Firewalls für VoIP-Telefonanlagen – Warum Sie Ihr Netzwerk absichern sollten

Der Begriff Firewall beschreibt ein Sicherheitssystem für Netzwerke. Es kontrolliert und filtert Traffic zwischen zwei oder mehr Netzwerken, um private Daten und Zugänge zu sichern. In der Telekommunikation ist es höchst ratsam zwei Firewalls zu nutzen: Eine um das Netzwerk abzusichern und die andere für die Telefonanlage selbst. Es mag für einige Nutzer ungewohnt sein, dass ein Telefonsystem eine Firewall braucht, wenn analoge und ISDN-Telefonie nie von Cyber-Attacken bedroht waren, einfach weil sie nicht mit dem Internet verbunden waren. IP-Systeme sind es jedoch und deshalb sollten eine Reihe von Maßnahmen implementiert werden, um sicherzugehen, dass Ihre Kommunikation geschützt ist.

Warum eine Firewall nutzen?

Für die meisten Menschen sind solch Begriffe wie „Cyber-Attacke“ oder „Hacking“ eher abstrakt. Sie können sich nicht wirklich vorstellen, wie so eine Attacke aussehen soll und unterschätzen oft die Konsequenzen. Angriffe auf Ihr Netzwerk werden jedoch weder von kriminellen Genies durchgeführt, die Zugang zu high-end Equipment haben noch sind sie selten.

Wenn jemand weiß wie, dann ist es technisch einfach die Schwachstellen in Netzwerken herauszufinden und sie auszunutzen – besonders, wenn sie nicht gut beschützt werden.

Eine der Methoden nennt sich Brute Force Attacks (Brutale Gewalt Attacke), bei der Angreifer (Bots) Passwörter per trial-and-error herausfinden, um Kontrolle über den Server zu erhalten. In DDoS attacken dagegen, fluten Bot-Netze ein System mit Anfragen und machen es so funktionsunfähig. Und auch das Kommunikationsprotokoll SIP, das für die Initiierung einer Sitzung genutzt wird, ist selbst nicht verschlüsselt. Das heißt, dass ohne weiteren Schutz die Gespräche von einem „Man-in-the-Middle“ abgefangen und abgehört werden können.

Konsequenzen von Cyber-Attacken gegen Telefonsysteme

  • Hohe Telefonrechnungen, weil Dritte Ihr System nutzen, um darüber zu telefonieren

  • Systeme werden einfach „übernommen“

  • Passwörter werden verkauft (zum Beispiel für Provider und E-Mail Accounts)

  • Durchwahl- und Faxgeräte werden zugespammt

  • Anrufe werden abgehört als Form der Spionage

  • Trojaner und Viren werden installiert

  • Mehr Systeme werden infiziert (zum Beispiel das interne Netzwerk)

  • All dies hat negative Folgen für das Vertrauen, das Ihnen Ihre Kunden entgegenbringen

Was Sie für Ihre Netzwerksicherheit tun können

Eine der wichtigsten Voraussetzungen um Ihr Netzwerk vor Attacken zu schützen, ist es sichere Passwörter zu wählen. Selbstverständlich ersetzen diese nicht eine Firewall, aber es ist einer der ersten Schritte, die sie machen sollten: Wählen Sie ein Passwort, das aus Buchstaben, Zahlen und Sonderzeichen besteht und keine Wörter enthält. Die AskoziaPBX generiert übrigens automatisch sichere Passwörter für jeden eingerichteten Account. Es ist zudem empfehlenswert, ein VPN (Virtual Private Network) zu nutzen, um externe Geräte mit dem Netzwerk zu verbinden.

Dies spart Ihnen die Nutzung von Port Forwarding und das Hosten auf Heimroutern – Beides sind große Sicherheitsrisiken. Firewalls schützen Ihr Netzwerk vor eingehenden Daten von außen (meist aus dem Internet). Es gibt jedoch auch eine Firewall mit Paketfiltern, die nicht nur die eingehenden Daten reguliert, sondern auch die ausgehenden. Dies kann wichtig sein, um Ihr Netzwerkgeräte davor zu bewahren, Teil eines Botnetzes zu werden. Natürlich gibt es unterschiedliche Varianten von Firewalls, je nachdem was die jeweilige Situation erfordert.

Interne iptable Firewalls

IP Telefonsysteme, die mit Asterisk laufen, haben normalerweise eine eingebaute iptables Firewall, da diese zu den meisten Linux-Distributionen dazugehört (und Asterisk läuft auf Linux). Die Entscheidung, was mit einem Paket geschieht, wird nach verschiedenen Kriterien getroffen. Zum Beispiel nach Source- oder Zieladresse, dem Protokoll-Typ oder wie sich dieses Paket in Relation zu den vorangegangenen Paketen verhält (State Tracking). Jedes Paket wird mit jeder definierten Regel verglichen, bis es ein Match gibt. Wenn kein Match gefunden wurde, wird eine Default-Aktion ausgeführt.

Dieses komplizierte Vorgehen wird für den Nutzer durch Askozias Web-Interface vereinfacht. Es erlaubt eine umfangreiche Übersicht von allen Funktionen und bietet ebenso ein breites Angebot an Templates, die sich in der Praxis bereits bewährt haben. Es erlaubt die Unterscheidung drei verschiedener Netzwerke. Erstens, das lokale Telefonanlagen-Subnetzwerk, zweitens das optional definierbare Intranet und drittens das Internet (also sozusagen „alles andere“). Traffic kann individuell geblockt werden für eine Reihe an Services, wie zum Beispiel SSH (erlaubt Remote Shell Zugriff auf die PBX), RTP (wird benutzt für die Übertragung von Stimme und Video), SIP (baut die Verbindungen zwischen VoIP-Telefonen auf) und viele weitere.

Sicherheitsmaßnahmen in der Askozia PBX

Wir bei Askozia nehmen die Sicherheit unserer Telefonsysteme sehr ernst. Unsere Telefonanlage hat eine interne Firewall, die aktiviert werden kann und so unsere Nutzer dabei unterstützt, ihre Kommunikation abzusichern. Diese Firewall ersetzt jedoch in keinster Weise eine Netzwerk-Firewall. Auch wenn das Ändern von Asterisks Default Port 5060 definitiv eine gute Idee ist, erhöht es nicht wirklich die Sicherheit des Netzwerks: SIP Ports werden immer irgendwann gefunden. Deshalb ist es deutlich effizienter, sicherzugehen, dass der Server und die Address Range des ISP mit der PBX nur durch das Internet kommunizieren kann.

Ein weiterer Aspekt der Firewall der AskoziaPBX ist die Fail2Ban-Funktion, die automatisch IP Adressen blockt, die sich zu häufig (erfolglos) versucht haben anzumelden. Dies hält Externe davon ab, interne Nummern, Passwörter und Zugänge zu raten. Unsere Telefonanlage erlaubt es ebenso, bestimmte Rufnummern-Muster einzuschränken. So können Anrufe in Länder beschränkt werden, in die vom Kunden normalerweise nicht telefoniert wird. Auch teure, kostenpflichtige Nummern werden so geblockt.

Häufig gestellte Fragen zum Thema IP-Telefonanlagen und VoIP