Managerinterface originate von calls und Sicherheit

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
T

Thomas007

Aktives Mitglied
Mitglied seit
18 Sep 2005
Beiträge
1,455
Punkte für Reaktionen
0
Punkte
0
Die Erlaubnis an eine IP oder ein Subnet per Managerinterface mit den Rechten write = call Anrufe einzulasten ergibt die Möglichkeit unter Umgehung sämtlicher Regeln des Dialplans nicht erlaubte Anrufe zu tätigen.

Ganz schlimm natürlich wieder bei den ZAP-Providern, die in der Regel mit Postpaid und sinnlos hohen Kundenlimits arbeiten.

Dazu kommt noch das man die ZAP channel noch leichter erraten kann als die SIP provider oder contexte.

Was außer nicht nutzen oder mittels Proxy nicht erlaubte Befehle zu filtern gibt es noch für Möglichkeiten um dieses wirksam zu verhindern.
 
@Thomas007

Das ist gar kein Thema, weil
das Manager-Interface sollte nur
nach Möglichkeit über die eigene
Maschine erlaubt sein, sonst nicht:

Code: 
bindaddr = 127.0.0.1

Wer das nicht macht, oder machen will,
dem kann nicht geholfen werden. Sonst
lassen sich nur noch die host/mask Einschränkungen
nutzen -> www.voip-info.org

Gruß
britzelfix
 
Zuletzt bearbeitet:
@Thomas007

Da wird das Outlook Wählprogramm aber nicht mehr funktionieren.
Zum Vergrößern anklicken....

this is exactly what i meant!


Was Dir bleibt ist:

Code: 
secret=007
deny=0.0.0.0/0.0.0.0
permit=127.0.0.1/255.255.255.255
permit=192.168.7.7/255.255.255.255

Das erlaubt nur den Zugriff von localhost
und der Kiste auf der Outlook läuft, wenn
sie die IP 192.168.7.7 hat.

Kann man alles auf www.voip-info.org nachlesen.

Ich würde aber eher einen Tunnel einrichten,
wenn's nicht über's LAN geht.

Gruß
britzelfix
 
Sicherheit der Datenkommunikation ist klar, aber ....
wie kann man erreichen, dass ein Mitarbeiter, der normal nicht 0900 oder Ausland telefonieren darf, einfach die Nummer in sein outlook einträgt und dann nur noch klicken braucht?

birnerseff
 
@birnerseff

Da fragst Du besser mal in einem Windows-Forum nach.

Gruß
britzelfix
 
Da fragst Du besser mal in einem Windows-Forum nach.
Zum Vergrößern anklicken....

Es soll ja Systeme geben, die sind so gut geschützt, dass ein Mitarbeiter nicht aus Versehen eine im Outlook eventuell konfigurierbare 0900 Sperre abstellen kann; es sollangeblich auch Windows Kisten geben, die sogar vor Viren sicher sind....
Ich glaube jedenfalls, dass eine Policy (darf nur bestimmte Kontexte verwenden) auf der Asterisk Maschine besser aufgehoben ist wie auf den Clients

birnerseff
 
@birnerseff

Ich glaube jedenfalls, dass eine Policy (darf nur bestimmte Kontexte verwenden) auf der Asterisk Maschine besser aufgehoben ist wie auf den Clients
Zum Vergrößern anklicken....

Wie lässt sich das im Manager-Interface nutzen?

Gruß
britzelfix
 
Wie lässt sich das im Manager-Interface nutzen?
Zum Vergrößern anklicken....

s/lässt/liesse/

Das von Thomas007 behauptete Sicherheitsloch besteht meiner Meinung nach darin, dass man eben zwar sagen kann, ein bestimmtes Telefon verwendet den Kontext ausgehend-national, aber kein Äquivalent dazu für das Manager Interface hat.
Der Mitarbeiter, der für sein TAPI (oder andere Wählhilfen) Zugang zum Manager Interface braucht, wird ungewollt zum Manager und kann nicht nur in teuren Kontexten telefonieren, sondern auch die Gespräche seiner Kollegen trennen und verbinden

birnerseff
 
@birnerseff

s/lässt/liesse/
Zum Vergrößern anklicken....

So ein Legastheniker, wie ich einer bin, denkt
im ersten Moment nicht an die Möglichkeitsform. :)

Das von Thomas007 behauptete Sicherheitsloch
Zum Vergrößern anklicken....
Das ist kein Sicherheitsloch. Wenn man das
Wort Manager-Interface mal buchstabiert, merkt man
erst, über was wir hier sprechen. Es ist eine
Schnittstelle für einen Manager, also für jemanden der auch
z.B. die extensions.conf editieren kann.
Den Zugriff kann mann zwar Hostbasiert, bzw. User/Passwort-basiert und
noch mit read/write den Befehlsumfang einschränken, letztendlich bleibt
es was es ist.

Eine vorstellbare Lösung dafür ist ein kleines Perl-Script,
das die Funktionalität des Manager-Interface nachahmt und
nur die erlaubten Befehle an den "real manager" weiterleitet.
Aber das wollte 007 nicht, weil er's nicht kann.
Ich wette mal es lässt sich mit etwa < 50 Zeilen Perl-Code
realisieren.


Gruß
britzelfix
 
Zuletzt bearbeitet:
britzelfix schrieb:
Das ist kein Sicherheitsloch. Wenn man das
Wort Manager-Interface mal buchstabiert, merkt man
erst, über was wir hier sprechen. Es ist eine
Schnittstelle für einen Manager....
Zum Vergrößern anklicken....

So kann man natürlich auch argumentieren.

Dann sind aber die angebotenen Wähl-Programmen konzeptionell vollkommen kaputt. Insbesondere wenn keine Hinweise auf die erheblichen Sicherheitsprobleme durch Verwendung dieser Tools gemacht werden und kein geeigneter Proxy zu Filterung von bösen Befehlen mitgeliefert wird.
 
@Thomas007

Dann sind aber die angebotenen Wähl-Programmen konzeptionell vollkommen kaputt. Insbesondere wenn keine Hinweise auf die erheblichen Sicherheitsprobleme durch Verwendung dieser Tools gemacht werden und kein geeigneter Proxy zu Filterung von bösen Befehlen mitgeliefert wird.
Zum Vergrößern anklicken....

Ja, leider. Da waren einige Hacker einfalsreicher, als die Programmierer.
Ich würde mal vorschlagen zuerst beim Anbieter zu reklamieren.

Gruß
britzelfix
 
Hi,

das Perl Skript ist sicher eine gute Lösung, und manche Erweiterungen (z.B. FOP) verwenden auch soetwas.
Andere halt nicht....
Als ich vor einiger Zeit eine etwas unkonventionelle Telefonlösung gebraucht habe (wir verwenden in der Firma teilweise "Telefone" von Plantronics mit einem an/aus-Knopf als Bedienelement), da bot sich nun mal das Manager Interface als einzige Möglichkeit an, die Funktionalität zu realisieren, und die Entscheidung zwischen einer reinen Clientlösung (bei der Missbrauch möglich ist) und einer Client/Server Lösung war weniger von Sicherheitsgedanken wie von Wartbarkeit bestimmt; dass da auch ein Risiko drinsteckt, ist mir damalsnicht aufgefallen
und anderen Entwicklern scheinbar auch nicht, sonst wäre TAPI für Asterisk vermutlich eine Client Server Lösung
Ich habe vor kurzem mal bei Bekannten eine Fertiganlage eingerichtet; dort wurde ausdrücklich dieses TAPI empfohlen ... und dort gibt es auch ausdrücklich keine Möglichkeit, eigene Software (also so einen Perl Proxy) zu installieren. Deshalb denke ich auch, man sollte eher bei Digium als bei den Entwicklern der Zusätze mal nachfragen

birnerseff
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 604 (Mitglieder: 1, Gäste: 603)

Neueste Beiträge

Statistik des Forums

Themen
244,872
Beiträge
2,219,909
Mitglieder
371,594
Neuestes Mitglied
AA-Idealbau
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück