Howto-localized:Schutz vor Brute Force Attacken (D)

From innovaphone-wiki

Jump to: navigation, search

Contents

Applies To

This information applies to

  • innovaphone PBX mit direktem Zugang zum Internet


Mehr Information

Schutz vor Brute Force Attacken

Security: Ist Ihre PBX ausreichend geschützt? Es gibt so einige Gefahren, die im Internet lauern. Sie wissen das und sichern Ihre Systeme deshalb mit entsprechenden Schutzmechanismen. Eine Firewall schützt Ihr Netzwerk vor unberechtigten Zugriffen, ein Virenschutz bewahrt Sie vor Viren, Würmer, Trojaner, usw. und ermöglicht uns sorgenfreies Surfen und Emailen. Auch eine Telefonanlage muss mit Schutzmechanismen ausgestattet werden, damit Sie nicht beschädigt oder attackiert wird. Dies gilt insbesondere für Anlagen, die direkt an das Internet angeschlossen sind und nicht etwa einen geschützten Platz im Firmenintranet haben und daher verhältnismäßig leicht von außen zugänglich sind. In den letzten Monaten kommt es vermehrt zu Angriffen auf Telefonanlagen mittels der „Brute Force Attack“ Methode. Ein Hackerprogramm testet User-Passwort-Kombinationen oder Registrierungen aus und schafft dabei in einem Sekundenbruchteil mehrere parallele Abfragen. Gelingt der Zugriff auf die Anlage, ist die missbräuchliche Benutzung, auch Call Fraud genannt, ein Leichtes. Der Hacker kann beispielsweise kostenlos auf Rechnung des Telefonanlagenbesitzers telefonieren. Besonders gravierend sind die Fälle, in denen ein Hacker erst eine teure Hotline einrichtet, diese über die geknackte Telefonanlage anwählt und dann an den Gebühren auch noch verdient. Teilweise zielen Angriffe aber auch einfach nur darauf ab, eine Telefon-Infrastruktur lahm zu legen – also eine Schädigung ohne weiteren Missbrauch (Denial-of-Sevice Attacken, kurz DOS). Es gibt viele verschiedene Mechanismen, um die innovaphone PBX gut zu schützen. Aber schon die Beachtung der folgenden Maßnahmen erhöht die Sicherheit um ein Vielfaches:

Nur verwendete Objekte kreieren

Teilweise werden in der PBX Objekte angelegt, dann allerdings nicht aktiv genutzt (z.B. Mitarbeiter verlässt das Unternehmen) und eventuell nicht einmal durch ein Passwort geschützt. Jemand kann sich extern an der Anlage anmelden, probiert verschiedene Durchwahlen aus, findet dabei eine freie und kann Schaden anrichten. Hier ist es ratsam, auf jeden Fall alle Objekte, die man anlegt, mit einem Passwort zu schützen. Auch sollte man No. of Regs w/o Pwd' auf 0 setzen.


Ordentlicher User-Name und Passwortschutz

Standardmäßig wird gerne der beliebte „admin“ als User für eine Registrierung gewählt. Durch ein bisschen Kreativität kann man Hackern das Leben schwerer machen, indem man diesem User einen speziellen Namen gibt (z.B. „Fridolin“? Oder „FrauHolle“?). Generell gilt: ein Passwort ist nicht gleichzusetzen mit Schutz. Die Passwörter „abc“ oder „pbx“ sind keine große Hürde für Hacker. Es würde gerade einmal knapp 2 Minuten dauern, diese dreistelligen, nur aus Kleinbuchstaben bestehenden Passwörter zu knacken. Ein dreistelliges Passwort, das Kleinbuchstabe in Kombination mit Großbuchstabe und Ziffer enthält, würde dem gleichen Angriff maximal eine knappe halbe Stunde standhalten. Anders sieht es bei einem achtstelligen Passwort aus. Selbst wenn es nur Kleinbuchstaben enthielte, benötigte ein Programm ca. satte 37.968 Tage, um alle Kombinationen durchzuprobieren. Bei einer Mischung aus Klein-, Großbuchstaben und Ziffern läge man schon bei stolzen 97.400 Jahren. Zu beachten ist auch noch der „Dictionary Ansatz", denn er hebelt diese Annahmen aus: Wenn man eines der ca. 5000 Wörter wählt, die jeweils im Deutsch- und Englisch Grundwortschatz enthalten sind, ist man auch innerhalb einer Stunde gehackt. Das gleiche gilt für Daten wie z.B. das eigene Geburtsdatum in jeglicher Schreibweise (z.B. 01.01.1960 oder 01.01.60). Das Passwort sollte also recht lang sein, nicht dem Dictionary Ansatz entsprechen, Groß- und Kleinschreibung enthalten und dazu noch mit Sonderzeichen und/oder Ziffern ausgestattet werden, um einen wirklichen Schutz darzustellen. Die Kombinationsmöglichkeiten innerhalb eines Passwortes steigen und die Wahrscheinlichkeit, dass das Passwort geknackt wird, sinkt.

„Unknown registrations“ deaktivieren

Es gibt verschiedene Funktionen, die einen Administrator bei der Inbetriebnahme einer Telefonanlage unterstützen und den Rollout vereinfachen. Diese werden benannt mit „Zero Configuration Deployment“. Hierzu gehören auch die „Unknown registrations“, mit deren Hilfe der Administrator Registrierungen an der Telefonanlage vornehmen kann, ohne den entsprechenden User und ein Passwort angeben zu müssen. Insbesondere für große Installationen bedeutet dies eine erhebliche Erleichterung. Diese Funktion kann aktiviert und deaktiviert werden. Daher ist es wichtig, die „Unknown registrations“ nach vollendetem Rollout wieder zu deaktivieren, da sonst auch jemand Externes eine Registrierung ohne weitere Angabe von User und Passwort vornehmen könnte. Hier und heute werden nur ausgewählte Fehlerquellen und entsprechende Schutzmechanismen beschrieben. Eine Anwendung dieser Mechanismen kann die Sicherheit Ihrer Telefonanlage schon erheblich verbessern. Das Thema Security wird in der innovaphone Advanced Schulung in einer separaten Lesson behandelt. Es empfiehlt sich, diese Lesson ggf. noch einmal durchzuarbeiten! Ausführliche Informationen können Sie den Schulungsunterlagen entnehmen.


Erstelle IP Filter

Es ist empfohlen globale IP Filter zu erstellen. Damit kann man unautorisierten Zugang von fremden IP Netzen unterbinden. Nur Registrierungen aus diesen konfigurierten IP Filter Netzen sind erlaubt. Ab V8 HF8 gibt es 2 verschiedene IP Filter. Ein Filter ist für Registrierungen ohne Passwort und ein Filter für Registrierungen mit Passwort.

H323/TLS mit TLS Only benutzen

Seit V11r1 wird es empfohlen, H.323/TLS anstelle von reinem H.323 zu verwenden. Zusätzlich zur Signalisierungsverschlüsselung erlaubt dies die sichere Registrierung von Endpunkten ohne Kennwort (Zertifikat-basiert). Durch die Anwahl von TLS Only im Devices Eintrag der für die Registrierung verwendet wird, kann die Kennwort-basierte Registrierung verhindert werden. Auf diese Weise können bösartige Registrierungsversuche mit gestohlenen oder geknackten Kennwörtern verhindert werden.

Personal tools