Siehst Du meine hellblauen Text-Teile? Das sind Hyperlinks auf einen
anderen Post … bin mir nicht sicher, ob die Style-Templates des Forums für alle Plattformen das richtig anzeigen. Dort in dem Post steht dann:
$ turnutils_natdiscovery -t -T 180 stun.antisip.com
Das Einfachste wäre ein Ubuntu 18.04 LTS oder neuer in einer virtuellen Maschine aufzusetzen und dort dann über
$ sudo apt install coturn
das Software-Package mit jenem Tool installieren. Erhältst Du auf „Response 1“ ein „STUN receive timeout..“, sind 180 Sekunden zu lang. Erhältst Du „Response 2“, hast Du einen Wert innerhalb der möglichen Zeitspanne. Du gehst dann auf 178 Sekunden … und auf 30 Sekunden … und auf 28 Sekunden.
Port-Forwarding führt dazu, dass Deine Grandstream für alle IP-Adressen auf der Welt ansprechbar ist. Je nachdem wie die Grandstream konfiguriert ist, akzeptiert diese dann solche Anrufe, was dann zu Spam-Anrufen führt.
urzani, für Dich weniger interessant, weil Du das schon gelöst hast. Aber für Jene, die hier über eine Internet-Suche vorbeikommen:
Grandstream → Web-Oberfläche → (Reiter) „Profile“ oder „Account“ → SIP → Security → Accept Incoming SIP from Proxy Only: Yes
So überprüft Grandstream die IP-Adresse eingehender Anrufe. In älterem Modellen heißt der Parameter „Allow Incoming SIP Messages from SIP Proxy Only“ bzw „P243“. Bei neueren Modelle heißt dessen Configuration-Parameter „account.1.sip.validate.incomingServer“. Aus der Kategorie
Security-through-obscurity stammen die folgenden drei Parameter:
- Validate Incoming Messages: Yes
Eingehende Anrufe werden nach unbekannten† Kriterien überprüft. Meine Tests zeigen, wenn die SIP/SDP-Nachrichten valide sind (z.B. mit der App sip-tester erstellt), geht der Anruf durch. Daher reicht dies als Schutz allein nicht aus, vermeidet aber bereits einige der Anrufe.
- Check SIP User ID for Incoming INVITE: Yes
Damit muss die User-ID eingehender Anrufe der User-ID in einem konfigurierten Konto übereinstimmen. Ein Angreifer muss lediglich herausbekommen, wie die SIP-User-ID lautet (die bei vielen Telefonie-Anbietern nur aus Zahlen besteht). Daher reicht dies als Schutz allein nicht aus, vermeidet aber bereits einige der Anrufe.
- SIP → Basic → Use Random SIP Port: Yes, bei neueren Modellen unter dem Reiter Settings → General
Dieser Parameter greift nur dann, wenn man nicht TCP sondern UDP nutzt. Aktiviert öffnet ein Granstream für SIP nicht stur 5060 sondern irgendeinen Port. Ein Angreifer muss herausbekommen, welcher Port genutzt wird. Ein solcher gewürfelter Port ist lediglich von einem Angreifer im Heimnetz oder bei einem Port-Trigger oder als Exposed-Host nutzbar. Aber trotzdem sollte man nicht stur UDP-Port 5060 nehmen, weil viele NAT-Umsetzer einen Port nur einmal vergeben können und durch andere SIP-Telefone im Heimnetz bereits blockiert sein könnten. Der NAT-Umsetzer vergibt dann extern einen ganz anderen Port, was manche Telefonie-Anbieter irritiert, weil die Port-Angaben in den SIP-Nachrichten der Grandstream dann falsch sind. Oder der NAT-Umsetzer gibt gar keine Antworten zurück, weil er alle Antworten lediglich an den ersten Öffner des UDP-Ports 5060 weiterleitet.
Aber hier geht es nicht um IT-Sicherheit sondern um Schutz vor
Phantom- bzw. Geister-Anrufen. Daher empfehle ich, alle vier Parameter einzuschalten. Trotzdem ist spannend, wie Grandstream
dies begründet … alles Unfug. Wichtig(er) ist, eine Grandstream nicht ins öffentliche Internet zu exponieren. Scheint das unumgänglich, solltest Du die Ursache dafür ergründen, bevor Du
extra deswegen an diesen Parametern hier herumschraubst. Einfach einen neuen Thread aufmachen und dann schaut sich die Foren-Community Deinen Fall an.
Wichtig: Diese vier Parameter sind für alle (aktiven) Konten einzuschalten, denn eine Grandstream überprüft nicht auf den zugehörigen Port. Anders formuliert: Ist aufgrund irgendeines Kontos ein Port zugänglich, werden erstmal alle SIP-Nachrichten akzeptiert. Erlaubt dann irgendein Konto die Nachricht, wird es ihm zugestellt. Völliger Murks, aber so denkt sich das Grandstream seit Jahrzehnten. Auch gilt obiges nicht nur für UDP sondern auch dann, wenn man TCP als SIP-Transport benutzt. Auch das zeigten meine eigenen Tests.
† In Grandstreams Security-Manuel findet sich die
offizielle Erläuterung. Obiges habe ich durch eigene Tests ermittelt.