morpheus2010
Goto Top

IP Telefone von Netzwerk isolieren auch bei kleinem Betrieb?

Hallo zusammen,

wir haben 3 IP Telefone und insgesamt ca. 10 Rechner.
Ist es auch in einem kleinen Office wie diesem sinnvoll die Phones in ein separates Netz bzw. Vlan zu schieben?
Traffic sollte hier eigentlich nicht das Problem sein.

Haben eine Postgresql Dartenbank und ein paar andere kleinere Netzwerkanwendungen.

Bleibt noch der Sicherheitsaspekt?

Was haltet ihr davon?

Content-ID: 7126893976

Url: https://administrator.de/contentid/7126893976

Ausgedruckt am: 13.11.2024 um 01:11 Uhr

maretz
maretz 12.05.2023 um 16:13:00 Uhr
Goto Top
Nun - die erste Frage ist doch: Was hast du für möglichkeiten? Sind die tech. überhaupt vorhanden - dann sollte man es ruhig nutzen, nen VLAN kostet jetzt kein Geld und frisst kein Futter. Hast du die nicht sind deine Optionen ja beschränkt.

Wg. "Sicherheit" hängt das ja vom Büro ab. Ist es das übliche Klein-Büro wo eh jeder alles über jeden weiss weil morgens von 9 - 11 eh erstmal die Neuigkeiten (Privat wie Beruflich) ausgetauscht werden? Sind es Leute die eh eher wenig tech. Verständnis haben? Sitzen die eh alle in einem Raum? Dann wäre es aus meiner Sicht erstmal egal weil man sich nicht die Mühe macht das technisch anzuzapfen wenn man gleichzeitig eh direkt neben der Person sitzt und zuhören kann... Ist es dagegen ne Anwaltskanzlei, Finanzdienstleister,... ist das Risiko dagegen ggf. was anderes...
QDaniel
QDaniel 12.05.2023 um 16:30:18 Uhr
Goto Top
Wie schon @maretz sagt:

Wenn es mit der aktuellen Hardware möglich ist, solltest du es nutzen.
Dann ist auch QoS z.b. leicht an der Firewall regelbar.

Ansonsten ist es ne Frage der Büroaufteilung sowie des Schutzbedürfnis der dort verwalteten Daten.
commodity
commodity 12.05.2023 aktualisiert um 18:10:44 Uhr
Goto Top
Stimme dem Kollegen @maretz ebenso zu. Kollege @aqui weist allerdings u.U. zu Recht in diesem Kontext stets auf die rechtliche Problematik (DSGVO?) hin.
Zwingende technische Notwendigkeit besteht prinzipiell nicht. Ein wichtiger Aspekt ist aber auch
Bleibt noch der Sicherheitsaspekt?
genau, Security - und zwar in beide Richtungen:
Telefone sind recht zuverlässige IOT-Geräte und werden bei der Selbstadministration gern "vergessen". Da ist dann die Firmware von anno 1800 und das Gerät vielleicht ein schöner Jumphost für den Hacker. Anders herum wird ein Hack vielleicht über einen PC kommen und dann ist das VOIP im Netz vielleicht eine Möglichkeit für den Hacker, Geld zu verdienen oder an weitere Infos über die Firma zu kommen.

Will sagen: Ich strebe die Trennung stets an. Die Risiken korrelieren aber auch mit der Betriebsgröße und -Gegenstand.

Viele Grüße, commodity
morpheus2010
morpheus2010 13.05.2023 um 09:57:37 Uhr
Goto Top
Vielen Dank für die Anregungen!

Bei allen Szenarien die ihr angesprochen habt kommt eigentlich nur ein Angriff von außen in Frage. Hardware Firewall ist vorhanden und gefährde Hardware (Windows XP PC welcher nicht ersetzt werden kann) ist isoliert.
Das einzig problematische in der Installation ist, dass das Bindeglied zum isolierten XP PC smb1 akzeptieren muss (Rechner im isolierten Netz welcher nur von extern kontaktiert werden kann)
Aber auch hier ist so wie ich das verstanden habe nur ein lokaler Angriff mit physischen Kontakt möglich.

Vlan fähige Hardware ist leider nicht durchgängig vorhanden. Aber das Telefonie Netz per Mikrotik Gateway und Firewall zu trennen ist relativ einfach und das werde ich tun.
aqui
aqui 13.05.2023 um 11:12:08 Uhr
Goto Top
kommt eigentlich nur ein Angriff von außen in Frage.
Was macht dich da so sicher?? Mit dem freien Wireshark z.B. reicht es einen einfachen Button zu klicken um alle Telefongespäche im Netz in eine MP3 Audiodatei aufzuzeichnen um was auch immer damit zu machen. Mal den Chef so einfach abzuhören wäre sicher verlockend...?!
Nur um mal die naive Annahme das alles nur von außen kommt etwas zu relativieren... face-wink
maretz
maretz 13.05.2023 um 11:51:23 Uhr
Goto Top
Und wie kommst du auf den Bolzen das nen Angriff nur von aussen vorkommt? Denn ganz ehrlich - das is aktuell sogar eher die Ausnahme. Warum auch - man wirft den beliebten USB-Stick auf den Parkplatz, die Mail mit dem Link,... und schon kommt der Angriff nämlich von "innen". Deshalb ist es einfach wichtig zu überlegen wie gross das Risiko ist und ob du es eingehen willst.
poediol
poediol 13.05.2023 um 18:54:06 Uhr
Goto Top
Mit dem freien Wireshark z.B. reicht es einen einfachen Button zu klicken um alle Telefongespäche im Netz in eine MP3 Audiodatei aufzuzeichnen um was auch immer damit zu machen.

Ähm,
wie soll das denn mit Wireshark funktionieren in einem geswitchten Netzwerk mit SRTP was die meisten halbwegs aktuellen IP-Telefone nutzen?
morpheus2010
morpheus2010 14.05.2023 um 09:04:10 Uhr
Goto Top
Gute Einwände. Und zu viel Sicherheit kann es nicht geben. Da gebe ich euch Recht.

Dazu muss ich noch sagen. Alle Rechner von Angestellten (außer vom Chef) sind offline (keine E-Mails) und die USB Anschlüsse sind verplombt.
aqui
aqui 14.05.2023 aktualisiert um 11:56:53 Uhr
Goto Top
wie soll das denn mit Wireshark funktionieren
  • Mirrorport oder passive Probe an der Anlage
  • Wireshark schreibt Voice Flows mit als MP3 Datei
  • Fröhlich mithören...
3063370895
3063370895 14.05.2023 um 11:55:36 Uhr
Goto Top
Zitat von @aqui:

wie soll das denn mit Wireshark funktionieren
* Mirrorport an der Anlage
  • Wireshark schreibt Voice Flows mit als MP3
  • Fröhlich mithören

SRTP ist verschlüsselt.
aqui
aqui 14.05.2023 um 11:57:48 Uhr
Goto Top
Aber sehr wahrscheinlich nicht wenn er nach extern telefoniert über den Provider... face-wink
morpheus2010
morpheus2010 14.05.2023 um 13:12:36 Uhr
Goto Top
Zitat von @aqui:

Aber sehr wahrscheinlich nicht wenn er nach extern telefoniert über den Provider... face-wink

Ich glaub da müsste ich von der Seite her immun sein. Nicht, dass das nicht heißt, dass es ne andere noch bessere Schwachstelle geben würde face-wink

Alcatel Telefonanlage mit System IP Telefonen --> ISDN S0 zur Fritte --> Telekom
aqui
aqui 14.05.2023 um 17:20:40 Uhr
Goto Top
Stimmt...die olle ISDN Technik abzuhören ist dann mit eher größerem Aufwand verbunden da deine Telefonie dann ja vollständig noch auf ISDN basiert und nur die FB dann der finale Wandler zu VoIP ist. face-wink
Bonderosa
Bonderosa 17.05.2023 um 08:21:11 Uhr
Goto Top
Servus!

Wenn du Managed Switche im Einsatz hast, dann auf jeden Fall ein eigene Voice VLan anlegen.

Die Üblichen Gründe kennst du ja bestimmt wie Sicherheit, Traffic,...

Aber wenn du davon ausgehst, dass das Unternehmen weiter am wachsen ist, wird es mal nicht 3 Telefone sondern 7 geben und irgendwann wirst du oder der nächste IT Admin sich freuen, dass da schon jemand sauber angefangen hat damit.

Außerdem kannst du dann auch QoS besser betreiben, denn du möchtest ja das die Kunden am Telefon dich nicht abgehackt verstehen nur weil einer der Mitarbeiter einen Film aus dem Internet saugt ;)
poediol
poediol 20.05.2023 um 22:31:56 Uhr
Goto Top
Zitat von @morpheus2010:

Alcatel Telefonanlage mit System IP Telefonen --> ISDN S0 zur Fritte --> Telekom

Klingt nach MSN-Nummern und nicht nach DDI-Durchwahlnummern per SIP-Trunk.

Bei SIP-Trunk könntest Du dir das ISDN zur Fritz!BOX sparen und den direkt in der OXO eintragen.

MfG CN
morpheus2010
morpheus2010 23.05.2023 um 06:28:11 Uhr
Goto Top
Zitat von @poediol:

Bei SIP-Trunk könntest Du dir das ISDN zur Fritz!BOX sparen und den direkt in der OXO eintragen.

Ich weiß. Leider habe ich nur einen normalen Telekom Anschluss und so wie ich es verstanden habe geht es damit nicht mit der oxo.

Habe bei der Telekom nach dem Zugangsdaten für die oxo mit meinem Abschluss angefragt. Bisher habe ich keine Antwort bekommen.
aqui
aqui 04.06.2023 um 14:31:07 Uhr
Goto Top
Wenn es das denn nun war, bitte deinen Thread hier dann auch als erledigt schliessen!!