Sobald das 3CX Phone System mit VoIP Providern oder externen Nebenstellen, die nicht via Tunnel angebunden sind, verbunden wird, muss das System durch ein NAT aus dem Internet erreichbar gemacht werden. Dabei ist das System auch potenziellen gefahren ausgesetzt, die aus dem Internet kommen. Dieser Guide gibt grundlegende Regeln um sein System vor Hackern aus dem Internet zu schützen.Vorwort: Die Sicherheit des internen Netzwerkes ist Aufgabe des System-Administrators. Die Angaben beschreiben lediglich eine tech. Umsetzung. Allgemein gilt, dass jegliches öffnen eines Ports auf dem NAT Router eine Gefahr darstellt und durch sichere Passwörter,Virenscanner, Updates und interne Firewall abzusichern ist.
Backups (Update I)
Sollten Sie das 3CX PhoneSystem aus Backup wieder hergestellt haben, wird durch das 3CX Phone System nicht automatisch die Passwörter auf sichere Passwörter umgestellt. Dieses gilt für Nebenstellen (Passwort und PIN), das 3CX-Tunnel (Passwort), PSTN Gateways (Passwort und ID) und auch die gerne vergessene FAX Nebenstelle(n). Alle neu installierten 3CX Phone Systeme ab V9 SP 4 werde standardmäßig mit sicheren Passwörtern an kritischen Stellen versorgt. Eine gute Adresse für Passwörter finden Sie hier: http://www.gaijin.at/olspwgen.php
Voice Mail Box
Solange Sie das Voicemail System der 3CX nicht nach extern Freischalten ist die PIN mehr um sich gegen interne User zu schützen notwendig. Sollte das Voicemail System von extern erreichbar sein und Sie die Option eingeschaltet haben, dass Sie aus dieser Rufnummern wählen können, sollten Sie auch hier mindestens 8 Ziffern vergeben.
Nebenstellen und PSTN Gateways
Eine weitere Absicherung das Passwörter von Nebenstellen und Gateways nicht durch Brute Force Attacken erraten werden (auch wenn Sie schon einem komplexem Schema entsprechen) ist zusätzlich die Nebenstellen – ID abzuändern. Es ist nicht zwingend notwendig, dass die Nebenstellennummer = Nebenstellen ID sein muss. Sehen Sie die ID als Usernamen an, den Sie frei definieren können.
Nebenstellen (Update III)
Mit der Einführung der Version 10 ist die Kontrolle gegeben worden, welche Nebenstelle sich von Extern an dem System anmelden können und welche nicht. Dabei wird die Angriffsfläche auf das System auf die minimale Größe reduziert. Unter den Nebenstellen finden Sie in dem Reiter “Weitere” die CheckBox “Disallow use of extension outside the LAN”. By default ist dieses für alle neuen Nebenstellen aktiviert, doch durch Backups aus einer vorherigen Version nicht Aktiv. Setzen Sie den Wert um diese Nebenstelle nicht von extern anmeldbar zu machen.
Geschäftszeiten Anrufe (Update III)
Mit der Einführung der Version 10 ist die Kontrolle gegeben worden, alle Anrufe außerhalb der Geschäftszeiten zu unterbinden. Aus unseren Erfahrungen sind SIP Server vermehrt von Angriffen in der Nacht sowie am Wochenende betroffen. Mit der Einstellung unter den globalen Optionen “Automatically disable Outbound calls on all Ports outside Office hours” kann unterbunden werden, dass Ihnen ein Hacker kosten verursachen kann in den Stunden wo Sie das System nicht betreuen können. Alle anderen vorgeschlagenen Umsetzung zielen drauf, dass es zu dieser Situation nicht kommen kann, dennoch sollte es passieren, ist dieses ein einfacher Schutz das System für den Hacker un-nutzbar zu machen. (Setzt voraus, dass Sie die Geschäftszeiten definiert haben)
Mit der Einführung der Version 10 ist die Kontrolle gegeben worden, alle Anrufe außerhalb der Geschäftszeiten zu unterbinden. Aus unseren Erfahrungen sind SIP Server vermehrt von Angriffen in der Nacht sowie am Wochenende betroffen. Mit der Einstellung unter den globalen Optionen “Automatically disable Outbound calls on all Ports outside Office hours” kann unterbunden werden, dass Ihnen ein Hacker kosten verursachen kann in den Stunden wo Sie das System nicht betreuen können. Alle anderen vorgeschlagenen Umsetzung zielen drauf, dass es zu dieser Situation nicht kommen kann, dennoch sollte es passieren, ist dieses ein einfacher Schutz das System für den Hacker un-nutzbar zu machen. (Setzt voraus, dass Sie die Geschäftszeiten definiert haben)
Länder-sperre (Update 4)
Mit der Einführung von der Version 11 ist die Kontrolle hinzufügt werden welche Ländervorwahlen erreichbar sind. Dieses setz voraus das die E.164 Nummern sperre zur eindeutigen Identifikation des Uhrsprung richtig gesetzt ist. Damit werden die geltenden Dialing Pattarns für die Länder gesetzt und verhindern selbst im Fall eines Hacks das Zielrufnummern unerlaubterweise angewählt werden können. Sollte jedoch in den Ausgehenden Regeln nachträglich Länderkennungen eingesetzt werden, ist die Funktion nicht nutzbar.
Firewall
1. Sollten Sie nur VoIP Provider nutzen und keine externen Nebenstellen, die eine wechselnde IP haben, ist der einfachste Weg sein System vor unbefugten Zugriffen direkt an der Firewall zu schützen. Filten Sie das NAT und setzen Sie die IPs der Provider als SRC und/oder DST des NATs sein. Ungebetene Hackangriffe scheitern hier schon, da kein Port 5060 (SIP) gefunden wird.
Erfragen Sie die IPs bei Ihrem Provider.
2.Mobile Externe Nebenstellen via UMTS oder 4G sollten sich nach Möglichkeit via 3CX Tunnel und dem 3CX Phone an dem System anmelden. Zu der sicheren Anbindung an das System (weitere Daten nötig) kommt die verbessere NAT Behandlung auf dem remote NAT Router hinzu. Stationäre externe Nebenstellen können unter Umständen den 3CX Sip Proxy Manager benutzen.
3.Müssen Sie von extern den Port 5060 auf das System Natten, da Sie wechselnde remote IPs haben und keinen 3CX Tunnel in Frage kommt, stellen Sie SICHER das die Punkte unter Passwort sicher sind!
Alternativen
1. Hacker suchen mittels Scannern nach offenen SIP Ports. Dieser ist nach RFC auf Port 5060 definiert. Sie haben Sie Möglichkeit den SIP Port den die 3CX PBX verwendet zu ändern und auf einen anderen zu verlagern. Nutzen Sie hier bestensfalls keinen “Well Know Port” (http://www.iana.org/assignments/port-numbers).
2. Posten Sie NIE in der Öffentlichkeit Ihre externe IP Ihres PBX Systems. Darunter sind Wireshark Captures oder LOG Auszüge auch zu beachten! Interne Logs und Pcaps können dagegen ohne weiteres gepostet werden.
Vorsicht und Vorbereitung hilft Nachsicht und Kosten zu sparen!
Frauenhofer (Update 2)
Kürzlich ist ein Leitpfaden des Fraunhofer Institutes erschienen, der noch mal die wesentlichen Punkte des Post bis hier aufgreift und in eineigne Details ergänzt.
