Upload
askozia
View
23
Download
1
Embed Size (px)
Citation preview
•Unsichere Passwörter
•Keine Firewall
•Öffentliche IP-Adressen
•Portweiterleitung
•Unverschlüsselte Telefonie
•Unbegrenzte Anrufrechte
•Zugriffsrechte unzureichend
•Nicht-genutzte IP-Geräte und Dienste immer noch angebunden
•Keine regelmäßigen Backups
•Kein Plan B
Die 10 häufigsten Fehler
Häufige Angriffsformen Denial of ServiceAbhören von
Gesprächen
SPIT
Gebührenbetrug
Man-in-the- Middle Attack
Flooding
Infrastructure Hijacking
Nutzen fremder Infrastruktur
Kosten durch teure
VerbindungenIdentitätsdiebstahl
Brute Force Attack
ARP Poisining
Bot-Netze
IP-Spoofing
•Mit VoIP sehr viel einfacher
•Keine separaten Telefonleitungen
•Anmeldedaten und interne Informationen
•Man-in-the-middle Angriff
•ARP-Poisoning über Address Resolution Protocol
•Hacken von Standard-Gateways und DHCP-Spoofing
•Hacken der Netzwerkinfrastruktur
Häufige Angriffsformen Abhören
•Port-Scan gefolgt von einer Brute-Force Attacke
•Man-in-the-Middle Angriff und falsche Identität
•Angreifer täuschen Identität vor
• Interne Informationen und Gebührenbetrug
•Teure Übersee-Gespräche, Hotlines und Service-Nummern
Häufige Angriffsformen Gebührenbetrug
•Spam-over-Internet-Telephony
• IP-Telefonanlage wird gehackt und als Bot missbraucht
•Gefälschte RTP-Pakete
•Sehr schwer zurückzuverfolgen und zu unterbinden
•Falsche Identität und Bot-Netzwerk
• Inhaltsfilter greifen zu spät
•Höchstens für Sprachnachrichten sinnvoll
Häufige Angriffsformen SPIT
• (D)DoS-Angriffe
•Zielen auf einen Ausfall des Systems
•Falsche IP um den Angreifer zu verbergen oder
•das System mit Antwortpaketen zu überfluten
Häufige Angriffsformen Denial-of-Service
•Unternehmensrichtlinie zur Netzwerksicherheit
•Regelmäßige Prüfung und Aktualisierung
• für IP-Telefonanlage und Netzwerk
•Alle Netzwerkkomponenten sind zu schützen!
Sicherheitsmaßnahmen
•Buchstaben, Ziffern, Sonderzeichen
•Mindestens 8 Zeichen
•Keine Wörter oder Namen
Sicherheitsmaßnahmen Sichere Passwörter
AdminPasswort000012344321Askoziaaizoksa
8C+inL6B}4_kQu3F6b?!1Q_ct!88_u7V.dLN1@i+yY{L97Km
•Schutz gegen DDoS und Brute-Force Attacken
•Netzwerkports für Internet, Intranet oder LAN sperren
•Paketfilter
•Network Address Translation (NAT)
•Portfreigabe vermeiden!
Sicherheitsmaßnahmen Netzwerk-Firewall
• IPtables, anwendungsbasiert
•PBX-Ports für das Internet, Intranet oder lokale Netzwerk (LAN) sperren
•Zusätzlicher Schutz für die IP-Telefonanlage
•Fail2Ban
Sicherheitsmaßnahmen Askozia-Firewall
Sicherheitsmaßnahmen Fail2Ban
•Funktion der Askozia-Firewall
•Weiterer Schutz gegen Brute-Force Angriffe.
•Sperrung von IPs die wiederholte falsche Anmeldedaten senden
•Schutz davor, dass Angreifer Anmeldedaten erraten
•alwaysauthreject = yes.
•Antwortpakete sind immer gleich, bei richtigen und falschen Nutzerdaten
•Bestimmte Rufnummern sperren oder zulassen
•Zum Beispiel:
•Anrufe bestimmter Rufnummern über Provider sperren
•Ausnahme für bestimmte IP-Adressen für Fail2Ban
Sicherheitsmaßnahmen Blacklist / Whitelist
•Anstelle von Portfreigaben!
•Zur Vermeidung von Bot, DDOS, Brute-Force, Man-in-the-Middle Angriffen
•Eine unzureichend konfigurierte Firewall ist so gut wie keine Firewall
•Bessere Audio-Übertragung in gleichem Subnetz
•Verschlüsselte Telefonie
Sicherheitsmaßnahmen VPN-Tunnel
•NGN-Ports (New Generation Networks / All-IP)
•Virtuelle lokale Netze (VLAN)
•Aufteilung des physischen Netzwerkes in logische Subnetze
• Innerhalb eines Switches der Netzwerkes
•VLAN-fähige Switch halten Daten im Subnetz
Sicherheitsmaßnahmen Telefonie und Daten trennen
•Man-in the-Middle
•Erhält Anfragen und baut Verbindungen auf
•Keine direkte Kommunikation zwischen 2 Parteien
•Aufwendig
Sicherheitsmaßnahmen SIP-Proxy
•Sichere Webserver (HTTPS)
•Sicheres SIP (SIPS) and Sicheres RTP (SRTP)
•Schutz vor Abhören
•Zertifikate können in AskoziaPBX erzeugt oder hochgeladen werden
Sicherheitsmaßnahmen Verschlüsselung
•Strenge Wählmuster
•Unterbinden internationaler Anrufen und teurer nationaler Nummern
•Anzahl internationaler Telefonate beschränken
•Anrufdauer beschränken
•Anrufe blocken bei überschrittenen Höchstwerten und wahrscheinlichem
Angriff
•VoIP Prepaid-Guthaben
Sicherheitsmaßnahmen Anrufrechte
•Netzwerkzugriff nur für tatsächlich genutzt IP-Geräte und Dienste
•Zugriffsrechte begrenzen
• In Askozia: Statistik-Nutzer, Client User Interface, usw.
•Nicht jeder Nutzer benötigt Admin-Rechte!
Sicherheitsmaßnahmen Zugriffsrechte
•Sicherheitsrichtlinien durchsetzen
•Regelmäßige Prüfung und Aktualisierung
• IP-Geräte und Dienste auf dem aktuellsten Stand
•Firmware- und Sicherheitsupdates nicht verpassen
Sicherheitsmaßnahmen Systemhärtung
•Keine absolute Sicherheit
•Was also, wenn ein System ausfällt?
•Regelmäßige Backups
•Premium Replacement oder
•Hochverfügbarkeit
Sicherheitsmaßnahmen Einen Plan B haben
Erfahren Sie mehr
Werfen Sie einen Blick auf unser White Paper und früheren Webinare!
askozia.com/de/fallstudien youtube.com/askozia