[Eisfair_dev] BFB und Asterisk

[Tom Schulz]

Hallo Marcus,

Marcus Roeckrath schrieb:
> Hallo Tom,
> 
> Tom Schulz wrote:
> 
>> Vielen Dank fuer Deine Rueckmeldung. Nach meinem Verstaendnis war es
>> aber doch nicht wirklich eine Schwachstelle im eigentlichen Sinne. Der
>> Angriff damals bestand doch darin , dass der Angreifer einfach solange
>> Kombinationen von Rufnummer und Passwort durchprobiert hat bis eine
>> passende Kombination gefunden war. Da das Asterisk Paket fuer Eisfair
>> zudem in der Konfiguration nur Nummern als Passwort fuer die internen
>> SIP-Accounts zulaesst und keine alphanumerischen Passworte, war die
>> Kombination recht einfach zu finden.
>>
>> Waere dieses vorgehen heute nicht auch noch moeglich, oder blockt
>> Asterisk das inzwischen von sich aus nach n-fehlerhaften Logins?
> 
> Muss ein solcher Zugang zum Asterisk überhaupt von außen offen sein?

Nein, sollte er sogar grundsaetzlich nicht. Dies waere nur fuer den Fall
erforderlich, dass man SIP-Clients die Anmeldung an Asterisk von
ausserhalb des eigenen Netzes ermoeglichen moechte. Dies ist hier nicht
der Fall, aber dennoch ein gaengiges und legitimes Einsatzscenario fuer
den Asterisk.

Davonab kommen heute alle mir bisher bekannten Voip-Anbieter ohne
Portforwarding aus. Nur im Zusammenhang mit Vodafone habe ich eben
entsprechende Meldungen gelesen, dass die keine privaten Adressen im
SIP-Header zulassen und daher ggf. ein entsprechendes Portforwarding
noetig ist. Allerdings konnte ich das bisher weder bestaetigen noch
widerlegen.

Gruss,

Tom