rakli 13 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hallo, wenn ich IP Telefonie einführen will, was muss ich bei Design der Anlage in Bezug auf die Sicherheit beachten? switch Meiner Meinung nach ist der switch ein Schwachpunkt, wenn er manipuliert wird oder ein hub wird dazwischen geschaltet ist, es mit der Sicherheit vorbei. Telefon Manche IP Telefone haben einen switch, wo sich der PC verbinden kann. Habe ich den PC unter Kontrolle, so habe ich auch das Telefon unter Kontrolle ? Worauf muss man noch achten? Rakli Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 ich habe hier einen interessanten artikel zum thema gefunden: VoIP und Sicherheit Zitieren Link zu diesem Kommentar
rakli 13 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Danke xcode-tobi, VoIP extern werde ich mir gut überlegen, da lauer schon Gefahren. Intern sehe ich dagegen die Gefahr des Abhören. Bei einer klassischen Telefonanlage muss ich an den Verteiler oder ans Kabel. Bei VoIP kann ich von PC her den Lauschangriff starten. Rakli Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hi, ich seh das eher nicht so kritisch. Wenn man lang genug sucht oder nachdenkt findet man zu jedem Protokoll/Verfahren/... Schwachstellen. Man muss die Telefone ja nicht ins selbe Subnetz wie die PCs hängen. Die TK vielleicht auch nicht ins selbe Netz wie die Telefone und dazwischen eine Firewall mit VOIP-Plugin (SIP, H323). Unsere TK geht bei den Endgeräten auf die MAC bei der Telefonverwaltung. Also so einfach was abstecken und was anderes anstecken ist nicht soooo einfach. Wenn da jemand wirklich schaden möchte, muss er sich anstrengen. Und da würde es wiederrum einfachere Wege geben. Ich denke da nur einmal an PC abpatchen, Access-Point anpatchen. Vielleicht steh ich mit dieser Meinung allein da, aber man macht sich viel zu oft verrückt. Man kann viel Zeit und Geld in Pseudo-Security investieren. Nutzt alles nichts, wenn zb die Buchhalterin einen USB-Stick in der Firma findet und den vor Neugierde einfach mal ansteckt. Ich persönlich möchte VOIP nicht mehr missen. Außenstelle A (Ausland) telefoniert oft mit dem HQ. Wird auf Dauer teuer. VOIP-phone angesteckt, auf der Branch-FW-BOX das FW-Ruleset angepasst und schon telefonieren wir als würden die Herren im Raum nebenan hocken. Ich hoffe hier jetzt keine "Wie kann der sowas sagen, ..." Diskussion entfacht zu haben. :-) LG Falk Zitieren Link zu diesem Kommentar
Ninu 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hallo zusammen, sinnvoll aufgebaut ist VoIP für inHouse-Kommunikation genauso sicher, oder auch unsicher wie jedes andere LAN. Sinnfrei aufgebaut ist es durchaus ein Scheunentor, das sich selbst und dein Computernetz so weit öffnet, das man noch nicht einmal mehr den Hausschlüssel unter der Fußmatte braucht um bei dir einzubrechen :-). Mit sinnvoll meine ich folgendes: getrennte IP-Netze für Telefone und PCs (z.B. Telefone in 192.168.250.x, PCs in 172.16.x.x) Sauber aufgezogene und getrennte VLANs für PCs und Telefone Verwaltung der Telefone via MAC-Addressen Abschalten der ggf. vorhandenen WEB-Server der Telefone keine statischen oder gar permanenten Routen zwischen den VLans (klar, zum Verwalten des Telefon-Servers benötigt man eine entsprechende Route, aber die kann man auch löschen, wenn sie nicht mehr benötigt wird) wenn DHCP dann entweder zwei getrennte Server oder einen sicheren DHCP-Helper Beschränkung der Berechtigungen im VLAN der Telefone, z.B. durch MAC-Filter auf dem VLAN. Sinnvolle Einstellungen an der Firmenfirewall, desgleichen am Router (z.B. die Calls werden nur zum/vom PMX/E1 geroutet, aus dem Internet kein Access auf das Netz "Telefon", etc...) Hat man das alles beachtet, kann man sich um Feinheiten weitere Gedanken machen. Fragen wie "Soll ich den Hub des Telefons nutzen für die PCs oder nicht?" stellen sich dann meißt gar nicht mehr. Es wird zwar das selbe physische Medium verwendet, aber auch wenn man 2 getrennte Leitungen nimmt können diese getrennt "abgehört" werden. Die dadurch gewonnene Sicherheit ist eher als marginal zu betrachten. Wir nutzen VoIP bei uns inHouse und demnächst auch "InterOffice". Für den Rest der Welt gibt es immer noch die gute alte ISDN-Leitung via 2 PMXern. Und das wird auch noch eine ganze Weile so bleiben. Es gibt nämlich derzeit keinen Provider der ein eigenes, weltweites Backbone für eine entsprechene Verschlüsselung und ein End-to-End-QoS bieten kann :-). VoIP für "InterOffice" kann ebenfalls sicher sein, wenn man schon von vornherein einen entsprechenden Tunnel hat oder entsprechend einen aufbaut (Site-to-Site-VPN)... Bitte, bitte dafür keine DynDNS-Geschichten basteln, da kann man auch gleich die Flüstertüte nutzen, das ist billiger und hat die gleiche Sicherheitsklasse ... . Beim Tunnel ist noch zu beachten, dass dann innerhalb des Tunnel ein entsprechender QoS definiert wird für das Protokoll, sonst hat man schnell ein "YmhgrwImhs" (You might have guessed right, what I might have said). Und ich denke das ist für den Geschäftsablauf nicht gerade förderlich :-). Gruß Ninu PS: Aus den oben genannten "Forderungen" leiten sich selbstverständlich auch die Forderungen an die Infrasruktur des Netzwerks ab, also z.B. Switche, die VLANs sauber verarbeiten können und halt eben nicht einfach mal ne Brücke schlagen :-). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.