Heute einmal mehr zum Thema: Auerswald Telefonanlagen Sicherheit

Sicherheitslücken gibt es immer wieder

Im Dezember 2021 wurde eine große Sicherheitslücke (Zero-Day-Lücke) in der Java Bibliothek log4j bekannt. Diese betrifft übrigens weltweit viele Systeme. Auerswald setzt diese Bibliothek aber nicht ein und ist daher von dieser Lücke nicht betroffen. Siehe Artikel bei Auerswald.

Sicherheitslücken vermeiden

Ein Punkt der Auerswald Telefonanlagen Sicherheit ist beispielsweise die richtige Konfiguration der Anlage und des Routers vor der Anlage.

Der nächste wichtige Punkt ist dann: regelmässig Updates installieren.

Als dritter Punkt ferner: sichere Kennworte (mein Beitrag) zu verwenden. Weitere Hinweise dazu liefert das BSI.

Konfiguration Anlage und Router

Nun möchte ich einmal auf den Punkt der Konfiguration eingehen. Hier habe ich schon wirklich grausame Konfigurationen gesehen und geändert. Das schlimmste war eine Anlage, die (mit fester IP) im Router mit jeder Menge Portweiterleitungen konfiguriert war. Der Kunde wusste nicht warum das so (vom Errichter) erfolgt ist. Angeblich war das nötig und auch zeitaufwendig. Dieser Kunde wollte auch Änderungen am System, die angeblich (laut Errichter) nicht machbar sind oder nur „sehr umständlich“ umgesetzt werden können. Weder waren die Portweiterleitungen nötig noch waren die Kundenwünsche besonders umständlich.

Thema: Portweiterleitungen. Diese sind meistens nicht nötig. Vor allem teilweise wirklich gefährlich. Es gibt Fälle in denen Portweiterleitungen nötig sein könnten. Port 80 und 443 (Zugriff auf die Weboberfläche) wird zu 99% nicht benötigt. Das restliche 1% ist theoretisch nur nötig, wenn man die Anlage mit der Auerswald App fernsteuern möchte. Aber auch hier gibt es andere Wege: nämlich ein VPN vom Handy zum Router. Das ist deutlich sicherer als die Portweiterleitung. Übrigens trifft das selbe auch auf Portweiterleitungen für die SIP/VoIP Ports zu. Diese müssen zu 99% nicht weitergeleitet werden. Es reicht, wenn diese offen sind und verwendet werden können. Die Ausnahme: Sie verwenden eine Firewall, die Ports von außen nur sehr kurz öffnet. Hier sind nach einer gewissen Zeit oft keine eingehenden Gespräche mehr möglich. Somit muss entweder die Zeit der Öffnung des Ports erhöht werden. Alternativ muss die Zeit in der Anlage für die Re-Registrierung gesenkt werden. Es müsste erst dann der betroffene Port dauerhaft geöffnet werden, wenn das beides nicht ausreichen sollte. Bei manchen Firewalls geht das nur mit der Portweiterleitung. Diesen Fall hatte ich übrigens nur bei einer einzigen Firewall. In seltenen Fällen muss eine Portweiterleitung auf Wunsch des Providers eingerichtet werden, hierbei handelt es sich aber um eine Ausnahme. Bis Firmware 8.2 war dies z.B. beim Vodafone SIP-Trunk nötig, hier musste der Port 5060 im Router / in der Firewall auf die Anlage weitergeleitet werden. Seit Firmware 8.4 (von Juni 2022) ist diese Portweiterleitung nicht mehr nötig.

Somit sind Portweiterleitungen zu 99% unnötig.

Regelmässige Updates

Auerswald (am 11.11.2021) und heise (am 22.12.2021) haben betreffend der Auerswald Telefonanlagen Sicherheit auf eine Sicherheitslücke hingewiesen. Diese betrifft die Zugänge zum Benutzer „admin“ und einem systeminternen Benutzer. Diese Sicherheitslücke trifft zu, wenn der Punkt zuvor (Portweiterleitungen) auf die Weboberfläche aktiv ist. In dem Fall: handeln Sie schnell und installieren Sie das aktuelle Update für die Anlage! Dieses finden Sie bei Auerswald auf der Support Webseite. Beachten Sie auch die Empfehlung von Auerswald: „Neben dem Einspielen dieses Updates sollten Sie zusätzlich den direkten Zugriff aus dem Internet auf die Weboberfläche (per Port-Weiterleitung im Router) unbedingt aus Sicherheitsgründen deaktivieren.“. Sie können dazu auch den Zugriff auf die Anlage von außerhalb in der Konfiguration der Anlage sperren. Dies empfehle ich zusätzlich, wenn kein Zugriff per App oder VPN erfolgt.

Auerswald hat alte Firmwarestände von der Homepage entfernt. Sie erhalten dort nur noch die Firmware ab Version 8.2B.

Sie müssen bei Installation dieser Version keine Zwischenschritte mehr ausführen. Je nach Alter der bisherigen Version würde ich diese Installation aber dennoch durchführen. Denken Sie unbedingt an das Backup vor dem Update. Bitte führen Sie auch einmal eine Regeneration der Konfiguration vor dem Update durch. Bitte wirklich das Backup erstellen! Ich hatte nach dem Update schon einmal eine Anlage ohne irgendeine Konfiguration (Update von 7.0 auf 8.2C). Ohne Backup wäre eine Neukonfiguration nötig gewesen.

Am 06.01.2022 hat Auerswald nochmal auf das Sicherheitsproblem hingewiesen, eine Woche nach Veröffentlichung dieses Artikels (in der ursprünglichen Version).

Mein Angebot

Ich installiere Ihnen gerne die Updates und prüfe Ihren Router auf unnötige Portweiterleitungen. Hierzu können Sie gerne jederzeit telefonisch oder per E-Mail Kontakt aufnehmen. Ich unterbreite Ihnen dann gerne ein (Pauschal-) Angebot.

Beachten Sie bitte, dass es für manche Systeme seit 2019 keine Updates mehr gibt. Somit gibt es auch kein Update zur Behebung dieser Sicherheitslücke. Dies betrifft die Auerswald COMpact 5010, 5020 sowie die basic.2

Sicherheit bei anderen Herstellern:

Bitte beachten Sie, dass unter anderem der Hersteller Synology dringend die Deaktivierung des Benutzers „admin“ empfiehlt. Verwenden Sie für die Verwaltung einen anderen Benutzernamen. Warum nicht „Verwaltung“? Hackerangriffe erfolgen meist auf englisch sprachige Benutzer- und Gruppennamen. Bitte verwenden Sie als Alternative nicht den „user“ oder „Benutzer“ für den Zugang.

Erhöhung der Passwortsicherheit:

viele Passwörter sind in einsehbaren Datenbanken im Internet enthalten. Verwenden Sie daher bei jeder Seitem bei jedem Zugang ein anderes Passwort. Dazu nutzen Sie bitte auch eine 2-Faktor-Authentifizierung und Passwörter mit mehr als 13 Zeichen.