Seite 1 von 2 12 LetzteLetzte
Zeige Ergebnis 1 bis 15 von 24

Thema: Sicherheitskonzept bei externem Handyzugriff

  1. #1
    STARFACE Admin

    Registriert seit
    28.10.2019
    Beiträge
    170

    Standard Sicherheitskonzept bei externem Handyzugriff

    Hi Folks, ;-))

    Wie sieht euer Sicherheitskonzept aus, wenn die Kunden ihr Smartphone mit der SF App auch von unterwegs nutzen wollen?

    Lt. SF KB müssen ja doch recht viele Ports im Netzwerk freigegeben werden...
    „ 80 (TCP)
    • 443 (TCP)
    • 5060 (UDP)
    • 5061 (TCP)
    • 5222 (TCP)
    • 10.000 bis 20.000 (UDP)
    • 20.000 bis 65.535 (UDP)
    Zugriff auf das Adressbuch der Telefonanlage Zugriff auf das Adressbuch der Telefonanlage Nutzung durch SIP (z.B. Gesprächsaufbau) TLS-Verschlüsslung
    Anmeldung am XMPP-Server der Telefonanlage eingehende RTP-Audiodaten
    ausgehende RTP-Audiodaten“

    Und ehrlich gesagt widerstrebt mir sowas als Admin.

    Es dauert nur wenige Minuten und ich beobachte „Fremdzugriffsversuche“ aus aller Welt.


    Wie sichert ihr sowas ab?
    Was tut die SF dafür nicht gehackt zu werden?
    Was ihr?

    Muss z.B. VPN on demand bei den Handys genutzt werden?

    Wie macht ihr den externen Zugriff sicher?

    Letztlich stehen wir ja in der Haftung, wenn durch diese große Portrange beim Kunden was passiert.

    Bin für jeden Tipp dankbar.

    Thanks!
    R.

  2. #2
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Dieser Thread kommt gerade zur rechten Zeit, ich wollte das Thema auch mal genauer beleuchten.
    Derzeit haben wir nur den Weg über das OpenVPN, leider kostet das sehr viel Akku und ist damit nicht dauerhaft tragbar.

    Zum UCC Client hätte ich fragen, z.B. ober das Server Zertifikat gegen die CA überprüft wird?
    Ist nur der Transport tls oder auch die Audiodaten (srtp)?
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  3. #3
    STARFACE Crew

    Registriert seit
    05.06.2019
    Ort
    Bochum
    Beiträge
    333

    Standard

    Hi!

    Wenn es Dir wirklich nur darum geht, dass UCC Clients (Desktop) und/oder Mobile Clients von außen ohne VPN den Server erreichen können, dann kannst Du IMHO die Ports 80 und 5060 weg lassen, denn diese verwenden unsere Clients seit einiger Zeit nicht mehr, da sie inzwischen sämtlichen Traffic verschlüsseln und daher 443 statt 80 sowie 5061 statt 5060 verwenden.

    Den unverschlüsselten Web-Port 80 sowie SIP-Port 5060 braucht man aus heutiger Sicht eigentlich nur noch für manche Hardware-Telefone. Wenn die z.B. für Homeoffices nicht verwendet werden diese Ports einfach weg lassen - das reduziert potentielle Angriffe von extern schon mal ganz erheblich.

    Je nachdem was Du für einen SIP Provider verwendest, benötigt dieser ggf. auch noch den 5060. Da kann man dann aber in der eigenen Firewall den Traffic nur von den IP-Netzen des eigenen Providers zulassen und alles andere blocken.

    Die verbleibenden Anfragen die noch durchkommen werden vom in die STARFACE integrierten Security Advisor recht kritisch begutachtet und gut geschützt.

    Auch kann ein Geoblocking gewisser Länder in der eigenen Firewall sehr sinnvoll sein.

    Speziell für das Thema Mobile: Einige MDM-Lösungen bieten auch den Aufbau eines Tunnels ins Firmennetz an, wenn so eine Möglichkeit besteht kann man sich den Zugriff via Internet ggf. auch sparen.

    Die Community hier hat sicherlich noch ein paar weitere nützliche Tipps. Es gab zu dem Thema hier im Forum auch schon diverse Threads, einfach mal bisschen suchen.

    Gruß
    Andreas
    Geändert von areeh (09.11.2020 um 15:44 Uhr)

  4. #4
    STARFACE Admin

    Registriert seit
    28.10.2019
    Beiträge
    170

    Standard

    Hm. Danke erstmal.

    Die letzte Pressemitteilung zum Security advisor ist aus 2013 und letztlich sind die dortigen wir auch deine heutigen Ausführungen nicht sonderlich eindeutig.

    Nur scheint, dass da nicht viel dranhängt.
    Ssl bzw. 443 bringt nicht viel, wenn sonst failure by Design nicht ausgeschlossen ist bzw. wenn es außer der Passwortsperre nicht viel vorhanden ist.

    Da die Handys auch telefonieren sollen, sind natürlich die klassischen Hackertore geöffnet. SIPS / SRTP nun hin oder her.

    Hm.
    Also doch eher eine Scheune öffnen.

    Wie sichern die anderen Kollegen die Bedenken der Kunden ab bzw. wie schließt Ihr eure Haftung aus?

    Aufklärung und Unterschrift?

    Lieben Gruß.

  5. #5
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Für mich ist das Thema auch nicht zufriedenstellend beantwortet.
    Ich sehe vor allem keine Sicherheit weil der UCC-Client jedes Zertifikat von der Starface akzeptiert?
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  6. #6
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Zitat Zitat von slu Beitrag anzeigen
    Ich sehe vor allem keine Sicherheit weil der UCC-Client jedes Zertifikat von der Starface akzeptiert?
    Kann da jemand was dazu sagen?
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  7. #7
    STARFACE User
    Benutzerbild von MTeich
    Registriert seit
    20.12.2017
    Ort
    24943 - Flensburg
    Beiträge
    86

    Standard

    Hallo Roady,

    ich stelle mir gerade die gleichen Fragen. Bisher haben wir bei einigen Kunden (wenn er auch die APP auf dem Handy von Unterwegs nutzen wollte) die Ports von extern erreichbar gemacht. Den UCC Client verwenden wir so gut wie nur über SSL-VPN.

    Allerdings erhalte ich seit 3-4 Tagen relativ viele Sicherheitsmeldungen (IPs geblockt) und bin hier auch dabei das Thema neu zu beleuchten.

    Letzten Endes gibt es hier nur Tür zu und VPN (somit sehr unpraktisch) oder die Tür aufmachen und der Firewall von Starface vertrauen. Mein Argument bei einem Misstrauischem Kunden ist, dass bei einer Starface Cloud die Ports ebenso von extern erreichbar sind.
    Viele Grüße
    Markus

    MARIS Computer GmbH
    STARFACE Excellence+ Partner

  8. #8
    STARFACE Admin

    Registriert seit
    28.10.2019
    Beiträge
    170

    Standard

    > Mein Argument bei einem Misstrauischem Kunden ist,
    > dass bei einer Starface Cloud die Ports ebenso
    > von extern erreichbar sind.

    Da stehst du aber nicht in der Haftung!

    Meine Initiale Frage war ja auch z.B. extra, wie sichern andere Händler das Haftungsrisiko ab?

    VPN tötet ja an sich jede direkte Kommunikation mit der SF.
    Es sei denn, ich nutze VPN on demand.
    Aber auch das hat zahlreiche Nachteile.

    Hm.
    Also so richtig überzeugt mich Starface Lösung nicht bei Nutzung von unterwegs...

    Aber ich finde interessant - und bezeichnend ? - das sich hier bisher kaum andere Kollegen eingemischt haben.

    Vogel Strauß Taktik?
    Was ich nicht weiß...???

    Gruß, R.

  9. #9
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Aus meiner Erfahrung* fahren viele die Taktik "wenn es läuft gut".
    Solche Sachen wie z.B. das Zertifikate immer akzeptiert werden (was hier vermutlich auch der Fall ist?) werden ignioriert.

    Wir arbeiten bis heute nur mit VPN, ich hab zu viele Fragen beim UCC Client & Sicherheit.

    * https://support.starface.de/forum/sh...herheitsrisiko!
    * https://support.starface.de/forum/sh...-nach-RFC-3325
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  10. #10
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Zitat Zitat von slu Beitrag anzeigen
    Für mich ist das Thema auch nicht zufriedenstellend beantwortet.
    Ich sehe vor allem keine Sicherheit weil der UCC-Client jedes Zertifikat von der Starface akzeptiert?
    Kann dazu jemand was sagen?
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  11. #11
    STARFACE Expert

    Registriert seit
    04.05.2018
    Beiträge
    573

    Standard

    Man möge es halt wählbar machen. Und zwar nicht im Client, sondern über den Admin-Bereich der Starface selbst.

    Vorstellung:
    Der Client akzeptiert jedes (auch noch so ungültige Zertifikat) und bekomme vom Server mitgeteilt, ob er das darf oder nicht. Sofern das Zertifikat ungültig ist und er ein ungültiges Zertifikat nicht nutzen darf wird die weitere Kommunikaton mit dem Server verweigert und dem Nutzer mitgeteilt "Zertifikat ungültig, keine Freischaltung auf Serverseite für ungültige Zertifikate erteilt".

    Damit kann dann die normale Nutzung weiterlaufen und bei Bedarf (ausgelaufene aber noch nicht erneurte Zertifikate) muss nicht der gesamte Geschäftsbetrieb eingestellt werden.
    Geändert von bytegetter (18.11.2020 um 12:24 Uhr)

  12. #12
    STARFACE Expert
    Benutzerbild von FabianZ
    Registriert seit
    11.12.2012
    Ort
    9450 Altstätten
    Beiträge
    2.228

    Standard

    Dann kann ein Fake-Server ein ungültiges Zertifikat ausliefern und anschliessend Mitteilen "Ja, du darfst ungültige Zertifikate nutzen", und zum schluss: "Gib mir deine Zugangsdaten, Danke! Und tschüss!"

    Dann müsste man ein par Domänen mit Schreibfehler für die Cloud erwerben: starface-cld.com, starfac-cloud.com usw..., dort einen generelle Umleitung für jeden Suffix auf einen Server machen, und jedes mal wenn nun ein User einen Tippfehler macht, bekommt der Bösewicht Zugangsdaten geliefert.

    Noch einen Schritt weiter.
    Ein Bot kann dann mit den Zugangsdaten zur REST-Schnittstelle gehen, alle Möglichen Adressen, und CDR-Infos und weiteres extrahieren, gleich noch die E-Mail Adresse des Users herausfinden, als der er gerade Eingeloggt ist, und eventuell gleich ein Automatisches Erpresser E-Mail senden.
    Geändert von FabianZ (18.11.2020 um 12:59 Uhr)
    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

  13. #13
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Wir haben hier einige Apps/Verbindungen auf Android mit einer eigenen CA (welche in Android importiert wurde), das geht ohne Probleme.
    Sobald man die CA auf dem Android löscht verbindet sich die App nicht mehr.
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  14. #14
    STARFACE Expert

    Registriert seit
    04.05.2018
    Beiträge
    573

    Standard

    Eine absolute Sicherheit kann, darf und wird es nicht geben. Ungültige Zertifikate müssen möglich sein.

  15. #15
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Naja ich hab kein Problem damit ein Haken* zu setzen "disable certificate verification", aber im Moment kann ich das gar nicht steuern/erkennen.

    * zum entwickeln, testen,...
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

Ähnliche Themen

  1. Antworten: 4
    Letzter Beitrag: 11.12.2018, 16:38
  2. Interne Telefonate von externem Geät gehen - externe von externem Gerät nicht
    Von Falken1de im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 20.10.2017, 18:13
  3. Softphone -Headset inkl. externem Klingeln
    Von hayvan im Forum STARFACE Benutzerfrontend
    Antworten: 7
    Letzter Beitrag: 13.04.2016, 12:12
  4. Antworten: 5
    Letzter Beitrag: 18.02.2015, 19:09
  5. Aastra an externem Standort
    Von Baba71 im Forum Hersteller Informationen & Hardware Kompatibilität
    Antworten: 0
    Letzter Beitrag: 24.09.2008, 03:52

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •