Sicherheitskonzept bei externem Handyzugriff

  • Hi Folks, ;-))


    Wie sieht euer Sicherheitskonzept aus, wenn die Kunden ihr Smartphone mit der SF App auch von unterwegs nutzen wollen?


    Lt. SF KB müssen ja doch recht viele Ports im Netzwerk freigegeben werden...
    „ 80 (TCP)
    • 443 (TCP)
    • 5060 (UDP)
    • 5061 (TCP)
    • 5222 (TCP)
    • 10.000 bis 20.000 (UDP)
    • 20.000 bis 65.535 (UDP)
    Zugriff auf das Adressbuch der Telefonanlage Zugriff auf das Adressbuch der Telefonanlage Nutzung durch SIP (z.B. Gesprächsaufbau) TLS-Verschlüsslung
    Anmeldung am XMPP-Server der Telefonanlage eingehende RTP-Audiodaten
    ausgehende RTP-Audiodaten“


    Und ehrlich gesagt widerstrebt mir sowas als Admin.


    Es dauert nur wenige Minuten und ich beobachte „Fremdzugriffsversuche“ aus aller Welt.



    Wie sichert ihr sowas ab?
    Was tut die SF dafür nicht gehackt zu werden?
    Was ihr?


    Muss z.B. VPN on demand bei den Handys genutzt werden?


    Wie macht ihr den externen Zugriff sicher?


    Letztlich stehen wir ja in der Haftung, wenn durch diese große Portrange beim Kunden was passiert.


    Bin für jeden Tipp dankbar.


    Thanks!
    R.

  • Dieser Thread kommt gerade zur rechten Zeit, ich wollte das Thema auch mal genauer beleuchten.
    Derzeit haben wir nur den Weg über das OpenVPN, leider kostet das sehr viel Akku und ist damit nicht dauerhaft tragbar.


    Zum UCC Client hätte ich fragen, z.B. ober das Server Zertifikat gegen die CA überprüft wird?
    Ist nur der Transport tls oder auch die Audiodaten (srtp)?

  • Hi!


    Wenn es Dir wirklich nur darum geht, dass UCC Clients (Desktop) und/oder Mobile Clients von außen ohne VPN den Server erreichen können, dann kannst Du IMHO die Ports 80 und 5060 weg lassen, denn diese verwenden unsere Clients seit einiger Zeit nicht mehr, da sie inzwischen sämtlichen Traffic verschlüsseln und daher 443 statt 80 sowie 5061 statt 5060 verwenden.


    Den unverschlüsselten Web-Port 80 sowie SIP-Port 5060 braucht man aus heutiger Sicht eigentlich nur noch für manche Hardware-Telefone. Wenn die z.B. für Homeoffices nicht verwendet werden diese Ports einfach weg lassen - das reduziert potentielle Angriffe von extern schon mal ganz erheblich.


    Je nachdem was Du für einen SIP Provider verwendest, benötigt dieser ggf. auch noch den 5060. Da kann man dann aber in der eigenen Firewall den Traffic nur von den IP-Netzen des eigenen Providers zulassen und alles andere blocken.


    Die verbleibenden Anfragen die noch durchkommen werden vom in die STARFACE integrierten Security Advisor recht kritisch begutachtet und gut geschützt.


    Auch kann ein Geoblocking gewisser Länder in der eigenen Firewall sehr sinnvoll sein.


    Speziell für das Thema Mobile: Einige MDM-Lösungen bieten auch den Aufbau eines Tunnels ins Firmennetz an, wenn so eine Möglichkeit besteht kann man sich den Zugriff via Internet ggf. auch sparen.


    Die Community hier hat sicherlich noch ein paar weitere nützliche Tipps. Es gab zu dem Thema hier im Forum auch schon diverse Threads, einfach mal bisschen suchen.


    Gruß
    Andreas

    Presales Manager


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

    4 Mal editiert, zuletzt von areeh ()

  • Hm. Danke erstmal.


    Die letzte Pressemitteilung zum Security advisor ist aus 2013 und letztlich sind die dortigen wir auch deine heutigen Ausführungen nicht sonderlich eindeutig.


    Nur scheint, dass da nicht viel dranhängt.
    Ssl bzw. 443 bringt nicht viel, wenn sonst failure by Design nicht ausgeschlossen ist bzw. wenn es außer der Passwortsperre nicht viel vorhanden ist.


    Da die Handys auch telefonieren sollen, sind natürlich die klassischen Hackertore geöffnet. SIPS / SRTP nun hin oder her.


    Hm.
    Also doch eher eine Scheune öffnen.


    Wie sichern die anderen Kollegen die Bedenken der Kunden ab bzw. wie schließt Ihr eure Haftung aus?


    Aufklärung und Unterschrift?


    Lieben Gruß.

  • Für mich ist das Thema auch nicht zufriedenstellend beantwortet.
    Ich sehe vor allem keine Sicherheit weil der UCC-Client jedes Zertifikat von der Starface akzeptiert?

  • Hallo Roady,


    ich stelle mir gerade die gleichen Fragen. Bisher haben wir bei einigen Kunden (wenn er auch die APP auf dem Handy von Unterwegs nutzen wollte) die Ports von extern erreichbar gemacht. Den UCC Client verwenden wir so gut wie nur über SSL-VPN.


    Allerdings erhalte ich seit 3-4 Tagen relativ viele Sicherheitsmeldungen (IPs geblockt) und bin hier auch dabei das Thema neu zu beleuchten.


    Letzten Endes gibt es hier nur Tür zu und VPN (somit sehr unpraktisch) oder die Tür aufmachen und der Firewall von Starface vertrauen. Mein Argument bei einem Misstrauischem Kunden ist, dass bei einer Starface Cloud die Ports ebenso von extern erreichbar sind.

    Viele Grüße
    Markus


    MARIS Computer GmbH
    STARFACE Excellence+ Partner

  • > Mein Argument bei einem Misstrauischem Kunden ist,
    > dass bei einer Starface Cloud die Ports ebenso
    > von extern erreichbar sind.


    Da stehst du aber nicht in der Haftung!


    Meine Initiale Frage war ja auch z.B. extra, wie sichern andere Händler das Haftungsrisiko ab?


    VPN tötet ja an sich jede direkte Kommunikation mit der SF.
    Es sei denn, ich nutze VPN on demand.
    Aber auch das hat zahlreiche Nachteile.


    Hm.
    Also so richtig überzeugt mich Starface Lösung nicht bei Nutzung von unterwegs...


    Aber ich finde interessant - und bezeichnend ? - das sich hier bisher kaum andere Kollegen eingemischt haben.


    Vogel Strauß Taktik?
    Was ich nicht weiß...???


    Gruß, R.

  • Aus meiner Erfahrung* fahren viele die Taktik "wenn es läuft gut".
    Solche Sachen wie z.B. das Zertifikate immer akzeptiert werden (was hier vermutlich auch der Fall ist?) werden ignioriert.


    Wir arbeiten bis heute nur mit VPN, ich hab zu viele Fragen beim UCC Client & Sicherheit.


    * https://support.starface.de/fo…ver-yes-Sicherheitsrisiko!
    * https://support.starface.de/fo…nalisierung-nach-RFC-3325

  • Man möge es halt wählbar machen. Und zwar nicht im Client, sondern über den Admin-Bereich der Starface selbst.


    Vorstellung:
    Der Client akzeptiert jedes (auch noch so ungültige Zertifikat) und bekomme vom Server mitgeteilt, ob er das darf oder nicht. Sofern das Zertifikat ungültig ist und er ein ungültiges Zertifikat nicht nutzen darf wird die weitere Kommunikaton mit dem Server verweigert und dem Nutzer mitgeteilt "Zertifikat ungültig, keine Freischaltung auf Serverseite für ungültige Zertifikate erteilt".


    Damit kann dann die normale Nutzung weiterlaufen und bei Bedarf (ausgelaufene aber noch nicht erneurte Zertifikate) muss nicht der gesamte Geschäftsbetrieb eingestellt werden.

    Einmal editiert, zuletzt von bytegetter ()

  • Dann kann ein Fake-Server ein ungültiges Zertifikat ausliefern und anschliessend Mitteilen "Ja, du darfst ungültige Zertifikate nutzen", und zum schluss: "Gib mir deine Zugangsdaten, Danke! Und tschüss!"


    Dann müsste man ein par Domänen mit Schreibfehler für die Cloud erwerben: starface-cld.com, starfac-cloud.com usw..., dort einen generelle Umleitung für jeden Suffix auf einen Server machen, und jedes mal wenn nun ein User einen Tippfehler macht, bekommt der Bösewicht Zugangsdaten geliefert.


    Noch einen Schritt weiter.
    Ein Bot kann dann mit den Zugangsdaten zur REST-Schnittstelle gehen, alle Möglichen Adressen, und CDR-Infos und weiteres extrahieren, gleich noch die E-Mail Adresse des Users herausfinden, als der er gerade Eingeloggt ist, und eventuell gleich ein Automatisches Erpresser E-Mail senden.

  • Wir haben hier einige Apps/Verbindungen auf Android mit einer eigenen CA (welche in Android importiert wurde), das geht ohne Probleme.
    Sobald man die CA auf dem Android löscht verbindet sich die App nicht mehr.

  • Naja ich hab kein Problem damit ein Haken* zu setzen "disable certificate verification", aber im Moment kann ich das gar nicht steuern/erkennen.


    * zum entwickeln, testen,...

  • Kannst ja ein Vorschlag in Uservoice machen und gucken wie nach 8 Jahren die Rückmeldung aussieht..


    Schließt doch bitte nicht aufgrund einiger alter Fälle pauschal auf die Zukunft.


    Uns ist bewusst, dass es beim Thema hier noch Verbesserungspotential gibt. Es bedarf noch einer sorgfältigen Ausarbeitung eines Konzepts, das dann hoffentlich auch wirklich allen nennenswerten Anforderungen gerecht wird und dabei auch alle technischen und sonstige Aspekte die eine Rolle spielen berücksichtigt.
    Wir Ihr ja alleine schon an der Diskussion in diesem Thread seht, gehen auch Eure Meinungen dazu durchaus auseinander. Und wir haben dabei noch eine ganze Reihe weitere Aspekte zu berücksichtigen, die hier noch gar nicht genannt wurden.


    Detailliertere Infos und Diskussionen zu diesem und anderen Security-Themen gerne in direkter Kommunikation mit uns. Wir sind da sehr offen, bitten aber um Verständnis dass wir aus Sicherheitsgründen nicht alle sicherheitsrelevanten Themen in einem öffentlichen Forum bis ins letzte Detail offenlegen wollen. Im Direktkontakt geht das, ggf. ist dazu ein NDA erforderlich.


    Gruß
    Andreas

    Presales Manager


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Naja ich wollte nur wissen ob man einen Haken einbauen kann das die CA in der UCC Android App nicht verifiziert wird, aber im default immer verifiziert wird.
    Und das in der /etc/asterisk/sip.conf "tlsdontverifyserver=yes" steht (ohne Hinweis/Option in der GUI) ist auch kein Geheimnis.


    Wenn es dafür eine direkte Kommunikation braucht bitte bei mir melden, meine Kontaktdaten sind bekannt.


    Ich hab auch kein Problem wenn meine Beiträge zu diesem Thread gelöscht werden, würde aber äußerst bedauerlich finden.

  • ... und mir ist die SF da generell dann einfach „zu offen“ im Internet.


    Habe mal geschaut, was da so alles angreift.
    CN, RU etc. ohne Ende.


    Habe da kein gutes Gefühl.


    Und regionalisierung hilft nicht viel, wenn Angreifer lokale Dienste/Ip nutzen bzw. ihre echte natürlich verschleiern.

  • ... und mir ist die SF da generell dann einfach „zu offen“ im Internet.


    Habe mal geschaut, was da so alles angreift.
    CN, RU etc. ohne Ende.


    Habe da kein gutes Gefühl.


    Naja, ob überhaupt aus dem Internet und wie offen (welche Ports man weiterleitet und welche Quell-IPs man dabei zulässt) entscheidet ja jeder Admin selbst.
    Dass man durch Weglassen von ggf. nicht benötigten Ports (z.B. 80 und 5060) schon mal jede Menge Angriffs-Versuche fern hält, hatte ich Anfang des Threads ja schon mal empfohlen.
    Für das was übrig bleibt haben wir extra den sehr gut funktionierenden Security-Advisor in die STARFACE implementiert. Dieser ist vor allem für Klein- und Kleinstkunden gedacht die typischerweise keine Ahnung von der Materie haben und sich auch nicht viel damit beschäftigen wollen. Jedem der "noch mehr" haben möchte bleibt es natürlich frei überlassen, ggf. noch einen SBC oder ein Firewall mit Packet-Inspection und was es alles noch so gibt dazwischen zu schalten.



    Und regionalisierung hilft nicht viel, wenn Angreifer lokale Dienste/Ip nutzen bzw. ihre echte natürlich verschleiern.


    Klar gibt es welche die Ihre Adresse spoofen. Aber durch Geoblocking kann man schon eine ganz erhebliche Menge von Angriffen abhalten.


    Oder wie ebenfalls schon vorgeschlagen: Server nur per VPN oder sonstigen MDM-Tunnel-Lösungen erreichbar machen.


    Die Frage ist immer was einem wichtiger ist: Komfort/Einfachheit/wenig Aufwand/niedrige Kosten oder maximale Sicherheit. I.d.R. passen beide Seiten nicht zusammen und in der Praxis läuft es daher auf einen gesunden Kompromiss raus.

    Presales Manager


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!