Heute einmal mehr zum Thema: Auerswald Telefonanlagen Sicherheit

Im Dezember 2021 wurde eine große Sicherheitslücke (Zero-Day-Lücke) in der Java Bibliothek log4j bekannt. Diese betrifft übrigens weltweit viele Systeme. Auerswald setzt diese Bibliothek aber nicht ein und ist daher von dieser Lücke nicht betroffen. Siehe Artikel bei Auerswald.

Ein Punkt der Auerswald Telefonanlagen Sicherheit ist beispielsweise die richtige Konfiguration der Anlage und des Routers vor der Anlage.

Der nächste wichtige Punkt ist dann regelmässig Updates installieren. Als 3. Punkt ferner: sichere Kennworte (mein Beitrag) zu verwenden. Weitere Hinweise dazu liefert das BSI.

Konfiguration Anlage und Router

Nun möchte ich einmal auf den Punkt der Konfiguration eingehen. Hier habe ich schon wirklich grausame Konfigurationen gesehen und geändert. Das schlimmste war eine Anlage, die (mit fester IP) im Router mit jeder Menge Portweiterleitungen konfiguriert war. Der Kunde wusste nicht warum das so erfolgt ist. Angeblich war das nötig und auch zeitaufwendig. Dieser Kunde wollte auch Änderungen am System, die angeblich nicht machbar sind oder nur „sehr umständlich“ umgesetzt werden können.

Thema: Portweiterleitungen. Diese sind meistens nicht nötig. Vor allem teilweise wirklich gefährlich. Es gibt Fälle in denen Portweiterleitungen nötig sein könnten. Port 80 und 443 (Zugriff auf die Weboberfläche) wird zu 99% nicht benötigt. Das restliche 1% ist theoretisch nur nötig, wenn man die Anlage mit der Auerswald App fernsteuern möchte. Aber auch hier gibt es andere Wege: nämlich ein VPN vom Handy zum Router. Das ist deutlich sicherer als die Portweiterleitung. Übrigens trifft das selbe auch auf Portweiterleitungen für die SIP/VoIP Ports zu. Diese müssen zu 99% nicht weitergeleitet werden. Es reicht, wenn diese offen sind und verwendet werden können. Die Ausnahme: Sie verwenden eine Firewall, die Ports von außen nur sehr kurz öffnet. Hier sind nach einer gewissen Zeit oft keine eingehenden Gespräche mehr möglich. Somit muss entweder die Zeit der Öffnung des Ports erhöht werden. Alternativ muss die Zeit in der Anlage für die Re-Registrierung gesenkt werden. Es müsste erst dann der betroffene Port dauerhaft geöffnet werden, wenn das beides nicht ausreichen sollte. Bei manchen Firewalls geht das nur mit der Portweiterleitung. Diesen Fall hatte ich übrigens nur bei einer einzigen Firewall.

Somit sind Portweiterleitungen zu 99,9% unnötig.

Regelmässige Updates

Auerswald (am 11.11.2021) und heise (am 22.12.2021) haben betreffend der Auerswald Telefonanlagen Sicherheit auf eine Sicherheitslücke hingewiesen. Diese betrifft die Zugänge zum Benutzer „admin“ und einem Systeminternen Benutzer. Diese Sicherheitslücke trifft zu, wenn der Punkt zuvor (Portweiterleitungen) auf die Weboberfläche aktiv ist. In dem Fall: handeln Sie schnell und installieren Sie das aktuelle Update für die Anlage! Dieses finden Sie bei Auerswald auf der Support Webseite. Beachten Sie auch die Empfehlung von Auerswald: „Neben dem Einspielen dieses Updates sollten Sie zusätzlich den direkten Zugriff aus dem Internet auf die Weboberfläche (per Port-Weiterleitung im Router) unbedingt aus Sicherheitsgründen deaktivieren.“. Sie können dazu auch den Zugriff auf die Anlage von außerhalb in der Konfiguration der Anlage sperren. Dies empfehle ich zusätzlich, wenn kein Zugriff per App oder VPN erfolgt.

Auerswald hat alte Firmwarestände von der Homepage entfernt. Sie erhalten dort nur noch die derzeit neuste Version 8.2B (bzw. 8.2b002 als beta).

Sie müssen bei Installation dieser Version keine Zwischenschritte mehr ausführen. Je nach Alter der bisherigen Version würde ich diese Installation aber dennoch durchführen. Denken Sie an das Backup vor dem Update. Bitte führen Sie auch einmal eine Regeneration der Konfiguration vor dem Update durch.

Am 06.01.2022 hat Auerswald nochmal auf das Sicherheitsproblem hingewiesen, eine Woche nach Veröffentlichung dieses Artikels.

Mein Angebot

Ich installiere Ihnen gerne die Updates und prüfe Ihren Router auf unnötige Portweiterleitungen. Hierzu können Sie gerne jederzeit telefonisch oder per E-Mail Kontakt aufnehmen. Ich unterbreite Ihnen dann gerne ein (Pauschal-) Angebot.

Sicherheit bei anderen Herstellern:

Bitte beachten Sie, dass unter anderem der Hersteller Synology dringend die Deaktivierung des Benutzers „admin“ empfiehlt. Verwenden Sie für die Verwaltung einen anderen Benutzernamen. Warum nicht „Verwaltung“? Hackerangriffe erfolgen meist auf englisch sprachige Benutzer- und Gruppennamen. Bitte verwenden Sie als Alternative nicht den „user“ oder „Benutzer“ für den Zugang.