Kurz vor Weihnachten beschenkt man uns aus dem tief verschneiten Auerswald mit dem firmware-release 4.0F für C3000/C5000/CB2 …
Ganz oben auf der Verbesserungliste: [SIZE=3][color=Green]Abwehr von DoS-Attacken! [/color][/SIZE]
[COLOR=Blue][SIZE=5]YES!!
[SIZE=1]
[/SIZE][/SIZE][SIZE=2][COLOR=Black]Endlich kann ich meine Kaskade von 27 hochsuffizienten und -verfügbaren firewalls wieder abbauen, die ich eigens dafür errichtet habe, um durch genial erdachte Filterketten die zahlosen DoS-Angriffe pickeliger Jung-Nerds auf meinen Anrufbeantworter abzuwehren!
Ach so: ein Jahr nach Einführung des FOIPOA (fax over IP over Auerswald) gibt es jetzt wohl einen Faxanhang im "Sendeprotokoll".
Weitere Deadline:
Dezember 2012: Das Faxdeckblatt wird erfunden (holzfreies papier, um den Auerswald zu schonen) Dezember 2013: Zugriff des Faxtreibers auf lokale und zentrale Adressbücher - leider ist noch kein Faxtreiber für Windows 8 in der pipeline und es gibt keine Adressbücher mehr.
In diesem Sinne eine besinnliche Weihnachtszeit und viel Geduld auch im neuen Jahr an die admin’s, mod’s und die Nutzer dieses hilfreichen Forums wünscht Thomas
edit: Soeben habe ich erfahren, dass pünktlich ab 25.12.2012 das Auerswald WOIPIHB-Modul [Weihnachtsgeschenk-over-IP-ins-Haus-beam-Modul] mit 1-Jahres-Lizenz verfügbar sein wird … in diesem Sinne!
[/COLOR][/SIZE][/COLOR]
Yep. Aber selbst meine (teure) Miele Wasch-Trockner-Kombination ist mit den dort hinterlegten tags nicht in der Lage, nach pdf oder jpeg zu konvertieren … Na Wurst, kauf ich halt was von Siemens oder Bosch
@zoo: Wer behauptet, das das für eine Firmennutzung gedacht ist??
Man muss das Fax als Tiff-Datei übergeben. Das es genügend konvertier-Treiber gibt (z. B. bei Sourceforge) sollte das für einen entsprechend begabten Programmierer kein Problem sein…
Denn einfach nur irgend ein PDF in die Anlage reinzuladen, das Alles mögliche enthalten kann ist nicht sinnvoll. Die Anlage benötigt ein bestimmtes Format!!!
Also, auf die DOS-Abwehr habe ich sehr lange gewartet! Ich hatte nämlich (noch zu Zeiten der Business) einmal permanente Gesprächsabbrüche und Anlagenresets, so dass ich schon einen Defekt der CPU-Baugruppe befürtchtet hatte. Bis mir auffiel, dass auf dem LAN-Port mehr Aktivität herrschte, als normal war.
Der Router zeigte mir dann eingehend 2MBit/s Traffic aus Hongkong auf meinen SIP-Port. Dort war wohl ein Rootserver gehackt worden und nette Leute haben ihn dann für SIP-Angriffe missbraucht.
Mit derart hohem Traffic und unzähligen Anmeldeversuchen pro Sekunde kam die Kleine nicht ganz klar, und das führte zu den Restarts. Nach blocken der IP im Router war dann auch alles wieder normal … und den SIP-Port habe ich “für extern” dann gleich auch mal auf was ganz Anderes umgelegt …
Dafür gibt es doch die erweiterte Schnittstellenbeschreibung auf den Service-Seiten von Auerswald
[/quote]
Oh, das ist cool, das der Auerswald hierfür eine Doku hat. Klar, dass die Anlage nur TIFF annimmt, aber der Treiber sollte halt imho etwas mehr können. Ich bin dahingehend von yajhfc (yet another java hylafax client) verföhnt Wird echt Zeit, dass es einen alternativen Faxtreiber für die Auerswaldanlagen gibt… Am besten gleich als OpenOffice-Makro für One-Klick-faxen aus jedem Dokument (vorher Zielrufnummer markieren).
geht das nur mir so? Irgendwie kam ich nie dazu diesen Thread zu kommentieren, da ich schon nach der Hälfte des einleitenden Posts mit dem Gedanken “wie oft hab ich den quasi identischen Text jetzt schon vom Doc gelesen” eingeschlafen bin.
gähn und Gruß
Dauerbesetzt
PS: Daß in Sachen DoS jetzt was getan wurde ist in meinen Augen schon fast überfällig. Die Fälle in denen die Kistchen direkt mit den VoIP-Providern sprechen werden immer häufiger. Da sie dabei ziemlich direkt am wilden weiten Internet hängen sollten sie schon halbwegs in der Lage sein überleben zu können.
[quote]Sorry, im professionellem Umfeld wird eine DoS-Attacke nicht auf dem Endgerät rausgefiltert[/quote]GENAU! Da gebe ich Dir zu 100% Recht - wenn nicht sogar noch mehr.
Leider ist’s den wenigsten der Anlagen vergönnt im “professionellem Umfeld” verbaut zu werden.
Selbst im semiprofessionellen Bereich müssen sich die Anlagen i.d.R. ihren Weg per UDP-Hole-Punching durch die NATtenden FritzBoxen dieser Welt bohren… Mit allen Konsequenzen!
Da bin ich schon nicht böse, daß sie jetzt zumindest sowas wie eine Überlebensstrategie besitzen, wenn der “professionelle” Einrichter glaubt DoS wäre das Windows vor dem bunten Windows gewesen.
Weihnachten vorbei - jetzt kann es wieder besinnlich werden … Irgendwie verstehe ich aber auch nach mehreren Entenschlegeln + Hektolitern Singlemalt noch nicht wirklich, wovor die Waldarbeiter mich behüten wollen. DDoS ist selbst bei Script-Kiddies so in wie Roland Kaiser in der Hausbesetzerszene. Und wenn ich der Meinung bin, vor so was das grosse Zittern bekommen zu müssen, rede ich kurz mit meiner firewall …
@Dauerbesetzt: sollte ich feststellen müssen, das Du meine threads über Faxtreiber regelmässig zur Behandlung von Schlafstörungen missbrauchst, sehe ich mich gezwungen, Dir entsprechend überhöhte Rechnungen (streng nach GOÄ, aber mit Kostenfaktor 10 ) per PN zu schicken
es kann gut sein, dass deine Netzwerkinfrastruktur so aufgestellt und konfiguriert ist, dass dieses Problem nicht auf dich zutrifft. Es gibt aber sicherlich viele Auerswald-Kunden, die in ihren Firewalls Port-Forwardings auf die TK-Anlage eingerichtet haben, um abgesetzte Nebenstellen ohne VPN anzubinden. Eventuell haben sie das Port-Forwarding auch nur aus Unkenntnis eingerichtet oder einen VoIP-Provider erwischt, der tatsächlich nur durch Einsatz solcher Mittel hinter einem Router vernünftig läuft.
All das gibt es nunmal. Ob man solche Installationen nun für gut befindet oder nicht… Und ich solchen Fällen kann die TK-Anlage dann tatsächlich Angriffen aus dem Internet ausgesetzt sein. In der Regel ist das Ziel eines solchen Angriffs auch nicht ein Denial of Service, sondern der Einbruch in die TK-Anlage, damit anschließend Kosten verursacht werden können. Der Denial of Service ergibt sich nur dadurch, dass die Server im Internet deutlich leistungsfähiger sind als eine kleine TK-Anlage auf Embedded-Hardware. Und genau gegen dieses Problem hat Auerswald etwas getan.
Es ist ja okay, dass du in regelmäßigen Abständen meckerst, weil Auerswald deine Wunschfeatures nicht implementiert hat. Bei diesem Feature hier ist dein Gemeckere aber Fehl am Platz und lässt mangelden technischen Sachverstand durchblicken.
Das Problem mit Angriffen auf SIP-Server im Internet nimmt stetig zu. Das liegt unter anderem wohl an der hohen Anzahl der Server, den standardisierten Protokollen, der Tatsache, dass entsprechende Scripte frei verfügbar sind und kein großer Sachverstand notwendig ist, sowie der einfachen Möglichkeit im Erfolgsfall Kasse zu machen. Wenn man etwas googled kommt man schnell auf entsprechende Seiten im Netz… Und man sieht auch, dass viele Hersteller von TK-Anlagen und vor allem auch Open-Source-PBXn entsprechende Gegenmaßnahmen implementiert haben.
Von daher bin ich wirklich froh, dass Auerswald die wichtigen Features zu erst implementiert. Schließlich will man beim Anblick der nächsten Telefonrechnung ja keinen Herzinfarkt erleiden.
eigentlich habe ich den thread ein klein wenig als joke aufgemacht, aber:
mein Mitleid und Verständnis für die armen, armen Menschlein, die einen VOIP-Server ganz ungeschützt oder ohne sichere firewall-Restriktionen betreiben, hält sich in ganz engen Grenzen, hier wird auch die neue “setz den Haken und die Welt ist ein sicherer Ort” - Funktion vermutlich nicht wirklich helfen, ich denke mal, an dieser Stelle wird sie eher falsche Sicherheiten suggerieren. Und was die Waldarbeiter da wirklich gemacht haben, wird wahrscheinlich nicht dokumentiert sein, ich gucke mir aber die neue fw in den nächsten Tagen mal an - und korrigiere mich zumindest diesbezüglich gerne.
Ein Index für eine valide wachsende Zahl von Dos vs. SIP ist mir momentan auch nicht wirklich gegenwärtig … eventuell verheimlicht mir Heise da auch was.
Und dann versuchst Du mich auch noch wirtschaftlich unter Druck zu setzen! Pfui! Wovon soll ich denn meine vielköpfige Kinderschar ernähren, wenn nicht hin und wieder beim Lesen einer Telefonrechnung …
