ich frage mich gerade ob es bei den URLs der XML-Men�s, wie beispielsweise
den Ruflisten, Telefonb�cher, Ruhe/DND und Einstellungen bei Polycom
Telefonen unbedingt notwendig ist die user extension �ber die URL zu �bergeben?
Man k�nnte ja auch problemlos die extension beispielsweise anhand der
IP-Addresse aus der Datenbank lesen. Oder spricht was dagegen, was ich
�bersehen habe?
Genau so k�nnte man eventuell die �bertragung der MAC-Addresse weglassen?
Oder soll das so ein Sicherheitsfeature sein? Nur wer von der Richtigen IP
kommt und die MAC und die Extention dazu kennt darf rein?
Bitte um Aufkl�rung.
Danke!
Grüße
Frank
Am 04.01.2011 17:08, schrieb Daniel Sturm:
> Hallo,
>
> ich frage mich gerade ob es bei den URLs der XML-Menüs, wie beispielsweise
> den Ruflisten, Telefonbücher, Ruhe/DND und Einstellungen bei Polycom
> Telefonen unbedingt notwendig ist die user extension über die URL zu übergeben?
>
> Man könnte ja auch problemlos die extension beispielsweise anhand der
> IP-Addresse aus der Datenbank lesen. Oder spricht was dagegen, was ich
> übersehen habe?
>
> Genau so könnte man eventuell die Übertragung der MAC-Addresse weglassen?
> Oder soll das so ein Sicherheitsfeature sein? Nur wer von der Richtigen IP
> kommt und die MAC und die Extention dazu kennt darf rein?
>
> Bitte um Aufklärung.
>
> Danke!
>
--
LocaNet oHG - http://www.loca.net
Lindemannstrasse 81, D-44137 Dortmund
tel +49 231 91596-23, mobil +49 172 2120354
sip:2...@voip.loca.net
Registergericht Amtsgericht Dortmund HRA 14208
Geschäftsführer Sven Haufe, Henning Holtschneider
gute Frage ;-)
Ich bin gerade dabei die neue Firmware 3.3.0 in Gemeinschaft einzupflegen.
Ein Vorteil davon ist, dass die Telefone nicht neu starten müssen nachdem
man sich am Telefon angemeldet hat. Das funktioniert soweit auch ganz gut,
aber leider scheint die URL für das efk-menu, also die Funktionstasten nicht
richtig aktuallisiert zu werden, dh. die alte url mit der alten Extension
steht noch da. Ich sehe da drei Möglichkeiten.
1. Ich habe irgendwas in der Konfigurationsdatei Falsch gemacht, aber beim
Neustart funktioniert es.
2. Die Firmware hat noch einen Bug.
3. Den (eventuell) überflüssigen URL-Parameter einfach entfernen.
Den Bug in der Firmware beheben zu lassen dauert sicher eine Weile, und wenn
nichts gegen das mit dem Weglassen des URL-Parameters spricht würde ich das
einfach machen und unabhängig davon einen Bugreport an Polycom schicken.
> ich frage mich gerade ob es bei den URLs der XML-Menüs, wie beispielsweise
> den Ruflisten, Telefonbücher, Ruhe/DND und Einstellungen bei Polycom
> Telefonen unbedingt notwendig ist die user extension über die URL zu übergeben?
>
> Man könnte ja auch problemlos die extension beispielsweise anhand der
> IP-Addresse aus der Datenbank lesen. Oder spricht was dagegen, was ich
> übersehen habe?
Ich hatte letztens ein Netzwerk bei einem Kunden, in dem sich zwischen Telefon und Gemeinschaft-Server ein nicht abschaltbarer HTTP-Proxy befand. Wenn man sich an dieser Stelle auf die Client IP-Adresse verlassen würde, dann würde das zu Problemen führen.
> Genau so könnte man eventuell die Übertragung der MAC-Addresse weglassen?
> Oder soll das so ein Sicherheitsfeature sein? Nur wer von der Richtigen IP
> kommt und die MAC und die Extention dazu kennt darf rein?
Das Sicherheitsniveau der Autoprovisionierung für die verschiedenen Endgerätehersteller ist unterschiedlich. Wenn ich das richtig im Kopf habe, dann verlassen sich die Autoprovisionierung von snom und Polycom auf die Daten, die im Request-URI übergeben werden, während z.B. bei Aastra zur Überprüfung auch noch die MAC-Adresse verwendet wird, die das Endgerät in einem HTTP-Header mitsendet. Grundsätzlich muß die Überprüfung mindestens verhindern, daß ein SIP-Account auf zwei Telefonen angemeldet sein kann und der Abruf der Konfigurationsdaten sollte nicht mit jedem Webbrowser simuliert werden können.
Mit freundlichen Grüßen
Henning Holtschneider
--
LocaNet oHG - http://www.loca.net
Lindemannstrasse 81, D-44137 Dortmund
tel +49 231 91596-25, fax +49 231 91596-55
>> Genau so könnte man eventuell die Übertragung der MAC-Addresse weglassen?
>> Oder soll das so ein Sicherheitsfeature sein? Nur wer von der Richtigen IP
>> kommt und die MAC und die Extention dazu kennt darf rein?
>
> Das Sicherheitsniveau der Autoprovisionierung für die verschiedenen Endgerätehersteller ist unterschiedlich.
Stimmt.
> Wenn ich das richtig im Kopf habe, dann verlassen sich die Autoprovisionierung von snom und Polycom auf die Daten, die im Request-URI übergeben werden, während z.B. bei Aastra zur Überprüfung auch noch die MAC-Adresse verwendet wird, die das Endgerät in einem HTTP-Header mitsendet.
Wird afaicr auch bei Snoms geprüft.
Der Abgleich bringt keine wahnsinnige Sicherheit, stellt aber eben
doch eine zusätzliche Hürde dar.
Mehr Sicherheit war 2007 auf den Snoms und anderen leider noch nicht
machbar.
Philipp
Wenn ich den Code richtig verstehe wird geprüft, ob der übergebene
URL-Parameter von der IP kommt, die in der Datenbank eingetragen ist. das
dürfte in diesem Fall ja auch schon so zu Problemen kommen.
$remote_addr = @$_SERVER["REMOTE_ADDR"];
$remote_addr_check = $db->executeGetOne(
"SELECT `current_ip` FROM `users` WHERE `id`=". $user_id);
if ($remote_addr != $remote_addr_check)
_err("Not authorized");
>
>> Genau so könnte man eventuell die Übertragung der MAC-Addresse
>> weglassen? Oder soll das so ein Sicherheitsfeature sein? Nur wer von
>> der Richtigen IP kommt und die MAC und die Extention dazu kennt darf
>> rein?
>
> Das Sicherheitsniveau der Autoprovisionierung für die verschiedenen
> Endgerätehersteller ist unterschiedlich. Wenn ich das richtig im Kopf
> habe, dann verlassen sich die Autoprovisionierung von snom und Polycom
> auf die Daten, die im Request-URI übergeben werden, während z.B. bei
> Aastra zur Überprüfung auch noch die MAC-Adresse verwendet wird, die das
> Endgerät in einem HTTP-Header mitsendet. Grundsätzlich muß die
> Überprüfung mindestens verhindern, daß ein SIP-Account auf zwei Telefonen
> angemeldet sein kann und der Abruf der Konfigurationsdaten sollte nicht
> mit jedem Webbrowser simuliert werden können.
In dem mir vorliegenden Quellcode wird sowohl MAC- als auch IP-Adresse
(s.o.) geprüft, was imho die ganzen URL Parameter überflüssig macht.
MFG
Daniel Sturm