[Dringend] Voip im Lan mit DMZ und Firewall

[Perseus]

Hallo,

ich brauche dringend Hilfe, da ich am kommenden Dienstag eine Projektarbeit abgeben muss und mir dazu leider die Expertise fehlt.
Es war ziemlich dumm von mir dieses Projekt zu wählen aber das Kind ist bereits in den Brunnen gefallen und ich merke poe a poe wie limitiert mein Wissen ist.

Die Aufgabenstellung basiert auf einem kleinen LAN das mit VoIP Telefonen ausgestattet werden soll. Das Lan verfügt über eine DMZ und eine Firewall.

Meine erste Frage ist, ob die Telefone im DMZ oder im Lan angeschlossen werden sollten. Falls DMZ die bessere Wahl ist kann mir jemand erklären wieso es sinnvoll ist und welche technischen Einstellungen getroffen werden müssen, um die Telefone aus dem WAN erreichbar zu machen?

Mein zweites Problem ist die Firewall. Ich glänze mit totaler Ahnungslosigkeit . Wenn ich im Internetrouter nur gezielt Ports freigebe, zb http, mail und voip (sip/rtp), und der rest geblockt wird, gilt das schon als firewall?
Ist es noch up2date an seinem router einen mac-filter zu verwenden? laut wikipedia bieten mac-filter nur einen geringen sicherheitsgewinn und ich möchte ungern ein mac-filter vorschlagen, wenn das von it experten schon seit jahren als "schlechte lösung" bewertet wird.

mein kernproblem ist im prinzip also, dass ich weder von dmz's noch firewalls einen schimmer habe -.-

falls mir jemand ein paar infos oder stichworte an die hand geben könnte wäre ich sehr dankbar

 

[socram]

Moin Perseus,

danke, dass du mir mit deinem Post zum Lachen beim Kaffee am Morgen verholfen hast
Nun zu deinem Problem: Du leitest für VoIP-Telefone keine Ports weiter sondern benutzt einen STUN-Server.
Da die Telefone keine Server-Aufgabe wahrnehmen, brauchst du sie auch nicht in die DMZ zu setzen.
Für VoIP brauchst du einen Port für den STUN-Server, der meist 3478 ist. Das ganze läuft in der Regel sowohl per UDP als auch per TCP.
Der STUN-Server sorgt dafür, dass das Telefon auch aus dem Internet erreichbar ist. Das ist allerdings nicht nötig, wenn der Router einen integrierten SIP-Server hat. Daraus ergibt sich dann, dass du keinen STUN-Server brauchst, weil der Router (wenn er nicht hinter noch einer Firewall steckt) aus dem Internet erreichbar ist.
Zu der nächsten Frage: Ja, das kann man dann wohl als das Grundprinzip jeder Firewall bezeichnen. Entweder du gibst bei einer Firewall gezielt Dienste Frei und blockst alles andere oder gibst alles frei und blockst explizit. Letzeres ist für dein Szenario aber eher weniger geeignet.
Mit dem MAC-Filter liegst du schon ganz richtig. Sofern jemand eine "erlaubte" MAC kennt, hat er Zugriff auf dein Netzwerk (Stichwort: MAC-Spoofing), weil die MAC-Adresse, die man ja umgangssprachlich auch als Hardware-Adresse kennt, eben nicht Hardware-gebunden ist, sondern über das Betriebsystem verändert werden kann.
Dann mal noch viel Spaß und liebe Grüße!

 

[Perseus]

hey socram, danke für deine ausführliche antwort! mein router hat keinen "eigenen sip server".
stattdessen ich habe einen account bei sipgate eingerichtet der diesen zweck erfüllt. habe ich richtig verstanden, dass, wenn ich das telefon im Dmz anschließe, ich den port des verwendeten STUN server am router freigeben muss, um es aus dem WAN erreichbar zu machen?

wenn nichts dagegen spricht die telefone im DMZ anzuschließen, spricht im gegenzug denn etwas dafür? erziele ich einen sicherheitsgewinn?

 

[socram]

Vorab: Mir ist da ein Fehler in meinem Post aufgefallen, den ich mal behoben habe.
Den Anführungszeichen entnehme ich mal, dass du das mit dem eigenen SIP-Server nicht ganz verstanden hast? Sowas hat z. B. die Fritzbox von AVM. Dort verbindet die Fritzbox zu deinem SIP-Provider und du meldest deine Telefone nur innerhalb des Netzwerks und nicht über das Internet an. Das hat den großen Vorteil, dass so gewöhnliche Telefone für VoIP verwendet werden können.
Zu deiner eigentlichen Frage: Nein, du musst den Port nicht weiterleiten. Der STUN-Server ist gerade für Umgebungen gedacht, wo du keine Ports weiterleiten kannst und dennoch erreichbar sein möchtest. Du stellst diesen nur bei deinem VoIP-Client im Telefon ein.
Ports weiterleiten müsstest du nur, wenn die Telefone tatsächlich aus dem Internet erreichbar sein sollten, was aber nicht der Fall ist nehme ich an? Die DMZ ist eigentlich nur für Server-Anwendungen gedacht und soll dafür sorgen, dass ein Angreifer nicht gleich Kontrolle über das ganze Netz (hinter der DMZ) erlangt, nur weil er den Server übernommen hat.

 

[Perseus]

da mein router aber mit firewall arbeitet (in form von gezielter protfreigabe) und meine telefone ständig beim sip provider angemeldet sein müssen ist es folglich notwendig den den stun port freizugeben und entsprechend an die telefone weiterzuleiten?

edit: was mit grad ein bisschen verwirrt ist, dass server in der dmz von außen verfügbar sein sollen. zb ein email server oder ein webpage server... logisch. meine voip telefone müssen natürlich auch "von außen" erreichbar sein, sonst könnte ich ja nicht angerufen werden. sehe ich das richtig, dass das "von außen erreichbar sein" sich bei voip und den oben genannten server grundsätzlich unterscheidet?
ich meine ich will die telefone ja nicht aus dem WAN heraus auch managen können, sondern sie sollen nur ihren telefondienst leisten können :/

 

[socram]

Ja, das siehst du richtig. Das hatte ich doch auch schon geschrieben. Der STUN-Server ist für Situationen gedacht, in denen keine Forwardings möglich sind. Du verbindest zum STUN-Server und hast dadurch quasi deine Erreichbarkeit von außen erreicht.
Da du letzteres eben nicht willst, tut es der STUN-Server.