Alles über IP-Telefonanlagen und VoIP · Tipps für sichere IP-Telefonie mit AskoziaPBX

Tipps für sichere IP-Telefonie mit AskoziaPBX

Bezugnehmend auf einen Blogeintrag bezüglich der Sicherheit von Asterisk IP-Telefonanlagen, haben wir die Punkte des Blogeintrages aufgegriffen und diese auf dieser Seite die Punkte im Bezug auf AskoziaPBX untersucht.

Tipps zum Schutz für IP-Telefonanlagen

1. Dialplan-Wildcards verwenden

AskoziaPBX unterstützt das manuelle Einrichten vordefinierter Wählmuster. Diese können entsprechend beschränkt werden, indem einfach 00049 als Wählmuster genommen wird. So ist es nicht mehr möglich, eine ausländische Nummer zu wählen.
AskoziaPBX bietet ausserdem die Möglichkeit die Humbug Fraud Detection zu verwenden. Diese benachrichtigt den Benutzer, automatisch, bei verdächtigen Gesprächen, per E-Mail oder SMS. Dies ist Beispielsweise der Fall, wenn mehrere Gespräche innerhalb Deutschlands geführt worden sind und plötzlich viele Gespräche ins Ausland getätigt werden.

2. Gute Usernamen und sichere Passwörter

Askozia generiert automatisch für jedes neu angelegte Telefon sichere Passwörter, welche aus Buchstaben, Zahlen und Sonderzeichen bestehen. Somit ist ein Höchstmaß an Sicherheit gewährleistet.

3. Bruteforce-Angriffe verhindern durch Scripte wie fail2ban

Brutforce-Angriffe sind erst möglich, wenn der Server direkt erreichbar ist. Wir empfehlen AskoziaPBX immer hinter einer NAT-Firewall zu betreiben. Das bedeutet, dass nicht jeder die Askozia-Telefonanlage kontaktieren darf, sondern nur Server, mit denen sich Askozia bereits verbunden hat. So ist gewährleistet, dass ein Angreifer, welcher zufällig an der öffentlichen IP auf dem Port 5060 klopft, die Anlage nicht sehen kann. So kann AskoziaPBX nicht zum Angriffsziel werden.

4. Fehlermeldung bei Authentifizierungen gleichschalten

Askozia nutzt die Option alwaysauthreject=yes um Angreifern nicht die Möglichkeit zu geben eine interne Nummer durch “probieren” zu ermitteln. Askozia antwortet einer Anfrage immer gleich, egal ob der Benutzername korrekt oder inkorrekt ist. Somit ist gewährleistet, dass der Angreifer mögliche Benutzernamen ermitteln kann.

5. SIP-Domains statt IP-Adressen

In den meisten Fällen werden Provider immer mit der Domain eingetragen und die einkommenden SIP-Anrufe auch gegen diese Domain authentifiziert. Kommt der Anruf von einer anderen IP-Adresse als angegeben, wird der eingehende Anruf verworfen.

6. Für eingehende SIP-Gespräche einen SIP-In-Proxy verwenden

Dies ist ein externer Server, welcher natürlich auch mit Askozia verwendet werden kann.

7. SIP- und IAX-Ports ändern

Dies bietet nur minimal mehr Sicherheit. Wenn der Server auf einer öffentlichen IP läuft, werden diese Ports früher oder später gefunden. Hier hilft es AskoziaPBX hinter einer NAT-Firewall zu betreiben, wie in Punkt 3 beschrieben.

8. Feste IP-Adressen whitelisten und zur Autorisierung mit nutzen

Dies kann man bequem in AskoziaPBX realisieren. In den erweiterten Einstellungen von AskoziaPBX lassen sich permit und deny Einträge einfach bearbeiten.

9. Anzahl ausgehender Gespräche begrenzen

Dies lässt sich natürlich über manuelle Einstellungen in den erweiterten Einstellungen realisieren. Eine bessere Lösung stellt jedoch eine Betrugserkennung dar, wie in Punkt 1 beschrieben (Humbug Fraud Detection).

10. Regelmässige Checks

In AskoziaPBX lassen sich Accounts mit einem Klick deaktivieren. Sie werden komplett aus der Konfiguration entfernt. Hierbei wird der laufende Betrieb nicht beeinflusst.

11. Monitoring aufbauen und beobachten

AskoziaPBX nutzt offene Schnittstellen (AMI, SSH), welche mit entsprechenden Überwachungstools dazu genutzt werden können, Angriffe zu verhindern.

12. Software auf den aktuellen Stand bringen

Hierfür bietet AskoziaPBX das eingebaute Update-System, welches Sie immer auf dem neusten Stand hält ohne sich um die Konfiguration sorgen zu machen. So bleiben Sie immer auf dem neusten Stand. AskoziaPBX ist eine der wenigen Distributionen die Asterisk 10 nutzen, welches durch eine Vielzahl neuer Sicherheitsfeatures Ihr System noch sicherer macht.

13. Konsequent Prepaid verwenden

Viele Provider bieten dies an (Beispielsweise sipgate). Dies deckelt den Schaden natürlich auf einen festen Wert und stellt mitunter eine der einfachsten Abwehrmöglichkeiten dar.


Häufige Fragen zum Thema IP-Telefonanlagen und VoIP