[Frage] Sicherheitsrisiko durch FritzBox als ATA?

[schlorky]

Hallo Allerseits,

ich habe eine FritzBox als Adapter für 2 analoge Telefone in meinem LAN. Die Ports 5060 und 7078ff habe ich auf meiner Firewall freigeschaltet und auf die FritzBox geleitet. Im Firewall-Log sehe ich nun gelegentlich Zugriffe auf den Port 5060 der FritzBox aus dem Internet von mir nicht bekannten Servern (also die nicht zu einem SIP-Provider gehören können).

Besteht hier ein Sicherheitsrisiko?

Einerseits denke ich, daß das hinsichtlich Sicherheit nicht viel anders ist, als wenn die FB direkt ins Internet geht. Stimmt das?

Andererseits bin ich vor einem signifikanten Sicherheitsrisiko gewarnt worden (Kostenrisiko, ein Angreifer könnte über meinen Zugang kostenpflichtige Telefonate führen).

Was ist da zutreffend?

Danke!

 

[koyaanisqatsi]

Tag

Das SIP Protokoll (Port 5060) ist fürs telefonieren gedacht und erlaubt höchstens das Anmelden eines Telefons.
Dazu werden aber Zugangsdaten benötigt. Offen muss der sein sonst würde es bei dir niemals klingeln.
Die Erlaubnis zum Anmelden wird über ein angelegtes LAN/WLAN Telefon erteilt.
Aber nicht per Default, dazu musst du nochmal in die Eigenschaften des Registrars unter Anmeldedaten und den Haken setzen.

Also: Ohne vorher ausgepähte Zugangsdaten solltest du auf der sicheren Seite sein.

 

[schlorky]

Hi, danke erstmal!

Die Erlaubnis zum Anmelden wird über ein angelegtes LAN/WLAN Telefon erteilt.

Bei dieser Beschreibung bin ich leider ratlos. Gibt es da in der FB eine entsprechende Einstellung? Ich habe ja ein recht altes Modell, da kann ich Internetrufnummern anlegen und jeweils einer der drei Nebenstellen zuordnen. Mir wäre gar nicht bekannt, daß ich in der FB ein LAN (VoIP?) Telefon anlegen könnte ...:gruebel:

Haben die erwähnten Zugangsdaten mit dem Fritz"BOX-Kennwort zu tun?

 

[koyaanisqatsi]

"Haben die erwähnten Zugangsdaten mit dem Fritz"BOX-Kennwort zu tun? "
Nein

Deine Box kann dann wohl nur angerufen/raustelefonieren übers SIP Protokoll.
So ein angelegtes LAN/WLAN IP-Telefon wäre ein Registrar.
Ganz genauso wie sich deine Internettelefonnummern beim Provider registrieren.
Daran kann sich ein SoftFon oder echtes IP-Telefon registrieren.
Bei der letzten Sicherheitslücke war das ein Problem.
Weil die Hacker mit den ausgespähten Daten so einen Registrar anlegen konnten.
Um über die gehackte Fritz!Box zu telefonieren.
Oder sie legten gleich eine "kostspielige Wahlregel" an.
Ohne Registrarmöglichkeit ist deine Box also nochmal sicherer.

 

[schlorky]

Ok, jetzt ist alles klar. Danke!!

 

[sf3978]

Im Firewall-Log sehe ich nun gelegentlich Zugriffe auf den Port 5060 der FritzBox aus dem Internet von mir nicht bekannten Servern (also die nicht zu einem SIP-Provider gehören können).

Wer loggt sieht immer etwas. ;-) Diese Zugriffe habe ich auch. Sind i. d. R. "friendly scans" mit Sipvicious:

20:35:03.181899  In 00:##:##:##:##:12 ethertype IPv4 (0x0800), length 452: (tos 0x0, ttl 53, id 0, offset 0, flags [DF], proto UDP (17), length 436)
    188.138.###.88.5067 > 46.###.###.###.[color=red]5060[/color]: SIP, length: 408
	OPTIONS sip:100@46.###.###.### SIP/2.0
	Via: SIP/2.0/UDP 127.0.0.1:5067;branch=z9hG4bK-2081227149;rport
	Content-Length: 0
	From: "sipvicious"<sip:[email protected]>;tag=3265656463656134313363340133313032393136303930
	Accept: application/sdp
	User-Agent: friendly-scanner
	To: "sipvicious"<sip:[email protected]>
	Contact: sip:[email protected]:5067
	CSeq: 1 OPTIONS
	Call-ID: 1181333073189177727628037
	Max-Forwards: 70

 

[schlorky]

Soso, "friendly", har har. :-/

Danke für den Hinweis auf SIPVicious! Das dürfte genau zutreffen. Ich zeichne jetzt mal den Traffic auf, dann kann ich das verifizieren.

EDIT: Bei mir sieht das anders aus: Das sind UDP-Pakete mit Länge 36, Nutzlast 4 Bytes, alle 0. Hat jemand eine Ahnung, was das bezwecken kann? (Außer um festzustellen, daß der Port überhaupt erreichbar ist.)