Voice-over-IP-Sicherheit
In naher Zukunft werden viele Telefon-Provider in Deutschland keine ISDN-Anschlüsse mehr anbieten. Im Privatkundenbereich bei der Deutschen Telekom ist das jetzt schon der Fall 1). Die ganze Technik wird nach und nach auf VoIP-basierte Anschlüsse umgestellt. Für die Telefon-Provider bringt das sehr viele Vorteile, für die Nutzer jedoch auch Nachteile und Risiken, die man kennen sollte.
Im Gegensatz zu ISDN-basierten Telefonanlagen, muß bei VoIP-basierten Telefonanlagen dauerhaft eine Verbindung zum Internet bestehen. Das heißt es müssen bestimmte Ports an der Firewall geöffnet sein 2). Zusätzlich ist die Telefonanlage mit Ihrem internen Netzwerk (LAN) verbunden.
Sicherheits-Probleme
Dieses eröffnet natürlich Möglichkeiten für Missbrauch durch Hacker, Betrüger, Geheimdienste, etc.
Der „NSA-Skandal“ und vor allem das „Sicherheits-Debakel“ mit den Fritzbox Routern von AVM Anfang 2014 zeigen klar, daß das Thema Sicherheit in der Vergangenheit nicht genug beachtet worden ist und jeden betreffen kann.
Daher ist es bei VoIP-Anbindung zum Amt umso wichtiger, zur Vermeidung von ungewollt hohen Telefonrechnungen durch Hacker-Angriffe, entsprechende Vorsichtsmaßnahmen zu treffen. 3)
Das Thema Sicherheit hat bei mk solutions Priorität.
Sicherheits-Maßnahmen
Im Englischen wird wesentlich genauer zwischen „Safety“ + „Security“ unterschieden.
Die folgenden Beispiele zeigen einige teils sehr einfache, aber sehr wirkungsvolle und einige etwas komplexere Möglichkeiten, die Sicherheit entscheidend zu verbessern:
- Alle Default-Passwörter ändern.
- SIP-Benutzernamen niemals identisch zur Rufnummer vergeben.
- Automatisch zufällig erzeugte sichere + ausreichend lange Passwörter verwenden.
- Kein externes Provisioning über das Internet verwenden, generell sollten interne IP-Telefone im Normalfall nicht auf das Internet zugreifen müssen.
- Restriktive Firewall-Einstellungen, die ankommende VoIP-Verbindungen ausschließlich vom eigenen VoIP-Telefonie-Provider zulassen.
- Einbindung und automatische Aktualisierung von ständig gepflegten Firewall Blocklisten.
- Automatisches Logfile-Monitoring und Blockieren von Angreifer IP-Adressen in der Firewall (a la Fail2Ban).
- Falls möglich bei Remote-Anbindungen immer VPN (OpenVPN oder WireGuard) oder TLS verwenden.
- Außerdem gibt es die Möglichkeit bei Remote-Anbindungen mit dynamischen IP-Adressen 4), in der Firewall nur Verbindungen von bestimmten DynDNS-Adressen zuzulassen.
- Zusätzlich kann eine Whitelist oder Blacklist für bestimmte „SIP User-Agents“ eingerichtet werden, um SIP-Scanner zuverlässig zu blockieren.
- Diverse Sicherheits-Einstellungen in Asterisk beachten (z.B. ACLs).
- Regelmäßig aktuelle Sicherheits-Updates von Asterisk und kritischen Systemkomponenten (SSL, VPN, etc.) und des Betriebssystems einspielen.
- Nicht benötigte Rufnummernkreise wie Auslandsvorwahlen und Premiumanbieter eingrenzen/blockieren (Blacklist/Whitelist).
- Anzahl abgehender Verbindungen begrenzen (ggf. für bestimmte Rufnummernbereiche).
- Falls möglich den Netzwerk-Bereich der internen IP-Telefone vom restlichen Netzwerk trennen (PoE-Switches/VLANs).
- Regelmäßige Kontrolle der Log-Files und CDR-Records (evt. online beim Provider)
- Prepaid-Provider benutzen (kann möglichen Schaden begrenzen).
- Backup-Internet-Verbindung zu zweitem Provider mit automatischem WAN-Failover/Failback
Leider werden solche Maßnahmen bei manchen VoIP-Installationen entweder nicht ernst genug genommen, sind technisch nicht umsetzbar oder die Risiken und Gegenmaßnahmen sind nicht bekannt. Speziell bei Installationen, wo bekannte WebGUI-basierte Asterisk-Distributionen verwendet werden, ist dies leider manchmal der Fall. („Einmal installiert, nie wieder angefaßt.“)
Des Weiteren ist es bei manchen „einfacheren“ VoIP-Anlagen gar nicht vorgesehen, solche oben beschriebenen Anpassungen vorzunehmen, da die Konfiguration weitestgehend automatisch erstellt wird, und sicherheitskritische Parameter zum Teil gar nicht einsehbar sind.
„Sicherheit ist kein Zustand, sondern ein andauernder Prozess.“
.