VoIP security for beroNet VoIP Gateways

Here are our advice for a secure and well functioning configuration of beroNet VoIP Gateways:

Sicheres Passwort

Die Zugangsdaten der beroNet VoIP Gateways sind im Auslieferungszustand „admin / admin“. Diese Information ist bekannt und in unserer online verfügbaren Dokumentation veröffentlicht, so dass es unerlässlich ist, Sie darauf hinzuweisen, dass Sie zur Erhöhung Ihrer Sicherheit das Passwort ändern.

Ein sicheres Passwort können Sie beispielsweise mit diesem Tool erzeugen: http://passwordsgenerator.net/

Deaktivierung von bfdetect

bfdetect  ermöglicht es Ihnen Ihre beroNet VoIP Gateways im Netzwerk zu identifizieren und die IP-Einstellungen dieser zu verändern. Wir empfehlen es nur zu Beginn zu nutzen und dann zu deaktivieren um die Möglichkeit der Fremdzugriffe zu minimieren.
Sie können die Option deaktivieren, indem Sie über die Weboberfläche im Bereich „preferences+“ / „Einstellungen+“ unter „network settings“ / „Netzwerk“ die Option „Disable bfdetect“ / „Deaktiviere bfdetect“ setzen.

Nutzen einer https-Verbindung

HTTPS ist ein wichtiger Faktor zur Erhöhung der Sicherheit. Um eine verschlüsselte Verbindung, auch LAN-seitig zu gewährleisten, empfehlen wir https zu nutzen. Neben anderen Sicherheitsmerkmalen verhindert HTTPS das Dritte Ihre Zugangsdaten entwenden können sobald Sie sich einloggen. Beim Nutzen von selbst-signierten Zertifikaten sind diese den Ausnahmen in Ihrem Webbrowser hinzuzufügen.

Betreiben des Gateways hinter einer Firewall

Die Sicherheit eines VoIP Gateways erhöht sich, wenn es hinter einer Firewall betrieben wird und nur LAN-seitig erreichbar ist. NAT und Firewallrichtlinien sind daher unerlässlich zu setzen. Zum Beispiel in einem all-IP scenario , sollten Weiterleitungsegeln für den Port 5060 und der RTP-Port Range im Router definiert werden. Port-Weiterleitungen sollten auch gewissenhaft definiert werden, so dass zum Beispiel der Port 5060 nicht der gleiche auch auf der WAN Seite ist, denn nur so lässt sich die Sicherheit erhöhen und Angriffe können nur noch LAN-seitig erfolgen.

Konfiguration der ACL

Auch die ACL ist ein wichtiger Faktor der zu einer Erhöhung der Sicherheit beiträgt. Um das Gateway aus dem Internet heraus erreichen zu können muss die ACL konfiguriert sein. Der Zugriff auf das Gateway kann so auf bestimmte IP-Adresse begrenzt werden.
Die ACL können Sie über die Web-Oberfläche im Bereich „preferences+“ / „Einstellungen+“ unter „ACL“ konfigurieren. Die Konfiguration dieser Sicherheitsoption variiert abhängig davon ob das Gateway hinter einer Firewall ist oder nicht.

Gateway hinter einer Firewall

Befindet sich das Gateway hinter einer Firewall ist es bereits sehr sicher und das Nutzen von ACL ist nicht unbedingt notwendig. Sie können Sie jedoch nutzen um Angriffe auch LAN-seitig zu verhindern.

Die ACL kann den Zugriff nur auf den Administrator begrenzen. Im Auslieferungszustand kann Jeder das beroNet VoIP Gateways aus dem LAN heraus erreichen. Um den Zugriff einzuschränken deaktivieren Sie einfach untere Option.

VoIP security - ACL configuration in beroNet VoIP Gateway

Nun können nur noch die vorher definierten IP-Adressen das Gerät erreichen.

Beispiel:

Voip security - ACL example beroNet VoIP Gateway

Gateway ohne Firewall

Sollte Ihr beroNet VoIP Gateway direkt aus dem Internet erreichbar sein, empfehlen wir Ihnen dringend die ACL zu nutzen um den Zugriff auf Ihr Gerät zu begrenzen. Die Devise sollte dabei lauten, dass nur das nach Außen offen ist, was offen sein muss.

Theoretisch sollte nur der SIP-Port oder SIP-TLS offen sein und der Rest nicht. Die Konfiguration der ACL könnte dazu wie folgt aussehen:

ACL configuration for VoIP security

Deaktivierung von SSH

Im Auslieferungszustand ist SSH nicht aktiviert. Der beroNet Support könnte allerdings in einigen Fällen nach einem SSH Zugriff auf das Gateway fragen. Nach der erfolgreichen Hilfe sollte jedoch SSH wieder deaktiviert werden. Sie können SSH über die Web-Oberfläche im Bereich „preferences+“ / „Einstellungen+“ unter „Security“ / „Sicherheit“ aktivieren und deaktivieren.

Änderung des Standard SIP-Ports

Um die Sicherheit weiter zu erhöhen empfehlen wir den Standard SIP-Port 5060 im beroNet VoIP Gateway auf einen anderen Port zu wechseln. Sie können über die Web-Oberfläche im Bereich „SIP+“ unter „SIP General“ / „Allgemeine SIP-Einstellungen“ den „Bind Port“ / „SIP-Port“ ändern:

VoIP security - change default voip port

Vergessen Sie bitte nicht, dass Sie diesen Wechsel vorgenommen haben, wenn Sie Ihre NAT-Richtlinien festlegen!

I need more information

Kommentar verfassen