Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
•
0 gefällt mir•359 views
VoIP bietet viele Neuerungen gegenüber ISDN und analog. Durch die enge Verzahnung mit der IT-Infrastruktur birgt VoIP aber auch Risiken die in den traditionellen Telefonnetzwerken nicht existierten. Durch den Einsatz von Computernetzwerken als Basis für die IP-Telefonie kann bei unzureichender Prävention eine Gefährdung der gesamten IT- Infrastruktur, also auch der TK-Infrastruktur, die Folge sein. In dieser Webinaraufzeichnung wird erläutert warum eine Firewall dringend notwendig ist und, am Beispiel von pfSense, wie sie an AskoziaPBX angebunden werden kann.
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Andere mochten auch
Andere mochten auch (12)
Ähnlich wie Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Ähnlich wie Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch (13)
Mehr von Askozia
Mehr von Askozia (20)
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
- 2. Ihre Gastgeber Markus Ehlers Benjamin-Nicola Lüken
- 4. Agenda •Begrüßung •Warum eine Firewall •Wie konfiguriere ich pfSense •Fragen
- 5. Sichere Passwörter •Zahlen, Buchstaben und Sonderzeichen •Minimum 8 Zeichen •Keine Wörter admin password 0000 1234 4321 askozia aizoksa 8C+inL6B}4_k Qu3F6b?!1Q_c t!88_u7V.dLN 1@i+yY{L97Km
- 6. •DDoS-Attacken unterbinden •Anlage wird langsam, Registrierung nicht mehr möglich •Brute-Force-Attacken •Passwörter werden ausprobiert, bis der Account missbraucht wird Warum eine Firewall?
- 7. Warum eine Firewall? Testen von eingehenden Rufnummern
- 8. Warum eine Firewall? … NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13796" <sip: 13796@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13797" <sip: 13797@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13798" <sip: 13798@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13799" <sip: 13799@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13800" <sip: 13800@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13801" <sip: 13801@80.242.239.124:5060>' failed for '212.83.257.8:5097' - No matching peer found … Sip-Brute-Force-Attacks
- 9. Warum eine Firewall? … dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142 dropbear[19696]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 61.174.251.226:37142 dropbear[19713]: Child connection from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271 … SSH-Angriffe
- 10. Warum eine Firewall? Was kann passieren? •Hohe Telefonrechnungen •Anlage wird “übernommen” •Passwörter werden auf dem Schwarzmarkt verkauft (Provider, E-Mail- Accounts) •Anlage wird für kostenlose Telefonie genutzt •Durchwahlen und Faxgeräte werden für Betrug genutzt •System wird als SPAM-Verteiler genutzt •Gespräche werden aufgezeichnet (Spionage) •Trojaner/Viren werden installiert •Weitere IT-Systeme werden infiziert (internes Netzwerk) •Gesichtsverlust vor dem Kunden
- 11. Warum eine Firewall? Lösung •Ports über eine globale Firewall sperren •Portweiterleitung sind nicht nötig und gefährlich! •NAT-Firewall benutzen •Askozia-Firewall aktivieren •Ports für das Internet sperren •Fail2Ban benutzen •IP wird automatisch nach n-Versuchen gesperrt •Angriffe werden effektiv unterbunden •VPN nutzen •Teilnehmer telefonieren verschlüsselt •Keine Audio-Probleme •Eine schlecht konfigurierte Firewall ist so gut wie keine Firewall
- 15. Application Presentation Session Transport Network Data Link Physical SIP IP Network IP e.g. 216.123.123.123 SIP IP e.g. 192.168.1.5 Layer2(Switch) Layer3(Routing) SIP-ALG,SIP-Proxy DeepPackageInspection MAC
- 16. Router DHCP Firewall DHCP NAT IPv4 172.0.0.x Internet Public IP 216.123.123.123 LAN NAT IPv4 192.168.1.x SIP-Server SIP-Gateway (Provider) 192.168.1.5 216.123.123.123 Firewall Konfiguration doppeltes NAT
- 17. Router DSL-Mode Firewall DHCP-Server PPPoE 216.123.123.123 Internet Public IP 216.123.123.123 LAN NAT IPv4 192.168.1.x SIP-Server SIP-Gateway (Provider) 192.168.1.5 216.123.123.123 Firewall Konfiguration doppeltes NAT
- 18. Firewall Konfiguration pfSense •System > Advanced > Firewall/NAT •Firewall Optimization Options -> Conservative UDP timeouts resultieren in Verbindungsabbrüchen oder fehlenden SIP- Registrierungen •Disable firewall scrub Kann mit einigen Netzwerkkarten zu Paketverlust führen •Firewall rules for WAN Hinzufügen eines Alias für den Provider und für Askozia Freigeben aller Verbindungen zwischen dem Alias des Provider und der Askozia
- 19. Noch Fragen? Sie haben es gleich geschafft! markus.ehlers@askozia.com