[Frage] FritzBox IP-Telefon von extern / Port 5060 - unverschlüsselt?

[RAMler]

Tagchen,

die Fritze bietet ja die Möglichkeit IP-Telefone auch von extern zu registrieren, was auch wunderbar funktioniert.
Nur ist das ganze auch sicher? Port wird ja 5060 genutzt, nicht 5061.

Ich habe von VoIP nicht wirklich Ahnung, daher hier die Fragen.
Wird da nun wirklich die Anmeldung unverschlüsselt vorgenommen oder über TLS / SIPS?

Aufklärung wäre nett. Wäre natürlich fatal wenn da jeder Hinz und Kunz die Logindaten mitsniffen könnte.

RAMler

 

[Zentronix]

Hallo,

wer mit wem telefoniert und was gesprochen wird, das kann jemand mitschneiden, wenn er sich dazwischenklemmt.

Das Passwort sieht er aber nicht, weil das verschlüsselt wird.

Siehe auch "Understanding SIP Authentication" und "The SIP Digest Authentication Scheme".

Grüße.

 

[koyaanisqatsi]

Moinsen


Jede in der Fritz!Box eingerichtete VoIP Nummer kann aus dem Internet auf SIP Port 5060 ( UDP und TCP ) via SIP URI Call erreicht werden.
...ohne dass der Anrufer irgendwo registriert ist.

Aber ich will hier keine Panik verbreiten, denn die Fritz!Box macht ihren Job ganz OK.
...keine Weiterleitung von sogenannten "Guest Calls"
...keine unauthorisierten SIP OPTIONS

VoIP in/über fremde, also nicht vertrauenswürdige Netze, ist ein sensibles/kompliziertes Thema.
Meistbester Rat: VPN nach Hause nutzen

 

[RAMler]

@Zentronix:
Ich dachte bei "sip" wäre auch die Anmeldung unverschlüsselt, nur bei sips nicht. Liege ich falsch? Das die Gespräche ohne SRTP unverschlüsselt über die Leitung gehen, war mir bewusst.



@koyaanisqatsi:

Mir gehts ja um ein dann von außen zu erreichenden IP Telefon. Wenn man da die Logindaten einfach mitsniffen könnte (in einem offenen WLAN z.B.) könnte das recht teuer und unangenehm werden.
Ist das mit den SPI URI Calls eine schlechte Implementierung der Fritze oder im Standard wirklich so vorgesehen? Wundert mich, dass das noch niemand für Spamanrufe missbraucht hat, wenn es so einfach ist. Oder heißt

...keine Weiterleitung von sogenannten "Guest Calls"

dass die Box es eh verwerfen würde?

VPN war das, was ich nun prophylaktisch einfach mal eingerichtet habe.

Interessieren ob z.B. die Android eigene Möglichkeit in der "Telefon APP" für SIP Accounts sich im Klartext an einer fritze mit aktivem "reg_from_outside" anmeldet (anmelden kann) würde mich aber trotzdem.
Dann fände ich die Umsetzung von AVM nämlich fahrlässig, also das kein Hinweis auf SIPS kommt oder man das nicht einfach gleich erzwingt.

Aber wie gesagt, ist nicht meine Thematik, sollten meine Gedanken dazu falsch sein, bitte berichtigen. Ich weiß halt nicht wie sich die Fritze hier verhält/verhalten kann, noch ob eine Anmeldung überhaupt komplett unverschlüsselt erfolgen kann oder eben tut.

 

[RAMler]

Das Passwort sieht er aber nicht, weil das verschlüsselt wird.

Habe mir den IETF Link nun mal angesehen. Das PW wird als hash gesendet, aber inwiefern soll mich das nun schützen? Wenn jemand den hash einfach mitsnifft, sendet er diesen halt an den (ebenfalls bekannten) Server für den auth.

Wo liegt mein Denkfehler, sofern vorhanden?

EDIT:
Der Denkfehler ist der, dass der Server ein "nonce" vorgibt, mit der das PW gehasht wird. Nun verstanden, danke euch. Werde das VPN dennoch aktiv lassen, ist einfach die bessere Lösung. Vielleicht später mal auf SIPS umstellen, damit auch die Anmeldung über TLS läuft (wäre bequemer mit passendem Softphone).

 

[koyaanisqatsi]

VoIP via SIP URI Calls ist reinrassiges VoIP ohne Internettelefonieanbieter und immerhin auch mit der Fritz!Box ausgehend über Kurzwahl möglich.
( Wie die AVM HD Demos: **797, **798 und **799 )

Mir gehts ja um ein dann von außen zu erreichenden IP Telefon.

Ist das IP-Telefon an einem Fritz!Box IP-Telefon (Registrar) angemeldet, dem eine Nummer zugewiesen wurde, ist es auch via SIP URI aus dem WWW direkt erreichbar.
...zumindest aus unbeschränkten, nicht CGN, nicht DS-Lite, Netzen.

 

[RAMler]

Wie gesagt, nicht meine Thematik. Wärst du daher so nett mir zu sagen welche realen "Folgen" das nun haben könnte?
Vermute ja keine, da die Fritze, wie du ja sagtest, "Guest Calls" einfach verwirft.

"Musste" ja nun leider von ISDN auf NGN gehen, daher überhaupt meine Beschäftigung mit dem Krempel. GCN und später DS-Lite konnte ich vor Jahren abwenden und das Profil wurde seitens meines ISPs z.G. auch wie vereinbart übernommen. <3

 

[sonyKatze]

Nur ein paar Ergänzungen:

Login mitsniffen?

Kompliziertes Thema!
Wie schon geschildert kommt in SIP immer die Digest-Auth zum Einsatz. Dadurch wird Dein Passwort nicht in „Cleartext“ übertragen. Allerdings ist Mozilla Firefox und RFC 7616 der Auffassung, dass dies nicht mehr ausreicht – denn die Nutzer würden zu oft zu bekannte Passwörter nehmen. Auf Stack-Exchange findet sind eine ähnliche Frage. Fazit heute: Wenn Du ein Passwort mit hoher Entropie nimmst (112 bit oder besser), dann muss der passive Lauscher schon viel Glück haben. Dein aktuelles Passwort kannst Du testen … oder Du lässt Dir ein neues Passwort generieren.

Wer mit wem telefoniert und was gesprochen wird, das kann jemand mitschneiden, wenn er sich dazwischenklemmt.

Ja, bei SIP-over-UDP mit normalem RTP wie es die FRITZ!Box anbietet.
Aber dazu muss man sich nicht einmal dazwischen klemmen (Man-in-the-Middle; MitM) sondern ein passives Mitlauschen reicht aus. Das meint koyaanisqatsi mit „nicht vertrauenswürdiges Netz“, z. B. ist das jedes fremde WLAN.

Dass kein Hinweis auf [SIP-over-TLS] kommt, empfinde ich von AVM fahrlässig.

AVM ist der Meinung, dass MD5 noch ausreicht. Inzwischen prüft AVM immerhin das Passwort einigermaßen.
Aber wie Du schon gemerkt hast, bietet die FRITZ!Box bisher kein sRTP und auch kein SIP-over-TLS. Daher ist Dein Ansatz mit dem VPN eine Möglichkeit die Gespräche zwischen Dir und Deiner FRITZ!Box zu verschlüsseln. Die Alternative wäre eine eigene VoIP/SIP-Anlage mit allem Drum und Dran …