Here are our advice for a secure and well functioning configuration of beroNet VoIP Gateways:
Sicheres Passwort
Die Zugangsdaten der beroNet VoIP Gateways sind im Auslieferungszustand „admin / admin“. Diese Information ist bekannt und in unserer online verfügbaren Dokumentation veröffentlicht, so dass es unerlässlich ist, Sie darauf hinzuweisen, dass Sie zur Erhöhung Ihrer Sicherheit das Passwort ändern.
Ein sicheres Passwort können Sie beispielsweise mit diesem Tool erzeugen: http://passwordsgenerator.net/
Deaktivierung von bfdetect
bfdetect ermöglicht es Ihnen Ihre beroNet VoIP Gateways im Netzwerk zu identifizieren und die IP-Einstellungen dieser zu verändern. Wir empfehlen es nur zu Beginn zu nutzen und dann zu deaktivieren um die Möglichkeit der Fremdzugriffe zu minimieren.
Sie können die Option deaktivieren, indem Sie über die Weboberfläche im Bereich „preferences+“ / „Einstellungen+“ unter „network settings“ / „Netzwerk“ die Option „Disable bfdetect“ / „Deaktiviere bfdetect“ setzen.
Nutzen einer https-Verbindung
HTTPS ist ein wichtiger Faktor zur Erhöhung der Sicherheit. Um eine verschlüsselte Verbindung, auch LAN-seitig zu gewährleisten, empfehlen wir https zu nutzen. Neben anderen Sicherheitsmerkmalen verhindert HTTPS das Dritte Ihre Zugangsdaten entwenden können sobald Sie sich einloggen. Beim Nutzen von selbst-signierten Zertifikaten sind diese den Ausnahmen in Ihrem Webbrowser hinzuzufügen.
Betreiben des Gateways hinter einer Firewall
Die Sicherheit eines VoIP Gateways erhöht sich, wenn es hinter einer Firewall betrieben wird und nur LAN-seitig erreichbar ist. NAT und Firewallrichtlinien sind daher unerlässlich zu setzen. Zum Beispiel in einem all-IP scenario , sollten Weiterleitungsegeln für den Port 5060 und der RTP-Port Range im Router definiert werden. Port-Weiterleitungen sollten auch gewissenhaft definiert werden, so dass zum Beispiel der Port 5060 nicht der gleiche auch auf der WAN Seite ist, denn nur so lässt sich die Sicherheit erhöhen und Angriffe können nur noch LAN-seitig erfolgen.
Konfiguration der ACL
Auch die ACL ist ein wichtiger Faktor der zu einer Erhöhung der Sicherheit beiträgt. Um das Gateway aus dem Internet heraus erreichen zu können muss die ACL konfiguriert sein. Der Zugriff auf das Gateway kann so auf bestimmte IP-Adresse begrenzt werden.
Die ACL können Sie über die Web-Oberfläche im Bereich „preferences+“ / „Einstellungen+“ unter „ACL“ konfigurieren. Die Konfiguration dieser Sicherheitsoption variiert abhängig davon ob das Gateway hinter einer Firewall ist oder nicht.
Gateway hinter einer Firewall
Befindet sich das Gateway hinter einer Firewall ist es bereits sehr sicher und das Nutzen von ACL ist nicht unbedingt notwendig. Sie können Sie jedoch nutzen um Angriffe auch LAN-seitig zu verhindern.
Die ACL kann den Zugriff nur auf den Administrator begrenzen. Im Auslieferungszustand kann Jeder das beroNet VoIP Gateways aus dem LAN heraus erreichen. Um den Zugriff einzuschränken deaktivieren Sie einfach untere Option.
Nun können nur noch die vorher definierten IP-Adressen das Gerät erreichen.
Beispiel:
Gateway ohne Firewall
Sollte Ihr beroNet VoIP Gateway direkt aus dem Internet erreichbar sein, empfehlen wir Ihnen dringend die ACL zu nutzen um den Zugriff auf Ihr Gerät zu begrenzen. Die Devise sollte dabei lauten, dass nur das nach Außen offen ist, was offen sein muss.
Theoretisch sollte nur der SIP-Port oder SIP-TLS offen sein und der Rest nicht. Die Konfiguration der ACL könnte dazu wie folgt aussehen:
Deaktivierung von SSH
Im Auslieferungszustand ist SSH nicht aktiviert. Der beroNet Support könnte allerdings in einigen Fällen nach einem SSH Zugriff auf das Gateway fragen. Nach der erfolgreichen Hilfe sollte jedoch SSH wieder deaktiviert werden. Sie können SSH über die Web-Oberfläche im Bereich „preferences+“ / „Einstellungen+“ unter „Security“ / „Sicherheit“ aktivieren und deaktivieren.
Änderung des Standard SIP-Ports
Um die Sicherheit weiter zu erhöhen empfehlen wir den Standard SIP-Port 5060 im beroNet VoIP Gateway auf einen anderen Port zu wechseln. Sie können über die Web-Oberfläche im Bereich „SIP+“ unter „SIP General“ / „Allgemeine SIP-Einstellungen“ den „Bind Port“ / „SIP-Port“ ändern:
Vergessen Sie bitte nicht, dass Sie diesen Wechsel vorgenommen haben, wenn Sie Ihre NAT-Richtlinien festlegen!
