welches sicherheitsrisoko besteht für ein telefon direkt hinter einem router?
was könnte passieren?
was könnte passieren?
sicherheit
- Ersteller magifix
- Erstellt am
Das ist wirklich mal eine interessante Frage,da bin ich auch auf eine Antwort gespannt!
Es gab schon mal so einen ähnlichen Thread,aber da kam das nicht so rüber,denn bisher wäre ja nur sogenannter Telefon-Spam (Werbeanrufe) zu nennen.
Gruß von Tom
Es gab schon mal so einen ähnlichen Thread,aber da kam das nicht so rüber,denn bisher wäre ja nur sogenannter Telefon-Spam (Werbeanrufe) zu nennen.
Gruß von Tom
Andere Möglichkeit, das Telefon hat ein Webmeü gesichert mit einem Passwort. Bei DMZ weiterleitung kann jeder aus dem Netz das Webmenü aufrufen. Hat der User dann noch das Passwort nicht geändert dann ist es sehr sehr einfach die Zugangangsdaten auszulesen und über diese zu telefonieren. Leider reicht schon das Userkennwort aus um die wichtigsten Daten auszulesen.
Deshalb rate ich DMZ nur zu nutzen wenn wirklich nötig und den Port 80 auf eine IP Adresse ins lokale Netz zu leiten die es nicht gibt! Oder aber im Endgerät einstellen wenn möglich dass nur lokale IP Adresse zugreifen können!
Übrigens die meiste SIP Hardware läßt beliebig viele Kombinationen von Username und Kennwort zu, bedeutet wenns nicht geht noch mal versuchen
Deshalb rate ich DMZ nur zu nutzen wenn wirklich nötig und den Port 80 auf eine IP Adresse ins lokale Netz zu leiten die es nicht gibt! Oder aber im Endgerät einstellen wenn möglich dass nur lokale IP Adresse zugreifen können!
Übrigens die meiste SIP Hardware läßt beliebig viele Kombinationen von Username und Kennwort zu, bedeutet wenns nicht geht noch mal versuchen
ehrlich gesagt, ich hab noch nicht kapiert wie eine dmz funktioniert.
wo finde ich infos damit ich das nachvollziehen kann?
wo finde ich infos damit ich das nachvollziehen kann?
Spontan fallen mir folgende Angriffsszenarien ein:
1. Wenn entweder der Netzwerkstack, oder aber die SIP-Implementation der Telefons/ATAs fehlerhaft ist, kann ein Gerät zum Absturz gebracht werden, z.B. durch bestimmte Datenpakete. Benutzer wundert sich dann über das Ausbleiben von Anrufen.
2. Denial of Service durch Lahmlegen mit einer Vielzahl von "Scheinanrufen".
3. Man in the Middle-Attacke: jemand schaltet sich zwischen Dich und Deinen VoIP Provider. Denkbar wäre hier die Übernahme des W-LAN Routers (weil jemand die Verschlüsselung gecrackt hat, bei WEP relativ leicht möglich), hinter dem der VoIP Adapter/Telefon hängt. Abhören des Gesprächs wäre hier derzeit ein Kinderspiel, da keine Verschlüsselung eingesetzt wird. Andererseits könnte man vermutlich auch Gespräche hijacken, evt. gar auf fremde Kosten telefonieren (da die Transaktionen bei SIP mit Passwort signiert werden, ist dies zumindest schwierig, wenn nicht gar unmöglich).
Lösungsmöglichkeiten:
1. dürfte ggfs. durch einen Patch des Herstellers zu verhindern sein, wenn der nicht inzwischen pleite ist oder den Support eingestellt hat. Bis der Patch verfügbar ist, kann es aber eine Zeit dauern.
2. Hier hilft filtern nach Ursprungs-IP. Z.B. nur vom VoIP Provider Anrufe annehmen, wie es z.B. bei Sipura Adaptern einstellbar ist.
3. de-facto auch bei anderen Web-Diensten oft diskutiert, meines Wissens aber bisher noch kaum real passiert (spannendes Szenario hier wäre DNS Hijacking, z.B. von Online-Banking Websites, dürfte wesentlich interessanter sein als der Telefonanschluss eines Privatmannes)
Was man nie vergessen sollte: Geld regiert die Welt. Da ich hier noch nicht sehe, was so ein Angriff finanziell bringen soll, halte ich die genannten Sicherheitsrisiken eher für graue Theorie.
Übrigens auch SPAM over Internet Telephony (SPIT): wie will man automatische Texte in Verkaufszahlen umwandeln? Bei Mails reicht ein Klick auf einen Link zu einem Webshop, bei Telefonanrufen muss das Opfer entweder wesentlich mehr tun (z.B. aktiv eine Web-Adresse aufrufen), oder die Gegenseite muss ihre Identität preisgeben.
Anders ist es bei vertraulichen Gesprächen, da ist IMHO das Tunneln durch ein VPN eh das einzig sinnvolle.
BTW, ein reales schweres Sicherheitsproblem bestand bei den Cisco 186 Adaptern. Die haben via Web-Interface ihre gesamten Konfigurationsdaten preisgegeben, inklusive Web-Interface-Passwort!
http://online.securityfocus.com/advisories/4146
Vor solchen Bugs der Hardware ist man nie sicher, dafür gehört der Hersteller dann aber auch gesteinigt...
1. Wenn entweder der Netzwerkstack, oder aber die SIP-Implementation der Telefons/ATAs fehlerhaft ist, kann ein Gerät zum Absturz gebracht werden, z.B. durch bestimmte Datenpakete. Benutzer wundert sich dann über das Ausbleiben von Anrufen.
2. Denial of Service durch Lahmlegen mit einer Vielzahl von "Scheinanrufen".
3. Man in the Middle-Attacke: jemand schaltet sich zwischen Dich und Deinen VoIP Provider. Denkbar wäre hier die Übernahme des W-LAN Routers (weil jemand die Verschlüsselung gecrackt hat, bei WEP relativ leicht möglich), hinter dem der VoIP Adapter/Telefon hängt. Abhören des Gesprächs wäre hier derzeit ein Kinderspiel, da keine Verschlüsselung eingesetzt wird. Andererseits könnte man vermutlich auch Gespräche hijacken, evt. gar auf fremde Kosten telefonieren (da die Transaktionen bei SIP mit Passwort signiert werden, ist dies zumindest schwierig, wenn nicht gar unmöglich).
Lösungsmöglichkeiten:
1. dürfte ggfs. durch einen Patch des Herstellers zu verhindern sein, wenn der nicht inzwischen pleite ist oder den Support eingestellt hat. Bis der Patch verfügbar ist, kann es aber eine Zeit dauern.
2. Hier hilft filtern nach Ursprungs-IP. Z.B. nur vom VoIP Provider Anrufe annehmen, wie es z.B. bei Sipura Adaptern einstellbar ist.
3. de-facto auch bei anderen Web-Diensten oft diskutiert, meines Wissens aber bisher noch kaum real passiert (spannendes Szenario hier wäre DNS Hijacking, z.B. von Online-Banking Websites, dürfte wesentlich interessanter sein als der Telefonanschluss eines Privatmannes)
Was man nie vergessen sollte: Geld regiert die Welt. Da ich hier noch nicht sehe, was so ein Angriff finanziell bringen soll, halte ich die genannten Sicherheitsrisiken eher für graue Theorie.
Übrigens auch SPAM over Internet Telephony (SPIT): wie will man automatische Texte in Verkaufszahlen umwandeln? Bei Mails reicht ein Klick auf einen Link zu einem Webshop, bei Telefonanrufen muss das Opfer entweder wesentlich mehr tun (z.B. aktiv eine Web-Adresse aufrufen), oder die Gegenseite muss ihre Identität preisgeben.
Anders ist es bei vertraulichen Gesprächen, da ist IMHO das Tunneln durch ein VPN eh das einzig sinnvolle.
BTW, ein reales schweres Sicherheitsproblem bestand bei den Cisco 186 Adaptern. Die haben via Web-Interface ihre gesamten Konfigurationsdaten preisgegeben, inklusive Web-Interface-Passwort!
http://online.securityfocus.com/advisories/4146
Vor solchen Bugs der Hardware ist man nie sicher, dafür gehört der Hersteller dann aber auch gesteinigt...
Genau das hatte ich mir auch gedacht,die meisten Szenarien würden dem Angreifer nichts bringen,also relativ geringer Anreiz und somit kaum Risiken.
@magifix
Um die Frage der DMZ zu beantworten,folgendes:
DMZ = Entmilitarisierte Zone
Diese wird im Router eingestellt,sie läßt zu,daß alles unter dieser einen IP rein und raus gelassen wird,so daß es in bestimmten schwierigen Netzwerksituationen eine Erleichterung ist,Geräte dann doch funktionsfähig zu machen bei bestimmten Portfreigaben,die dann explizit nicht gemacht werden brauchen!
Gruß von Tom
@magifix
Um die Frage der DMZ zu beantworten,folgendes:
DMZ = Entmilitarisierte Zone
Diese wird im Router eingestellt,sie läßt zu,daß alles unter dieser einen IP rein und raus gelassen wird,so daß es in bestimmten schwierigen Netzwerksituationen eine Erleichterung ist,Geräte dann doch funktionsfähig zu machen bei bestimmten Portfreigaben,die dann explizit nicht gemacht werden brauchen!
Gruß von Tom
Vielleicht noch einfacher erklärt: Normalerweise kann ich von außen (Internet) ja nicht auf ein Gerät im internen Netzwerk zugreifen, das geht nur, wenn ich entweder einzelne Ports, einen Bereich von Ports oder die IP-Adresse des Gerätes komplett im Router freischalte, d.h. das Forwarding auf dieses Gerät einstelle. Das ist jetzt für einen Außenstehenden so, als wäre dieses Gerät direkt am DSL-Anschluß dran, der Router ist damit nicht mehr direkt sichtbar und damit muß man dieses Gerät natürlich wesentlich besser absichern, damit keiner Unfug anstellt.
Neueste Beiträge
-
[Info] Rechtsstreit zwischen AVM und Huawei, einhergehende Konsequenzen
- Letzte: Heisenberg2018
-
[Problem] Alle ausgehenden Anrufe sind "anonym"
- Letzte: tango501
-
Am PC über fritzbox Telefon anwählen
- Letzte: cosmiuamlex
-
FRITZ!Box 5690 Pro INHAUS FCS23- Letzte: Jstessi
-
DLM: was zählt als Abbruch?
- Letzte: KunterBunter
-
[Frage] Insolvenzverfahren bintec elmeg GmbH
- Letzte: tango501
-
Wlan Mesh Problem
- Letzte: sonyKatze