Sicherheitshinweise

Überblick

Risiken und Gefahren:

Eine missbräuchliche Verwendung eines UC-Systems kann mit folgenden Gefahren für das Unternehmen und deren Benutzer verbunden sein:

  • Missbräuchliche Anwahl von Rufnummern, z.B. Service-Rufnummern (0900-).

  • Ausspähen von Firmen- und persönlichen Informationen (z.B. Anruflisten, Voicemail-Nachrichten).

  • Fälschen von Fax- und SMS Nachrichten.

  • Ausspähen von Passwörtern, die im UC-System (und ggf. anderweitig) in Verwendung sind.

  • Stören der Kommunikationssysteme (Denial-Of-Service).

Überblick über die zu sichernden Komponenten:

Neben der Sicherung der allgemeinen Netzwerk- und Rechner-Infrastruktur ist folgenden Komponenten und Funktionen besonderes Augenmerk zu widmen:

  • XPhone Connect Server

  • CTI-Schnittstelle zu den Telefonanlagen

  • Schnittstellen zu Groupware-Systemen und Mailservern

  • Schnittstellen der Unified Messaging Dienste

  • Web-Administrationsanwendung

  • Windows-Client-Anwendungen

  • Web-Client-Anwendungen

  • Voicemail-Fernabfrage

Grundsätzliche Vorkehrungen:

Diese Beschreibung geht davon aus, dass Ihr Netzwerk und Ihre Maschinen nach dem Stand der Technik geschützt sind. Dies umfasst beispielsweise:

  • Ausreichend geschützte Remotezugänge

  • Ausreichend komplexe Benutzerkennwörter

  • Virenschutz und Trojanererkennung auf den Benutzerarbeitsplätzen

  • Sichere Administrationskennwörter und Sichern der Adminstrationszugänge zu den Servern

  • Verwendung einer Firewall für den Zugang ins Internet. Ggf. Einsatz einer DMZ. Öffnen Sie nur die Ports, die von einer spezifischen Anwendung verwendet werden. Nutzen Sie ausschließlich verschlüsselte Verbindungen ins Internet.

Allgemeine Hinweise:

Eine Reihe von Angriffsmethoden (z.B. Trojaner) arbeiten mit Code, der im Kontext des angemeldeten Benutzers läuft. Dies bedeutet, dass solcher Code vom Single-Sign-On-Mechanismus profitiert und alle anderen Sicherheitsmaßnahmen ad absurdum führt.

Oberstes Augenmerk muss also dem Schutz vor Viren und Trojanern gewidmet werden.

Elementar ist, dass alle UC-Komponenten, die nicht benötigt werden (z.B. Fax oder Voicemail), deaktiviert werden. Verbindungen ins Internet sind grundsätzlich zu verschlüsseln.

Schnittstellen

XPhone Connect Server

Die Konsole der Maschine und Remotezugänge müssen gegen unbefugte Benutzung gesichert sein. Der Zugang zum Dateisystem darf nur befugten Benutzern möglich sein (betrifft Netzwerkfreigaben und Konsolenzugriff). Dies betrifft vor allem das XPhone Connect Server-Programmverzeichnis und die untergeordneten Datenverzeichnisse.

Die vom XPhone Connect Server verwendete SQL-Datenbank darf ebenfalls nur befugten Nutzern zugänglich sein. Im Normalfall ist dies ausschließlich der Benutzer unter dem XPhone Connect Server betrieben wird und ggf. der Domänenadministrator.

Datenübertragungssicherheit:

Die Kommunikation zwischen XPhone Connect Client und XPhone Connect Server erfolgt über TLS gesichertem WCF TCP-Binding. Das zugrundeliegende Zertifikat wird bei jedem Start des XPhone Connect Servers neu generiert. Als Verschlüsselungsalgorithmus wird AES mit einer Schlüssellänge von 256 Bit verwendet. Die XPhone Connect Clients verifizieren das Zertifikat des Servers nicht. Der Signalisierungsdatenstrom zwischen XPhone Connect Clients läuft über den XPhone Connect Server, der die Daten grundsätzlich entschlüsselt.

Anmeldesicherheit:

Um Brute Force-Attacken zum Ausspähen von Passwörtern zu vereiteln wird ein Benutzer-Konto nach fünf gescheiterten Anmeldeversuchen für fünf Minuten gesperrt.

CTI-Schnittstelle zur Telefonanlage

Die CTI-Schnittstellen sind besonders gegen Missbrauch gefährdet, da hier weit verbreitete Standardprotokolle zum Einsatz kommen. Die CTI-Schnittstellen zu aktuellen Telefonanlagen basieren auf Ethernet. In der Regel wird ein Missbrauch über einen Arbeitsplatzrechner im Intranet versucht werden.

Bei erhöhten Sicherheitsanforderungen:

Trennen der Ethernet-Infrastruktur zwischen den Arbeitsplatzrechnern im Intranet und dem UC-System/Telefonanlage:

  • Getrenntes Ethernet aufbauen (separate Netzwerkkarte im UC-Server, kein Routing zwischen den Netzen konfigurieren).

  • VLAN oder VPN für die Verbindung zwischen UC-Server und Telefonanlage etablieren.

  • Zusätzlich die Maßnahmen für Standardanforderungen anwenden

Standard-Sicherheitsanforderungen:

  • Zugangspasswort für die CTI-Schnittstelle ändern, komplexes Passwort verwenden.

  • Eventuell in der Telefonanlage vorhandene Applikations-Firewall aktivieren.

  • Restriktionen im Ethernet-Routing vornehmen, so dass nur zwischen UC-Server und Telefonanlage geroutet wird (über die Konfiguration des Ethernet-Switches).

In der Regel unterstützen die beteiligten Komponenten keine IP-Verschlüsselung (SSL/TLS), so dass der Netzwerkkonfiguration erhöhte Aufmerksamkeit zu widmen ist.

IP- und ISDN-Schnittstellen

IP- und ISDN-Schnittstellen vom UM-Server zur Telefonanlage

Ist der XPhone Connect Server über ISDN mit der Telefonanlage verbunden, muss die Kabelverbindung (Punkt zu Punkt) gegen unbefugten physischen Zugriff geschützt sein.

Für IP-Verbindungen (SIP oder H.323) gelten die gleichen Hinweise wie für die CTI-Schnittstelle. Zudem ist eine Verschlüsselung auf Signalisierungsebene per TLS/SSL zu empfehlen.

Eine Verschlüsselung der Signalisierungs- und RTP-Daten (SSL/TLS und SRTP) im Intranet wird in der Praxis aus Performance- und administrativen Gründen oft vermieden. In diesem Fall ist die Konfiguration des Ethernets (Switching und Routing) mit besonderer Sorgfalt durchzuführen.

Schnittstellen zu Groupware-Systemen

Für die Ankopplung an Groupware-System verwendet der XPhone Connect Server folgende Protokolle:

  • MAPI (nur bei Exchange-Server): Zugriff auf Voicemail-Nachrichten für Fernabfrage, Kalender auslesen.

  • Alternativ: IMAP (für Nicht-Exchange-Server): Zugriff auf Voicemail-Nachrichten für Fernabfrage

  • Outbound SMTP: Versenden von Faxnachrichten, Relaying von Fax- und Voicemail-Nachrichten an alternative Empfänger.

  • Inbound SMTP: Der XPhone Connect Server bekommt SMTP-Nachrichten vom Mailserver und wandelt diese in Fax- oder SMS-Nachrichten um. Siehe hierzu auch den nächsten Abschnitt.

Da MAPI keine Netzwerk- sondern eine Programmierschnittstelle ist, liegen Sicherheit und Verschlüsselung außerhalb des Einflussbereichs des XPhone Connect Servers.

Wenn möglich IMAP/s und SMTP/s verwenden, diese werden vom XPhone Connect Server unterstützt.

Sichern Sie die Verbindung zwischen XPhone Connect Server und Groupware-Server/Mail-System mit den Mitteln, die in den vorhergehenden Abschnitten beschrieben sind.

XPhone Connect UM Dienste

Eine Übersicht über die Dienstearchitektur finden Sie in der Web Administration unter Systemeinstellungen > UM > Dienste.

Die Unified Messaging Dienste besitzen mehrere TCP-Listener für SMTP-Nachrichten, die in Fax- oder SMS-Nachrichten umgewandelt werden. Diese SMTP-Listener arbeiten produktseitig derzeit ohne eingebaute Verschlüsselung und ohne Authentifizierung. Diese Schnittstellen werden in aller Regel nur in Server-Server-Beziehungen verwendet, so dass netzwerkseitige Sicherungsmechanismen praktikabel sind.

Die empfohlene Methode ist, dass der interne Mail-Server aktiviert ist (Systemeinstellungen > E-Mail Gateway). Dessen Adresse wird als SMTP-Routing-Ziel eines Smarthosts (Exchange-Server/Domino-Server) eingetragen.

Lassen Sie unter Systemeinstellungen > UM > Allgemein > Sicherheit nur diejenigen Server zu, die tatsächlich Nachrichten per Fax oder SMS versenden sollen. Falls der interne Mail-Server verwendet wird, ist dort dessen IP-Adresse einzutragen. In der Regel sind alle UM-Dienste auf einer Maschine installiert und die Eintragung localhost ist passend.

Falls auch andere Server (z. B. ERP-Systeme) die Sende-Dienste über SMTP direkt verwenden sollen, sind deren Absender-IP-Adressen ebenfalls dort einzutragen.

Anwendungen

Web-Anwendungen

Grundsätzliches zur Sicherheit von Web-Anwendungen

Bei erhöhten Sicherheitsanforderungen empfehlen wir auch im Intranet verschlüsselte HTTP-Verbindungen, da Browser in manchen Fällen mit Basis-Authentifizierung arbeiten und Passwörter sonst im Klartext über das Netzwerk übertragen werden. Der XPhone Connect Server verwendet im Standard ein bei der Installation erzeugtes Sicherheitszertifikat. Dieses kann durch ein im Unternehmen vorhandenes Zertifikat ersetzt werden. Für die Veröffentlichung von XPhone Connect Anwendungen im Internet wird der Microsoft Internet Information Server verwendet.

Web-Administrations-Anwendungen

Aktivieren sie die SSL-Verschlüsselung der zum Einsatz kommenden Web-Server (Microsoft IIS). Ändern Sie das Administratorpasswort des XPhone Connect Servers und verwenden Sie eine hohe Kennwortkomplexität. Sichern Sie die Netzwerkverbindung zwischen Webserver und XPhone Connect Server mit den bereits beschriebenen Methoden, die für alle Arten von Ethernet-Verbindungen gelten.

Webservice

Die bei der Web-Administrationsanwendung beschriebene Vorgehensweise gilt auch für die XPhone Connect Mobile, welchen den XPhone Connect Webservice nutzen. Es ist dafür zu sorgen, dass die Benutzer Kennwörter mit ausreichend hoher Komplexität verwenden. Verwenden Sie im XPhone Connect Server in den Einstellungen der Benutzerverwaltung eines Standortes eine Kennwortrichtlinie, um eine ausreichende Passwortkomplexität herzustellen. In jedem Fall ist eine verschlüsselte Verbindung zwischen Client und Server zu verwenden.

Windows-Client-Anwendungen

Verwenden Sie bei standortübergreifendem Betrieb verschlüsselte VPN-Verbindungen.

Verwenden Sie nach Möglichkeit ausschließlich die integrierte Windows-Anmeldung.

Muss trotzdem die XPhone Connect Server-Anmeldung verwendet werden, stellen Sie per Kennwortrichtlinie (Benutzerverwaltung > Standort > Einstellungen > Kennwortrichtline) eine Ihren Bedürfnissen angepasste Kennwortsicherheit her.

Voicemail-Fernabfrage

Die Fernabfrage erlaubt den Zugriff auf die im E-Mail-System oder dem internen Nachrichtenspeicher abgelegten Voicemail-Nachrichten. Der Zugriff ist über eine numerische PIN gesichert.

Wird die Fernabfrage nicht benötigt, ist sie über eine Konfigurationsgruppe eines Standortes für den entsprechenden Nutzerkreis zu sperren.

Die Option Verbinden mit Anrufer erlaubt es, sich über die Telefonanlage mit einem Anrufer verbinden zu lassen. Falls dieses Leistungsmerkmal nicht benötigt wird, ist es zu deaktivieren.

PINs zur Fernabfrage von Voicemailnachrichten unterliegen speziellen Richtlinien siehe Voicemail-PIN .

Voicemail-Player

Zum Abhören von Voicemail-Nachrichten, die per E-Mail zugestellt wurden, enthält XPhone Connect eine Player-Anwendung. Diese Anwendung spielt eine in der E-Mail-Nachricht als Anhang vorhandene Sprachnachricht (WAV-Datei) über ein beliebiges Telefon ab. Das Abspielen wird auf dem UC-Server durch den Voicemail-Player-Dienst erledigt.

Der Verbindungsaufbau für das Abspielen ist im derzeitigen Produkt nicht über eine Authentifizierung gesichert. Eine Verwendung des Players darf ausschließlich im Intranet stattfinden.

Hinweis

Bei entsprechenden Sicherheitsanforderungen empfehlen wir auf die Voicemail-Player-Anwendung zu verzichten und den entsprechenden Server-Dienst zu deaktivieren.

TAPI

XPhone Connect bietet einen TAPI Service Provider (TSP), der es erlaubt, dass TAPI-kompatible Anwendungen die Telefoniedienste des XPhone Connect Servers nutzen.

Der XPhone Connect TSP kann über ein spezielles Server-Konto verwendet werden, sowie über alle Benutzerkonten.

Das Server-Konto bietet Zugriff auf alle Leitungen, die Benutzern zugeordnet sind. Achten Sie bei diesem Konto auf ein ausreichend komplexes Passwort. Da dies nur einmal konfiguriert wird und niemals interaktiv verwendet wird, kann eine hohe Anzahl von Stellen aus einer großen Menge von Zeichen gewählt werden. Vorbild sind hier WPA-Keys für WLAN.

Alle anderen Benutzer erhalten lediglich Zugriff auf die ihnen zugeordneten Leitungen. Ausnahmen gibt es bei Verwendung des TSP auf Terminal Servern, bei denen ein Schutz gegen unerlaubtes Monitoring fremder Leitungen prinzipbedingt nicht möglich ist. Auf dem Terminal-Server sind nur TAPI-Steuerfunktionen (z.B. Wählen/Auflegen) gegen benutzerübergreifenden Zugriff gesichert.

Hinweis

Beachten Sie, dass die Einstellung Deaktiviert unter Systemeinstellungen > Telefonie & Meetings > Telefonie > TAPI nur das zentrale Server-Konto deaktiviert und nicht die TAPI-Funktion insgesamt. Die TAPI-Funktion lässt sich durch das Entfernen der entsprechenden Lizenzen vollständig deaktivieren.

Telefonanlage

Folgende Vorkehrungen sind an der Telefonanlage vorzunehmen:

  • In Umgebungen, in denen XPhone Connect Server verwendet werden, empfehlen wir grundsätzlich das Sperren von (teuren) Servicerufnummern über die Wahlkontrolle der Telefonanlage. Auch bei perfekten Sicherheitsvorkehrungen kann es niemals ausgeschlossen werden, dass Code im Kontext eines berechtigten Benutzers ausgeführt wird.

  • Die Berechtigungen für den Aufbau von Amt-Amt-Verbindungen sind in der Telefonanlage restriktiv zu setzen.

Haben Sie einen Fehler auf dieser Seite entdeckt?

Bitte schicken Sie uns einen Hinweis auf diesen Fehler per Mail an doku@c4b.de. Vielen Dank!