Hallo Forum,
Einige Fragen bezüglich Absicherung der 3CX. Ich bin noch recht neu in der VOIP-Welt. Den Artikel über die Firewallsettings habe ich gelesen und auch so umgesetzt. Firewallcheck ist ok und es funktioniert auch alles. Jetzt möchte ich das Ganze aber etwas mehr absichern. Eine Portweiterleitung aller IP-Adressen auf die 3CX führt nur zu vielen Sperreinträgen innerhalb der Anlage. Dies möchte ich schon durch die Firewall unterbinden.
Ich habe jetzt des Öfteren hier im Forum gelesen, daß Zugriff auf die Ports nur vom VOIP-Provider zugelassen werden müssen. Heißt das, daß jede eingehende Verbindung immer nur vom VOIP-Provider kommt, egal wer weltweit anruft?
Um es mal an den Ports direkt festzumachen:
Port 5060 (SIP): das ist wohl der wichtigste Port, da darüber die Verbindungen aufgebaut werden. Wird nun ein Telekom-SIP-Trunk benutzt, müsste es reichen die Portweiterleitung nur für alle Telekom SIP-Trunk IPs (oder Subnetze) weiterzuleiten? Mit dieser Whitelist wären alle anderen IPs schon firewallseitig gesperrt. Kommen so trotzdem alle eingehenden Anrufe durch? Sprich kommen eingehenden Verbindungen immer nur über meinen VOIP-Provider, egal von wo jemand anruft? Warum thematisiert das die 3CX Anleitung dann nicht so? Die Empfehlung den Port komplett freizugeben ist doch dann übertrieben?
Falls das Ganze so ist, gibt es eine Liste der IPs/Subnetze die die Telekom für SIP-Trunks nutzt (auch für Business-Anschlüsse)?
Port 9000-10999 (RTP): trifft da das Gleiche wie für Port 5060 zu? Sprich man kann dafür die selbe Whitelist benutzen (Telekom only)? Kommen also auch alle Datenkanäle immer über unseren VOIP-Provider (auch FAX usw.)?
Port 5061 (Secure SIP): Müsste ja auch die selbe Whitelist betreffen wie 5060. Das bereitet mir aber etwas sorgen, ist normaler VOIP-Traffic nicht verschlüsselt? Werden Gespräche an Port 5060 oder den Datenports unverschlüsselt durchs Internet übertragen? Scheint mir ein erheblicher Sicherheitsverlust im Vergleich zu ISDN zu sein. Wie zwingt man einen SIP-Trunk auf Verschlüsselung? Intern ist dies nicht unbedingt nötig, da VLAN getrennte Netze vorhanden sind, aber extern sollten doch alle ein- und ausgehenden Verbindungen verschlüsselt sein? Oder führt dies dann zu fehlgeschlagenen Anrufen wenn die Gegenstelle keine Verschlüsselung unterstützt?
Port 5090: Nur nötig, wenn Apps direkte Verbindungen zu der 3CX aufbauen wollen. Wenn keine Apps benutzt werden kann dieser Port geschlossen bleiben?
Port 443/5000/5001: Nur nötig, wenn Remote-Phones sich direkt an der 3CX anmelden sollen oder wenn ein Tunnel von einer anderen 3CX aufgebaut werden soll. Sprich die Whitelist könnte nur alle IPs von Remotestandorten enthalten (mit Ausnahme des 3cx Webmeeting FQDN). Die VOIP-Provider Subnetze wären nicht nötig?
Danke für die Unterstützung. Ich habe zwar gelesen, daß ab v16 die Weiterleitung von 5060 überhaupt nicht mehr nötig ist, dies aber auch stark von der eingesetzten Firewall abhängt. Ob dies auch auf die RTP Ports zutrifft habe ich nicht gelesen. Gerade aber 5060 für die ganze Welt zu öffnen scheint mit nicht sehr sicher (auch wenn die 3CX das sehr gut abfängt). Aber in Sicherheitsfragen ist weniger meist mehr
Version ist die aktuelle v15 SP6 (15.5.15502.6).
Grüße
Einige Fragen bezüglich Absicherung der 3CX. Ich bin noch recht neu in der VOIP-Welt. Den Artikel über die Firewallsettings habe ich gelesen und auch so umgesetzt. Firewallcheck ist ok und es funktioniert auch alles. Jetzt möchte ich das Ganze aber etwas mehr absichern. Eine Portweiterleitung aller IP-Adressen auf die 3CX führt nur zu vielen Sperreinträgen innerhalb der Anlage. Dies möchte ich schon durch die Firewall unterbinden.
Ich habe jetzt des Öfteren hier im Forum gelesen, daß Zugriff auf die Ports nur vom VOIP-Provider zugelassen werden müssen. Heißt das, daß jede eingehende Verbindung immer nur vom VOIP-Provider kommt, egal wer weltweit anruft?
Um es mal an den Ports direkt festzumachen:
Port 5060 (SIP): das ist wohl der wichtigste Port, da darüber die Verbindungen aufgebaut werden. Wird nun ein Telekom-SIP-Trunk benutzt, müsste es reichen die Portweiterleitung nur für alle Telekom SIP-Trunk IPs (oder Subnetze) weiterzuleiten? Mit dieser Whitelist wären alle anderen IPs schon firewallseitig gesperrt. Kommen so trotzdem alle eingehenden Anrufe durch? Sprich kommen eingehenden Verbindungen immer nur über meinen VOIP-Provider, egal von wo jemand anruft? Warum thematisiert das die 3CX Anleitung dann nicht so? Die Empfehlung den Port komplett freizugeben ist doch dann übertrieben?
Falls das Ganze so ist, gibt es eine Liste der IPs/Subnetze die die Telekom für SIP-Trunks nutzt (auch für Business-Anschlüsse)?
Port 9000-10999 (RTP): trifft da das Gleiche wie für Port 5060 zu? Sprich man kann dafür die selbe Whitelist benutzen (Telekom only)? Kommen also auch alle Datenkanäle immer über unseren VOIP-Provider (auch FAX usw.)?
Port 5061 (Secure SIP): Müsste ja auch die selbe Whitelist betreffen wie 5060. Das bereitet mir aber etwas sorgen, ist normaler VOIP-Traffic nicht verschlüsselt? Werden Gespräche an Port 5060 oder den Datenports unverschlüsselt durchs Internet übertragen? Scheint mir ein erheblicher Sicherheitsverlust im Vergleich zu ISDN zu sein. Wie zwingt man einen SIP-Trunk auf Verschlüsselung? Intern ist dies nicht unbedingt nötig, da VLAN getrennte Netze vorhanden sind, aber extern sollten doch alle ein- und ausgehenden Verbindungen verschlüsselt sein? Oder führt dies dann zu fehlgeschlagenen Anrufen wenn die Gegenstelle keine Verschlüsselung unterstützt?
Port 5090: Nur nötig, wenn Apps direkte Verbindungen zu der 3CX aufbauen wollen. Wenn keine Apps benutzt werden kann dieser Port geschlossen bleiben?
Port 443/5000/5001: Nur nötig, wenn Remote-Phones sich direkt an der 3CX anmelden sollen oder wenn ein Tunnel von einer anderen 3CX aufgebaut werden soll. Sprich die Whitelist könnte nur alle IPs von Remotestandorten enthalten (mit Ausnahme des 3cx Webmeeting FQDN). Die VOIP-Provider Subnetze wären nicht nötig?
Danke für die Unterstützung. Ich habe zwar gelesen, daß ab v16 die Weiterleitung von 5060 überhaupt nicht mehr nötig ist, dies aber auch stark von der eingesetzten Firewall abhängt. Ob dies auch auf die RTP Ports zutrifft habe ich nicht gelesen. Gerade aber 5060 für die ganze Welt zu öffnen scheint mit nicht sehr sicher (auch wenn die 3CX das sehr gut abfängt). Aber in Sicherheitsfragen ist weniger meist mehr
Version ist die aktuelle v15 SP6 (15.5.15502.6).
Grüße
Zuletzt bearbeitet: