Ich habe vorgestern nach lamgem Hin und Her endlich die Grandstream Telefonanlage UCM 6202 hinter einer Fritzbox so eingerichtet bekommen, dass sie eine über einen 1und1-DSL-Vertrag geschaltete Telefonnummer verwenden kann (Thread). Nun fiel auf, dass direkt in derselben Nacht zwischen ca. 3:40 Uhr und 5:50 Uhr diverse Vorgänge in der Anlage gestartet wurden. Schaut man sich den Bereich CDR (Call Detail Record) an, fällt auf, dass hier etliche Male auf verschiedene Versionen der Nummer "angerufen" wurde. In der darauf folgenden Nacht ging es gegen 20 Uhr los und dauerte erneut bis ca. 6 Uhr an. Diesmal wurden aber verschiedene Nummern angewählt und auch diverse Gespräche angenommen. Hier zwei Screenshots aus dem CDR:
1und1 hat diese Zugriffe registriert und automatisch entsprechende Sperrungen vorgenommen.
Wenn ich mir nun die Logs anschaue, werden hier die verschiedenen Abgangsquellen "Call from" angezeigt. Alle Anrufe, die durchgegangen sind, wurden von der 1000 getätigt - eine "Extension" (also ein Anlagennutzer = in unseren Fall ein Telefon), die wirklich in der Anlage geschaltet ist. Darüber hinaus wurden offensichtlich Brute-Force-mäßg einfach weitere Logins versucht. Ob nun 100000 oder Admin oder Test usw. Da alle diese nicht vorhanden sind, war hier kein Durchkommen. Die 1000 hingegen schon. Hier ist kein einfaches Passwort vergeben, sondern ein komplexes mit > 10 Stellen und Sonderzeichen, Groß- und Kleinschreibung, Zahlen...
Nun stelle ich mir folgende Fragen:
1. Wie kann es sein, dass nur kurze Zeit nachdem ich die Anlage aktiv geschaltet habe, bereits die ersten Angriffe gelaufen sind? Es sollte ja eigentlich kein öffentliches Register geben aus dem man neue Anlagen so einfach auslesen kann.
2. Ich habe auf der einen Seite natürlich sofort das Passwort der Extension 1000 geändert und noch komplexer gemacht, aber wie kann ich verhindern, dass einfach weiter solche Angriffe auf die Anlage laufen?
3. Ist es "nur" die einzelne Extension, die angegriffen wird und geschützt werden muss oder müsste ich auch andere Passwörter (Telefonanlage, 1und1-Nummern-Einwahl etc.) berücksichtigen?
4. Um die Extensions etwas mehr zu schützen, könnte ich mir vorstellen, dass es sicherer wäre zusätzlich zur "Nebenstellen-ID" (also hier aktuell z.B. die 1000), die wohl standardmäßig vergeben und genutzt werden eine optional zu vergebende Auth-ID zu nutzen, die wie das Passwort aus Zeichen-Salat bestehen könnte wie bespielsweise . Das würde zwar an den Brute-Force-Angriffen auf die Anlage nichts ändern aber würde wohl den Zugriff auf die Extensions deutlich erschweren. Ist der Ansatz nachvollziehbar?
Danke im Voraus für Eure Unterstützung!
1und1 hat diese Zugriffe registriert und automatisch entsprechende Sperrungen vorgenommen.
Wenn ich mir nun die Logs anschaue, werden hier die verschiedenen Abgangsquellen "Call from" angezeigt. Alle Anrufe, die durchgegangen sind, wurden von der 1000 getätigt - eine "Extension" (also ein Anlagennutzer = in unseren Fall ein Telefon), die wirklich in der Anlage geschaltet ist. Darüber hinaus wurden offensichtlich Brute-Force-mäßg einfach weitere Logins versucht. Ob nun 100000 oder Admin oder Test usw. Da alle diese nicht vorhanden sind, war hier kein Durchkommen. Die 1000 hingegen schon. Hier ist kein einfaches Passwort vergeben, sondern ein komplexes mit > 10 Stellen und Sonderzeichen, Groß- und Kleinschreibung, Zahlen...
Nun stelle ich mir folgende Fragen:
1. Wie kann es sein, dass nur kurze Zeit nachdem ich die Anlage aktiv geschaltet habe, bereits die ersten Angriffe gelaufen sind? Es sollte ja eigentlich kein öffentliches Register geben aus dem man neue Anlagen so einfach auslesen kann.
2. Ich habe auf der einen Seite natürlich sofort das Passwort der Extension 1000 geändert und noch komplexer gemacht, aber wie kann ich verhindern, dass einfach weiter solche Angriffe auf die Anlage laufen?
3. Ist es "nur" die einzelne Extension, die angegriffen wird und geschützt werden muss oder müsste ich auch andere Passwörter (Telefonanlage, 1und1-Nummern-Einwahl etc.) berücksichtigen?
4. Um die Extensions etwas mehr zu schützen, könnte ich mir vorstellen, dass es sicherer wäre zusätzlich zur "Nebenstellen-ID" (also hier aktuell z.B. die 1000), die wohl standardmäßig vergeben und genutzt werden eine optional zu vergebende Auth-ID zu nutzen, die wie das Passwort aus Zeichen-Salat bestehen könnte wie bespielsweise . Das würde zwar an den Brute-Force-Angriffen auf die Anlage nichts ändern aber würde wohl den Zugriff auf die Extensions deutlich erschweren. Ist der Ansatz nachvollziehbar?
Danke im Voraus für Eure Unterstützung!
Zuletzt bearbeitet: