Upload
askozia
View
39
Download
0
Embed Size (px)
Citation preview
Sichere Passwörter • Zahlen, Buchstaben und Sonderzeichen •Minimum 8 Zeichen • Keine Wörter
adminpassword
000012344321
askoziaaizoksa
8C+inL6B}4_kQu3F6b?!1Q_ct!88_u7V.dLN
1@i+yY{L97Km
•DDoS-Attacken unterbinden • Anlage wird langsam, Registrierung nicht mehr möglich
•Brute-Force-Attacken • Passwörter werden ausprobiert, bis der Account missbraucht wird
Warum eine Firewall?
Warum eine Firewall?
…NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13796" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13797" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13798" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13799" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13800" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13801" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer found…
Sip-Brute-Force-Attacks
Warum eine Firewall?
…dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 61.174.251.226:37142dropbear[19713]: Child connection from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271…
SSH-Angriffe
Warum eine Firewall?Was kann passieren?
• Hohe Telefonrechnungen • Anlage wird “übernommen” • Passwörter werden auf dem Schwarzmarkt verkauft (Provider, E-Mail-
Accounts) • Anlage wird für kostenlose Telefonie genutzt • Durchwahlen und Faxgeräte werden für Betrug genutzt • System wird als SPAM-Verteiler genutzt • Gespräche werden aufgezeichnet (Spionage) • Trojaner/Viren werden installiert •Weitere IT-Systeme werden infiziert (internes Netzwerk) • Gesichtsverlust vor dem Kunden
Warum eine Firewall?Lösung
• Ports über eine globale Firewall sperren •Portweiterleitung sind nicht nötig und gefährlich! •NAT-Firewall benutzen • Askozia-Firewall aktivieren • Ports für das Internet sperren • Fail2Ban benutzen • IP wird automatisch nach n-Versuchen gesperrt • Angriffe werden effektiv unterbunden
• VPN nutzen • Teilnehmer telefonieren verschlüsselt • Keine Audio-Probleme
• Eine schlecht konfigurierte Firewall ist so gut wie keine Firewall
Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Laye
r 2 (S
witc
h)
Laye
r 3 (R
outin
g)
SIP-
ALG
, SIP
-Pro
xy
MAC
Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP
Laye
r 2 (S
witc
h)
Laye
r 3 (R
outin
g)
SIP-
ALG
, SIP
-Pro
xy
Dee
p Pa
ckag
e In
spec
tion
MAC
Application
Presentation
Session
Transport
Network
Data Link
Physical
SIP
IP Network IPe.g. 216.123.123.123
SIP IPe.g. 192.168.1.5
Laye
r 2 (S
witc
h)
Laye
r 3 (R
outin
g)
SIP-
ALG
, SIP
-Pro
xy
Dee
p Pa
ckag
e In
spec
tion
MAC
RouterDHCP
FirewallDHCP
NAT IPv4172.0.0.x
Internet
Public IP216.123.123.123
LAN
NAT IPv4192.168.1.x
SIP-ServerSIP-Gateway(Provider)
192.168.1.5
216.123.123.123
Firewall Konfiguration doppeltes NAT
RouterDSL-Mode
FirewallDHCP-Server
PPPoE216.123.123.123
Internet
Public IP216.123.123.123
LAN
NAT IPv4192.168.1.x
SIP-ServerSIP-Gateway(Provider)
192.168.1.5
216.123.123.123
Firewall Konfiguration doppeltes NAT
Firewall Konfiguration pfSense
• System > Advanced > Firewall/NAT
•Firewall Optimization Options -> Conservative UDP timeouts resultieren in Verbindungsabbrüchen oder fehlenden SIP-Registrierungen
•Disable firewall scrub Kann mit einigen Netzwerkkarten zu Paketverlust führen
•Firewall rules for WANHinzufügen eines Alias für den Provider und für AskoziaFreigeben aller Verbindungen zwischen dem Alias des Provider und der Askozia