Getting Started

Sicherheitshinweise#

Risiken und Gefahren#

Eine missbräuchliche Verwendung eines UC-Systems kann folgende Gefahren für Unternehmen und Benutzer mit sich bringen:

  • Missbräuchliche Anwahl von Rufnummern (z.B. Servicerufnummern 0900)

  • Ausspähen von Firmen- und persönlichen Informationen (z.B. Anruflisten, Voicemail-Nachrichten)

  • Fälschen von Fax- und SMS-Nachrichten

  • Ausspähen von Passwörtern, die im UC-System verwendet werden

  • Stören der Kommunikationssysteme (Denial-of-Service)

Verschlüsselung#

Grundvoraussetzung für einen sicheren Betrieb sind verschlüsselte Datenverbindungen.

Der XPhone Connect Server stellt Client-Server-Verbindungen verschlüsselt zur Verfügung:

  • Verbindung zum Connect Client: Die Kommunikation erfolgt über TLS gesichertem WCF TCP-Binding. Das zugrundeliegende Zertifikat wird bei jedem Start des XPhone Connect Servers neu generiert. Als Verschlüsselungsalgorithmus wird Advanced Encryption Standard (AES) mit einer Schlüssellänge von 256 Bit verwendet. Es werden keine zusätzlichen Protokolle verwendet (z.B. LDAP, SMTP, IMAP etc.). Die Verschlüsselung ist standardmäßig aktiviert.

  • Interne Sprachkommunikation (Softphone Desktop, AnyDevice, Meetings, TeamDesk) sind mit SRTP abgesichert. Als Verschlüsselungsalgorithmus wird Advanced Encryption Standard (AES) mit einer Schlüssellänge von 256 Bit verwendet. Die Sprachkommunikation ins Amt (PSTN) muss von der Telefonanlage oder des SBCs abgesichert werden.

  • Verbindung zum Outlook-Client: Der Outlook-Client verwendet die gleiche Verbindung wie der Connect-Client.

  • Verbindung zum Mobile Connect Client: SSL- oder TLS-Verschlüsselung des IIS

  • Verbindung LDAP-Clients zum XPhone Connect Directory: SSL- oder TLS-verschlüsselte TCP-Verbindung

Server-Server-Verbindungen#

Verschlüsselbare Verbindungen

Die folgenden Verbindungen können durch XPhone Connect verschlüsselt werden:

  • SMTP-Mail-Server

    Verwendung: Zustellung von Faxen, Voicemails, Benachrichtigungen über verpasste Anrufe. Verschlüsselung: SSL- oder TLS-gesicherte TCP-Verbindung.

  • IMAP-Server

    Verwendung: Fernabfrage von Voicemails. Verschlüsselung: SSL- oder TLS-gesicherte TCP-Verbindung.

  • XPhone Connect Directory

    Verwendung: Zugriff auf Datenquellen wie Salesforce oder das Telefonbuch Deutschland. Verschlüsselung: SSL- oder TLS-gesicherte TCP-Verbindung über HTTPS.

  • Active Directory über LDAPS

    Verwendung: Datenzugriff durch das XPhone Connect Directory und den AD-Konnektor. Verschlüsselung: SSL- oder TLS-gesicherte LDAP-Verbindung (LDAPS).

Server-zu-Server-Verbindungen ohne durch XPhone Connect beeinflussbare Verschlüsselung

  • TAPI-Schnittstelle zu PBX-Systemen

  • MAPI-Schnittstelle zu Exchange

    Verwendung: Kalenderabgleich, Datenzugriff XPhone Connect Directory, Voicemail-Fernabfrage

  • XPhone Connect Directory

    Verbindungen zu Datenbank-Systemen über ODBC-Datenquellen (z.B. Microsoft Dynamics CRM/NAV/AX)
    Zugriff auf HCL Notes-Datenbanken

Unverschlüsselte Server-Server-Verbindungen

  • Verbindung zu PBX-Systemen

    Kann der Zugriffsschutz über Mechanismen des Netzwerks nicht ausreichend sichergestellt werden (z.B. Ethernet-Switching im Intranet), ist eine VPN-Verbindung zwischen XPhone Connect Server und dem jeweiligen Endpunkt einzusetzen.

Sicherheitsprotokolle#

XPhone Connect unterstützt eine Vielzahl moderner Sicherheitsprotokolle, um eine sichere Kommunikation und den Schutz sensibler Daten zu gewährleisten:

  • HTTPS (HTTP Secure):

    Anwendungsbereiche: Zugriff auf Weboberflächen, Webservices, Office 365-Integration und Analytics.

  • LDAPS (LDAP over SSL/TLS):

    Anwendungsbereiche: Active Directory-Konnektor und Connect Directory (Client-Interface).

  • WCF über TLS (Windows Communication Foundation):

    Anwendungsbereiche: Kommunikation zwischen XPhone Connect Server und Client.
    WCF-Kommunikation: Die gesamte Kommunikation zwischen XPhone Connect Client und XPhone Connect Server wird standardmäßig durch eine 256 Bit AES Verschlüsselung geschützt. Als Authentifizierung steht neben Benutzernamen/Passwort die integrierte Windows-Authentifizierung zur Verfügung (Windows Client)

  • TLS (Transport Layer Security):

    Anwendungsbereiche: Sicherer Zugriff auf spezifische Datenquellen im Connect Directory.

  • SRTP (Secure Real-Time Transport Protocol):

    Anwendungsbereiche: Verschlüsselte Sprachkommunikation für Softphone Desktop, AnyDevice, TeamDesk und Meetings.

  • DTLS (Datagram Transport Layer Security):

    Anwendungsbereiche: Verschlüsselte Sprachkommunikation für Softphone Mobile.

  • mTLS (Mutual TLS):

    Anwendungsbereiche: Sichere Server-zu-Server-Kommunikation in Föderationsszenarien.

  • IMAP/S, SMPT/S

    Anwendungsbereiche: Mailschnittstelle (u.a. UM-Dienste)
    Für die Kommunikation mit externen Mailservern (z.B. Microsoft Office 365) können SMTP und IMAP direkt durch den XPhone Connect Server verschlüsselt werden.

Passwort-Sicherheit#

  • Integrierte Windows-Anmeldung (Single Sign On)

    Bei Verwendung der integrierten Windows-Anmeldung wird auf dem Arbeitsplatz weder ein Passwort gespeichert, noch wird dieses vom Connect Client zum Server übertragen. Die Authentifizierung wird durch das Betriebssystem gewährleistet. Es gelten in der Folge die Passwort-Richtlinien des Windows-Systems.

  • XPhone Connect Server-Anmeldung

    Wird der Connect Client mit der XPhone Connect Server Anmeldung betrieben, speichert der Client das Passwort verschlüsselt auf der lokalen Maschine. Gleiches gilt beim Betrieb der Mobile App.

    Bei Windows-Betriebssystemen wird der betriebssystemeigene Windows-Passwortspeicher verwendet. Die Übertragung von Anmeldename und Passwort zwischen Client und Server erfolgt verschlüsselt. Eine ausreichende Komplexität des Benutzer-Passworts kann durch eine Server-Richtlinie gewährleistet werden. Bei wiederholter Falscheingabe des Passworts wird die Anmeldung für eine bestimmte Zeit gesperrt.

  • Anwendungen

    Bei erhöhten Sicherheitsanforderungen empfehlen wir, auch im Intranet verschlüsselte HTTP-Verbindungen einzusetzen, da Browser in manchen Fällen mit Basis-Authentifizierungen arbeiten und Passwörter dann im Klartext über das Netzwerk übertragen werden.

    Der XPhone Connect Server verwendet im Standard ein Sicherheitszertifikat, das bei der Installation generiert wird. Dieses kann durch ein im Unternehmen vorhandenes Zertifikat ersetzt werden.

    Für die Veröffentlichung von XPhone Connect Anwendungen im Internet wird der Microsoft Internet Information Server verwendet.

  • Web-Administration

    • Aktivieren Sie die SSL-Verschlüsselung des Microsoft IIS.

    • Ändern Sie das Administrator-Passwort des XPhone Connect Servers. Achten Sie auf eine hohe Kennwortkomplexität.

    • Sichern Sie die Netzwerkverbindung zwischen Webserver und XPhone Connect Server mit den bereits beschriebenen Methoden, die für alle Arten von Ethernet-Verbindungen gelten.

  • Mobile App

    Die Mobile App greift per HTTP auf den Microsoft IIS zu. SSL muss für diesen Zugriff grundsätzlich aktiviert werden.

  • Windows-Client-Anwendungen

    Die (Intranet-)Verbindung zwischen Windows-Client und XPhone Connect Server ist verschlüsselt. Passwörter werden weder im Klartext auf dem Arbeitsplatz gespeichert noch über das Netzwerk übertragen.

    Verwenden Sie nach Möglichkeit ausschließlich die integrierte Windows-Anmeldung. Muss die XPhone Connect Server-Anmeldung verwendet werden, stellen Sie die notwendige Kennwort-Sicherheit mittels einer Kennwortrichtlinie her.

  • Voicemail-Fernabfrage

    Die Fernabfrage erlaubt den Zugriff auf Voicemails, die im E-Mail-System oder im internen Nachrichtenspeicher abgelegt sind. Der Zugriff ist über eine PIN gesichert (Mindestlänge kann konfiguriert werden unter Systemeinstellungen > UM > Voicemail > Allgemein).

    Wird die Fernabfrage nicht benötigt, ist sie für den entsprechenden Nutzerkreis zu sperren. Die Option Verbinden mit Anrufer erlaubt, sich über das PBX-System mit einem Anrufer verbinden zu lassen. Falls dieses Leistungsmerkmal nicht benötigt wird, ist es zu deaktivieren.

    Kritisch sind PINs, die nach der Einrichtung noch längere Zeit auf einem (allgemein) bekannten Standardwert stehen. In XPhone Connect gibt es aus diesem Grund keinen produktspezifischen Standardwert. Der Standardwert muss stattdessen vom Administrator in der Web-Administration gesetzt werden. Die Option Die Voicemail-PIN für neue Benutzer wird vorbelegt mit leerer PIN ist nur dann empfehlenswert, wenn sichergestellt ist, dass alle Benutzer ihre PIN unmittelbar nach der Einrichtung des Systems festlegen.

  • Voicemail-Player

    Zum Abhören von Voicemail-Nachrichten, die per E-Mail zugestellt wurden, enthält XPhone Connect einen Voicemail-Player. Diese Anwendung spielt Sprachnachrichten (WAV-Datei) aus dem E-Mail-Anhang über ein beliebiges Telefon ab. Das Abspielen wird auf dem UC-Server durch den Voicemail-Player-Dienst erledigt.

    • Der Verbindungsaufbau für das Abspielen ist nicht über eine Authentifizierung gesichert. Eine Verwendung des Players darf ausschließlich im Intranet stattfinden. Bei entsprechenden Sicherheitsanforderungen empfehlen wir, auf den Voicemail-Player zu verzichten und den entsprechenden Server-Dienst zu deaktivieren.

  • TAPI

    XPhone Connect enthält einen TAPI Service Provider (TSP), der es ermöglicht, dass TAPI-kompatible Anwendungen die Telefonie-Dienste des XPhone Connect Servers nutzen.

    Der XPhone Connect TAPI kann über ein spezielles Server-Konto sowie über alle Benutzerkonten verwendet werden. Das Server-Konto bietet Zugriff auf alle Leitungen, die Benutzern zugeordnet sind. Achten Sie bei diesem Konto auf ein ausreichend komplexes Passwort. Da dieses Passwort nur einmal konfiguriert und niemals interaktiv verwendet wird, kann eine hohe Anzahl von Stellen aus einer großen Menge von Zeichen gewählt werden. Vorbild sind WPA-Keys für WLAN.

    Die Benutzer haben lediglich auf die Leitungen Zugriff, die ihnen zugeordnet sind. Eine Ausnahme ist die Verwendung des TSP auf Terminal-Servern, bei der ein Schutz gegen unerlaubtes Monitoring fremder Leitungen prinzipiell nicht möglich ist. Auf dem Terminal-Server sind nur TAPI-Steuerfunktionen (z.B. Wählen/Auflegen) gegen benutzerübergreifenden Zugriff gesichert. Beachten Sie, dass die Einstellung Deaktivieren (unter Einstellungen/CTI/TAPI) nur das zentrale Server-Konto deaktiviert und nicht die TAPI-Funktion insgesamt. Um die TAPI-Funktion vollständig zu deaktivieren, müssen die entsprechenden Lizenzen entfernt werden.

Sicherheitsmechanismen im Zusammenhang mit der MobileApp#

Der XPhone Connect Satellit und der Microsoft Webserver (IIS) können aus Sicherheitsgründen in eine DMZ ausgelagert werden. Der XPhone Server kann aber auch alle Komponenten auf einem System enthalten.

XPhone Connect Satellit

  • Mit jedem Major Release wird ein aktuelles Debian-Image mit aktuellem Kernel zur Verfügung gestellt. Ein Update eines XCC Satelliten per aptitude o.ä. wird derzeit nicht unterstützt.

  • Das eingesetzte Linux-Image des Satelliten ist per iptables bzw. Firewall abgesichert. Es sind nur die für die Medienübertragung benötigten RTP-Sockets geöffnet.

  • Zwischen XPhone Server und XCC Satelliten findet Kommunikation ausschließlich per TCP statt.

  • Die Management-Bridge zwischen XPhone Server und XCC Satellit ist ebenfalls per iptables abgesichert (gRPC).

    • Verbindung ist TLS gesichert.

    • XPhone Server und Satellit tauschen bei der ersten Verbindung Zertifikate aus, danach akzeptiert der Satellit nur noch Verbindungen von genau diesem XPhone Server

    • Die iptables lassen dafür TCP Pakete auf Port 3280 durch. Abgesichert dadurch, dass nur Pakete mit Quell-IP des XPhone Servers durchgelassen werden.

  • Nur vom XPhone-Host ist der XCC Satellit via SSH zu erreichen.

XPhone Connect Call Controller (lokal oder ausgelagert auf Satelliten)

  • Medien-Datenströme werden ausschließlich per SRTP verschlüsselt übertragen (interne Kommunikation, nicht in Richtung PBX). Andere UDP-Pakete werden vom eingesetzten Medien-Controller verworfen.

  • Die UDP-Ports für die Medienverbindung sind dynamisch und werden am Ende des Gesprächs geschlossen.

  • Die Kommunikation per SIP (TCP) kann nur zwischen XPhone Server und XCC Satellit stattfinden. Eine Kommunikation von/nach außen wird ebenfalls per iptables verhindert.

  • Zusätzlich wird die SIP Kommunikation ausschließlich auf bekannte IP Netze begrenzt (Liste bekannter IP-Adressen / ACL). SIP Kommunikation aus anderen Netzen wird abgelehnt.

Mobile Web Anwendung auf Microsoft IIS (Microsoft Internet Information Services)

  • Die Kommunikation zwischen Mobile App und IIS findet, mittels kundeneigener Zertifikate, verschlüsselt statt (u.a. VoIP Signalisierung)

XPhone Connect Server

  • Der XPhone Server verschickt Push-Notifications verschlüsselt, entweder über einen Proxy Server oder direkt an die Apple-, Google- und C4B Push-Dienste.

Ihre Meinung zählt!

Ob Lob, hilfreiche Ideen oder ein Hinweis auf einen Fehler - wir freuen uns über jede Nachricht.
Schreiben Sie uns einfach an doku@c4b.de und helfen Sie mit, diese Dokumentation noch besser zu machen.
Vielen Dank für Ihre Unterstützung!