Startseite  >  Telefonanlagen & Telefone  >  Professionelle Lösungen

Interne Teilnehmer, verteilt auf beliebige Standorte.

Eine aussenliegende Nebenstelle ist ein interner Teilnehmer, der über ein öffentliches Netz (z. B. Internet) mit der zentralen Telefonanlage verbunden ist (z. B. Home Office, abgesetzte Gebäudeteile, Filialen). Dabei ist die Entfernung zwischen Telefonanlage und aussenliegender Nebenstelle nicht relevant.

Bei vielen Unternehmen ist ein steigender Einsatz von Home Offices zu erkennen. Neben Außendienstmitarbeitern werden aus Flexibilitätsgründen vermehrt Teilzeitkräfte im Home Office an die Firmenzentrale angebunden. Diese Mitarbeiter sollten aus dem Home Office möglichst so arbeiten können, als wenn sie in der Zentrale eingesetzt wären. Dadurch ergeben sich vielfältige Vorteile wie z. B. Einbindung in Gruppen der Zentrale, im Optimalfall Besetztstatus-Informationen aller angebundenen Mitarbeiter, eine einheitliche Firmennummer zum Kunden, Telefonkosten-Abrechnung über den zentralen Firmenanschluss, zentrales Telefonbuch und nicht zuletzt die strikte Trennung von Privat- und Firmenanschluss.

Von Vorteil ist, dass diese Lösung am externen Standort keinen Eingriff in die bestehende Telefoninfrastruktur erfordert. Viele dieser Vorteile sind auch für kleine Unternehmensfilialen mit maximal 1-2 Nebenstellen relevant. Zusätzlich von Vorteil ist, wenn gleichzeitig Daten über gesicherte VPN-Verbindungen mit der Zentrale ausgetauscht werden können. Hierbei sollte die Möglichkeit der Sprachpriorisierung für die Telefonate gegeben sein.

Im Home Office kommen ein Internet Router mit VPN-Funktionalität und ein IP COMfortel-Systemtelefon zum Einsatz. Dieses wird an der Auerswald Telefonanlage registriert und ist damit komplett eingebunden. Damit sind die Standard-Telefonie Funktionen, wie z. B. Rückfrage, Makeln, Vermitteln, Dreierkonferenz zwischen Zentrale und Home Office, usw. verfügbar. Ebenso wird der Besetztstatus des IP COMfortel-Systemtelefon an allen anderen Systemtelefonen (IP oder ISDN) der Zentrale angezeigt.

In der Zentrale kommen ein Internet Router mit VPN-Funktionalität und eine Auerswald COMpact 5010/5020 VoIP oder COMmander Business, Basic.2 oder 6000 Telefonanlage zum Einsatz. Über einen VPN-Tunnel können die IP COMfortel-Systemtelefone eingebunden werden.

Damit ist im Home Office der volle Funktionsumfang eines Systemtelefons der Zentrale verfügbar, wie z. B. Besetzt-Informationen aller Teilnehmer und das zentrale Telefonbuch. Durch einen VPN-Tunnel kann die Sprachverbindung und eine ebenfalls mögliche Datenverbindung Tunnel mit höchster Verschlüsselung zusätzlich gesichert werden. In beiden Fällen sind Einstellungen zur Verbesserung der Sprachqualität und ein dynamisches Bandbreitenmanagement möglich (QoS).

> IP COMfortel-Systemtelefone auch über interne Rufnummer erreichbar
> Weitere Funktionen z.B. Rückfrage, Makeln, Vermitteln, Dreierkonferenz
> IP COMfortel-Systemtelefone im Besetztlampenfeld von ISDN COMfortel Systemtelefonen sichtbar
> Registrierungsstatus im Webinterface und an allen Systemtelefonen sichtbar
> Einheitlicher Rufnummernplan zwischen Zentrale und Nebenstellen
> Amtanschlüsse der Telefonanlage für externe Verbindungen nutzbar
> Systemfunktionen der Telefonanlage aus der Ferne nutzbar, z. B. Anrufweiterschaltung, Amtbelegung, Raumüberwachung, usw.
> Volle Systemfunktionalität, wie Gruppen, Besetztlampen, zentrales Telefonbuch, Rufumleitungen, usw.
> Nutzung eines VPN-Tunnels mit IPSec für max. Sicherheit
> Durch VPN-IPSec-Verbindungen keine Möglichkeit der Manipulation und Abhörmöglichkeit

> Auerswald COMfortel 3500
> Auerswald COMfortel 3200
> Auerswald COMfortel VoIP 2500 AB

Oft machen sich die Nutzer von Telefonanlagen, die auch via VoIP-Verbindungen zu Ihren einzelnen Niederlassungen aufbauen, viele Gedanken um den Passwortschutz nach aussen. Intern wird das Risiko aber unterschätzt, hier werden gerne weniger sichere, dafür aber einfach zu merkende Passwörter genutzt.

Obacht – diese Denkweise schwächt die Sicherheit der gesamten Kommunikationsinfrastruktur!

Werden aussenliegende Nebenstellen ohne VPN angebunden, sind sichere Passwörter unbedingt notwendig. Und das sowohl für die internen Teilnehmer als auch für aussenliegende Nebenstellen.

Der Denkfehler liegt hier in der Vorstellung von einem Netzwerk: Netzwerke sind eben nicht an einen Ort gebunden, auch wenn sie zwei Postanschriften haben (z. B. Firmenzentrale und Nebenstelle). Vergleichbar ist das mit einem Fluss: Wird an der vermeintlich saubersten Stelle, also einer Quelle, das Wasser verunreinigt, ist es auch an der Mündung nicht sauber. Genauso kann ein Kommunikationssystem schon an der vermeintlich sichersten Stelle, in unserem Beispiel eine Zentrale, angegriffen werden. Da ist es dann egal, wie weit die aussenliegende Nebenstelle entfernt ist und wie sicher das Passwort gewählt wurde.

Von der technischen Seite betrachtet liegt der Denkfehler darin begründet, dass eine Telefonanlage nicht zwischen “internen” Teilnehmern und aussenliegenden Nebenstellen unterscheidet.
Um bei diesem Beispiel zu bleiben, macht es also keinen Unterschied, ob sich jemand in einer Firmenzentrale an einem Systemtelefon einloggt oder ein Außendienstmitarbeiter in Australien.

Grundsätzlich entsteht das Problem dadurch, dass für die Anmeldung von aussenliegenden Teilnehmern ohne VPN in der Regel ein Port-Forwarding konfiguriert wird.

Dieses unterscheidet häufig nicht nach Quell-IP, da man sich von überall aus einloggen können möchte. Zusammen mit der Tatsache, dass die Telefonanlage nicht zwischen “internen Teilnehmern” und “aussenliegenden Teilnehmern” unterscheidet, ergibt sich die gefährliche Situation.

Ein interner VoIP-Teilnehmer mit unsicherem Passwort reicht also, um einen weak point und damit einen Ansatzpunkt für Angreifer zu schaffen. Gibt es diese eine Schwachstelle, ist das gesamte System deutlich unsicherer.

Der Einsatz eines VPN (Virtual Private Networks) ist neben einem sicheren Passwort ein weiterer Weg, um die Sicherheit der eigenen Kommunikationsinfrastruktur zu gewährleisten.

Es ist sogar ratsam, unbedingt auf ein virtuelles Netzwerk zu setzen. Virtuelle Netzwerke können je nach verwendetem Protokoll um Komponenten ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglichen. Via VPN werden weit entfernte Netzwerke wie ein Teil des eigenen Netzwerkes behandelt, so als ob eine direkte Kabelverbindung bestehen würde. Notwendig sind hierfür spezielle VPN-Gateways, bzw. -Router bei den jeweiligen VPN-Partnern, die diese direkte Verbindung ermöglichen.

Neben dem Sicherheitsaspekt bietet sich außerdem der Vorteil, dass (sofern entsprechende Berechtigungen vorhanden sind) auch der Zugriff auf alle Netzwerklaufwerke der Firmenzentrale möglich ist, da die aussenliegende Nebenstelle wie ein physischer Teil des Netzwerkes in der Zentrale betrachtet werden kann.

Fazit: Auch für die internen VoIP-Teilnehmer muss ein sicheres Passwort genutzt werden, um die eigene Telefonanlage vor dem Zugriff von Fremden zu schützen. Wer bei Passworten wenig kreativ ist, vertraut am besten auf einen Generator: Dieser hier ermöglicht es, die Bedingungen an ein Passwort selbst zu definieren und sich dann eine Zeichenkette ausgeben zu lassen. Übrigens: Wer sich auf der Liste der unsichersten Passwörter des Jahres 2012 wiederfindet, sollte schleunigst neue Passwörter definieren. Um anschließend die neuen, sichereren Passwörter doch wieder einfach zu verwalten, sind die Tools aus diesem Artikel eine Möglichkeit.

Einen zusätzlichen Schutz stellt die IP-Sperrliste in unseren Telefonanlagen zur Verfügung. Sollte also trotz allem ein schwaches Passwort gewählt worden sein, landet der Angreifer bzw. seine IP-Adresse nach wenigen Versuchen auf einer Sperrliste. Auch hier gibt es natürlich Wege, über eine neue IP-Adresse neue Angriffe auszuführen. Insofern sind also sichere Passwörter der beste Schutz.

Um die Einrichtung zu erleichtern, hat Auerswald einen Zufallsgenerator eingebaut. Dieser erzeugt automatisch ein sicheres Passwort, wenn ein neuer Teilnehmer angelegt wird. Wie das aussieht, ist hier am Beispiel der Konfigurationsoberfläche einer COMpact 5020 VoIP Telefonanlage zu sehen:

Hier geht es zu allen verfügbaren Downloads (Produktinformationen, Bedienungsanleitungen, Dokumentationen, Software, Firmware, Treiber, Tools, usw.) zur Auerswald Homepage.

Diese Seite befindet sich im Aufbau...

Um diese Seite zu empfehlen klicken Sie hierzu einfach auf einen der Links...