Teil 1: Abhörsichere Telefonanlage bauen als Ersatz für z.B. die Fritzbox

Updated: 15/06/2015

Dieser Artikel ist veraltet und wird demnächst upgedatet

Updated: 15/06/2015

*15/06/15* Dieser Artikel ist veraltet und wird demnächst upgedatet

Die Telefonanlage wird ganz zum Schluss auf einem 4 GB USB Stick abgespeichert. Für unsere Testumgebung, die hier beschrieben wird benötigen wir erst einmal nur unsern PC. Das Betriebssystem ist frei wählbar, da wir es zur Demo erst einmal in einer frei verfügbaren und kostenfreien virtuellen Maschine installieren. Das Endsystem ersetzt Telefonanlagen, die in einer Preisklasse ab 5000.- Euro anzusiedeln sind. Man kann alle mögliche Hardware damit verbinden. Die gewohnten DECT Telefone oder auch Analoge Telefone, IP Telefone. und Smartphones funktionieren mit dieser Lösung. Natürlich funktionieren auch Faxgeräte.

Mit etwas Erfahrung ist das System auch unterwegs in 5 Minuten betriebsbereit.

Zum Anfang ein paar Worte zum Sicherheitsmodell
Verwendet wird das „Incredible PBX“ System, welches nach heutigem Stand als die sicherste Asterisk basierte TK-Anlage gilt. „Incredible PBX“ wurde entwickelt damit man innerhalb halb eines NAT basierten Firewalls ohne Internetexposition agieren kann und bei dem der Server selbst vom Internet aus nicht erreichbar ist. Für diejenigen die eine Telefon Fernadministration benötigen, können die Pakete Travelin’ Man 2 and 3 optional nachladen.
Durch vordefinierte IP Adressen und eindeutige Namensgebung (FQDN) wird der IPtables Linux Firewall nach außen hin abgeschottet. Der Server ist nur für diejenigen erreichbar dem auch offiziell Zugang gewährt wurde.
In heutigen Multifunktions(Zwangs)Routern der Provider ist ja letztendlich nichts anderes als ein im Funktionsumfang abgestecktes und verändertes Asterisk drin. Für nähere Informationen lesen Sie bitte unter Asterisk SIP vulnerability nach. Beim Lesen solcher Meldungen mache ich mir schon Gedanken, ob die offiziellen Erklärungen von AVM oder anderen Herstellern so dem Wahrheitsgehalt entsprechen.
Unser System wäre zwar aufgrund der besonderen Sicherheitsvorkehrungen die wir treffen nicht gefährdet gewesen. Wir werden aber gut informiert und weil es eben Open Source ist sind die Dinge jederzeit von tausenden von Benutzern nachvollzogen werden. Die meisten Fachleute sind sich einig dass es Sicherheit nur durch offenen Quellcode geben kann.
Jetzt versteht Ihr auch warum bei einem solchen System eine WhiteList basierte Sicherheit absolut unabdingbar ist. Und diese ist eben bei den meisten Kombinationsroutern nicht vorhanden. WhiteList Security meint, das nur diejenigen registrierten Geräte mit von Euch registrierter IP Adresse und auch in die WhiteList eingetragen sind Zugriff auf Euer System bekommen.
Das Model der Zwangrouter sieht vor, dass nur der Zwangsrouterprovider in Euer System kommt und zwar auf Plätze zu denen Euch als Besitzer und Eigentümer des Gerätes jeglicher Zugriff verwehrt wird. Und diesem muss man auch noch vertraglich zustimmen. Er darf dies sogar machen ohne euch um Erlaubnis zu fragen.

Auf das System das wir hier aufbauen wollen hat niemand Zugriff außer Ihr selbst. Für den deutschen Geheimdienst oder die NSA oder jeglichen anderen Personen existiert Euer Server gar nicht. Der einzige Weg zu dem Server führt über ein stinknormales POTS Telefon (also „der gute alte Telefondienst“ bei der in der Vermittlung erst einmal ein Kabel eingesteckt werden muss um mit der Gegenstelle in Kontakt zu treten ) und nur dann wenn ihr Eure Telefonnummer veröffentlicht habt. Ich hoffe Ihr habt es jetzt verstanden?

Für diejenigen die mehrere Server verbinden wollen (Z. B. Fünfzig Nachbarn telefonieren über eine Flatrate. Die Server könnten aber auch irgendwo in der Welt sein) gibt es One-Click Installer und zwar nicht für eine sondern gleich für 2 VPN Lösungen: Neorouter und PPTP.
Es erübrigt sich fast zu erwähnen, dass in das Incredible PBX noch eine Menge an Security Features reingepackt wurde: Speziell angepasster IPtables Linux Firewall, Fail2Ban abgestimmt auf das Asterisk Security Monitoring, FreePBX Extension Lockdown by IP address, randomized FreePBX extension passwords, Travelin’ Man 2 and 3 Sicherheits- Whitelist , mehrere VPN- Lösungen für verschlüsselte Server-zu- Server-Kommunikation, Es gibt ein von Grund auf generiertes Design mit Fokus auf den reibungslosen Betrieb hinter einer hardwarebasierten Firewall. Ihr werdet zu keinem Preis ähnlich sichere Lösungen auf dem Markt finden.

 

Hier noch einmal das „Incredible PBX“ 9-Schichten Security Model:

書呆子Vittles: Did we mention that all of this telephone goodness is still absolutely FREE

Voraussetzungen. Hier ist, was ich empfehle, um richtig loslegen zu können (Ausreichend für 50 – 100 Teilnehmer):

  1. Hide.me Premium Account
  2. Breitband-Internetverbindung
  3. $ 200 Dual-Core-Atom-PC, 4 GB RAM, 60 GB SSD (keine beweglichen Teile!). Das kann aber auch ein Laptop sein am Anfang. Es gibt Lösungen für den Beaglebone Black (empfohlen) oder den Raspberry Pi. Problemlos bis 10 Telefonate gleichzeitig bei geringen Stromkosten. Der theoretische Grenzwert liegt bei 500 Teilnehmer auf diesen beiden Scheckkarten PC’s. Aber wir wollen ja eine exzellente Audioqualität mit unserem System erreichen.
  4. TP-Link Router / Firewall. Low Cost: am besten WR1043nd mit OpenWRT ca. 50 Euro später wenn fertiggestellt die Hide.me Community Version
  5. Dedicated Google Voice Konten (Sprach-und Fax)
  6. 1 – 2 Voip Provider. Es sind zwar 20 Telefonprovider vorkonfiguriert. Diese bedienen aber eher den amerikanischen Markt. Ich werde das Beispielsystem mit Hilfe von Localphone und Tele33.de aufbauen. Da man bei beiden keinen festen Vertag eingehen muss und zudem für seine Tests am Anfang freie Telefonminuten umsonst bekommt. Weiterhin haben beide deutsche Ortsrufnummern im Programm mit denen Ihr auch unkompliziert angerufen werden könnt.

An Human Resources werden benötigt:

  1. Leute die einfach nur helfen erst mal meine Rechtschreibefehler zu korrigieren :)
  2. Helfer die koordiniert das umfangreich vorhandene Dokumentationsmaterial vom Englischen ins Deutsche übersetzen helfen (Die Erlaubnis dafür habe ich mir schon eingeholt).

Nochmal: Bevor es in der nächsten Folge weitergeht. Das Betreiben eines Telefonanschlusses direkt am Zwangsrouter ist in meinen Augen (und hier wähle ich drastische Worte) ein Sicherheitsverbrechen, Bei dem Ihr in der Regel, da vertraglich vom Provider so festgelegt Euren Kopf hinhalten müsst, wenn etwas passiert. Es ist kein Problem z.B. eine Fritz HINTER einem Hardwarerouter/Firewall als Erweiterung zu betreiben aber bitte nicht davor als Einwahlrouter.

Wilfried Gödert on BehanceWilfried Gödert on BloggerWilfried Gödert on EmailWilfried Gödert on FacebookWilfried Gödert on GoogleWilfried Gödert on LinkedinWilfried Gödert on TwitterWilfried Gödert on WordpressWilfried Gödert on Youtube
Wilfried Gödert
Physician at Tocan Germany
Arzt mit Zusatzqualifikation Medizininformatik. Verantwortlich für die Qualitätskontrolle der chirurgischen Instrumente im Tocan.de Shop.
30 Jahre Erfahrung in der Zweckentfremdung.
Die OpenWRT VPN Router und Projekte um diese Router und das sinnvolle Zubehör werden von Ihm betreut.
Interessen: Netzwerk und Datensicherheit, Haus Automatisierung...