VoIP bietet viele Neuerungen gegenüber ISDN und analog. Durch die enge Verzahnung mit der IT-Infrastruktur birgt VoIP aber auch Risiken die in traditionellen Telefonnetzen nicht existierten. Durch den Einsatz von Computernetzwerken als Basis für die IP-Telefonie kann bei unzureichender Prävention eine Gefährdung der gesamten IT- Infrastruktur, also auch der TK-Infrastruktur, die Folge sein. In diesem Artikel erklären wir, wie Sie Ihre IP-Telefonie absichern können.

2. Ihre Gastgeber
Markus Ehlers Raiko Schulz

3. Agenda
•Die 10 häufigsten Fehler
•Häufige Angriffsformen
•Sicherheitsmaßnahmen

4. •Unsichere Passwörter
•Keine Firewall
•Öffentliche IP-Adressen
•Portweiterleitung
•Unverschlüsselte Telefonie
•Unbegrenzte Anrufrechte
•Zugriffsrechte unzureichend
•Nicht-genutzte IP-Geräte und Dienste immer noch angebunden
•Keine regelmäßigen Backups
•Kein Plan B
Die 10 häufigsten Fehler

5. Häufige Angriffsformen
Denial of
ServiceAbhören von
Gesprächen
SPIT
Gebührenbetrug
Man-in-the-
Middle Attack
Flooding
Infrastructure
Hijacking
Nutzen fremder
Infrastruktur
Kosten durch
teure
Verbindungen
Identitätsdiebstahl
Brute Force
Attack
ARP Poisining
Bot-Netze
IP-Spoofing

6. •Mit VoIP sehr viel einfacher
•Keine separaten Telefonleitungen
•Anmeldedaten und interne Informationen
•Man-in-the-middle Angriff
•ARP-Poisoning über Address Resolution Protocol
•Hacken von Standard-Gateways und DHCP-Spoofing
•Hacken der Netzwerkinfrastruktur
Häufige Angriffsformen
Abhören

7. •Port-Scan gefolgt von einer Brute-Force Attacke
•Man-in-the-Middle Angriff und falsche Identität
•Angreifer täuschen Identität vor
•Interne Informationen und Gebührenbetrug
•Teure Übersee-Gespräche, Hotlines und Service-Nummern
Häufige Angriffsformen
Gebührenbetrug

8. •Spam-over-Internet-Telephony
•IP-Telefonanlage wird gehackt und als Bot missbraucht
•Gefälschte RTP-Pakete
•Sehr schwer zurückzuverfolgen und zu unterbinden
•Falsche Identität und Bot-Netzwerk
•Inhaltsfilter greifen zu spät
•Höchstens für Sprachnachrichten sinnvoll
Häufige Angriffsformen
SPIT

9. •(D)DoS-Angriffe
•Zielen auf einen Ausfall des Systems
•Falsche IP um den Angreifer zu verbergen oder
•das System mit Antwortpaketen zu überfluten
Häufige Angriffsformen
Denial-of-Service

10. •Unternehmensrichtlinie zur Netzwerksicherheit
•Regelmäßige Prüfung und Aktualisierung
•für IP-Telefonanlage und Netzwerk
•Alle Netzwerkkomponenten sind zu schützen!
Sicherheitsmaßnahmen

11. •Buchstaben, Ziffern, Sonderzeichen
•Mindestens 8 Zeichen
•Keine Wörter oder Namen
Sicherheitsmaßnahmen
Sichere Passwörter
Admin
Passwort
0000
1234
4321
Askozia
aizoksa
8C+inL6B}4_k
Qu3F6b?!1Q_c
t!88_u7V.dLN
1@i+yY{L97Km

12. •Schutz gegen DDoS und Brute-Force Attacken
•Netzwerkports für Internet, Intranet oder LAN sperren
•Paketfilter
•Network Address Translation (NAT)
•Portfreigabe vermeiden!
Sicherheitsmaßnahmen
Netzwerk-Firewall

13. •IPtables, anwendungsbasiert
•PBX-Ports für das Internet, Intranet oder lokale Netzwerk (LAN) sperren
•Zusätzlicher Schutz für die IP-Telefonanlage
•Fail2Ban
Sicherheitsmaßnahmen
Askozia-Firewall

14. Sicherheitsmaßnahmen
Fail2Ban
•Funktion der Askozia-Firewall
•Weiterer Schutz gegen Brute-Force Angriffe.
•Sperrung von IPs die wiederholte falsche Anmeldedaten senden
•Schutz davor, dass Angreifer Anmeldedaten erraten
•alwaysauthreject = yes.
•Antwortpakete sind immer gleich, bei richtigen und falschen Nutzerdaten

15. •Bestimmte Rufnummern sperren oder zulassen
•Zum Beispiel:
•Anrufe bestimmter Rufnummern über Provider sperren
•Ausnahme für bestimmte IP-Adressen für Fail2Ban
Sicherheitsmaßnahmen
Blacklist / Whitelist

16. •Anstelle von Portfreigaben!
•Zur Vermeidung von Bot, DDOS, Brute-Force, Man-in-the-Middle Angriffen
•Eine unzureichend konfigurierte Firewall ist so gut wie keine Firewall
•Bessere Audio-Übertragung in gleichem Subnetz
•Verschlüsselte Telefonie
Sicherheitsmaßnahmen
VPN-Tunnel

17. •NGN-Ports (New Generation Networks / All-IP)
•Virtuelle lokale Netze (VLAN)
•Aufteilung des physischen Netzwerkes in logische Subnetze
•Innerhalb eines Switches der Netzwerkes
•VLAN-fähige Switch halten Daten im Subnetz
Sicherheitsmaßnahmen
Telefonie und Daten trennen

18. •Man-in the-Middle
•Erhält Anfragen und baut Verbindungen auf
•Keine direkte Kommunikation zwischen 2 Parteien
•Aufwendig
Sicherheitsmaßnahmen
SIP-Proxy

19. •Sichere Webserver (HTTPS)
•Sicheres SIP (SIPS) and Sicheres RTP (SRTP)
•Schutz vor Abhören
•Zertifikate können in AskoziaPBX erzeugt oder hochgeladen werden
Sicherheitsmaßnahmen
Verschlüsselung

20. •Strenge Wählmuster
•Unterbinden internationaler Anrufen und teurer nationaler Nummern
•Anzahl internationaler Telefonate beschränken
•Anrufdauer beschränken
•Anrufe blocken bei überschrittenen Höchstwerten und wahrscheinlichem
Angriff
•VoIP Prepaid-Guthaben
Sicherheitsmaßnahmen
Anrufrechte

21. •Netzwerkzugriff nur für tatsächlich genutzt IP-Geräte und Dienste
•Zugriffsrechte begrenzen
•In Askozia: Statistik-Nutzer, Client User Interface, usw.
•Nicht jeder Nutzer benötigt Admin-Rechte!
Sicherheitsmaßnahmen
Zugriffsrechte

22. •Sicherheitsrichtlinien durchsetzen
•Regelmäßige Prüfung und Aktualisierung
•IP-Geräte und Dienste auf dem aktuellsten Stand
•Firmware- und Sicherheitsupdates nicht verpassen
Sicherheitsmaßnahmen
Systemhärtung

23. •Keine absolute Sicherheit
•Was also, wenn ein System ausfällt?
•Regelmäßige Backups
•Premium Replacement oder
•Hochverfügbarkeit
Sicherheitsmaßnahmen
Einen Plan B haben

24. Erfahren Sie mehr
Werfen Sie einen Blick auf unser White Paper und früheren Webinare!
askozia.com/de/fallstudien
youtube.com/askozia

25. Noch Fragen?
Sie haben es gleich geschafft!
markus.ehlers@askozia.com