Seite 2 von 2 ErsteErste 12
Zeige Ergebnis 16 bis 24 von 24

Thema: Sicherheitskonzept bei externem Handyzugriff

  1. #16
    STARFACE Expert

    Registriert seit
    04.05.2018
    Beiträge
    573

    Standard

    Kannst ja ein Vorschlag in Uservoice machen und gucken wie nach 8 Jahren die Rückmeldung aussieht..

  2. #17
    STARFACE Crew

    Registriert seit
    05.06.2019
    Ort
    Bochum
    Beiträge
    333

    Standard

    Zitat Zitat von bytegetter Beitrag anzeigen
    Kannst ja ein Vorschlag in Uservoice machen und gucken wie nach 8 Jahren die Rückmeldung aussieht..
    Schließt doch bitte nicht aufgrund einiger alter Fälle pauschal auf die Zukunft.

    Uns ist bewusst, dass es beim Thema hier noch Verbesserungspotential gibt. Es bedarf noch einer sorgfältigen Ausarbeitung eines Konzepts, das dann hoffentlich auch wirklich allen nennenswerten Anforderungen gerecht wird und dabei auch alle technischen und sonstige Aspekte die eine Rolle spielen berücksichtigt.
    Wir Ihr ja alleine schon an der Diskussion in diesem Thread seht, gehen auch Eure Meinungen dazu durchaus auseinander. Und wir haben dabei noch eine ganze Reihe weitere Aspekte zu berücksichtigen, die hier noch gar nicht genannt wurden.

    Detailliertere Infos und Diskussionen zu diesem und anderen Security-Themen gerne in direkter Kommunikation mit uns. Wir sind da sehr offen, bitten aber um Verständnis dass wir aus Sicherheitsgründen nicht alle sicherheitsrelevanten Themen in einem öffentlichen Forum bis ins letzte Detail offenlegen wollen. Im Direktkontakt geht das, ggf. ist dazu ein NDA erforderlich.

    Gruß
    Andreas

  3. #18
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.866

    Standard

    Naja ich wollte nur wissen ob man einen Haken einbauen kann das die CA in der UCC Android App nicht verifiziert wird, aber im default immer verifiziert wird.
    Und das in der /etc/asterisk/sip.conf "tlsdontverifyserver=yes" steht (ohne Hinweis/Option in der GUI) ist auch kein Geheimnis.

    Wenn es dafür eine direkte Kommunikation braucht bitte bei mir melden, meine Kontaktdaten sind bekannt.

    Ich hab auch kein Problem wenn meine Beiträge zu diesem Thread gelöscht werden, würde aber äußerst bedauerlich finden.
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  4. #19
    STARFACE Admin

    Registriert seit
    28.10.2019
    Beiträge
    170

    Standard

    ... und mir ist die SF da generell dann einfach „zu offen“ im Internet.

    Habe mal geschaut, was da so alles angreift.
    CN, RU etc. ohne Ende.

    Habe da kein gutes Gefühl.

    Und regionalisierung hilft nicht viel, wenn Angreifer lokale Dienste/Ip nutzen bzw. ihre echte natürlich verschleiern.

  5. #20
    STARFACE Crew

    Registriert seit
    05.06.2019
    Ort
    Bochum
    Beiträge
    333

    Standard

    Zitat Zitat von roady1969 Beitrag anzeigen
    ... und mir ist die SF da generell dann einfach „zu offen“ im Internet.

    Habe mal geschaut, was da so alles angreift.
    CN, RU etc. ohne Ende.

    Habe da kein gutes Gefühl.
    Naja, ob überhaupt aus dem Internet und wie offen (welche Ports man weiterleitet und welche Quell-IPs man dabei zulässt) entscheidet ja jeder Admin selbst.
    Dass man durch Weglassen von ggf. nicht benötigten Ports (z.B. 80 und 5060) schon mal jede Menge Angriffs-Versuche fern hält, hatte ich Anfang des Threads ja schon mal empfohlen.
    Für das was übrig bleibt haben wir extra den sehr gut funktionierenden Security-Advisor in die STARFACE implementiert. Dieser ist vor allem für Klein- und Kleinstkunden gedacht die typischerweise keine Ahnung von der Materie haben und sich auch nicht viel damit beschäftigen wollen. Jedem der "noch mehr" haben möchte bleibt es natürlich frei überlassen, ggf. noch einen SBC oder ein Firewall mit Packet-Inspection und was es alles noch so gibt dazwischen zu schalten.


    Zitat Zitat von roady1969 Beitrag anzeigen
    Und regionalisierung hilft nicht viel, wenn Angreifer lokale Dienste/Ip nutzen bzw. ihre echte natürlich verschleiern.
    Klar gibt es welche die Ihre Adresse spoofen. Aber durch Geoblocking kann man schon eine ganz erhebliche Menge von Angriffen abhalten.

    Oder wie ebenfalls schon vorgeschlagen: Server nur per VPN oder sonstigen MDM-Tunnel-Lösungen erreichbar machen.

    Die Frage ist immer was einem wichtiger ist: Komfort/Einfachheit/wenig Aufwand/niedrige Kosten oder maximale Sicherheit. I.d.R. passen beide Seiten nicht zusammen und in der Praxis läuft es daher auf einen gesunden Kompromiss raus.

  6. #21
    STARFACE User

    Registriert seit
    28.06.2021
    Ort
    Baden-Württemberg
    Beiträge
    8

    Beitrag

    Zitat Zitat von areeh Beitrag anzeigen
    Die Frage ist immer was einem wichtiger ist: Komfort/Einfachheit/wenig Aufwand/niedrige Kosten oder maximale Sicherheit. I.d.R. passen beide Seiten nicht zusammen und in der Praxis läuft es daher auf einen gesunden Kompromiss raus.
    Maximale Sicherheit erfordert immer einen Schritt mehr, das ist glaube ich allen bewusst. (auch dass es 100% nicht gibt.)
    Bei diesem Thread geht es um den App Zugriff aus einem fremden Netzwerk (Mobilfunk) mit einem minimum an Sicherheit.
    Ein Passwort was von Endbenutzer festgelegt wird sollte heute nicht als ausreichende Grenze zwischen Internet und Firmendaten gesehen werden. (Privat ist eine andere Sache)

    Für unsere Kunden hat das Thema aufgrund von der anhaltenden Homeoffice Situation an Priorität gewonnen wie vmtl. bei vielen die sich nicht hier im Forum beteiligen.

    Als jemand mit einem minimum an Netzwerkkenntnissen kann ich mich nicht zufrieden geben mit der Antwort dass Starface eine Mischung aus genannten gängigen (Geoblocking, IP-Blocking zu viele Versuche, ...) und spezielle Sicherheitsvorkehrungen die sie nicht offen legen nutzt.
    Das klingt verdächtig nach Security through obscurity. (Wie wenn statt des bekannten Ports ein "unbekannter" verwendet wird. Ist ja nicht so dass es Anbieter gibt die jede Woche mindestens einmal alle Internet IPv4-Adressen inkl. aller Ports scannen.)
    Zumal keine Vorkehrungen wie automatischer Remote Patch bzw. Notaus existieren (wie z.B. bei Microsoft Exchange mit Exchange Emergency Mitigation (EM)) und Updates immer Zeitverzögert auf die Anlage kommen bei akut ausgenutzten Schwachstellen schwierig.
    Gäbe es vollautomatische (nächtliche) Updates sehe ich das als nicht so kritisch, wenn Starface gute Arbeit leistet.

    Eine Anwort für dieses Szenario kann sein: Starface empfiehlt hierfür ihre Cloud Instanzen und gut ist, dann kann das an den Kunden weitergetragen werden.
    Mit der Argumentation dass die gleichen Sicherheitsstandards der Cloud nicht auf jede selbst gehostete Starface Instanz angewendet werden können.

    Das ist aber öffensichtlich nicht mein Ziel bzw. dess der hier kommentierenden.

    Wie ist der Stand beim Thema Zwei-Faktor-Authentisierung? Begegnet einem sehr häufig gerade bei Kunden die bereits mit Ransomware bekanntschaft machen mussten...
    Starface Vorschlagsportal

    Weitere Vorschlag: Ein simples Wireguard VPN (angeblich 4000 Zeilen Code) in die App integriert und über die Anlage zusätzlich aktivierbar?
    Dass bei der App Nutzung außerhalb des Firmen Netzwerk auf dem Smartphone eine sperate VPN Verbindung händisch verbunden und getrennt werden muss wie im Forum bereits vorgeschlagen wurde ist keine Option.

    Mein erster Gedanke/Vorschlag war ein sperater Reverse Proxy vorgeschalten der ein weiteres Passwort (z.B. 20 stellig), was an das Benutzer Passwort gehangen wird prüft und bei erfolg entfernt sowie Traffic durch lässt.

    Bitte um Feedback. (Wünschenswert wäre ein Beitrag (Bedienungsanleitung) von Starface zum Thema Sicherheit bei App/Homeoffice/Internet/externe Nutzung.)

    Aktuell wirkt es so als gehen viele hier im Forum das Risiko ein (auch nach Kunden Unterschrift - Verantwortung abgegeben) die Anlage ohne weiteres über das Internet zugänglich zu machen, das kann sich indirekt für Starface evtl. noch rechen.
    Wünsche es nicht, aber für die Einordnung der Priorität für Starface wichtig.

    Zitat Zitat von areeh Beitrag anzeigen
    Für das was übrig bleibt haben wir extra den sehr gut funktionierenden Security-Advisor in die STARFACE implementiert. Dieser ist vor allem für Klein- und Kleinstkunden gedacht die typischerweise keine Ahnung von der Materie haben und sich auch nicht viel damit beschäftigen wollen.
    Zu Starface Security-Advisor konnte ich nichts finden. (Links?) Im Changelog wird erwähnt dass dort etwas verändert wurde das klingt nach oben aufgeführten speziellen Sicherheitsfunktionen.
    "sehr gut funktionierenden Security-Advisor" Worauf basiert diese Aussage?
    Ohne Anleitung seitens Starface was zu Konfigurieren gilt um Ihrer Meinung nach ein ausreichendes Sicherheitsniveau erreichen, kann ich das keinem Kunde zumuten. (dazu bräuchte es ggf. ein Prüftool/Modul was mit einem Klick das bestätigen kann)

    Dieser Thread überschneidet sich im Kernproblem mit dem Thread: Starface "offen" ins Internet stellen? Homeoffice / Softphone (unbeantwortet)

    Bevor es wie in den Thread übergeht zu "STARFACE ist kein Netzwerk-/Firewallanbieter. " möchte ich anmerken dass heute bei der App (der Beschreibung nach) zu erwarten ist dass diese sicher über das Internet funktioniert.
    Sonst sollte die Erwartung sein, dass die App beim Verbinden eine Warnung liefert dass diese Konfiguration unsicher ist bzw. Sicherheitstechnisch nicht empfohlen wird wenn schon der Starface Partner Kontakt davon abrät.
    Gruß,
    Dominik

  7. #22
    STARFACE User
    Benutzerbild von MTeich
    Registriert seit
    20.12.2017
    Ort
    24943 - Flensburg
    Beiträge
    86

    Standard

    Hallo zusammen,

    dem Beitrag von Dominik kann ich nur loben. Konstruktiv und gut geschrieben. Ich finde, dass hier im Forum schnell immer auf Starface "geschimpft" wird. Starface hat wie jeder andere Cloudanbieter hier natürlich ein großes toDo offen, da die Zeiten leider immer schlimmer werden.

    Das Sicherheitskonzept bei einer Cloud, wird Starface definitiv nicht offen legen, was super verständlich ist. Bei einer Cloud-Anlage kann man in meinen Augen auch nur die Aussage geben, der Hersteller ist dafür verantwortlich, dass die Cloud sicher erreichbar ist. Ich kenne hier keinen Anbieter (egal ob Telefonie oder andere Dienste) der sich hier in die Karten schauen lässt.

    Bei den lokalen Anlagen ist immer der IT-Administrator in meinen Augen verantwortlich und muss entsprechende Vorkehrungen treffen. Hier kann ich nur zu meinen Situationen etwas sagen. Wir haben hier immer eine Firewall vor der Telefonanlage. Nur wenn der Kunde die APP nutzen möchte öffnen wir die dafür vorgesehen Ports. Bei Nutzung des UCC Clients nehmen wir immer einen SSL-VPN, HTTPS nur über einen Reverse Proxy erreichbar.

    Bei lokalen Anlagen weißen wir hier trotzdem auf die Sicherheit hin und empfehlen eher eine Cloud, da hier trotzdem zentrale Sicherheitssysteme davor sind, welche man im privaten Umfeld eben nicht hat. Auch bei Angriffen reagiert ein Anbieter immer anders und "hoffentlich" besser als ein Kunde. Besten Beispiel ist lokaler Exchange vs. Office365 (Aufgrund der Vielzahl von Sicherheitslücken und Angriffen).

    Daher sehe ich das Thema jetzt nicht als total schwarz und wie kannst du das nur machen. Man muss dies einfach mit bedacht machen und die Kunden dafür sensibilisieren. Und ich muss Andreas zustimmen, es ist halt immer ein Kompromiss im Bereich Sicherheit, egal bei was!
    Viele Grüße
    Markus

    MARIS Computer GmbH
    STARFACE Excellence+ Partner

  8. #23
    STARFACE Newbie
    Registriert seit
    03.05.2021
    Beiträge
    1

    Standard

    Hallo Zusammen,

    die Angriffe auf die Starface werden immer häufiger und auch ich glaube nicht, dass alle Angriffsvektoren mit dem Security Advisor erkannt und abgewehrt werden können. Aber mittlerweile ist Starface ja mit der Firma ESTOS zusammen und diese haben schon länger diese Problematik erkannt und das UCConnect-Portal aufgesetzt, wahrscheinlich nicht nur für die Angriffe sondern auch um einfacher zwischen APP und Anlage zu kommuniziern.

    Meine Aufforderung an STARFACE ist hiermit, integriert diese Technologie die schon fertig ist in STARFACE und zwar nicht erst morgen oder übermorgen oder irgendwann mal, SONDERN JETZT und SOFORT.

    Was hält die Community von diesem Vorschlag?

    MFG Jürgen Affenzeller
    Te-Mo Service Gmbh

  9. #24
    STARFACE Admin
    Benutzerbild von stephan.kuehn
    Registriert seit
    15.01.2020
    Ort
    Leipzig
    Beiträge
    126

    Standard

    Ich finde es auch sehr "schade", dass mit dem Öffnen des Ports 443 nach außen die Benutzer und eben auch Admin-Weboberfläche von extern erreichbar ist. Aufgrund des fehlenden MFA gibt es hier ein nicht zu unterschätzendes Angriffsziel. Man könnte die Admin-URLs über eine WAF an der Firewall blocken. Leider haben wir auch bei mehrmaliger Nachfrage an den Support keine Infos dazu bekommen, welche URLs das sind.

Ähnliche Themen

  1. Antworten: 4
    Letzter Beitrag: 11.12.2018, 16:38
  2. Interne Telefonate von externem Geät gehen - externe von externem Gerät nicht
    Von Falken1de im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 20.10.2017, 18:13
  3. Softphone -Headset inkl. externem Klingeln
    Von hayvan im Forum STARFACE Benutzerfrontend
    Antworten: 7
    Letzter Beitrag: 13.04.2016, 12:12
  4. Antworten: 5
    Letzter Beitrag: 18.02.2015, 19:09
  5. Aastra an externem Standort
    Von Baba71 im Forum Hersteller Informationen & Hardware Kompatibilität
    Antworten: 0
    Letzter Beitrag: 24.09.2008, 03:52

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •