VoIP bietet viele Neuerungen gegenüber ISDN und analog. Durch die enge Verzahnung mit der IT-Infrastruktur birgt VoIP aber auch Risiken die in traditionellen Telefonnetzen nicht existierten. Durch den Einsatz von Computernetzwerken als Basis für die IP-Telefonie kann bei unzureichender Prävention eine Gefährdung der gesamten IT- Infrastruktur, also auch der TK-Infrastruktur, die Folge sein. In diesem Artikel erklären wir, wie Sie Ihre IP-Telefonie absichern können.
4. •Unsichere Passwörter
•Keine Firewall
•Öffentliche IP-Adressen
•Portweiterleitung
•Unverschlüsselte Telefonie
•Unbegrenzte Anrufrechte
•Zugriffsrechte unzureichend
•Nicht-genutzte IP-Geräte und Dienste immer noch angebunden
•Keine regelmäßigen Backups
•Kein Plan B
Die 10 häufigsten Fehler
5. Häufige Angriffsformen
Denial of
ServiceAbhören von
Gesprächen
SPIT
Gebührenbetrug
Man-in-the-
Middle Attack
Flooding
Infrastructure
Hijacking
Nutzen fremder
Infrastruktur
Kosten durch
teure
Verbindungen
Identitätsdiebstahl
Brute Force
Attack
ARP Poisining
Bot-Netze
IP-Spoofing
6. •Mit VoIP sehr viel einfacher
•Keine separaten Telefonleitungen
•Anmeldedaten und interne Informationen
•Man-in-the-middle Angriff
•ARP-Poisoning über Address Resolution Protocol
•Hacken von Standard-Gateways und DHCP-Spoofing
•Hacken der Netzwerkinfrastruktur
Häufige Angriffsformen
Abhören
7. •Port-Scan gefolgt von einer Brute-Force Attacke
•Man-in-the-Middle Angriff und falsche Identität
•Angreifer täuschen Identität vor
•Interne Informationen und Gebührenbetrug
•Teure Übersee-Gespräche, Hotlines und Service-Nummern
Häufige Angriffsformen
Gebührenbetrug
8. •Spam-over-Internet-Telephony
•IP-Telefonanlage wird gehackt und als Bot missbraucht
•Gefälschte RTP-Pakete
•Sehr schwer zurückzuverfolgen und zu unterbinden
•Falsche Identität und Bot-Netzwerk
•Inhaltsfilter greifen zu spät
•Höchstens für Sprachnachrichten sinnvoll
Häufige Angriffsformen
SPIT
9. •(D)DoS-Angriffe
•Zielen auf einen Ausfall des Systems
•Falsche IP um den Angreifer zu verbergen oder
•das System mit Antwortpaketen zu überfluten
Häufige Angriffsformen
Denial-of-Service
12. •Schutz gegen DDoS und Brute-Force Attacken
•Netzwerkports für Internet, Intranet oder LAN sperren
•Paketfilter
•Network Address Translation (NAT)
•Portfreigabe vermeiden!
Sicherheitsmaßnahmen
Netzwerk-Firewall
13. •IPtables, anwendungsbasiert
•PBX-Ports für das Internet, Intranet oder lokale Netzwerk (LAN) sperren
•Zusätzlicher Schutz für die IP-Telefonanlage
•Fail2Ban
Sicherheitsmaßnahmen
Askozia-Firewall
14. Sicherheitsmaßnahmen
Fail2Ban
•Funktion der Askozia-Firewall
•Weiterer Schutz gegen Brute-Force Angriffe.
•Sperrung von IPs die wiederholte falsche Anmeldedaten senden
•Schutz davor, dass Angreifer Anmeldedaten erraten
•alwaysauthreject = yes.
•Antwortpakete sind immer gleich, bei richtigen und falschen Nutzerdaten
15. •Bestimmte Rufnummern sperren oder zulassen
•Zum Beispiel:
•Anrufe bestimmter Rufnummern über Provider sperren
•Ausnahme für bestimmte IP-Adressen für Fail2Ban
Sicherheitsmaßnahmen
Blacklist / Whitelist
16. •Anstelle von Portfreigaben!
•Zur Vermeidung von Bot, DDOS, Brute-Force, Man-in-the-Middle Angriffen
•Eine unzureichend konfigurierte Firewall ist so gut wie keine Firewall
•Bessere Audio-Übertragung in gleichem Subnetz
•Verschlüsselte Telefonie
Sicherheitsmaßnahmen
VPN-Tunnel
17. •NGN-Ports (New Generation Networks / All-IP)
•Virtuelle lokale Netze (VLAN)
•Aufteilung des physischen Netzwerkes in logische Subnetze
•Innerhalb eines Switches der Netzwerkes
•VLAN-fähige Switch halten Daten im Subnetz
Sicherheitsmaßnahmen
Telefonie und Daten trennen
18. •Man-in the-Middle
•Erhält Anfragen und baut Verbindungen auf
•Keine direkte Kommunikation zwischen 2 Parteien
•Aufwendig
Sicherheitsmaßnahmen
SIP-Proxy
19. •Sichere Webserver (HTTPS)
•Sicheres SIP (SIPS) and Sicheres RTP (SRTP)
•Schutz vor Abhören
•Zertifikate können in AskoziaPBX erzeugt oder hochgeladen werden
Sicherheitsmaßnahmen
Verschlüsselung
20. •Strenge Wählmuster
•Unterbinden internationaler Anrufen und teurer nationaler Nummern
•Anzahl internationaler Telefonate beschränken
•Anrufdauer beschränken
•Anrufe blocken bei überschrittenen Höchstwerten und wahrscheinlichem
Angriff
•VoIP Prepaid-Guthaben
Sicherheitsmaßnahmen
Anrufrechte
21. •Netzwerkzugriff nur für tatsächlich genutzt IP-Geräte und Dienste
•Zugriffsrechte begrenzen
•In Askozia: Statistik-Nutzer, Client User Interface, usw.
•Nicht jeder Nutzer benötigt Admin-Rechte!
Sicherheitsmaßnahmen
Zugriffsrechte
23. •Keine absolute Sicherheit
•Was also, wenn ein System ausfällt?
•Regelmäßige Backups
•Premium Replacement oder
•Hochverfügbarkeit
Sicherheitsmaßnahmen
Einen Plan B haben
24. Erfahren Sie mehr
Werfen Sie einen Blick auf unser White Paper und früheren Webinare!
askozia.com/de/fallstudien
youtube.com/askozia