Wir haben uns bei unserem SIP-Provider registriert und können ausgehende Gespräche führen. Eingehende Gespräche werden jedoch an der FW geblockt:

Die Log-Datei zeigt folgendes:

IN=wan OUT= MAC= SRC=212.227.67.131 DST=ext-IP LEN=1313 TOS=0x00 PREC=0x00 TTL=57 ID=63290 PROTO=UDP SPT=5060 DPT=5060 LEN=1293

Normaler SIP-Verbindungsaufbau (INVITE) über Default-Port 5060 UDP.

Man könnte jetzt einfach den Port 5060 von aussen freigeben, damit erlaubt man jedoch den Angreifern div. Unsinn.
Wir schränken somit den Zugriff auf eine IP-Range des SIP-Providers ein.

Laut Ripe gehört das komplette /16-Netz zu 1und1/Schlund:

https://apps.db.ripe.net/search/query.html?searchtext=212.227.67.131

Nach der Port-Freischaltung durch die FW kommen zwar eingehende Anrufe an, die TK-Anlage meldet jedoch Empfänger/Durchwahl unbekannt:

Anfrage:

14:10:23.465406 IP 212.227.18.135.5060 > TK-Anlage.5060: SIP, length: 1283
E…….8..6…….e……_3INVITE sip:rufnummer@ext-IP:5060 SIP/2.0

Antwort:

14:10:23.469888 IP TK-Anlage.5060 > 212.227.18.135.5060: SIP, length: 888
E…….@……e……….C TK-Anlage.5060: SIP, length: 358
Eh..r.@.@.C……..e…..n..SIP/2.0 100 Trying

15:04:16.527746 IP SIP-Telefon.5060 > TK-Anlage.5060: SIP, length: 413
Eh..r.@.@.C……..e……..SIP/2.0 180 Ringing

Und der Rufaufbau ist abgeschlossen.

Firewalltechnisch keine weiteren Einstellung mehr nötig als wie oben erwähnt. Es gibt eine Default-FW-Regel, die ausgehenden Verkehr erlaubt.

Bandbreitenverbrauch ist 20KB/s für das bestehende Gespräch.

Categories: BlogNetzwerk