17
IP Telefone von Netzwerk isolieren auch bei kleinem Betrieb?
Hallo zusammen,
wir haben 3 IP Telefone und insgesamt ca. 10 Rechner.
Ist es auch in einem kleinen Office wie diesem sinnvoll die Phones in ein separates Netz bzw. Vlan zu schieben?
Traffic sollte hier eigentlich nicht das Problem sein.
Haben eine Postgresql Dartenbank und ein paar andere kleinere Netzwerkanwendungen.
Bleibt noch der Sicherheitsaspekt?
Was haltet ihr davon?
wir haben 3 IP Telefone und insgesamt ca. 10 Rechner.
Ist es auch in einem kleinen Office wie diesem sinnvoll die Phones in ein separates Netz bzw. Vlan zu schieben?
Traffic sollte hier eigentlich nicht das Problem sein.
Haben eine Postgresql Dartenbank und ein paar andere kleinere Netzwerkanwendungen.
Bleibt noch der Sicherheitsaspekt?
Was haltet ihr davon?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7126893976
Url: https://administrator.de/contentid/7126893976
Printed on: April 25, 2024 at 18:04 o'clock
17 Comments
Latest comment
Nun - die erste Frage ist doch: Was hast du für möglichkeiten? Sind die tech. überhaupt vorhanden - dann sollte man es ruhig nutzen, nen VLAN kostet jetzt kein Geld und frisst kein Futter. Hast du die nicht sind deine Optionen ja beschränkt.
Wg. "Sicherheit" hängt das ja vom Büro ab. Ist es das übliche Klein-Büro wo eh jeder alles über jeden weiss weil morgens von 9 - 11 eh erstmal die Neuigkeiten (Privat wie Beruflich) ausgetauscht werden? Sind es Leute die eh eher wenig tech. Verständnis haben? Sitzen die eh alle in einem Raum? Dann wäre es aus meiner Sicht erstmal egal weil man sich nicht die Mühe macht das technisch anzuzapfen wenn man gleichzeitig eh direkt neben der Person sitzt und zuhören kann... Ist es dagegen ne Anwaltskanzlei, Finanzdienstleister,... ist das Risiko dagegen ggf. was anderes...
Wg. "Sicherheit" hängt das ja vom Büro ab. Ist es das übliche Klein-Büro wo eh jeder alles über jeden weiss weil morgens von 9 - 11 eh erstmal die Neuigkeiten (Privat wie Beruflich) ausgetauscht werden? Sind es Leute die eh eher wenig tech. Verständnis haben? Sitzen die eh alle in einem Raum? Dann wäre es aus meiner Sicht erstmal egal weil man sich nicht die Mühe macht das technisch anzuzapfen wenn man gleichzeitig eh direkt neben der Person sitzt und zuhören kann... Ist es dagegen ne Anwaltskanzlei, Finanzdienstleister,... ist das Risiko dagegen ggf. was anderes...
1
Wie schon @maretz sagt:
Wenn es mit der aktuellen Hardware möglich ist, solltest du es nutzen.
Dann ist auch QoS z.b. leicht an der Firewall regelbar.
Ansonsten ist es ne Frage der Büroaufteilung sowie des Schutzbedürfnis der dort verwalteten Daten.
Wenn es mit der aktuellen Hardware möglich ist, solltest du es nutzen.
Dann ist auch QoS z.b. leicht an der Firewall regelbar.
Ansonsten ist es ne Frage der Büroaufteilung sowie des Schutzbedürfnis der dort verwalteten Daten.
Stimme dem Kollegen @maretz ebenso zu. Kollege @aqui weist allerdings u.U. zu Recht in diesem Kontext stets auf die rechtliche Problematik (DSGVO?) hin.
Zwingende technische Notwendigkeit besteht prinzipiell nicht. Ein wichtiger Aspekt ist aber auch
Telefone sind recht zuverlässige IOT-Geräte und werden bei der Selbstadministration gern "vergessen". Da ist dann die Firmware von anno 1800 und das Gerät vielleicht ein schöner Jumphost für den Hacker. Anders herum wird ein Hack vielleicht über einen PC kommen und dann ist das VOIP im Netz vielleicht eine Möglichkeit für den Hacker, Geld zu verdienen oder an weitere Infos über die Firma zu kommen.
Will sagen: Ich strebe die Trennung stets an. Die Risiken korrelieren aber auch mit der Betriebsgröße und -Gegenstand.
Viele Grüße, commodity
Zwingende technische Notwendigkeit besteht prinzipiell nicht. Ein wichtiger Aspekt ist aber auch
Bleibt noch der Sicherheitsaspekt?
genau, Security - und zwar in beide Richtungen:Telefone sind recht zuverlässige IOT-Geräte und werden bei der Selbstadministration gern "vergessen". Da ist dann die Firmware von anno 1800 und das Gerät vielleicht ein schöner Jumphost für den Hacker. Anders herum wird ein Hack vielleicht über einen PC kommen und dann ist das VOIP im Netz vielleicht eine Möglichkeit für den Hacker, Geld zu verdienen oder an weitere Infos über die Firma zu kommen.
Will sagen: Ich strebe die Trennung stets an. Die Risiken korrelieren aber auch mit der Betriebsgröße und -Gegenstand.
Viele Grüße, commodity
1
Vielen Dank für die Anregungen!
Bei allen Szenarien die ihr angesprochen habt kommt eigentlich nur ein Angriff von außen in Frage. Hardware Firewall ist vorhanden und gefährde Hardware (Windows XP PC welcher nicht ersetzt werden kann) ist isoliert.
Das einzig problematische in der Installation ist, dass das Bindeglied zum isolierten XP PC smb1 akzeptieren muss (Rechner im isolierten Netz welcher nur von extern kontaktiert werden kann)
Aber auch hier ist so wie ich das verstanden habe nur ein lokaler Angriff mit physischen Kontakt möglich.
Vlan fähige Hardware ist leider nicht durchgängig vorhanden. Aber das Telefonie Netz per Mikrotik Gateway und Firewall zu trennen ist relativ einfach und das werde ich tun.
Bei allen Szenarien die ihr angesprochen habt kommt eigentlich nur ein Angriff von außen in Frage. Hardware Firewall ist vorhanden und gefährde Hardware (Windows XP PC welcher nicht ersetzt werden kann) ist isoliert.
Das einzig problematische in der Installation ist, dass das Bindeglied zum isolierten XP PC smb1 akzeptieren muss (Rechner im isolierten Netz welcher nur von extern kontaktiert werden kann)
Aber auch hier ist so wie ich das verstanden habe nur ein lokaler Angriff mit physischen Kontakt möglich.
Vlan fähige Hardware ist leider nicht durchgängig vorhanden. Aber das Telefonie Netz per Mikrotik Gateway und Firewall zu trennen ist relativ einfach und das werde ich tun.
kommt eigentlich nur ein Angriff von außen in Frage.
Was macht dich da so sicher?? Mit dem freien Wireshark z.B. reicht es einen einfachen Button zu klicken um alle Telefongespäche im Netz in eine MP3 Audiodatei aufzuzeichnen um was auch immer damit zu machen. Mal den Chef so einfach abzuhören wäre sicher verlockend...?!Nur um mal die naive Annahme das alles nur von außen kommt etwas zu relativieren...
Und wie kommst du auf den Bolzen das nen Angriff nur von aussen vorkommt? Denn ganz ehrlich - das is aktuell sogar eher die Ausnahme. Warum auch - man wirft den beliebten USB-Stick auf den Parkplatz, die Mail mit dem Link,... und schon kommt der Angriff nämlich von "innen". Deshalb ist es einfach wichtig zu überlegen wie gross das Risiko ist und ob du es eingehen willst.
Mit dem freien Wireshark z.B. reicht es einen einfachen Button zu klicken um alle Telefongespäche im Netz in eine MP3 Audiodatei aufzuzeichnen um was auch immer damit zu machen.
Ähm,
wie soll das denn mit Wireshark funktionieren in einem geswitchten Netzwerk mit SRTP was die meisten halbwegs aktuellen IP-Telefone nutzen?
Gute Einwände. Und zu viel Sicherheit kann es nicht geben. Da gebe ich euch Recht.
Dazu muss ich noch sagen. Alle Rechner von Angestellten (außer vom Chef) sind offline (keine E-Mails) und die USB Anschlüsse sind verplombt.
Dazu muss ich noch sagen. Alle Rechner von Angestellten (außer vom Chef) sind offline (keine E-Mails) und die USB Anschlüsse sind verplombt.
wie soll das denn mit Wireshark funktionieren
- Mirrorport oder passive Probe an der Anlage
- Wireshark schreibt Voice Flows mit als MP3 Datei
- Fröhlich mithören...
Zitat von @aqui:
wie soll das denn mit Wireshark funktionieren
* Mirrorport an der Anlage- Wireshark schreibt Voice Flows mit als MP3
- Fröhlich mithören
SRTP ist verschlüsselt.
Aber sehr wahrscheinlich nicht wenn er nach extern telefoniert über den Provider...
Ich glaub da müsste ich von der Seite her immun sein. Nicht, dass das nicht heißt, dass es ne andere noch bessere Schwachstelle geben würde
Alcatel Telefonanlage mit System IP Telefonen --> ISDN S0 zur Fritte --> Telekom
Stimmt...die olle ISDN Technik abzuhören ist dann mit eher größerem Aufwand verbunden da deine Telefonie dann ja vollständig noch auf ISDN basiert und nur die FB dann der finale Wandler zu VoIP ist.
Servus!
Wenn du Managed Switche im Einsatz hast, dann auf jeden Fall ein eigene Voice VLan anlegen.
Die Üblichen Gründe kennst du ja bestimmt wie Sicherheit, Traffic,...
Aber wenn du davon ausgehst, dass das Unternehmen weiter am wachsen ist, wird es mal nicht 3 Telefone sondern 7 geben und irgendwann wirst du oder der nächste IT Admin sich freuen, dass da schon jemand sauber angefangen hat damit.
Außerdem kannst du dann auch QoS besser betreiben, denn du möchtest ja das die Kunden am Telefon dich nicht abgehackt verstehen nur weil einer der Mitarbeiter einen Film aus dem Internet saugt ;)
Wenn du Managed Switche im Einsatz hast, dann auf jeden Fall ein eigene Voice VLan anlegen.
Die Üblichen Gründe kennst du ja bestimmt wie Sicherheit, Traffic,...
Aber wenn du davon ausgehst, dass das Unternehmen weiter am wachsen ist, wird es mal nicht 3 Telefone sondern 7 geben und irgendwann wirst du oder der nächste IT Admin sich freuen, dass da schon jemand sauber angefangen hat damit.
Außerdem kannst du dann auch QoS besser betreiben, denn du möchtest ja das die Kunden am Telefon dich nicht abgehackt verstehen nur weil einer der Mitarbeiter einen Film aus dem Internet saugt ;)
1Zitat von @morpheus2010:
Alcatel Telefonanlage mit System IP Telefonen --> ISDN S0 zur Fritte --> Telekom
Klingt nach MSN-Nummern und nicht nach DDI-Durchwahlnummern per SIP-Trunk.
Bei SIP-Trunk könntest Du dir das ISDN zur Fritz!BOX sparen und den direkt in der OXO eintragen.
MfG CN
1Zitat von @poediol:
Bei SIP-Trunk könntest Du dir das ISDN zur Fritz!BOX sparen und den direkt in der OXO eintragen.
Bei SIP-Trunk könntest Du dir das ISDN zur Fritz!BOX sparen und den direkt in der OXO eintragen.
Ich weiß. Leider habe ich nur einen normalen Telekom Anschluss und so wie ich es verstanden habe geht es damit nicht mit der oxo.
Habe bei der Telekom nach dem Zugangsdaten für die oxo mit meinem Abschluss angefragt. Bisher habe ich keine Antwort bekommen.
Wenn es das denn nun war, bitte deinen Thread hier dann auch als erledigt schliessen!!
