Wir haben uns bei unserem SIP-Provider registriert und können ausgehende Gespräche führen. Eingehende Gespräche werden jedoch an der FW geblockt:
Die Log-Datei zeigt folgendes:
IN=wan OUT= MAC= SRC=212.227.67.131 DST=ext-IP LEN=1313 TOS=0x00 PREC=0x00 TTL=57 ID=63290 PROTO=UDP SPT=5060 DPT=5060 LEN=1293
Normaler SIP-Verbindungsaufbau (INVITE) über Default-Port 5060 UDP.
Man könnte jetzt einfach den Port 5060 von aussen freigeben, damit erlaubt man jedoch den Angreifern div. Unsinn.
Wir schränken somit den Zugriff auf eine IP-Range des SIP-Providers ein.
Laut Ripe gehört das komplette /16-Netz zu 1und1/Schlund:
https://apps.db.ripe.net/search/query.html?searchtext=212.227.67.131
Nach der Port-Freischaltung durch die FW kommen zwar eingehende Anrufe an, die TK-Anlage meldet jedoch Empfänger/Durchwahl unbekannt:
Anfrage:
14:10:23.465406 IP 212.227.18.135.5060 > TK-Anlage.5060: SIP, length: 1283
E…….8..6…….e……_3INVITE sip:rufnummer@ext-IP:5060 SIP/2.0
Antwort:
14:10:23.469888 IP TK-Anlage.5060 > 212.227.18.135.5060: SIP, length: 888
E…….@……e……….C
Eh..r.@.@.C……..e…..n..SIP/2.0 100 Trying
15:04:16.527746 IP SIP-Telefon.5060 > TK-Anlage.5060: SIP, length: 413
Eh..r.@.@.C……..e……..SIP/2.0 180 Ringing
Und der Rufaufbau ist abgeschlossen.
Firewalltechnisch keine weiteren Einstellung mehr nötig als wie oben erwähnt. Es gibt eine Default-FW-Regel, die ausgehenden Verkehr erlaubt.
Bandbreitenverbrauch ist 20KB/s für das bestehende Gespräch.