SBauhaus Posted June 30, 2022 #1 Share Posted June 30, 2022 Hallo zusammen, mir ist gerade durch Zufall aufgefallen, dass ich extrem viele SIP-Registers bekomme (mehrere pro Sekunde). Alle Requests kommen von externen IPs, dort werden per Zufall SIP-Accounts "durchprobiert" (Bruteforce). Bei der Analyse mit Wireshark fällt auf, dass die Anfragen über Port TCP/5096, also den Port für SwyxPush kommen: Nun die Frage: Da ich ungern Application Firewalls in die SIP-Kommunikation einschleusen möchte, wäre ja ein Swyx-Mechanismus, der die Anzahl der "fehlgeschlagenen" SIP Registers pro IP mitloggt und diese ggf. auf eine Blacklist setzt, notwenig. Gibt es so etwas in Swyx? Nachtrag: Darüber hinaus ist sicherlich nicht jedem Unternehmen bekannt, dass man mit dem Einsatz von SwyxMobile alle SIP-Logins aus dem Internet erreichbar macht, da würde ich jetzt eigentlich auch keinen direkten Zusammenhang sehen. Ob sinnvoll oder nicht, gerade alte FAX-Geräte wird der ein oder andere vermutlich mit einem unsicheren Kennwort versehen haben (wenn nicht sogar Durchwahl = Passwort). Link to comment Share on other sites More sharing options...
Most Valued User Markus Wallner Posted June 30, 2022 Most Valued User #2 Share Posted June 30, 2022 Warum sollte denn dieser Port überhaupt von extern geöffnet sein? Das ist doch nur der Port für die Kommunikation mit internen Clients bzw. Dienten. Oder übersehe ich hier irgendetwas? Link to comment Share on other sites More sharing options...
SBauhaus Posted June 30, 2022 Author #3 Share Posted June 30, 2022 Verstehe ich grundsätzlich auch nicht, ist allerdings so dokumentiert: https://service.swyx.net/hc/de/articles/360011665720-Von-SwyxWare-v12-verwendete-Ports Abschnitt "PushNotificationService" und dann "Inbound": Link to comment Share on other sites More sharing options...
SBauhaus Posted June 30, 2022 Author #4 Share Posted June 30, 2022 Ok, das wurde wohl fehlinterpretiert, in der Anleitung zu SwyxMobile steht davon nix:https://help.swyx.com/docs/manuals/deutsch/SwyxMobile_Installation.pdf Dann werde ich den Port wohl mal schließen und schauen, was passiert. Link to comment Share on other sites More sharing options...
Most Valued User Solution SvenS Posted June 30, 2022 Most Valued User Solution #5 Share Posted June 30, 2022 hier ist noch nochmal beschrieben Sicherheitshinweise zur Konfiguration einer SwyxWare – Enreach Help-Center für Swyx und Netphone Produkte Auch Port 5096 darf *nie* von extern erreichbar sein! Es handelt sich hier um den *internen* Call Control Port des Push Notification Dienstes (PNS). Auf diesem Port agiert der PNS als Proxy, der SIP Pakete direkt an den Serverdienst weitergibt. Eine Erreichbarkeit dieses Ports aus dem öffentlichen Internet hat also praktisch den gleichen Effekt, als wenn Port 5060 geöffnet wird. Link to comment Share on other sites More sharing options...
SBauhaus Posted June 30, 2022 Author #6 Share Posted June 30, 2022 Ok, da steht es tatsächlich ziemlich deutlich drin. Dann speichere ich mir den Link mal und gebe ihn auch an unseren Dienstleister weiter Danke! Link to comment Share on other sites More sharing options...
Most Valued User srom Posted July 1, 2022 Most Valued User #7 Share Posted July 1, 2022 Merke Swyx\Netphone braucht in der Regel nur 2 Ports im PortFordwarding TCP/9101 und TCP/16203 (änderbar) Niemals einen 5060 oder vergleichbar. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now