FAQ

Frage

Was ist fĂŒr die Sicherheit von außen liegenden Nebenstellen zu beachten?




Antwort

Sicherheit von außen liegenden Nebenstellen

weitere Information als PDF-Datei PDF

Außen liegende Nebenstellen erfreuen sich immer grĂ¶ĂŸerer Beliebtheit – leider auch bei Hackern. Diese Gefahren mĂŒssen besonders bei Nebenstellen berĂŒcksichtigt werden, die nicht mittels VPN-Tunnel an das ITK-System angebunden sind. Sie werden meist ĂŒber dynDNS-Dienste und Portfreigaben in den Routern direkt mit dem ITK-System verbunden. Einigen Hackern ist es bereits gelungen, sich in die Systeme verschiedener Hersteller einzuloggen und kostenpflichtige GesprĂ€che, meist ins entfernte Ausland, zu fĂŒhren.

Vorwort.
Nehmen Sie die folgenden Hinweise nicht auf die leichte Schulter. Fremdzugriffe auf ITK-Systeme hÀufen sich und die dabei entstehenden Kosten sind sehr schnell in einem 4- bis 5-stelligen Euro-Bereich. Bemerken werden Sie es aber erst mit der nÀchsten Abrechnung des Telefonanbieters.

Wie gehen die Bösewichte vor?
ZunĂ€chst versuchen sie, ĂŒber Server automatisiert, die URL oder IP-Adresse des Anschlusses zu ermitteln. Hier gibt es sogar Dienstleister im Internet, wo man einfach nach bestimmten Begriffen suchen lassen kann und dann die passenden öffentlichen IP-Adressen von unbedarften Kunden als Liste erhĂ€lt. Nun scannen sie die IP-Adressen nach den Standard-SIP-Ports (z. B. 5060). Ist der Scan aus deren Sicht erfolgreich, werden verschiedene Benutzernamen und Passwörter solange probiert, bis man die richtigen Kombinationen gefunden hat. Danach wird z. B. eine Servicenummer in Übersee angerufen. Ist der Anruf erfolgreich, wird dieser Zugang fĂŒr weitere, sehr kostspielige Telefonate genutzt.

Was ist unsere Empfehlung?
Richten Sie einen VPN-Tunnel ein. Dieser bietet zur Zeit den besten Schutz gegen Angriffe von außen.

Was können Sie außerdem tun?

  1. Auswahl der Benutzernamen und PINs (Passwörter)
    Verwenden Sie niemals Standard-PINs aus dem Auslieferzustand. Vermeiden Sie Geburtstage bzw. Datumsangaben als PINs. Sie vereinfachen es dem Angreifer die Richtige zu finden. Auch einfach zu ratende PINs wie 111111 oder 123456 sollten nicht verwendet werden. Sollte auch das Webinterface des ITK-Systems aus dem Internet erreichbar sein (via http oder besser https), Ă€ndern Sie auch den Benutzernamen des Administrators (admin). Vergeben Sie fĂŒr jeden Benutzer eine separate PIN!

  2. Hinweis:
    In den VoIP-fÀhigen Telefonanlagen ist mit dem jeweils aktuellen Firmwarestand die Verwendung von Passwörtern möglich.
    Aus SicherheitsgrĂŒnden empfehlen wir die Verwendung von (alphanumerischen) Passwörtern.


  3. Einrichten von Amtberechtigungen und Sperrwerke
    Richten Sie fĂŒr die außen liegenden Nebenstellen eine reduzierte Amtberechtigung und ein Sperrwerk ein. Die Amtberechtigung kann auf den Telefontarif des eigenen Anschlusses abgestimmt sein (z. B. nur nationale GesprĂ€che). Zu Tageszeiten, in denen in der Regel nicht telefoniert wird, z. B. nachts bzw. außerhalb der GeschĂ€ftszeiten, kann die Amtberechtigung auf ein Minimum reduziert werden. Das Sperrwerk sollte zusĂ€tzlich die Vorwahlen von Mehrwertdiensten und ggf. Mobilfunknetzen beinhalten (z. B. 0900, 0180, 01&).
  4. Nicht die Ports 5060 (SIP) und 80 (http) freischalten
    WĂ€hlen Sie andere Ports fĂŒr die Freischaltung zum ITK-System. Wichtig ist, dass der Port 5060 vom Router in Richtung ITK-System (intern) verwendet wird. Vom Gateway in Richtung Internet (extern) kann ein anderer Port definiert sein. FĂŒr den Zugriff auf die WeboberflĂ€che kann der Port im ITK-System geĂ€ndert werden.
  5. Umgang mit Daten zum Anschluss
    Geben Sie niemals Benutzernamen, PINs und die öffentliche IP-Adresse des ITK-Systems bekannt. Damit sind nicht nur Postings in Foren und Communities gemeint, sondern auch Service-Logs von Routern oder Wireshark-Traces.
  6. Kontrolle
    PrĂŒfen Sie regelmĂ€ĂŸig die GesprĂ€chsdatenerfassung Ihres ITK-Systems und ggf. die LOGs Ihres NAT-Routers auf Unstimmigkeiten.

Wichtig: Jedes Öffnen eines Ports auf dem NAT-Router stellt eine Gefahr dar. Daher sind zusĂ€tzliche Maßnahmen zu Ihrem Schutz unumgĂ€nglich.

Wenn Sie alle genannten Punkte beachten, bieten Ihre Einstellungen eine gute Sicherheit vor Hackerangriffen.

Mehr zum Thema IT-Grundschutz erfahren Sie beim BSI (Bundesamt fĂŒr Sicherheit in der Informationstechnik).

ZusÀtzlich ist zu diesem Thema die Studie VoIPSEC (Studie zur Sicherheit von Voice over Internet Protocol) vom BSI zu empfehlen.


Abstandhalter