Das Dokument erläutert die Bedeutung von Firewalls zur Sicherung von Systemen gegen Angriffe wie DDoS- und Brute-Force-Attacken sowie die Konfiguration von pfsense. Es gibt Tipps für sichere Passwörter und die Folgen unzureichender Sicherheitsmaßnahmen, wie hohe Telefonrechnungen und Missbrauch von Konten. Zudem werden praktikable Lösungsansätze wie die Verwendung einer NAT-Firewall, VPN und Fail2Ban zur Verbesserung der Sicherheit vorgeschlagen.

2. Ihre Gastgeber
Markus Ehlers Benjamin-Nicola Lüken

3. Warum eine Firewall?

4. Agenda
•Begrüßung
•Warum eine Firewall
•Wie konfiguriere ich pfSense
•Fragen

5. Sichere Passwörter
•Zahlen, Buchstaben und Sonderzeichen
•Minimum 8 Zeichen
•Keine Wörter
admin
password
0000
1234
4321
askozia
aizoksa
8C+inL6B}4_k
Qu3F6b?!1Q_c
t!88_u7V.dLN
1@i+yY{L97Km

6. •DDoS-Attacken unterbinden
•Anlage wird langsam, Registrierung nicht mehr möglich
•Brute-Force-Attacken
•Passwörter werden ausprobiert, bis der Account missbraucht wird
Warum eine Firewall?

7. Warum eine Firewall?
Testen von eingehenden Rufnummern

8. Warum eine Firewall?
…
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13796" <sip:
13796@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13797" <sip:
13797@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13798" <sip:
13798@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13799" <sip:
13799@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13800" <sip:
13800@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13801" <sip:
13801@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found
…
Sip-Brute-Force-Attacks

9. Warum eine Firewall?
…
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142
dropbear[19696]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from
61.174.251.226:37142
dropbear[19713]: Child connection from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271
…
SSH-Angriffe

10. Warum eine Firewall?
Was kann passieren?
•Hohe Telefonrechnungen
•Anlage wird “übernommen”
•Passwörter werden auf dem Schwarzmarkt verkauft (Provider, E-Mail-
Accounts)
•Anlage wird für kostenlose Telefonie genutzt
•Durchwahlen und Faxgeräte werden für Betrug genutzt
•System wird als SPAM-Verteiler genutzt
•Gespräche werden aufgezeichnet (Spionage)
•Trojaner/Viren werden installiert
•Weitere IT-Systeme werden infiziert (internes Netzwerk)
•Gesichtsverlust vor dem Kunden

11. Warum eine Firewall?
Lösung
•Ports über eine globale Firewall sperren
•Portweiterleitung sind nicht nötig und gefährlich!
•NAT-Firewall benutzen
•Askozia-Firewall aktivieren
•Ports für das Internet sperren
•Fail2Ban benutzen
•IP wird automatisch nach n-Versuchen gesperrt
•Angriffe werden effektiv unterbunden
•VPN nutzen
•Teilnehmer telefonieren verschlüsselt
•Keine Audio-Probleme
•Eine schlecht konfigurierte Firewall ist so gut wie keine Firewall

12. Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
MAC

13. Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Layer2(Switch)
Layer3(Routing)
SIP-ALG,SIP-Proxy
MAC

14. Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Layer2(Switch)
Layer3(Routing)
SIP-ALG,SIP-Proxy
DeepPackageInspection
MAC

15. Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Network IP
e.g. 216.123.123.123
SIP IP
e.g. 192.168.1.5
Layer2(Switch)
Layer3(Routing)
SIP-ALG,SIP-Proxy
DeepPackageInspection
MAC

16. Router
DHCP
Firewall
DHCP
NAT IPv4
172.0.0.x
Internet
Public IP
216.123.123.123
LAN
NAT IPv4
192.168.1.x
SIP-Server
SIP-Gateway
(Provider)
192.168.1.5
216.123.123.123
Firewall Konfiguration
doppeltes NAT

17. Router
DSL-Mode
Firewall
DHCP-Server
PPPoE
216.123.123.123
Internet
Public IP
216.123.123.123
LAN
NAT IPv4
192.168.1.x
SIP-Server
SIP-Gateway
(Provider)
192.168.1.5
216.123.123.123
Firewall Konfiguration
doppeltes NAT

18. Firewall Konfiguration
pfSense
•System > Advanced > Firewall/NAT
•Firewall Optimization Options -> Conservative
UDP timeouts resultieren in Verbindungsabbrüchen oder fehlenden SIP-
Registrierungen
•Disable firewall scrub
Kann mit einigen Netzwerkkarten zu Paketverlust führen
•Firewall rules for WAN
Hinzufügen eines Alias für den Provider und für Askozia
Freigeben aller Verbindungen zwischen dem Alias des Provider und der
Askozia

19. Noch Fragen?
Sie haben es gleich geschafft!
markus.ehlers@askozia.com