Sicherheitskonzept bei externem Handyzugriff

  • Die Frage ist immer was einem wichtiger ist: Komfort/Einfachheit/wenig Aufwand/niedrige Kosten oder maximale Sicherheit. I.d.R. passen beide Seiten nicht zusammen und in der Praxis läuft es daher auf einen gesunden Kompromiss raus.


    Maximale Sicherheit erfordert immer einen Schritt mehr, das ist glaube ich allen bewusst. (auch dass es 100% nicht gibt.)
    Bei diesem Thread geht es um den App Zugriff aus einem fremden Netzwerk (Mobilfunk) mit einem minimum an Sicherheit.
    Ein Passwort was von Endbenutzer festgelegt wird sollte heute nicht als ausreichende Grenze zwischen Internet und Firmendaten gesehen werden. (Privat ist eine andere Sache)


    Für unsere Kunden hat das Thema aufgrund von der anhaltenden Homeoffice Situation an Priorität gewonnen wie vmtl. bei vielen die sich nicht hier im Forum beteiligen.


    Als jemand mit einem minimum an Netzwerkkenntnissen kann ich mich nicht zufrieden geben mit der Antwort dass Starface eine Mischung aus genannten gängigen (Geoblocking, IP-Blocking zu viele Versuche, ...) und spezielle Sicherheitsvorkehrungen die sie nicht offen legen nutzt.
    Das klingt verdächtig nach Security through obscurity. (Wie wenn statt des bekannten Ports ein "unbekannter" verwendet wird. Ist ja nicht so dass es Anbieter gibt die jede Woche mindestens einmal alle Internet IPv4-Adressen inkl. aller Ports scannen.)
    Zumal keine Vorkehrungen wie automatischer Remote Patch bzw. Notaus existieren (wie z.B. bei Microsoft Exchange mit Exchange Emergency Mitigation (EM)) und Updates immer Zeitverzögert auf die Anlage kommen bei akut ausgenutzten Schwachstellen schwierig.
    Gäbe es vollautomatische (nächtliche) Updates sehe ich das als nicht so kritisch, wenn Starface gute Arbeit leistet.


    Eine Anwort für dieses Szenario kann sein: Starface empfiehlt hierfür ihre Cloud Instanzen und gut ist, dann kann das an den Kunden weitergetragen werden.
    Mit der Argumentation dass die gleichen Sicherheitsstandards der Cloud nicht auf jede selbst gehostete Starface Instanz angewendet werden können.


    Das ist aber öffensichtlich nicht mein Ziel bzw. dess der hier kommentierenden.


    Wie ist der Stand beim Thema Zwei-Faktor-Authentisierung? Begegnet einem sehr häufig gerade bei Kunden die bereits mit Ransomware bekanntschaft machen mussten...
    Starface Vorschlagsportal


    Weitere Vorschlag: Ein simples Wireguard VPN (angeblich 4000 Zeilen Code) in die App integriert und über die Anlage zusätzlich aktivierbar?
    Dass bei der App Nutzung außerhalb des Firmen Netzwerk auf dem Smartphone eine sperate VPN Verbindung händisch verbunden und getrennt werden muss wie im Forum bereits vorgeschlagen wurde ist keine Option.


    Mein erster Gedanke/Vorschlag war ein sperater Reverse Proxy vorgeschalten der ein weiteres Passwort (z.B. 20 stellig), was an das Benutzer Passwort gehangen wird prüft und bei erfolg entfernt sowie Traffic durch lässt.


    Bitte um Feedback. (Wünschenswert wäre ein Beitrag (Bedienungsanleitung) von Starface zum Thema Sicherheit bei App/Homeoffice/Internet/externe Nutzung.)


    Aktuell wirkt es so als gehen viele hier im Forum das Risiko ein (auch nach Kunden Unterschrift - Verantwortung abgegeben) die Anlage ohne weiteres über das Internet zugänglich zu machen, das kann sich indirekt für Starface evtl. noch rechen.
    Wünsche es nicht, aber für die Einordnung der Priorität für Starface wichtig.


    Für das was übrig bleibt haben wir extra den sehr gut funktionierenden Security-Advisor in die STARFACE implementiert. Dieser ist vor allem für Klein- und Kleinstkunden gedacht die typischerweise keine Ahnung von der Materie haben und sich auch nicht viel damit beschäftigen wollen.


    Zu Starface Security-Advisor konnte ich nichts finden. (Links?) Im Changelog wird erwähnt dass dort etwas verändert wurde das klingt nach oben aufgeführten speziellen Sicherheitsfunktionen.
    "sehr gut funktionierenden Security-Advisor" Worauf basiert diese Aussage?
    Ohne Anleitung seitens Starface was zu Konfigurieren gilt um Ihrer Meinung nach ein ausreichendes Sicherheitsniveau erreichen, kann ich das keinem Kunde zumuten. (dazu bräuchte es ggf. ein Prüftool/Modul was mit einem Klick das bestätigen kann)


    Dieser Thread überschneidet sich im Kernproblem mit dem Thread: Starface "offen" ins Internet stellen? Homeoffice / Softphone (unbeantwortet)


    Bevor es wie in den Thread übergeht zu "STARFACE ist kein Netzwerk-/Firewallanbieter. " möchte ich anmerken dass heute bei der App (der Beschreibung nach) zu erwarten ist dass diese sicher über das Internet funktioniert.
    Sonst sollte die Erwartung sein, dass die App beim Verbinden eine Warnung liefert dass diese Konfiguration unsicher ist bzw. Sicherheitstechnisch nicht empfohlen wird wenn schon der Starface Partner Kontakt davon abrät.

    Gruß,
    Dominik

  • Hallo zusammen,


    dem Beitrag von Dominik kann ich nur loben. Konstruktiv und gut geschrieben. Ich finde, dass hier im Forum schnell immer auf Starface "geschimpft" wird. Starface hat wie jeder andere Cloudanbieter hier natürlich ein großes toDo offen, da die Zeiten leider immer schlimmer werden.


    Das Sicherheitskonzept bei einer Cloud, wird Starface definitiv nicht offen legen, was super verständlich ist. Bei einer Cloud-Anlage kann man in meinen Augen auch nur die Aussage geben, der Hersteller ist dafür verantwortlich, dass die Cloud sicher erreichbar ist. Ich kenne hier keinen Anbieter (egal ob Telefonie oder andere Dienste) der sich hier in die Karten schauen lässt.


    Bei den lokalen Anlagen ist immer der IT-Administrator in meinen Augen verantwortlich und muss entsprechende Vorkehrungen treffen. Hier kann ich nur zu meinen Situationen etwas sagen. Wir haben hier immer eine Firewall vor der Telefonanlage. Nur wenn der Kunde die APP nutzen möchte öffnen wir die dafür vorgesehen Ports. Bei Nutzung des UCC Clients nehmen wir immer einen SSL-VPN, HTTPS nur über einen Reverse Proxy erreichbar.


    Bei lokalen Anlagen weißen wir hier trotzdem auf die Sicherheit hin und empfehlen eher eine Cloud, da hier trotzdem zentrale Sicherheitssysteme davor sind, welche man im privaten Umfeld eben nicht hat. Auch bei Angriffen reagiert ein Anbieter immer anders und "hoffentlich" besser als ein Kunde. Besten Beispiel ist lokaler Exchange vs. Office365 (Aufgrund der Vielzahl von Sicherheitslücken und Angriffen).


    Daher sehe ich das Thema jetzt nicht als total schwarz und wie kannst du das nur machen. Man muss dies einfach mit bedacht machen und die Kunden dafür sensibilisieren. Und ich muss Andreas zustimmen, es ist halt immer ein Kompromiss im Bereich Sicherheit, egal bei was!

    Viele Grüße
    Markus


    MARIS Computer GmbH
    STARFACE Excellence+ Partner

  • Hallo Zusammen,


    die Angriffe auf die Starface werden immer häufiger und auch ich glaube nicht, dass alle Angriffsvektoren mit dem Security Advisor erkannt und abgewehrt werden können. Aber mittlerweile ist Starface ja mit der Firma ESTOS zusammen und diese haben schon länger diese Problematik erkannt und das UCConnect-Portal aufgesetzt, wahrscheinlich nicht nur für die Angriffe sondern auch um einfacher zwischen APP und Anlage zu kommuniziern.


    Meine Aufforderung an STARFACE ist hiermit, integriert diese Technologie die schon fertig ist in STARFACE und zwar nicht erst morgen oder übermorgen oder irgendwann mal, SONDERN JETZT und SOFORT.


    Was hält die Community von diesem Vorschlag?


    MFG Jürgen Affenzeller
    Te-Mo Service Gmbh

  • Ich finde es auch sehr "schade", dass mit dem Öffnen des Ports 443 nach außen die Benutzer und eben auch Admin-Weboberfläche von extern erreichbar ist. Aufgrund des fehlenden MFA gibt es hier ein nicht zu unterschätzendes Angriffsziel. Man könnte die Admin-URLs über eine WAF an der Firewall blocken. Leider haben wir auch bei mehrmaliger Nachfrage an den Support keine Infos dazu bekommen, welche URLs das sind.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!