Ihre Gastgeber
Markus Ehlers Benjamin-Nicola Lüken
Warum eine Firewall?
Agenda
•Begrüßung
•Warum eine Firewall
•Wie konfiguriere ich pfSense
•Fragen
Sichere Passwörter
•Zahlen, Buchstaben und Sonderzeichen
•Minimum 8 Zeichen
•Keine Wörter
admin
password
0000
1234
4321
as...
•DDoS-Attacken unterbinden
•Anlage wird langsam, Registrierung nicht mehr möglich
•Brute-Force-Attacken
•Passwörter werden...
Warum eine Firewall?
Testen von eingehenden Rufnummern
Warum eine Firewall?

…
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13796" <sip:
13796@...
Warum eine Firewall?

…
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Bad pa...
Warum eine Firewall?

Was kann passieren?
•Hohe Telefonrechnungen
•Anlage wird “übernommen”
•Passwörter werden auf dem Sch...
Warum eine Firewall?

Lösung
•Ports über eine globale Firewall sperren
•Portweiterleitung sind nicht nötig und gefährlich!...
Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
MAC
Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Layer2(Switch)
Layer3(Routing)
SIP-ALG,SIP-Pr...
Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Layer2(Switch)
Layer3(Routing)
SIP-ALG,SIP-Pr...
Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Network IP
e.g. 216.123.123.123
SIP IP
e.g. 1...
Router
DHCP
Firewall
DHCP
NAT IPv4
172.0.0.x
Internet
Public IP
216.123.123.123
LAN
NAT IPv4
192.168.1.x
SIP-Server
SIP-Ga...
Router
DSL-Mode
Firewall
DHCP-Server
PPPoE
216.123.123.123
Internet
Public IP
216.123.123.123
LAN
NAT IPv4
192.168.1.x
SIP...
Firewall Konfiguration
pfSense
•System > Advanced > Firewall/NAT

•Firewall Optimization Options -> Conservative

UDP timeo...
Noch Fragen?
Sie haben es gleich geschafft!
markus.ehlers@askozia.com
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Nächste SlideShare
Wird geladen in …5
×

Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch

104 Aufrufe

Veröffentlicht am

VoIP bietet viele Neuerungen gegenüber ISDN und analog. Durch die enge Verzahnung mit der IT-Infrastruktur birgt VoIP aber auch Risiken die in den traditionellen Telefonnetzwerken nicht existierten. Durch den Einsatz von Computernetzwerken als Basis für die IP-Telefonie kann bei unzureichender Prävention eine Gefährdung der gesamten IT- Infrastruktur, also auch der TK-Infrastruktur, die Folge sein. In dieser Webinaraufzeichnung wird erläutert warum eine Firewall dringend notwendig ist und, am Beispiel von pfSense, wie sie an AskoziaPBX angebunden werden kann.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
104
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
0
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch

  1. 1. Ihre Gastgeber Markus Ehlers Benjamin-Nicola Lüken
  2. 2. Warum eine Firewall?
  3. 3. Agenda •Begrüßung •Warum eine Firewall •Wie konfiguriere ich pfSense •Fragen
  4. 4. Sichere Passwörter •Zahlen, Buchstaben und Sonderzeichen •Minimum 8 Zeichen •Keine Wörter admin password 0000 1234 4321 askozia aizoksa 8C+inL6B}4_k Qu3F6b?!1Q_c t!88_u7V.dLN 1@i+yY{L97Km
  5. 5. •DDoS-Attacken unterbinden •Anlage wird langsam, Registrierung nicht mehr möglich •Brute-Force-Attacken •Passwörter werden ausprobiert, bis der Account missbraucht wird Warum eine Firewall?
  6. 6. Warum eine Firewall? Testen von eingehenden Rufnummern
  7. 7. Warum eine Firewall?
 … NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13796" <sip: 13796@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13797" <sip: 13797@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13798" <sip: 13798@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13799" <sip: 13799@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13800" <sip: 13800@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13801" <sip: 13801@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found … Sip-Brute-Force-Attacks
  8. 8. Warum eine Firewall?
 … dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 61.174.251.226:37142 dropbear[19713]: Child connection from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 … SSH-Angriffe
  9. 9. Warum eine Firewall?
 Was kann passieren? •Hohe Telefonrechnungen •Anlage wird “übernommen” •Passwörter werden auf dem Schwarzmarkt verkauft (Provider, E-Mail- Accounts) •Anlage wird für kostenlose Telefonie genutzt •Durchwahlen und Faxgeräte werden für Betrug genutzt •System wird als SPAM-Verteiler genutzt •Gespräche werden aufgezeichnet (Spionage) •Trojaner/Viren werden installiert •Weitere IT-Systeme werden infiziert (internes Netzwerk) •Gesichtsverlust vor dem Kunden
  10. 10. Warum eine Firewall?
 Lösung •Ports über eine globale Firewall sperren •Portweiterleitung sind nicht nötig und gefährlich! •NAT-Firewall benutzen •Askozia-Firewall aktivieren •Ports für das Internet sperren •Fail2Ban benutzen •IP wird automatisch nach n-Versuchen gesperrt •Angriffe werden effektiv unterbunden •VPN nutzen •Teilnehmer telefonieren verschlüsselt •Keine Audio-Probleme •Eine schlecht konfigurierte Firewall ist so gut wie keine Firewall
  11. 11. Application Presentation Session Transport Network Data Link Physical SIP IP MAC
  12. 12. Application Presentation Session Transport Network Data Link Physical SIP IP Layer2(Switch) Layer3(Routing) SIP-ALG,SIP-Proxy MAC
  13. 13. Application Presentation Session Transport Network Data Link Physical SIP IP Layer2(Switch) Layer3(Routing) SIP-ALG,SIP-Proxy DeepPackageInspection MAC
  14. 14. Application Presentation Session Transport Network Data Link Physical SIP IP Network IP e.g. 216.123.123.123 SIP IP e.g. 192.168.1.5 Layer2(Switch) Layer3(Routing) SIP-ALG,SIP-Proxy DeepPackageInspection MAC
  15. 15. Router DHCP Firewall DHCP NAT IPv4 172.0.0.x Internet Public IP 216.123.123.123 LAN NAT IPv4 192.168.1.x SIP-Server SIP-Gateway (Provider) 192.168.1.5 216.123.123.123 Firewall Konfiguration doppeltes NAT
  16. 16. Router DSL-Mode Firewall DHCP-Server PPPoE 216.123.123.123 Internet Public IP 216.123.123.123 LAN NAT IPv4 192.168.1.x SIP-Server SIP-Gateway (Provider) 192.168.1.5 216.123.123.123 Firewall Konfiguration doppeltes NAT
  17. 17. Firewall Konfiguration pfSense •System > Advanced > Firewall/NAT
 •Firewall Optimization Options -> Conservative
 UDP timeouts resultieren in Verbindungsabbrüchen oder fehlenden SIP- Registrierungen •Disable firewall scrub
 Kann mit einigen Netzwerkkarten zu Paketverlust führen •Firewall rules for WAN
 Hinzufügen eines Alias für den Provider und für Askozia
 Freigeben aller Verbindungen zwischen dem Alias des Provider und der Askozia
  18. 18. Noch Fragen? Sie haben es gleich geschafft! markus.ehlers@askozia.com

×