Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SIP open op router

25-09-2020, 14:04 door Anoniem, 12 reacties
Is het bij huis-tuin-keuken routers gebruikelijk of eerder uitzonderlijk dat poort 5060 (SIP) open staat?
Reacties (12)
25-09-2020, 14:22 door Anoniem
"Hangt er vanaf" :)

SIP wordt (meestal) gebruik voor VOIP ("Internet Bellen"). Op mijn eigen router zie ik dat 5060
ook aan de binnenkant (LAN-side) openstaat, maar niet op de buitenkant (WAN-side). Als je
wat meer informatie hebt, graag!
26-09-2020, 12:43 door Anoniem
Ja sorry ik bedoel eigenlijk aan de buitenkant.
De vraag die ik eigenlijk hiermee wil beantwoorden is: als je een publiek IP ziet met alleen poort TCP 5060 open een indicatie (of vermoeden) dat het een huis-tuin-keuken router betreft?

Ja ik weet dat er andere manieren zijn om particuliere IP's van zakelijke te onderscheiden (RIPE, reverse DNS, volledige poortscan, etc.). Maar hoe gebruikelijk is het dat routers voor de particuliere markt poort 5060 open hebben staan. Regel of eerder uitzondering?
26-09-2020, 15:39 door Anoniem
Door Anoniem: Ja sorry ik bedoel eigenlijk aan de buitenkant.
De vraag die ik eigenlijk hiermee wil beantwoorden is: als je een publiek IP ziet met alleen poort TCP 5060 open een indicatie (of vermoeden) dat het een huis-tuin-keuken router betreft?

Ja ik weet dat er andere manieren zijn om particuliere IP's van zakelijke te onderscheiden (RIPE, reverse DNS, volledige poortscan, etc.). Maar hoe gebruikelijk is het dat routers voor de particuliere markt poort 5060 open hebben staan. Regel of eerder uitzondering?

Geen idee eigenlijk, hoe 'normaal' het is. Je hoop _redelijk_ zeldzaam - gezien het feit dat SIP bugs (of call fraude ) toch wel regelmatig langskomen.

Als je een SIP gebaseerde telefoondienst gebruikt verwacht je wel dat de SIP poort zichtbaar/bereikbaar is - voor die telefoondienst .

Als de ISP zelf een VoIP service levert , zouden ze er goed aan doen om te zorgen dat de SIP poort alleen vanaf hun VoIP platform bereikbaar is
.
Als de gebruiker zelf een VoIP service gebruikt en instelt op de router, zal toch de SIP poort bereikbaar moeten zijn - in elk geval vanaf de VoIP service die de gebruiker gekozen heeft .
Of typische ISP routers bij zo'n ingestelde service 'vanzelf' firewallen voor alles behalve de ingestelde voip service , wederom, geen idee .
26-09-2020, 17:16 door Briolet
Door Anoniem: Maar hoe gebruikelijk is het dat routers voor de particuliere markt poort 5060 open hebben staan. Regel of eerder uitzondering?

Ik zou zeggen uitzondering. Wat voor nut heeft het om die poort open te zetten als hij toch niet geforward is naar een VoIP toestel of centrale?
26-09-2020, 20:07 door Anoniem
Is het bij huis-tuin-keuken routers gebruikelijk of eerder uitzonderlijk dat poort 5060 (SIP) open staat?
In ieder geval is het in de meeste gevallen niet aan te bevelen.
Het is waarschijnlijk het gevolg van een setting in je router genaamd "SIP ALG" die (misschien default?) enabled is.
Het beste is deze optie uit te zetten.

Zie https://support.voiply.com/en-us/article/how-to-disable-sip-alg-on-popular-routers-1q890s/ voor meer informatie. Daarin staat ook van een aantal merken routers hoe je dit moet doen.
26-09-2020, 23:03 door Anoniem
Door Anoniem:
Is het bij huis-tuin-keuken routers gebruikelijk of eerder uitzonderlijk dat poort 5060 (SIP) open staat?
In ieder geval is het in de meeste gevallen niet aan te bevelen.
Het is waarschijnlijk het gevolg van een setting in je router genaamd "SIP ALG" die (misschien default?) enabled is.
Het beste is deze optie uit te zetten.

Zie https://support.voiply.com/en-us/article/how-to-disable-sip-alg-on-popular-routers-1q890s/ voor meer informatie. Daarin staat ook van een aantal merken routers hoe je dit moet doen.

Prima advies, maar dat was de vraag niet . (zie ook update 12:43)

De vraag was van iemand die portscanned en zich afvraagt of 'sip open' een indicatie is van 'consumentenrouter' en hoe gebruikelijk dat is.
27-09-2020, 15:32 door Anoniem
Door Anoniem:
Door Anoniem:
Is het bij huis-tuin-keuken routers gebruikelijk of eerder uitzonderlijk dat poort 5060 (SIP) open staat?
In ieder geval is het in de meeste gevallen niet aan te bevelen.
Het is waarschijnlijk het gevolg van een setting in je router genaamd "SIP ALG" die (misschien default?) enabled is.
Het beste is deze optie uit te zetten.

Zie https://support.voiply.com/en-us/article/how-to-disable-sip-alg-on-popular-routers-1q890s/ voor meer informatie. Daarin staat ook van een aantal merken routers hoe je dit moet doen.

Prima advies, maar dat was de vraag niet . (zie ook update 12:43)

De vraag was van iemand die portscanned en zich afvraagt of 'sip open' een indicatie is van 'consumentenrouter' en hoe gebruikelijk dat is.
Je weet het he: routerfabrikanten zetten al hun zooi liefst standaard maar aan,
want anders brengen er teveel consumenten de router terug met "dit of dat werkt hier niet goed mee"
of ze bellen met zijn allen de servicedesk plat.
En verkopers zijn meestal geen ICT-specialisten, dus die nemen de router wel weer in en geven de klant braaf het geld terug. Dat willen routerfabrikanten voorkomen, en daarom staan de meeste dingen default al aan zodat het tenminste werkt. De gemiddelde klant heeft namelijk veel meer oog voor "Hoera, het werkt!" dan voor "Is het wel maximaal veilig?"

"Many of today's commercial routers implement SIP ALG (Application-level gateway), coming with this feature enabled by default." (https://www.voip-info.org/wiki/view/routers+sip+alg)
Dus ik neem aan dat het vaak voorkomt dat poort 5060 standaard open zal staan,
maar ik ben er eerlijk gezegd te lui voor om het te gaan testen.
27-09-2020, 16:33 door Anoniem
Tiep "me.shodan.io" en je krijgt een mooi overzicht van wat er openstaat op je ip adres
27-09-2020, 22:45 door Briolet
Door Anoniem: Tiep "me.shodan.io" en je krijgt een mooi overzicht van wat er openstaat op je ip adres

Niet alleen jij weet het dan, maar direct ook de rest van de wereld.
27-09-2020, 22:54 door Anoniem
Door Briolet:
Door Anoniem: Tiep "me.shodan.io" en je krijgt een mooi overzicht van wat er openstaat op je ip adres

Niet alleen jij weet het dan, maar direct ook de rest van de wereld.

Ja dat is toch wat shodan doet? Als zij het weten door jou te scannen kunnen anderen dat ook (al hebben
gedaan). Je kunt overigens ook een IP-adres van iemand invullen.
28-09-2020, 11:02 door Anoniem
Thanks all. Ik kan verder me de antwoorden.
28-09-2020, 22:55 door Anoniem
Ik zal als ik rust aan mijn hoofd heb me weer eens op de security van SIP en andere protocollen gaan storten.

SIP bugs zijn een goede reden om te firewallen. Maar dan ben je mogelijk onbereikbaar voor inkomende gesprekken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.