VoIP bietet viele Neuerungen gegenüber ISDN und analog. Durch die enge Verzahnung mit der IT-Infrastruktur birgt VoIP aber auch Risiken die in den traditionellen Telefonnetzwerken nicht existierten. Durch den Einsatz von Computernetzwerken als Basis für die IP-Telefonie kann bei unzureichender Prävention eine Gefährdung der gesamten IT- Infrastruktur, also auch der TK-Infrastruktur, die Folge sein. In dieser Webinaraufzeichnung wird erläutert warum eine Firewall dringend notwendig ist und, am Beispiel von pfSense, wie sie an AskoziaPBX angebunden werden kann.
6. •DDoS-Attacken unterbinden
•Anlage wird langsam, Registrierung nicht mehr möglich
•Brute-Force-Attacken
•Passwörter werden ausprobiert, bis der Account missbraucht wird
Warum eine Firewall?
8. Warum eine Firewall?
…
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13796" <sip:
13796@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13797" <sip:
13797@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13798" <sip:
13798@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13799" <sip:
13799@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13800" <sip:
13800@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13801" <sip:
13801@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
…
Sip-Brute-Force-Attacks
9. Warum eine Firewall?
…
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from
61.174.251.226:37142
dropbear[19713]: Child connection from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
…
SSH-Angriffe
10. Warum eine Firewall?
Was kann passieren?
•Hohe Telefonrechnungen
•Anlage wird “übernommen”
•Passwörter werden auf dem Schwarzmarkt verkauft (Provider, E-Mail-
Accounts)
•Anlage wird für kostenlose Telefonie genutzt
•Durchwahlen und Faxgeräte werden für Betrug genutzt
•System wird als SPAM-Verteiler genutzt
•Gespräche werden aufgezeichnet (Spionage)
•Trojaner/Viren werden installiert
•Weitere IT-Systeme werden infiziert (internes Netzwerk)
•Gesichtsverlust vor dem Kunden
11. Warum eine Firewall?
Lösung
•Ports über eine globale Firewall sperren
•Portweiterleitung sind nicht nötig und gefährlich!
•NAT-Firewall benutzen
•Askozia-Firewall aktivieren
•Ports für das Internet sperren
•Fail2Ban benutzen
•IP wird automatisch nach n-Versuchen gesperrt
•Angriffe werden effektiv unterbunden
•VPN nutzen
•Teilnehmer telefonieren verschlüsselt
•Keine Audio-Probleme
•Eine schlecht konfigurierte Firewall ist so gut wie keine Firewall
18. Firewall Konfiguration
pfSense
•System > Advanced > Firewall/NAT
•Firewall Optimization Options -> Conservative
UDP timeouts resultieren in Verbindungsabbrüchen oder fehlenden SIP-
Registrierungen
•Disable firewall scrub
Kann mit einigen Netzwerkkarten zu Paketverlust führen
•Firewall rules for WAN
Hinzufügen eines Alias für den Provider und für Askozia
Freigeben aller Verbindungen zwischen dem Alias des Provider und der
Askozia