Sichere Unified Communications (2)

Zielgerichtet

Seitens der Anbieter kommen in Sachen Unified Communications meist nur bunte Features zur Sprache. Unter dem Radar bleiben jedoch eine steigende Komplexität, eine Vergrößerung der IT-Umgebung gegenüber reinen Telekommuni­kationssystemen und damit eine höhere Zahl an Angriffsvektoren. Im ersten Teil unserer Workshopserie haben wir grundlegende Security-Aspekte beleuchtet. Im zweiten Teil wenden wir uns den spezifischen Maßnahmen zu.
Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten ... (mehr)

Viele Session Border Controller (SBCs) bieten erweiterte Funktionen wie die Auswertungen der Quell- und Zielrufnummern sowie Host-Adressen, um Schleifen zu vermeiden. Ein Missbrauch solcher Schleifen durch Angreifer ermöglicht es, Auslandsrufnummern oder Mehrwertdienste auf Kosten des Anschlussinhabers anzurufen, was hohe Kosten verursachen kann. Es besteht auf SBCs meist auch die Möglichkeit der Sperrung bestimmter Quellrufnummern. Zusätzlich gilt es, sich vor TDoS-Attacken (Telephony Denial of Service), also massenhaften illegitimen Anfragen spezifischer Gegenstellen, zu schützen.

UC-Schutz per SBC

Hierfür bieten einige SBCs ein spezifisches Intrusion Prevention System, das Anfragen bei Überschreiten von festzulegenden Schwellenwerten stillschweigend droppen kann. Zusätzlich gilt es, RTP-Flood und RTP-Injection-Attacken abzuwehren. Auch diese Aufgabe können SBCs übernehmen. Unter RTP-Flood verstehen wir die Überflutung eines dynamisch geöffneten UDP-Ports für die eingehenden RTP-Streams. Dies führt bei einigen Komponenten zu einem Denial of Service. RTP-Injection-Attacken sind Versuche, Gesprächsinhalte in RTP-Streams zu injizieren, also zum Beispiel bei einem per Telefon angefragten Vertragsabschluss ein "ja" einzuspielen, das gar nicht vom Angerufenen stammt.

Neben dem Schutz an externen VoIP-Netzgrenzen gilt es auch, eigentlich trivial und selbstverständlich anmutende Themen wie die PIN-Absicherung von Voice-Mail-Systemen und TK-Applikationen wie DISA (Direct Inward System Access) vorzunehmen. Letzteres ist ein Verfahren, über das externe Nutzer Telefonate über ihre interne Office-Rufnummer nach vorheriger Einwahl tätigen können. Des Weiteren sollten Sie Funktionen wie eine mögliche Rufumleitung über die Telefoneinwahl von Voicemail-Systemen aus Sicherheitsgründen deaktivieren, um Gebührenbetrug zu vermeiden. Eine Änderung von Standard-PINs ist

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020