Tja, als ze toegang tot je FRITZ!Box hebben dan houdt alles op…
Beveiliging moet altijd bestaan uit gecombineerde laagjes en niet bepaald worden door één maatregel of één systeem. Ik zou wensen dat Freedom een poortfilter biedt die toegang überhaupt als (menu)keuze kan afschermen.
Ik pleit zelf ook voor een zorgtaak vanuit een provider, niet alleen financieel maar ook technisch. Inzake kosten is dat wmb simpel door instellen van een normale kostenlimiet. Dit laatste regelen we nu door prepaid te bellen dat zonodig, as we speak simpel is op te laden. Als er (ik d8) minder €10 tegoed is, krijg ik een mailtje.
1 like
Ik ben met je eens dat een portfilter, zeker voor technisch minder onderlegden, een meerwaarde kan hebben. Je zal niet de eerste zijn waarbij de NAS via UPnP een portforward in de router instelt en vervolgens voor het hele internet bereikbaar is, een portfilter bij de ISP kan dan helpen om de schade te beperken.
Dat gezegd hebbende, voor mijzelf is de enige juiste instelling “geheel open zonder filtering”, de reden dat ik bij Freedom zit is juist dat er helemaal niets geblokkeerd is, dat regel ik zelf wel.
Verkijk je overigens niet op wat er voor nodig is om zoiets te realiseren. Voor 1 aansluiting is het simpel, voor 10 aansluitingen wordt moet je gaan zorgen dat het goed schaalt, voor 100 en meer wordt het een oplossing waar serieuze kosten bij komen kijken. En dan heb ik het alleen maar over de apparatuur die de filtering moet uitvoeren, niet over een mogelijkheid om het als self-service beschikbaar te maken.
Als je gebruik maakt van een VoIP provider om naar de rest van de telefoniewereld te verbinden zal je je SIP(S) poorten vanaf internet bereikbaar moeten maken. Uiteraard is het verstandig om dat te beperken tot de bekende adressen van de provider, maar ik kan me zomaar voorstellen dat dit niet altijd zo zorgvuldig gebeurd.
Overigens denk ik ook dat een portfilter bij een ISP niet zal helpen. Daar zal je de keuze moeten maken voor een instelling waar óf VoIP geblokkeerd is óf waar VoIP toegestaan is, en als je met een VoIP provider wil verbinden zal je die toe moeten staan en is er dus geen vangnet meer.
1 like
Eensch dat het netwerk geheel ongefilterd open moet kunnen zijn.
Dat technisch moeilijk is, ook op schaal, bestrijd ik en verwijs naar xs4all die dat prima deed/kon. Dat andere providers dat (naar ik weet, ook) niet bieden, is dat die providers niet geïnteresseerd zijn in techniek ten dienste voor/door gebruikers.
Niets voor niets overigens was dat xs4all ivm met het zelf eenvoudig kunnen instellen, de blokkade maar in 3 smaken aanbood: alles, beetje en niets filteren. Fijn was wanneer even nodig, het makkelijk was (om) te schakelen.
Lastig met/bij Freedom zou kunnen zijn dat ze - nog - geen eigen onderliggend gerouteerd netwerk hebben. Ik vermoed dat ze in centrales wel eigen (modern uitgevoerde) BRAS’sen hebben waar dat die ppoe-policer/(traffic)filter desnoods centraal vanuit bv Radius ‘dan’ eenvoudig is te regelen.
Dat uitrollen is dan vooral een kwestie van dat “willen”. Het “radio-menuutje” om dat door gebruikers zelf in te laten stellen, bouwt een stagiair in een dag of wat.
Dat het (altijd) iets “kost” - ben benieuwd hoe/veel & voor wie - mag op voorhand geen excuus zijn om voortaan niets te ondernemen.
Ik zeg niet dat het moeilijk of onmogelijk is, ik zeg dat er serieuze kosten aan zitten. Denk aan apparatuur die de filtering moet kunnen uitvoeren, die waarschijnlijk rendundant uitgevoerd moet worden, de self-service die gerealiseerd moet worden en dat het geheel onderhouden moet worden zodat het blijft werken.
Zoek voor de gein maar eens naar netwerkapparatuur die vele gigabits kan verstouwen (we hebben het immers over allemaal breedbandklanten) en dat met behoud van performance door een ACL met 1000’en regels kan halen zonder een merkbare latency te veroorzaken.
Jusititie is niet waar het probleem zit, daar is toezicht… meestal.
Jusititie infra zal ook door *IVD gebruikt worden zonder justitiele restricties.
VPN’s beschermen hier ook niet echt, want die moeten gewoon decrypted data ophoesten bij een vordering van OM.
En idd SIPS beschermt tegen gluren tot de telco…, maar ook voorbij de telco?.. kans is groot dat het verder gewoon SIP/RTP is.
(En RTP gaat dan ook via een switch bij je provider, juist in het kader van justitieel afluisteren, en het halveert het NAT probleem bij VOIP).
Ok, dat er “kosten” & “moeite” aan zitten… is bottom-line altijd zo of dat dan valideert om als beste-provider hier dus niets mee te - willen - doen… is dan een wedervraag.
Het wel of niet (poort)filteren is overigens een aloude discussie waar Freedom zelf niet aan deelneemt; en jij & ook ik dan hun “redenen” daarvoor gaan veronderstellen of die proberen te rechtvaardigen.
Het gaat mij ook niet of ik of jij het nodig heb maar dat providers op verzoek, prima een poortwachtersfunctie zouden kunnen bieden aan internetgebruikers.
//–//
Mijn gesprek/insteek dwaalt af van het topic of/en hoe zelf Voip creatief te gebruiken ipv de analoge-lijn wier mogelijkheden en veiligheid door de telco werd gemanaged.
Je hebt UITSLUITEND TSP’s nodig (telefonie providers) om van Internet naar POTS/ISDN/Mobiel VOICE te verbinden.
Je kan heel goed zonder TSP’s bellen met andere PBX installaties… dat kan met ieders eigen nummer systeem.
Je kan uitstekend bellen met sip:toestel1@pbx.domain.name… (is niet anders dan 0123456789@voip.provider
Als de target pbx toestel1 maar accepteerd als adres.
Er was ook al een soort spec (IP/ENUM, E164) voor een directory die DNS gebaseerd was. Waabij je op basis van een domein en evt. naam een connectie methode kon vinden (en reverse lookup van nummers indien gewenst).
Dit is ooit gestart, maar het domein voor NL is inmiddels vervallen/bitrot/ het werkt nin iedergeval niet meer…
ENUM – DNS based Call Routing | Nick vs Networking , RIPE ENUM Working Group: Progress Matrix , http://www.enum.nl/ , https://www.enuminnederland.nl/
m.b.t. VPN een vordering voor afluisteren is snel bij een VPN provider geplaatst. (Noodzakelijke eis voor communicatie dienstverlening in NL).
Prive VPN valt hier dan niet onder. (OpenVPN / Wireguard naar eigen router).
Ik zeg ook niet dat dat reden is om het niet te doen, wat ik vooral wil aangeven is dat het niet iets is wat je zomaar even doet op spullen die je toch al hebt. Afhankelijk van de benodigde bandbreedte (daar heb ik uiteraard ook geen zicht op) kan je rekenen op 40k-100k voor alleen de benodigde hardware, daar kan je ook een hoop andere dingen voor dien die misschien meer waarde leveren. DIe keuze is uiteraard aan freedom.
Goed punt 
.
Zijn er nog ervaringen met VoIP providers die SIPS/SRTP aanbieden?
Ik heb zelf inmiddels ook bij KPN gecheckt … als particulier lijk je daar niet meer alleen telefoon af te kunnen sluiten, alleen in combinatie met internet en TV. Op hun forum heb ik wel asterisk configuratie gevonden voor het verbinding met hun infra, maar als ik als particulier niets kan afnemen heb ik daar niet zo veel aan .
1 like
Ik zie dat Voys het heeft.
Heeft Freedom het ook?
Heb ook wel goedkope diensten gezien, die extra toeslag vragen hiervoor.
Het poortfilter in mijn.freedom staat ook op mijn wensenlijst.
Ik ben veel meer benieuwd, hoe het met de vernieuwde omgeving staat?
Hoi
Er is een ‘sip-tls.freedom.nl’. Ik heb dit echter nooit getest.
Vr.Gr,
Rob
1 like
Voys is helaas alleen voor zakelijke klanten. Om de verwarring groter te maken heeft Voys wel een dienst die Freedom heeft, maar voor zover ik kan zien heeft dat niets te maken met de Freedom Internet .
Freedom zou iets moeten hebben (is volgens mij ook al eerder benoemd in dit topic). Freedom heeft wat mij betreft niet de voorkeur, voornamelijk omdat ik niet zo van die dual/tripple play combinaties hou.
Welke zijn dat? Ik ben ze nog niet tegen gekomen.
Overigens begin ik wel te snappen waarom dit waarschijnlijk wat moeilijk ligt.
SIP heeft niet een heel strak client/server model. Als jij vanuit jouw toestel een gesprek opzet ben jij de client en is de provider de server. Voor een inkomend gesprek is de provider de client en ben je zelf de server. Dat betekend dus dat het apparaat bij jou thuis ook van een valide TLS key en bijbehorend certificaat voorzien moet zijn. Ik kan me zo voorstellen dat dat bij de gemiddelde particulier wat lastig is.
Ik zag dit o.a.hier.
Alle klanten die bij Freedom telefonie afnemen en met een recente Fritz!box bij ons aansluiten gebruiken standaard deze SIP-server (sip-tls.freedom.nl).
Je hebt dan ook een versleutelde audio-stream.
Oudere Fritz!boxen en/of FritzOS versies kunnen niet altijd TLS aan. Daarvoor is sip.freedom.nl en dan ik ook de audio-stream gewoon RTP over UDP.
1 like
Als klant begon ik op ADSL, maar heb nu glas.
Dus ONT aan de WAN-poort van Fritz 7590, die toen via 
Freedom internet is geleverd.
Die draait op de meest frisse FritzOS.
Kan ik nu ook over op SIP-TLS ?
En waar zet ik dat in de Fritz anders ?
Hoe test ik dan of het werkt (ja, bellen natuurlijk) ?
Ik heb een FRITZ!Box 4060 met firmwareversie 7.57. Lijkt me recent.
Als ik bij de telefooninstellingen ipv Freedom, Other Provider kies, zie ik daar de instellingen die bij het Freedom telefoon acount horen. Bij Account Information staat bij Registrar en Proxy server bij beiden sip.freedom.nl. Wijzig ik dit in sip-tls.freedom.nl, dan heb ik geen telefoonverbinding meer. Het groene bolletje wordt grijs.
Update:
Ik heb mijn Freedom telefoon account verwijderd en daarna opnieuw aangemaakt.
En voilà: er staat nu sip-tls.freedom.nl (Proxy server is leeg).
Ik had de instellingen overgezet van een 7583 naar een 7590 en uiteindelijk naar de 4060 FRITZ!Box via backup-restore. Waarschijnlijk dat er dan oude telefoon-instellingen waren meegekomen.
Wellicht een (open deur), ter discussie, waarom zou een klant van Freedom over & in het netwerk van Freedom, ter beveiliging zoals een MITM, TLS nodig ‘hebben’ m.b.t. Voip ?
In dit verlengde geldt wmb dit ook voor o.a. mail. Ik zou net als bij telefonie, als gebruiker, moeten willen/kunnen kiezen of mijn connectie met Freedom via TLS verloopt.
Of is de verbinding dan wel het vertrouwen over Freedom’s achterliggende netwerk t.a.v. mail danwel telefonie mogelijk onvoldoende ?
Of is het een kwestie van beter ook een slot op de binnendeuren van het eigen huis ?
Waarom niet? De VOIP verbinding gaat direct naar VoipGrid en zo buiten het netwerk van Freedom.
sip.freedom.nl → sipproxy.ams.voipgrid.nl
smtp.freedom.nl → lba-frd.soverin.net
etc.
Hier geen encryptie op telefonie en via WireShark kan ik de gecapture verkeer later weer als audio afspelen met daarbij de behorende metadata van een VOIP gesprek. Kun je tappen dan weet je alles. De “veiligheidsdiensten” tappen weer bij VoipGrid en binnen hun netwerk en naar de andere partij is het weer zonder encryptie.
Dan is inderdaad encrypte net zo sterk als de volgende schakel in de ketting.
Deed net een traceroute en ik zie dat ik nu overgezet ben van een Cambrium Bras naar een Bras van Freedom. Mooi!
1 like
Hoi
Ik zie dat sip-tls.freedom.nl geen IPv6 adres heeft. Zij hier zwaar
wegende redenen voor? En staat sip-tls.freedom.nl ook niet-Freedom IP adressen toe?
Hoe het met Fritz zit weet ik niet, maar voor als er een niet self signed cert nodig is, kan je daar voor Asterisk gewoon een lets encrypt certificaat voor gebruiken.
Vr.Gr,
Rob
sip.freedom.nl ook niet.
Ik denk dat Voys, dat de telefonie voor Freedom regelt, geen IPv6 doet.
1 like