3CX Provisionierungs-Ordner schützen

Provisioningordner vor unbefugtem Zugriff schützen (IIS)

Posted on June 6th, 2012 by Corina Werner, Marketing Manager - DACH

Mit der Öffnung des Ports 5000 ins Internet steht der Provisioningordner für IP-Telefone für potenzielle Angreifer offen. Auch wenn die MAC Adresse mit dessen Zusätzen erst einmal gescannt und gefunden werden muss, kann hier pro-aktiv eine weitere Hürde eingebaut werden. Die Abfrage eines weiteren Usernamens und Passwortes.

Um dieses zu aktivieren wechseln Sie in den Internet Information Service (IIS) Manager und öffnen
Server>Seiten>3CX Phone System Web Server und klicken auf “provisioning”. In dem Optionsmenü wählen Sie dann “Authentication” aus.

Im Authentifizierungsmenü wählen Sie nun die Option “Anonymous Authentication” ab auf “Disabled” und aktivieren “Basic Authentication” auf “Enabled”.

Anschließend führen Sie einen Rechtsklick auf den Ordner “provisioning” aus.

Wählen Sie die Option “Edit Permissions” aus und fügen Sie im Tab “Security” einen User aus, den Sie nutzen möchten um die Auth. am System durchzuführen. Im Idealfall nutzen Sie hier einen separaten User, der keine weitere Verwendung hat und dessen Passwort nie ausläuft. In diesem Beispiel verwenden wir den User “Phonemin” mit dem Demopasswort “Pass12345”.

Um nun ein Telefon zu provisionieren geben Sie den HTTP-Provisioning-Link mit der folgenden Schreibweise passend zu Ihrem Telefonmodell an:

Allgemein “http://user:pass@provisioninglink”
Beispiel “http://phonemin:pass12345@provisioninglink”
Für Snom “http://phonemin:pass12345@IPofPBX:5000/provisioning/cfg{mac}”
Für GS/YL/Tiptel “http://phonemin:pass12345@IPofPBX:5000/provisioning/”
Für Cisco “http://phonemin:pass12345@IPofPBX:5000/provisioning/$MA.xml”

Optionale weitergehende Absicherung

Ab IIS 7 besteht die Option eine dynamische IP Sperre gegen Brute-Force-Angriffe zu installieren.
Um diese weitere Sicherheit anzuwenden gehen Sie wie folgt vor:

Laden Sie das Plug-In “Dynamic IP Restrictions” von diesem Link herunter: http://www.iis.net/download/dynamiciprestrictions
Sollten Sie weitere Dienste auf dem IIS ausführen, prüfen Sie vorab die Kompatibilität oder Beeinträchtigungen dieses Plugins! Nach der Installation starten Sie die MNG Console des IIS neu.
Navigieren Sie auf Server>Seiten>3CX Phone System Web Server wählen nun im Optionsmenu “Dynamic IP Restrictions” aus.
Konfigurieren Sie das Plugin nach Ihrem Gusto, eine mögliche Einstellung ist:
Öffnen Sie im Anschluss die “Show Allowed Addresses…” unter Punkt 5 zu sehen und definieren Sie hier neben “127.0.0.1” alle internen IP Adressen, die Sie auf dem 3CX Phone System betreiben.