Firewall ↔ Telephonanlage

Sicherheitsprobleme mit einer Telephonanlage im LAN

Präsentation unter: http://www.coufal.info/presentations/fw-telco.html

Klaus Coufal

29.5.2012

Übersicht

• Ziel
• Einführung
• Szenario
• Sicherheitsrisiko LAN → Internet
• Sicherheitsrisiko LAN ← Internet
• Lösungsmöglichkeiten
• Mehraufwand und Folgen

Ziel

• Die Sicherheitsproblematik darzustellen
• Sensibilisieren der Planer und Verantwortlichen
• Überraschungen durch die Telephonintegration vermeiden
• Lösungsmöglichkeiten für eine sichere Integration
• Abschätzung des Mehraufwands
• Welche Vorteile sind zu erwarten
• Welche Nachteile sind zu erwarten

Einführung

• Warum diese Thematik?
• Warum in diesem Rahmen?
• Computernetze und Telephonnetze zuerst völlig unabhängig
• Das Zusammenwachsen beider Welten in den letzten Jahren immer rascher
• Dabei werden mögliche Probleme "übersehen"
• CTI ist aber zunehmend "Businesscritical"
• Ein sichere Integration ist unabdingbar und möglich

Szenario

Telephonanlage und VoIP-fähige Telephone im LAN angeschlossen.
Diese kommunizieren dort direkt mit den LAN-Clients (Computern).

Sicherheitsrisiko LAN → Internet 1

Vom LAN können Verbindungen nach außen existieren (ohne Firewall).
In kleineren Firmen i.a. kein Problem, da oft alles erlaubt ist.

Sicherheitsrisiko LAN → Internet 2

Auch wenn die Telephonanlage keine eigene Leitung nach außen hat,
bleibt das Problem bestehen, da der SIP-Traffic nicht kontrolliert wird.

Sicherheitsrisiko LAN ← Internet

Unerwünschte Verbindungen von außen nach innen sind wesentlich
problematischer (z.B.: offene Modemports, Wartungszugänge, FAX).

Lösungsmöglichkeiten 1

Der Einsatz einer mehrzonenfähigen Firewall erlaubt eine eigene
Zone für die Telephonie und trotzdem CTI-Anwendungen.

Lösungsmöglichkeiten 2

Wenn eine mehrzonenfähige Firewall nicht existiert, kann auch mittels
zweiter Firewall (oder Router, ...) eine eigene Zone erreicht werden.

Minimalster Mehraufwand

• Einfacher Router (Kosten unter € 100,--)
• Ev. Zusätzlicher Switch (Kosten unter € 50,--)
• Ein zusätzliches Patchkabel (Kosten ca. € 5,--)
• Konfiguration des Routers inkl. ACLs (Kosten ca. 1 Stunde)
• Ev. Umkonfiguration der bestehenden Firewall (max. 1 Stunde)
• Ev. Umkonfiguration der installierten Telephonanlage (Kosten ?)
• Ev. Umkonfiguration der installierten Telephone (Kosten ?)

Vorteile

• "Hintereingang" vermeidbar
• Keine Umgehung der Firewall vom LAN aus
• Keine Probleme mit Geräten von Drittherstellern (FAX, Drucker, ...)
• Genaue Definition, was zwischen Computern und Telephonen erlaubt ist
• Einfachere Fehlereingrenzung durch Zonenmodell
• Klare Verantwortungstrennung zwischen EDV und Telekommunikation
• Alle Vorteile der CTI "ohne" Sicherheitsrisiko

Nachteile

• Geringer Mehraufwand bei der Installation
• ev. zusätzliches Gerät im LAN mit allen damit verbundenen Nachteilen (Ausfall, Fehlkonfiguration, ...)

Quellen

• VoIP-Grundlagen: Funktionsweise, Technik, Praxisnutzen, Qualität
• ... Absicherung von VoIP-Installationen (Diplomarbeit Paul Lange)
• S5: A Simple Standards-Based Slide Show System
• Mein Informationsportal (www.coufal.info)

Fragen

?

Danke für Ihre Aufmerksamkeit