Zum Inhalt wechseln


Foto

Sicherheitskonzept für externe VOIP Telefonie (zur Hauptniederlassung mit VOIP TK Anlage)


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 Dirk-HH-83

Dirk-HH-83

    Newbie

  • 279 Beiträge

 

Geschrieben 13. April 2017 - 07:32

Hallo,

 

5-Ein-Mann-Aussenstellen (mit fester statischer IP)  sollen jeweils ein Büro VOIP Telefon bekommen.

In der Hauptniederlassung gibt es eine VOIP TK Anlage (SIP Accounts beim Provider, meines Wissens nach kein SIP TRUNK)

 

Frage:  wieso möchte die Telefonfirma die Telefone über VPN Tunnel mit der Hauptniederlassungen verbinden?

 

VOIP ist doch persé auch verschlüsselt.

 

Das die TK Anlage in der Hauptniederlassung eingehend nicht von x-beliebigen externen dynamischen IPs ansprechbar sein sollte ist klar.

 

Danke, gruß dirk



#2 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 13. April 2017 - 08:16

Seit wann ist VOIP  denn verschlüsselt? VOIP ist nur dann verschlüsselt, wenn SRTP verwendet wird. Nichtmal die Telekom hat das gemacht. Wobei es sein, kann, dass die Telekom langsam umstellt.

 

http://blog.auerswal...sseln-funktion/

 

Internes  VOIP gehört in einen VPN-Tunnel.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 DocData

DocData

    Board Veteran

  • 1.273 Beiträge

 

Geschrieben 13. April 2017 - 09:04

Jaa, mach mal die SIP Ports von außen auf. Mal sehen wie schnell die Anlage down ist...


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#4 Dirk-HH-83

Dirk-HH-83

    Newbie

  • 279 Beiträge

 

Geschrieben 13. April 2017 - 09:24

Ok, wenn man die SIP Ports

eingehend nur für fünf bestimmte externe feste IPs öffnet und z.B. die Mac-Adresse des Telefon spezifizieren kann 

und maximalen Anmeldeversuche einschränken kann.   (dann wäre es wohl nur ein Workaround)

Danke für die Infos.


Bearbeitet von Dirk-HH-83, 13. April 2017 - 09:24.


#5 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 13. April 2017 - 09:31

Habe noch was gefunden:

 

https://www.bsi.bund...publicationFile

 

Gibt es eigentliche Telefone mit eingebautem IPSEC-Client?


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#6 DocData

DocData

    Board Veteran

  • 1.273 Beiträge

 

Geschrieben 13. April 2017 - 09:32

Ok, wenn man die SIP Ports

eingehend nur für fünf bestimmte externe feste IPs öffnet und z.B. die Mac-Adresse des Telefon spezifizieren kann 

und maximalen Anmeldeversuche einschränken kann.   (dann wäre es wohl nur ein Workaround)

Danke für die Infos.

 

Und du glaubst das sind Hindernisse??


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#7 Dirk-HH-83

Dirk-HH-83

    Newbie

  • 279 Beiträge

 

Geschrieben 13. April 2017 - 10:45

WIeso sollten zufällige Port-Scans der Hacker/Bots aufmerksam werden, wenn die Telefonanlage für bestimmte IPs erreichbar ist?

 

 

Wenn gezielt eine Telefonanlage geknackt werden soll, dann ist mein o.g. Workaround natürlich b***d.


Bearbeitet von Dirk-HH-83, 13. April 2017 - 10:48.


#8 DocData

DocData

    Board Veteran

  • 1.273 Beiträge

 

Geschrieben 13. April 2017 - 11:04

Weil das Netz nach SIP abscannern der letzte heiße Scheiß ist.


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#9 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 13. April 2017 - 11:36

@Dirk,

 

Nimm einfach unsere Hinwiese z.K.  Wenn Du es anders machen willst, bitte. Nur werden wir dabei nicht  helfen, Auch wenn Du wiederholt das  Gleiche fragst...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#10 Dukel

Dukel

    Board Veteran

  • 9.252 Beiträge

 

Geschrieben 13. April 2017 - 11:40

Neben der Sicherheitsproblematik macht SIP mit NAT kein Spaß. Daher ist es einfacher, wenn alle Geräte im gleichen Netz sind -> VPN.


Stop making stupid people famous.


#11 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 13. April 2017 - 11:41

Stimmt, da war noch was mit den dynamischen UDP-Ports...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#12 XP-Fan

XP-Fan

    Moderator

  • 11.237 Beiträge

 

Geschrieben 13. April 2017 - 12:24

Hi,

 


Gibt es eigentliche Telefone mit eingebautem IPSEC-Client?

 

es gibt auf jeden Fall Telefone mit SSL VPN Client . :)


Gruß und viel Erfolg !

www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt ist online!