ich bin da gegenüber einem Kunden nicht wirklich Diskussionsfest. Der Kunde hat Bedenken bzgl. der zahlreichen Ports, die da freigeschaltet werden müssen und argumentiert, dass insbesondere die SIP-Ports eine häufige Angriffsquelle sind aber auch die Ports 80 / 443 missfallen ihm. Und wenn man die externe URL ohne weitere Angaben aufruft, landet man ja in der Tat direkt auf der Weboberfläche der Pascom und bekommt den Anmeldedialog, kann sich also munter austoben mit verschiedenenen Benutzern und Passwörtern.
Welche Maßnahmen hat Pascom getroffen, um das System möglichst gut zu schützen gegen Angriff von extern? Was kann ich dem Kunden dazu an die Hand geben zwecks Beruhigung?
port 80 und 443 sind nicht notwendig wenn man auf Let’s Encrypt verzichtet. Mehr Kosten, dafür weniger Ports
auch bei offenem 443 kann man die WebUI unzugänglich machen. Jedes Schnittstelle kennt hier mehrere Modi. Das bedeutet: wenn der Kunde wert darauf legt, solltest Du die Management-Schnittstelle nicht für den externen Zugriff benutzen. Mehr Aufwand, dafür sicherer
auch bei aktiviertem Webzugriff kann die root URL ( “/” ) konfiguriert werden. Es gibt in der Schnittstelle hier die sog. Redirect URL. Am besten legst Du diese auf die Homepage des Kundens um.
SIP TLS wird eher selten angegriffen, wenn der Kunde hier dem Kamailio nicht vertraut, kann er auf SIP im Mobilgerät verzichten. Nur sehr wenig Traffic wird überhaupt bis zu dem Asterisk in der PBX durch dringen, die Pakete werden ziemlich gut validiert.
Letzten Endes ist es eine Vertrauenssache, egal welche technischen Beschreibungen wir hier oder in der Doku angeben. Sollte der Kunde z.B. generische SIP Peers mit kurzen Passwörtern anlegen, so können wir da wenig tun.
dennoch frage ich mich warum die Anzahl von Logins nicht wie in jedem moderne System begrenzt ist. Es spielt doch keine Rolle wie gut eine Passwort ist, soweit ich es nur oft genug probieren kann. Ich frage mich schon länger warum auf anderen Siplösungen es möglich ist und dazu meist noch fail2ban mit installiert wird. Was spricht dagegen, einen einfachen, aber effektiven Sicherheitsmechanismus mit einzubauen? Auch DNS Begrenzungen fehlen nach meinen Wissen, diesen werden bei Mobilen Zugriff schwierig, nutz aber nicht jeder und auch diese Filtern schon viel aus.
Hallo zusammen,
fail2ban ist auf jeden Fall ein Ansatz den man mal am Summit in einer lockeren Runde ansprechen kann.
Ansonsten installieren wir die Anlagen überwiegend in der Cloud das zumindest das Firmennetz (DMZ hin oder her) nicht tangiert wird. Sicher, die Anlage selbst und etwaige Telefonate in teure Netze schützt man damit nicht, aber da finde ich surfen ohne Proxy oder einen unzureichend gesicherten Mailserver (Attachments, etc…) weitaus gefährlicher als eine VoIP-Anlage die bestenfalls in der Cloud läuft.
Und wie Thomas schon geschrieben hat, fehlende Passwort Policies etc. fallen da viel mehr ins Gewicht.
Ich habe mit Let’s encrypt auch nur privat sehr wenig Erfahrung, habe aber gelesen, dass es eine Möglichkeit gibt sich dort zu verifizieren, in dem man einen bestimmten DNS-Eintrag in der Zone macht.
Dann würde man sich die Port-Weiterleitungen sparen.
