md5secret für externe (freenet, sipgate, ...) Accounts?

[udosw]

In der sip.conf eines *-Servers, den ich aufsetze, sollen die Passworte möglichst nicht im Klartext liegen.

Bei den Passworten für die lokalen SIP-Telefone kein Problem: md5secret nach dieser Anleitung
http://www.voip-info.org/tiki-index.php?page=Asterisk sip md5secret erzeugt: Funktioniert.

Was mache ich aber bei externen Providern wie Sipgate oder Freenet? Dort scheint das nicht zu klappen. Habe md5secret generiert mit verschiedenen Realms, aber nichts geht.

Ausserdem: kann man bei diesen Einträgen
register => user:secret:authuser@hostort/extension
das passwort überhaupt als md5 ablegen?

Hat jemand 'ne Lösung dafür?

Udo

 

[poppy]

Das geht nicht! Als Client muß man sein Passwort kennen. Das ist ähnlich wie beim Standard-Login unter Linux. Hier muß man ein richtiges Passwort eingeben, obwohl in /etc/passwd bzw. /etc/shadow nur Hashwerte von Passworten gespeichert sind.

Vorsicht bei md5secret! Es bietet nur eine scheinbare Sicherheit. Der Angreifer kennt zwar nur den Hashwert aber er kann sich dennoch mit Hilfe dieses Hashwertes bei deinem Asterisk-Server anmelden, obwohl er das eigentliche Passwort nicht kennt!

Man muß also seinen Server so gut wie möglich vor Angreifern schützen. Ich weiß nicht, ob es in Asterisk-Code Sicherheitslöcher gibt. Hat jemand das schon mal den Code auf Sicherheit geprüft?

Gruß