Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch

19

Transcript of Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch

Ihre Gastgeber

Markus Ehlers Benjamin-Nicola Lüken

Warum eine Firewall?

Agenda

•Begrüßung

•Warum eine Firewall

•Wie konfiguriere ich pfSense

•Fragen

Sichere Passwörter • Zahlen, Buchstaben und Sonderzeichen •Minimum 8 Zeichen • Keine Wörter

adminpassword

000012344321

askoziaaizoksa

8C+inL6B}4_kQu3F6b?!1Q_ct!88_u7V.dLN

1@i+yY{L97Km

•DDoS-Attacken unterbinden • Anlage wird langsam, Registrierung nicht mehr möglich

•Brute-Force-Attacken • Passwörter werden ausprobiert, bis der Account missbraucht wird

Warum eine Firewall?

Warum eine Firewall? Testen von eingehenden Rufnummern

Warum eine Firewall?

…NOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13796" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13797" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13798" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13799" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13800" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer foundNOTICE[2540]: chan_sip.c:26430 in handle_request_register: Registration from '"13801" <sip:[email protected]:5060>' failed for '212.83.257.8:5097' - No matching peer found…

Sip-Brute-Force-Attacks

Warum eine Firewall?

…dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Bad password attempt for 'root' from 61.174.251.226:37142dropbear[19696]: Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 61.174.251.226:37142dropbear[19713]: Child connection from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271dropbear[19713]: Bad password attempt for 'root' from 61.174.251.226:41271…

SSH-Angriffe

Warum eine Firewall?Was kann passieren?

• Hohe Telefonrechnungen • Anlage wird “übernommen” • Passwörter werden auf dem Schwarzmarkt verkauft (Provider, E-Mail-

Accounts) • Anlage wird für kostenlose Telefonie genutzt • Durchwahlen und Faxgeräte werden für Betrug genutzt • System wird als SPAM-Verteiler genutzt • Gespräche werden aufgezeichnet (Spionage) • Trojaner/Viren werden installiert •Weitere IT-Systeme werden infiziert (internes Netzwerk) • Gesichtsverlust vor dem Kunden

Warum eine Firewall?Lösung

• Ports über eine globale Firewall sperren •Portweiterleitung sind nicht nötig und gefährlich! •NAT-Firewall benutzen • Askozia-Firewall aktivieren • Ports für das Internet sperren • Fail2Ban benutzen • IP wird automatisch nach n-Versuchen gesperrt • Angriffe werden effektiv unterbunden

• VPN nutzen • Teilnehmer telefonieren verschlüsselt • Keine Audio-Probleme

• Eine schlecht konfigurierte Firewall ist so gut wie keine Firewall

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP

MAC

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP

Laye

r 2 (S

witc

h)

Laye

r 3 (R

outin

g)

SIP-

ALG

, SIP

-Pro

xy

MAC

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP

Laye

r 2 (S

witc

h)

Laye

r 3 (R

outin

g)

SIP-

ALG

, SIP

-Pro

xy

Dee

p Pa

ckag

e In

spec

tion

MAC

Application

Presentation

Session

Transport

Network

Data Link

Physical

SIP

IP Network IPe.g. 216.123.123.123

SIP IPe.g. 192.168.1.5

Laye

r 2 (S

witc

h)

Laye

r 3 (R

outin

g)

SIP-

ALG

, SIP

-Pro

xy

Dee

p Pa

ckag

e In

spec

tion

MAC

RouterDHCP

FirewallDHCP

NAT IPv4172.0.0.x

Internet

Public IP216.123.123.123

LAN

NAT IPv4192.168.1.x

SIP-ServerSIP-Gateway(Provider)

192.168.1.5

216.123.123.123

Firewall Konfiguration doppeltes NAT

RouterDSL-Mode

FirewallDHCP-Server

PPPoE216.123.123.123

Internet

Public IP216.123.123.123

LAN

NAT IPv4192.168.1.x

SIP-ServerSIP-Gateway(Provider)

192.168.1.5

216.123.123.123

Firewall Konfiguration doppeltes NAT

Firewall Konfiguration pfSense

• System > Advanced > Firewall/NAT

•Firewall Optimization Options -> Conservative UDP timeouts resultieren in Verbindungsabbrüchen oder fehlenden SIP-Registrierungen

•Disable firewall scrub Kann mit einigen Netzwerkkarten zu Paketverlust führen

•Firewall rules for WANHinzufügen eines Alias für den Provider und für AskoziaFreigeben aller Verbindungen zwischen dem Alias des Provider und der Askozia

Noch Fragen? Sie haben es gleich geschafft!

[email protected]