Sidebar Sidebar

Vorschau auf 3CX Version 20

JonasH_TTM schrieb:
Ließ dir doch nochmal den Blogbeitrag und den folgenden Beitrag von 3CX dazu durch ... dann weißt du das genau eben das der Plan ist in dem man die Adminrolle dann einem vorhandenen Benutzer zugeordnet wird.

Ich habe das mehr als verinnerlicht, da ich ja auch schon seit tagen hier im Forum darauf hinweise.
Nur 3CX scheint es eben mit der neuen Version so wie die sich das vorstellen wie es zukünftig funktioniert nicht verinnerlicht zu haben.

Ich zitiere:
Zum Vergrößern anklicken....
Den Blog habe ich geschrieben ;-). Man erstellt einen Adminnutzer oder weist die Rechte zu. Wir sagen ja hier nix anderes. Und jetzt?
 
  • Like
Reaktionen: bitn2
@JonasH_TTM ich kann dir nur empfehlen die aktuelle Beta einmal zu installieren und dir selber anzuschauen. So versuchst du nur ein Problem zu finden wo keins ist.
 
  • Like
Reaktionen: bitn2
JonasH_TTM schrieb:
Wenn du es genau ließt dann weißt du das 3CX das für SMB Kunden eben genau andersherum versteht aus Vereinfachungsgründen und da der Gedanke bei 3CX ist das hier ein normaler Benutzer die rechte zugewiesen bekommt ;)
Steht doch mehr als deutlich im Blogbeitrag und dem zuvor zitierten Beitrag von @MarcusK_3CX .

Auch damals als man die neue Systemeigentümer Rolle nach einem Update vor ein paar Monaten zuweisen sollte, stand bei dem Großen Roten Banner oben auch nicht, legen Sie eine neue Nebenstelle an und weisen Sie dieser die Rechte zu.

Die Vorstellung von 3CX geht hier eindeutig eben nicht in die Richtung das man sich eine separate Nebenstelle anlegt und dann der die Rechte zuweist sondern aus vereinfachungsgründen für SMB genau die endgegengesetzte Richtung.
Andernfalls wäre es ja auch keine null koma nix vereinfachung.

Und das ist, wie du ja auch sagst, ein No Go das ein normaler Benutzer der daily damit telefoniert die Admin Rechte bekommt.
Zum Vergrößern anklicken....
3CX kann nun aber auch nicht dir vorschreiben wie du als Admin zu arbeiten hast. Das solltest du schon selber wissen. Du meldest dich doch auch nicht mit dem Domänen Admin am PC an um damit zu arbeiten. Installiere dir bitte mal die V20 und schaus dir selber an. Ich bin nun auch raus....
 
Ein wesentlicher Vorteil der Zusammenlegung beider Konsolen ist, dass potentielle Angreifer weniger Einfallstore haben. Ob nun ein User Adminrechte hat oder ein extra Admin angelegt ist spielt im Kern keine große Rolle sofern der User/Admin entsprechend gute Zugangsdaten hat. Auch die Trennung von Adminkonsole und Webclient bietet dahingehend keinen großen Schutz. Wer weiß, dass das jeweils Andere existiert oder danach sucht, wird irgendwann fündig.

In wie weit die Adminkonsole userfreundlich ist bleibt abzuwarten. Ich bin gespannt. Sobald CFAs und deren Upload implementiert sind teste ich auch. :)
 
  • Like
Reaktionen: bitn2
Ich hab gestern abend meinen ersten Kunden auf "Version 20.0 Update 0 (Build 1340)" upgedatet.
Es ist eine 3CX Pro Lizenz.

Jetzt meine Fragen:
  • Wo sind die Inbound Rules abgeblieben? Auf der Übersichtsseite gibt es einen "Inbound Rules Report" mit dem ich die Konfiguration angezeigt bekomme und auch ein CSV exportieren kann. Wo ist die Einstellungsseite?
  • Wo sind die Ein-, Ausgangseinstellungen für die SIP Trunks versteckt? z.B. um "clip no screening" zu konfigurieren bzw. um andere Settings anzupassen.
Soweit so gut.

Mal sehen ob heute bei dem Kunden alles reibungslos läuft.
Ich drück schon mal die Daumen.
 
Toni schrieb:
Ich hab gestern abend meinen ersten Kunden auf "Version 20.0 Update 0 (Build 1340)" upgedatet.
Es ist eine 3CX Pro Lizenz.
Zum Vergrößern anklicken....
Wie kann man ein Kunden System auf eine Beta Version updaten was nicht für den Produktiv Einsatz gedacht ist?
 
  • Like
Reaktionen: bitn2
patrickb schrieb:
Sobald CFAs und deren Upload implementiert sind teste ich auch. :)
Zum Vergrößern anklicken....

Laut Blog Beitrag ist es nun soweit:

CFD – Call Flow Designer

Sie können jetzt Call Flow-Designer-Skripte hinzufügen/löschen. V18-Skripte sind mit V20 kompatibel und es sind keine Skriptänderungen erforderlich.
 
  • Like
Reaktionen: bitn2
bitn schrieb:
Wie kann man ein Kunden System auf eine Beta Version updaten was nicht für den Produktiv Einsatz gedacht ist?
Zum Vergrößern anklicken....
Gute Frage.
Ich hatte gestern Abend eine Neuinstallation (3cx Debian 10 ISO) mit der gesicherten Konfiguration durchgeführt.

Das System hat danach die V20 angeboten. Jedoch ohne Hinweis auf eine Betaversion.

Da hab ich das Update gestartet. Zur Not wird das Snapshot zurückgespielt.
 
Zuletzt bearbeitet:
Hallo.

Unser Sicherheitsexperte hat mir mitgeteilt, der Adminzugang darf keine Userrechte aufweisen.
Was bei V20 leider nicht so ist.

Grùsse
timm
 
  • Like
Reaktionen: dbmuc und JonasH_TTM
timmbo schrieb:
Hallo.

Unser Sicherheitsexperte hat mir mitgeteilt, der Adminzugang darf keine Userrechte aufweisen.
Was bei V20 leider nicht so ist.

Grùsse
timm
Zum Vergrößern anklicken....
Wie genau meinst du das? Der Admin kann doch eh alles... Da sind Userrechte doch egal. Wie begründet er das?
 
timmbo schrieb:
Hallo Jan.

Hat mir kurz nur mitgeteilt, man solle sich die POLPs richtlinien durchlesen.
Prinzip der minimalen Rechtevergabe (POLP)

Principle of least privilege - Wikipedia

en.wikipedia.org en.wikipedia.org

Servus
Timm
Zum Vergrößern anklicken....
Das kenne ich, finde ich an dieser Stelle nicht passend. Der Admin hat die Rechte doch eh. Bisher halt in der Form das er sich einfach eine Nebenstelle erstellt und schon hat er Userrechte.
 
Liebe "Kollegen",


ein Admin hat keine Benutzerrechte zu haben (siehe POLP).

Das wäre als würde ich als Domain-Administrator mit allen Userlaufwerken/Druckern/Userberechtigungen auf meiner Workstation bzw. an meinen Laptop mich anmelden, um damit als Admin Administratortätigkeiten zu verrichten.

Wenn das bei uns ein Techniker machen würde, ist das uns ein Grund für eine schriftliche Verwarnung sowie sofortigen Entzug aller Adminrechte mit Nachschärfung der IT Sicherheitsgrundlagen -> "passiert" das einen Senior Techniker werden wir dieses Arbeitsverhältnis beenden.

Ein User hat nicht mit Adminberechtigungen und ein Admin nicht mit Userberechtigungen zu arbeiten, auch nicht, wenn er in diesem System zufällig beide Funktionen erledigen muss.
Dafür gibt es im einfachsten Szenario eben zwei verschiedene Benutzer auf dem betroffenen System.

Um es mit einem Beispiel aus der IT zu verdeutlichen:
Will ich eine Rechtskonforme/Rechtssichere E-Mail Archivierung einhalten ist es unmöglich, als Administrator Userrechte zu erhalten, sobald ich als Administrator mir dieses Rechte verschaffe ist dieses Archivierungssystem weder rechtskonform (GDPR) noch als Rechtssicheres E-mailarchiv verwertbar.
I. d. R. erhält der Administrator beim Versuch diese Rechte für einen Admin Account zu erlangen eine Warnmeldung, welche ihn darauf hinweist, dass das System nach mit dieser Änderung nicht mehr compliant und dies auch nicht mehr rückgängig zu machen ist!

Oder machen wir es etwas weniger auf genau eine Technologie eingegrenzt:
In welchen renommierten oder offiziellen Unix/Linux/BSD Handbüchern/Manuals/BestPracticeGuides wird nicht davor gewarnt, als root Benutzertätigkeiten durchzuführen?
In welchen renommierten oder offiziellen Microsoft Handbüchern/Manuals/BestPracticeGuides wird nicht davor gewarnt als (Domänen)Administrator Benutzertätigkeiten durchzuführen?

Es ist traurig zu lesen, dass hier universell gültige Basic IT-Security Best Practices komplett negiert werden und auf "ich als Admin weiß ich tue gesetzt wird".


Es gibt auch nicht die eine Sicherheitsmaßnahme welche alles umfasst.

Eine IP Einschränkung ist Maximalist eine kleine (sehr winzige) Stellschraube im großen Ganzen eines durchdachten Sicherheitskonzeptes und kein echtes Sicherheitsmerkmal.

2-FA für Admin Accounts behebt „null Komma gar nicht“ das Problem der nicht vorhanden Trennung zwischen Admin- und Benutzerberechtigungen.

Eine Abhängigkeit der 2-FA Tools von externen Anbietern wie MS/Google (welche noch im (in)direkten Mitbewerb stehen) verstehe ich sogar noch weniger.


Es wird Zeit endlich echte Securityexperten zu beauftragen, ein echtes Sicherheitskonzept zu erstellen/verfolgen und das hat bei der Berechtigungsstruktur in der 3CX anzufangen und bis runter zum OS Hardening zu gehen.
 
  • Like
Reaktionen: dbmuc, vieledinge und JonasH_TTM
@JonasH_TTM & @timmbo :

Danke das mit dir/euch endlich noch jemand Wert auf IT Sicherheitsstandards legt!
 
  • Like
Reaktionen: dbmuc und JonasH_TTM
@MarcusK_3CX
@MarcosV_ 3CX

Es ist jedes Mal ein sehr ungutes Gefühl wenn uns Kunden auf das Thema Sicherheit bei 3CX ansprechen und wir wissen das hier einiges garnicht passt (siehe derzeitge Debian Versionen im 3CX Ökosystem plus offene CVE's bei eben diesen...).
So gerne wie wir als Anweder selbst 3CX benutzen und so einfach diese Hosts für uns zu verwalten sind, leider ist das Thema 3CX Security immer mit sehr viel Bauchschmerzen verbunden, und nein wir können nicht garantieren das unsere zusätzlichen Maßnahmen alle Angriffsvektoren beseitgen um die Mängel der 3CX Sicherheit abzufangen.
 
@MarcusK_3CX ich weiß nicht ob das schon bekannt ist, ansonsten anbei mal ein Screenshot eines möglicherweise vorhandenen Bugs.

Ich habe versucht eine V20 Anlage aus einem V18 Backup wiederherzustellen. Wichtiger Punkt: Das Backup wurde ohne Lizenzschlüsseldaten erstellt. Beim Upload während der Installation im Webbrowser meckert die V20 nun, das angeblich der Lizenzschlüssel ungültig sei, statt wie bisher in der V18 einfach nach diesem zu fragen.

Eine Wiederherstellung einer V20 aus einem V18 Backup das ohne Lizenzkey erstellt wurde, scheint mir also zum aktuellen Zeitpunkt nicht möglich zu sein.

Lösung: Anlage neu installieren mit entsprechendem Lizenzkey oder beim Backup den Key mit sichern. Alternativ: Anlage neu installieren und später das Backup via SFT hochladen und zurückspielen.

Warum das keine Lösung ist: So kann ich keine vorkonfigurierten Anlagenimages mit diversen schon gemachten Basiseinstellungen mehr einspielen die mir so bei Neuinstallationen ordentlich Zeit sparen.

Versionshinweis und Details zu den Maschinen:
ON-Prem installierte V18 Build 939
On-Prem installierte V20 Beta (aktuelles Build)
 

Anhänge

  • FehlerBackupV20.PNG
    FehlerBackupV20.PNG
    11,3 KB · Aufrufe: 5
Ich war schon so Mutig und habe unsere interne 3CX auf die V20 aktualisiert.

Im SIP Trunk werden die DND Abkürzungen nicht mehr unterstützt, somit muss bei großen Kunden alle Zuweisungen nochmal überarbeitet werden.
Weiterleitungen über einen internen Benutzer mit SIP 302 - Rufnummernübergabe funktioniert ebenfalls nicht mehr. Auch die MS SQL Abfrage vom Telefonbuch, funktioniert für den neuen 3CX Client, welcher über den MS Store bezogen wird nicht.

Nach dem Update hat unser Call-Routing nicht mehr funktioniert - ich spiele mich heute schon den ganzen Tag mit dem Thema und mir fallen immer mehr Themen auf, die in der V20 einfach nicht mehr vorhanden sind. Aus meiner Sicht, ist das eine Verschlechterung des Produktes. Unübersichtlich und weniger Funktionen. Wo ist hier der genaue Mehrwert? Ja toll... schön wenn ich Teams anbinden kann - noch besser als zuvor.. unser Kunden haben sich für die 3CX entschieden, da diese Erweiterte Funktionalität hatte.. nun verliert 3CX diesen Mehrwert.. ich denke wir müssen uns um ein neues Produkt umsehen (Starface, Swyx usw.) Man kann wirklich nur noch den Kopf schütteln, wie mit den Partnern umgegangen und das Produkt verschlechtert wird. Eigentlich sollte man nach so einer Attacke (Supply Chain Attack) erst einmal versuchen die Kunden zu halten und nicht noch zusätzlich zu verschrecken. Ich kann mir nur vorstellen, das die alte Verkaufsstrategie rechnerisch nicht ganz aufging und nun ein Weg gesucht wird (mit biegen und brechen) Profit zu machen. Das Produkt nähert sich immer mehr den "einfachen" Konkurrenten an wie z.B. Placetel oder NFON. Die sind ja auch nur noch über die Cloud erreichbar. Mal abwarten, wann 3CX nur noch bestimmte Funktionen in der Cloud-Version anbietet.

Ich habe gerade 2x Kunden in der Pipe, welche eine Telefonanlage benötigen, wir müssen uns nun ernsthaft überlegen, ob wir die 3CX noch für diese verwenden. Einer davon hat ein erweitertes Call-Routing mit 4x Rufnummernblöcken.. ich vermute, das wir mit v20 nur noch sehr eingeschränkt vorgehen können.

3CX muss unbedingt die Kunden darauf hinweisen, das nach einem Update einiges an manueller Arbeit notwendig ist, damit wieder alles "einigermaßen" funktioniert wie zuvor.
 
Zuletzt bearbeitet:
Komisch, ich kann meinen Post nicht mehr Editieren.

Wichtig ist, das beim SIP Provider (in meinem Fall ist es "easybell") in den Einstellungen unter "Rufnummernsignalisierung" auf "E.164 mit führendem "+" (empfohlen für die neuesten Versionen der 3CX Telefonanlage)" umgestellt wird.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Einstieg für Admins

Top-Foren

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 41 (Mitglieder: 0, Gäste: 41)

Statistik des Forums

Themen
21.982
Beiträge
110.851
Mitglieder
70.968
Neuestes Mitglied
favelio
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Verifizieren Sie Ihre E-Mail-Adresse

Prüfen Sie Ihren Posteingang!

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – Wenn Sie keine Nachricht finden können, dann überprüfen Sie auch Ihren Spam-Ordner.

Oben Unten
Zurück