Asterisk und Sicherheit - Ein Ratgeber

Asterisk erfreut sich zunehmender Beliebtheit, sowohl bei privaten Anwendern als auch auf Unternehmensebene. Der riesige Funktionsumfang sowie die flexiblen Konfigurationsmöglichkeiten von Asterisk lassen nur selten Wünsche offen und überbieten viele proprietäre Telefonanlagen. Doch wie bei den meisten softwarebasierten Anwendungen muss auch ein Asterisk-Server vor Angriffen von außen abgesichert werden. Fahrlässige Konfigurationen und mangelnde Weitsicht bei der Sicherheit können dazu führen, dass die Telefonanlage übernommen wird oder das andere Produkte wie SIP-Accounts gehackt werden und somit hohe Kosten verursachen können. Vor allem Unternehmen sollten auf die Sicherheit ihrer Asterisk-Telefonanlage eine hohe Priorität legen, da sonst Kundendaten und Mitarbeiterdaten gefährdet oder finanzielle Risiken zu erwarten sind.


Es gibt eine Reihe an Sicherheitseinstellungen die durchgeführt werden können, um den Asterisk-Server vor Angriffen zu schützen. Wir stellen Ihnen einige typische Möglichkeiten vor.


SIP-Clients auf IP-Adressen beschränken

Asterisk ermöglicht es, den Zugriff auf Nebenstellen zu gewähren oder zu verbieten. Dadurch können sich bestimmte Nebenstellen nur dann verbinden und registrieren, wenn die IP-Adresse entsprechend bekannt ist. Es ist zudem möglich, bestimmte IP-Adressen oder auch ganze IP-Adressblöcke von jeglichem Zugriff auszuschließen. Damit ist es auch möglich, eine Liste von verdächtigen IP-Adressen festzulegen, die somit keine Möglichkeit haben auf SIP-Clients zuzugreifen.


Asterisk-Server absichern

Asterisk-Server mit Firewall sichern

Für eine sichere Asterisk-Umgebung ist es wichtig, nur benötigte Ports freizugeben. Die korrekte Einstellung (und überhaupt das Vorhandensein) der Firewall ist daher eine der Grundsäulen, um Asterisk sowie weitere sensible Daten der Telefoninfrastruktur abzusichern. Eine besondere Bedeutung kommt dabei der Linux-internen Anwendung iptables zu, die die Linux-Firewall quasi optimiert. Durch iptables ist es möglich, bestimmte Regeln zu definieren durch die nur diejenigen Ports geöffnet werden, die auch tatsächlich benötigt werden.


Unerwünschte IP-Adressen blocken

Hacker versuchen in der Regel mehrmals mit einer IP-Adresse sich Zugriff auf einem Server zu verschaffen. Durch dieses Verhalten lassen sich mit der richtigen Anwendung und Einstellung bereits viele Angriffe vermeiden. Die Python-Anwendung fail2ban ermittelt aus log-Datein diejenigen IP-Adressen, die sich innerhalb einer gewissen Zeit mehrmals mit falschen Passwörtern versuchen anzumelden oder bestimmte Phrasen eingeben, die nicht gewünscht sind. Diese Adressen werden dann geblockt. Fail2ban wird in der Regel immer in Verbindung mit iptables verwendet.


Starke Passwörter verwenden

Eigentlich eine Selbstverständlich, jedoch kommt es immer wieder vor, dass Server aller Art aufgrund schlecht gewählter Passwörter gehackt werden. Passwörter sollten so gewählt werden, dass Bruteforce-Attacken deutlich erschwert werden. Neben Groß- und Kleinbuchstaben sollten auch Zahlen und Sonderzeichen in der Passwort-Phrase enthalten sein. Je länger das Passwort ist, um so besser.


Identität verbergen

Bei der Kommunikation mit anderen SIP-Clients, Nebenstellen oder Proxies verfügt Asterisk über eine eigene Anrufer-Identifikation. In der Voreinstellung beinhalten beispielsweise die Header das Wort Asterisk sowie die jeweilige Versionsnummer. Diese Vorgehensweise sollte aus Sicherheitsgründen unterbunden werden. Hacker können dadurch erkennen, dass die Telefonanlage auf Asterisk basiert und können anhand der Versionsnummer bekannte Schwachstellen nutzen. In der sip.conf können sowohl der jeweilige User-Agent sowie die SDP-Session entsprechend abgeändert werden, so dass es schwieriger wird, die jeweils eingesetzte Telefoniesoftware zu erkennen.


Aktuelle Asterisk-Software nutzen

Es empfiehlt sich eigentlich von selbst, stets aktuelle bzw. stabile Asterisk-Versionen zu verwenden.


Hilfe und Beratung zu Sicherheitsfragen für Ihr Asterisk-System

Wir installieren und konfigurieren Asterisk seit mehr als 10 Jahren und kennen mögliche Schwachpunkte. Gern analysieren wir Ihr Asterisk-System und geben Ihnen konkrete Optimierungsvorschläge, die helfen können, Ihr Asterisk-System sicherer zu machen. Wenn Sie Bedarf an einer umfassenden Beratung haben, freuen wir uns auf Ihren Anruf oder Ihre Email. Mehr Informationen zu unserem Asterisk-Support


Beispiel einer Sicherheitsmaßnahme: Asterisk-Prozess mit eingeschränktem Benutzer