Wie Voip Anlage sicher im Netz mit öffentlicher IP

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
devil77
Beiträge: 18
Registriert: 28 Sep 2015, 14:59

Wie Voip Anlage sicher im Netz mit öffentlicher IP

Beitrag von devil77 »

Hallo,
ich haben einen Lancom 1781EF+ Router im Einsatz. Alles ist soweit eingerichtet und läuft erstmal.
Nur macht man sich immer Gedanken was besser gehen könnte. Diese mal ist es die VOIP Anlage in Form eines Starface Servers.
Der Server selber wird von ca. 25 Usern und ca. 35 Endgeräten genutzt. Das VOIP Netz ist im Haus als vollkommen eigenes Netz aufgebaut.
Sprich alle LAN Dosen für die Telefone laufen bis in den Keller wo sie in einem HP Switch enden. Der Server hängt ebenfalls an diesem Switch.
Alles zusammen läuft dann auf einen ETH Anschluss am Lancom. Momentan mit eigenem Schnittstellentag um Kommunikation mit anderen im Haus vorhanden Netzten zu verbieten.
Der Server hat die IP 192.168.10.250 und die Endgeräte eine feste IP 192.168.10.xxx.
Momentan hat der Router nur eine öffentliche IP Adresse und die Starface Anlage wird per Port Forwarding angesprochen.
Jetzt wollten ich gerne die Anlage mit einer eigenen öffentlichen IP ins Netz stellen und weiß aber nicht so richtig wie ich da am besten und am sichersten vorgehe.
Gefunden haben ich diesen Artikel https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument.
Auch habe ich gelesen das man den Server in eine DMZ pack kann und ihm direkt die öffentliche IP vergibt. Dann wäre aber der Server ja nicht mehr durch die Firewall geschützt, oder?
Was wäre jetzt die bessere Methode und vor allem sicherste um den Server mit einer öffentlichen IP ins Netzt zu stellen.
Momentan bin ich durch das ganze lesen doch verwirrt wie und was jetzt zu tun ist.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Wie Voip Anlage sicher im Netz mit öffentlicher IP

Beitrag von Koppelfeld »

Moin!
devil77 hat geschrieben: ich haben einen Lancom 1781EF+ Router im Einsatz. Alles ist soweit eingerichtet und läuft erstmal.
Nur macht man sich immer Gedanken was besser gehen könnte. Diese mal ist es die VOIP Anlage in Form eines Starface Servers.
Der Server selber wird von ca. 25 Usern und ca. 35 Endgeräten genutzt. Das VOIP Netz ist im Haus als vollkommen eigenes Netz aufgebaut.
Das ist schon einmal ein guter Ansatz.
Momentan mit eigenem Schnittstellentag um Kommunikation mit anderen im Haus vorhanden Netzten zu verbieten.
Auch völlig in Ordnung. Denn: Firmwareupdates und Konfiguration muß die TK-Anlage machen.
Das halbseidene Konzept z.B. von SNOM, dies "aus der Cloud" zu machen, ist im Endeffekt sehr heimtückisch.
Der Server hat die IP 192.168.10.250 und die Endgeräte eine feste IP 192.168.10.xxx.
Momentan hat der Router nur eine öffentliche IP Adresse und die Starface Anlage wird per Port Forwarding angesprochen.
Das ist ein ziemlicher Notbehelf. SIP bzw. das "Paket" aus SIP und im wesentlichen RTP sind nicht "NAT-tauglich". Das Port-Forwarding ist eine üble Krücke.
Jetzt wollten ich gerne die Anlage mit einer eigenen öffentlichen IP ins Netz stellen und weiß aber nicht so richtig wie ich da am besten und am sichersten vorgehe.
Bei uns hat sich bisher gut bewährt:
- TK-Anlage in die DMZ
- Eine Besonderheit bei LANCOM ist es ja, daß man, obschon die öffentliche IP (scheinbar?) "gebridged" wird, dennoch Firewallregeln definieren kann. Zugriff nach außen würde ich nur zu den SIP-Providern zulassen.
Momentan bin ich durch das ganze lesen doch verwirrt wie und was jetzt zu tun ist.
Den oft ziterten Angriff "vom bösen Hacker aus Polen" kannst Du leicht verhindern, aber:
Egal ob 'port forwarding' oder 'öffentliche IP':
Es wird mit ungepatchten, veralteten Asterisk-Boxen viel Schindluder getrieben. Hier einmal ein ganz plumpes Beispiel, aber es funktioniert erschreckend oft: Per Script bekommst Du einen Anruf, aber anstatt der "Zentrale-Null" geht die Nummer weiter mit "0037 221212 1212....".
Wir arbeiten oft mit Telekommunikations-Brokern, und die erzählen regelmäßig üble Stories der "Sechzigtausend-Euro-Klasse", wo Schäden in der genannten Höhe durch einfache Nutzung der Telephoniefunktionen verursacht werden.

Der Einsatz einer Box, die nur aus einem Grund gebaut wurde, nämlich dort zu ernten, wo andere gesäht haben, ist problematisch:
1. Wer sowas installiert, hat meistens keine Ahnung. Das ist das Hauptproblem.
2. TK-Anlagen laufen lange. Da muß ein Security-Management her.
Wenn Du Asterisk einsetzen möchtest, dann laß Dir das von einem seriösen Partner zum Beispiel auf Basis "Debian" einrichten. Dann nämlich kannst Du, über viele Jahre hinaus, kostenfrei die Sicherheitsupdates des Debian-Projektes nutzen. Gleichzeitig bist Du "releasefähig".

Egal, ob sie nun "Askozia", "Starface" oder "Moby Dick" heißen: Ich würde mich nicht trauen, so etwas beim Kunden einzusetzen - allein schon aus Gründen der Sicherheit. Von den ersten beiden Herstellern halte ich überhaupt nichts, das "Moby Dick" - Produkt wird von einem seriösen, kompetenten Unternehmen betreut. Aber dennoch: Der Vorteil von Asterisk ist, daß sehr viele Leute drübergucken und entsprechend Fehler gefunden werden. Die (Möchtegern-) "Telephonanlagenhersteller" aber sind bemüht, freie Software so zu "verdongeln", daß der Kunde nur gegen "Schutzgeld" neue Nebenstellen oder Funktionen nutzen kann. Durch diese "Verpfuschung" der Software (m.E. rechtlich grenzwertig) ist man gar nicht in der Lage, 'mal eben ein Security-Release auszurollen.
Kommt hinzu: Ein seriöser Anbieter beschäftigt sich auch intensiv mit den Endgeräten. Auch damit kann man viel Unsinn machen. Deswegen ist es in erster Näherung gut, daß Du diese "weggesperrt" hast.
Mit dem "Webinterface" schließlich hat Du die "Lizenz zum in den Fuß schießen" gleich miterworben.


Zusammenfassend:
Mit einer restriktiven Firewallkonfiguration bekommst Du die gleiche Sicherheit hin wie beim "Pfusch-Betrieb" über NAT und PPortforwardings. Gleichzeitig verbesserst Du die Konnektivität, weil nun endlich die Adressen in den Sip-Headern mit der Adresse übereinstimmt, unter der die Asterisk auch sendet.
Der "Feind in Deinem Bett", oder nenne es eine "tickende Zeitbombe", ist aber die bunte "Telephon-Appliance".
devil77
Beiträge: 18
Registriert: 28 Sep 2015, 14:59

Re: Wie Voip Anlage sicher im Netz mit öffentlicher IP

Beitrag von devil77 »

Danke für deine Antwort aber die Einrichtung ist mir immer noch nicht richtig klar wie ich wo was eintragen muss.
- wir haben öffentl. IP's von xxx.xxx.xxx.138 bis xxx.xxx.xxx.142
- der VOIP Server soll die .142 bekommen und ist momentan als Schnittstelle mit ETH3 verbunden und hat als Netz 192.168.10.xxx/24
-> wie pack ich jetzt das Ganze in die DMZ?
Gefunden habe ich das hier https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument
und diesen Beitrag https://www2.lancom.de/kb.nsf/1276/11AE ... enDocument.
In diesen 2 Artikeln wird die öffentliche IP an 2 verschiedenen Stellen hinterlegt.
Einmal über N:N-Nat und das andere mal wird die DMZ direkt mit den öffentlichen IP's angelegt.
Was ist aber jetzt besser?
Antworten