...ohne dass der Anrufer irgendwo registriert ist.

    Aber ich will hier keine Panik verbreiten, denn die Fritz!Box macht ihren Job ganz OK.
    ...keine Weiterleitung von sogenannten "Guest Calls"
    ...keine unauthorisierten SIP OPTIONS

    VoIP in/über fremde, also nicht vertrauenswürdige Netze, ist ein sensibles/kompliziertes Thema.
    Meistbester Rat: VPN nach Hause nutzen
     
  4. RAMler

    RAMler Mitglied

    Registriert seit:
    22 März 2010
    Beiträge:
    762
    Zustimmungen:
    0
    Punkte für Erfolge:
    18
    @Zentronix:
    Ich dachte bei "sip" wäre auch die Anmeldung unverschlüsselt, nur bei sips nicht. Liege ich falsch? Das die Gespräche ohne SRTP unverschlüsselt über die Leitung gehen, war mir bewusst.



    @koyaanisqatsi:

    Mir gehts ja um ein dann von außen zu erreichenden IP Telefon. Wenn man da die Logindaten einfach mitsniffen könnte (in einem offenen WLAN z.B.) könnte das recht teuer und unangenehm werden.
    Ist das mit den SPI URI Calls eine schlechte Implementierung der Fritze oder im Standard wirklich so vorgesehen? Wundert mich, dass das noch niemand für Spamanrufe missbraucht hat, wenn es so einfach ist. Oder heißt
    dass die Box es eh verwerfen würde?

    VPN war das, was ich nun prophylaktisch einfach mal eingerichtet habe.

    Interessieren ob z.B. die Android eigene Möglichkeit in der "Telefon APP" für SIP Accounts sich im Klartext an einer fritze mit aktivem "reg_from_outside" anmeldet (anmelden kann) würde mich aber trotzdem.
    Dann fände ich die Umsetzung von AVM nämlich fahrlässig, also das kein Hinweis auf SIPS kommt oder man das nicht einfach gleich erzwingt.

    Aber wie gesagt, ist nicht meine Thematik, sollten meine Gedanken dazu falsch sein, bitte berichtigen. Ich weiß halt nicht wie sich die Fritze hier verhält/verhalten kann, noch ob eine Anmeldung überhaupt komplett unverschlüsselt erfolgen kann oder eben tut.
     
  5. RAMler

    RAMler Mitglied

    Registriert seit:
    22 März 2010
    Beiträge:
    762
    Zustimmungen:
    0
    Punkte für Erfolge:
    18
    #5 RAMler, 17 März 2019
    Zuletzt bearbeitet: 17 März 2019
    Habe mir den IETF Link nun mal angesehen. Das PW wird als hash gesendet, aber inwiefern soll mich das nun schützen? Wenn jemand den hash einfach mitsnifft, sendet er diesen halt an den (ebenfalls bekannten) Server für den auth.

    Wo liegt mein Denkfehler, sofern vorhanden?

    EDIT:
    Der Denkfehler ist der, dass der Server ein "nonce" vorgibt, mit der das PW gehasht wird. Nun verstanden, danke euch. Werde das VPN dennoch aktiv lassen, ist einfach die bessere Lösung. Vielleicht später mal auf SIPS umstellen, damit auch die Anmeldung über TLS läuft (wäre bequemer mit passendem Softphone).
     
  6. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    10,977
    Zustimmungen:
    163
    Punkte für Erfolge:
    63
    VoIP via SIP URI Calls ist reinrassiges VoIP ohne Internettelefonieanbieter und immerhin auch mit der Fritz!Box ausgehend über Kurzwahl möglich.
    ( Wie die AVM HD Demos: **797, **798 und **799 )

    Ist das IP-Telefon an einem Fritz!Box IP-Telefon (Registrar) angemeldet, dem eine Nummer zugewiesen wurde, ist es auch via SIP URI aus dem WWW direkt erreichbar.
    ...zumindest aus unbeschränkten, nicht CGN, nicht DS-Lite, Netzen.
     
  7. RAMler

    RAMler Mitglied

    Registriert seit:
    22 März 2010
    Beiträge:
    762
    Zustimmungen:
    0
    Punkte für Erfolge:
    18
    Wie gesagt, nicht meine Thematik. Wärst du daher so nett mir zu sagen welche realen "Folgen" das nun haben könnte?
    Vermute ja keine, da die Fritze, wie du ja sagtest, "Guest Calls" einfach verwirft.

    "Musste" ja nun leider von ISDN auf NGN gehen, daher überhaupt meine Beschäftigung mit dem Krempel. GCN und später DS-Lite konnte ich vor Jahren abwenden und das Profil wurde seitens meines ISPs z.G. auch wie vereinbart übernommen. <3