Discussion:
Telefonanlage ins Netz?
(zu alt für eine Antwort)
Alexander Goetzenstein
2022-10-01 16:40:49 UTC
Permalink
Hallo,
gegeben sei eine Telefonanlage (Auerswald COMpact 5200), die sich der
VoIP-Dienste von easybell bedient. Diese hängt an einer Fritz!Box 6590C
als exposed host, ist also mit allen Ports direkt übers Internet
erreichbar. Geschützt ist somit der Zugriff auf die Administration per
http bzw. https (?) nur durch Username und Passwort. Das scheint mir
suboptimal, doch der IT-Fuzzi meint, das muss so sein, da sonst kein
eingehender Anruf ankäme.

Stimmt das so, oder kann man das besser absichern?
--
Gruß
Alex
Marco Moock
2022-10-01 17:01:24 UTC
Permalink
Post by Alexander Goetzenstein
gegeben sei eine Telefonanlage (Auerswald COMpact 5200), die sich der
VoIP-Dienste von easybell bedient. Diese hängt an einer Fritz!Box
6590C als exposed host, ist also mit allen Ports direkt übers Internet
erreichbar. Geschützt ist somit der Zugriff auf die Administration per
http bzw. https (?) nur durch Username und Passwort. Das scheint mir
suboptimal, doch der IT-Fuzzi meint, das muss so sein, da sonst kein
eingehender Anruf ankäme.
Stimmt das so, oder kann man das besser absichern?
Nein, die Anrufe kommen sicher nicht über Port 80 und 443, den Zugriff
darauf kann man wenn man will auf die eigenen Netzbereiche begrenzen.
Thomas Einzel
2022-10-01 18:35:35 UTC
Permalink
Post by Alexander Goetzenstein
Hallo,
gegeben sei eine Telefonanlage (Auerswald COMpact 5200), die sich der
VoIP-Dienste von easybell bedient. Diese hängt an einer Fritz!Box 6590C
als exposed host, ist also mit allen Ports direkt übers Internet
erreichbar. Geschützt ist somit der Zugriff auf die Administration per
http bzw. https (?) nur durch Username und Passwort. Das scheint mir
suboptimal, doch der IT-Fuzzi meint, das muss so sein, da sonst kein
eingehender Anruf ankäme.
Stimmt das so, oder kann man das besser absichern?
Variante (A)

Simpelvariante mit Fritz: SIP Konten extern auf der Fritz zum Provider
einrichten, für die Auerswald in der Fritz SIP Konten mit spontaner
Amtsholung anlegen und die Auerswald für von und nach extern an den SIP
Konten der Fritz betreiben

Variante (B) mit DMZ:

echte DMZ für die Auerswald, Firewallregeln Traffic extern nur zum und
vom VoIP Provider, ggf. noch Ports einschränken. Wenn die Filterung auch
in statefull funktioniert, nur traffic ausgehend, dann eingehend alles
sperren für diese DMZ.

(B) kann eine Fritz AFAIK nicht, da müsstet ihr schon einen etwas
besseren Router in der Preisgrößenordnung der Auerswald Compact 5200 nehmen.
--
Thomas
Loading...