(Solved) Signal Messenger - Firewall Rule

[ArminF]

Hallo Zusammen,

laut Signal Messenger sollte man folgendes bewerkstelligen:
Allow *.whispersystems.org, *.signal.org, TCP port 443, and UDP traffic.  Signal uses a non-standard TCP port to catch filtering issues at the signaling step and also utilizes a random UDP port. All UDP ports will need to be opened.

Also Destination *.whispersystems.org, *.signal.org auf Port TCP 443 und UDP "All"
Bei den Ports hab ich keine Denkschwierigkeiten aber bei den Domains.

Würde es hier reichen einen Alias in den Firewall Settings anzulegen welcher auf whispersstems.org und signal.org hört? DIe * Domains gehen leider nicht?

Danke
armin

[JeGr]

Alias ist durch die tolle Auflistung mit *.domain.tld leider nicht möglich, da müsste man dann schon genau wissen, wie die Domains konkret heißen. Mit nur der Domain ohne Zusatz wirst du vermutlich nicht weit kommen. Allein beim Öffnen werden schon Domains wie

* storage.signal.org
* textsecure-service.whispersystems.org

aufgerufen. Auf den ersten Blick waren das alle, aber ich mutmaße gerade bei Gruppen und Storage auf Serverseite könnten da noch ein paar mehr dazu kommen.

[ArminF]

JeGr,

herzlichen Dank für den Denkanstoss.

Ich hab nun mal folgende Subdomains gescannt mit https://www.nmmapper.com/sys/tools/subdomainfinder/
Und eine Alias List mit folgenden Server angelegt:

signal.org
cdn.signal.org
cdn-ca.signal.org
cdn2.signal.org
cdn2-staging.signal.org
contentproxy.signal.org
api.directory.signal.org
science.signal.org
status.signal.org
storage.signal.org
storage-staging.signal.org
support.signal.org
updates.signal.org
updates2.signal.org
uptime.signal.org
turn2.voip.signal.org
whispersystems.org
bithub.whispersystems.org
giphy-proxy-production.whispersystems.org
master.whispersystems.org
redphone-master.whispersystems.org
relay.whispersystems.org
support.whispersystems.org
textsecure-service.whispersystems.org
textsecure-service-ca.whispersystems.org
textsecure-service-staging.whispersystems.org
turn-eu-central-1.whispersystems.org
turn1.whispersystems.org

Nun die Regeln
- Source: LAN Net
- Protocol: TCP/UDP
- Destination: Alias (hosts) Signal Server
- Ports: Alias (Ports) 1024:65535

Mal sehen ob ich das einigermassen unter Kontrolle bekomme.

Danke!
gruss armin

[ArminF]

Also das hat gefunktioniert.
Konnte den Call mit einem Freund testen.

Dennoch muss man wohl leider damit leben das diese "random" UDP Ports ausgewählt werden.
Zu mindest kann man die Destination etwas sicherer gestalten.

Danke
armin

[chemlud]

Könntest du nicht TCP nur port 443 erlauben? Und UDP alle Ports? (Ich würde mal schauen, ob da wirklich ALLE Ports verwandt werden, oder nur die 10000+...)

[ArminF]

Danke,

ja 443 TCP hab ich für die Webports eh frei. Das würde Sinn machen die Regel auf UDP only zu reduzieren.
Und dann Stück für Stück und per Log die Range einzuschränken.

Recht hast Du! Ich mach den TCP raus.

Danke
armin

[chemlud]

Ich habe vor ein paar Monaten einen Artikel mit Moxie gelesen, da vertrat er allen Ernstes die Ansicht, nur mit ZENTRALER Infrastruktur sei ein Messenger sicher (zu halten). Dezentral böse-böse. Seither nehm ich den nicht mehr ernst...

[ArminF]

So jetzt hab ich mal den cousin gestresst mit Video Calls.

TCP 443
dazu UDP 3478 und 443.

Bisher laufen alles calls.
Das scheint es gewesen zu sein.

armin

[JeGr]

Ich habe vor ein paar Monaten einen Artikel mit Moxie gelesen, da vertrat er allen Ernstes die Ansicht, nur mit ZENTRALER Infrastruktur sei ein Messenger sicher (zu halten). Dezentral böse-böse. Seither nehm ich den nicht mehr ernst...

Geht mir seit den letzten Äußerungen von ihm ein wenig ähnlich. Nichts gegen einzuwenden, dass er Crypto-technisch absolut auf der Höhe ist. Aber manche Äußerung und Kommentar frage ich mich, ob er sich selbst zuhört/liest. Und jetzt nach der WhatsApp Flucht aktuell alleine, wie man sich in den Medien so schadenfroh gibt ... nunja, kann man machen, wirkt aber nicht wirklich professionell.

BTW wegen dezentraler Architektur: das war auch der Knackpunkt der Australier hinter Session (https://getsession.org/) die ich seit geraumer Zeit verfolge. Denen war der zentrale Ansatz von Moxie auch ein Dorn im Auge, darum haben sie den Server Part in TOR Manier mit einem Mesh an Servern gebaut bei dem man auch selbst einen Node hosten kann. MultiDevice war kurz drin musste dann aber wieder ausgebaut werden, weil wohl der Signal Code (das meiste ist ein Fork von Signal mit eigener Entwicklung on top) gerade für den zentralen Server ausgelegt ist und ständig Probleme machte.

Hoffe aber sehr, dass das ggf. eine Alternative zu Threema und Signal wird, die vor den beiden anderen Schnarchnasen MultiDevice, MultiClient und Telefonnummern-lose Kommunikation hinbekommt

[chemlud]

Ist das vielleicht eine Berufskrankheit bei den Kryptos? Wenn der Schneier anfängt über "Demokratisierung" von allem möglichen zu faseln oder das unsere Gesellschaft mehr "Trust" bräuchte (statt funktionierenden checks and balances) wird mir regelmäßig schlecht...

Sorry for mild OT... )

[ArminF]

Ok hier ein Update:

Single Calls - udp 3478
Group Calls - udp 10000 bis 10100

Hab nun ein Alias (Network Grous) geschnürt.
Darin sind die DNS addressen und die AWS Server Ranges

Source: your LAN
Destination:
signal.org
cdn.signal.org
cdn-ca.signal.org
cdn2.signal.org
cdn2-staging.signal.org
contentproxy.signal.org
api.directory.signal.org
science.signal.org
status.signal.org
storage.signal.org
storage-staging.signal.org
support.signal.org
updates.signal.org
updates2.signal.org
uptime.signal.org
turn2.voip.signal.org
whispersystems.org
bithub.whispersystems.org
giphy-proxy-production.whispersystems.org
master.whispersystems.org
redphone-master.whispersystems.org
relay.whispersystems.org
support.whispersystems.org
textsecure-service.whispersystems.org
textsecure-service-ca.whispersystems.org
textsecure-service-staging.whispersystems.org
turn-eu-central-1.whispersystems.org
turn1.whispersystems.org
35.158.127.192/27
52.210.255.224/27
35.177.218.0/27
18.230.46.192/27


Ports: 443 TCP
443 UDP
3478 UDP
10000 bis 10100 UDP

jetzt gehen auch Group Calls
Werde weiter beobachten.

Danke an Alle für die Hilfe!!