Zum Hauptinhalt springen

Hilfecenter

Wie funktioniert Trusted IP?

In diesem Beitrag erklären wir, was Trusted IPs sind, wie Sie Ihre Kommunikation damit noch sicherer gestalten, und wie diese Funktion in den einzelnen Produkten von easybell umgesetzt sind.

Bei unseren Produkten nutzen wir Trusted IPs für zwei grundlegende Szenarien: Die Authentifizierung von Trunks und die Authentifizierung von Endgeräten der Cloud Telefonanlage bei der automatischen Einrichtung.

Bevor wir auf weitere Details eingehen, noch einige grundlegende Informationen zu Trusted IP.

Was ist Trusted IP?

Trusted IPs („Vertrauenswürdige IP-Adressen“) kommen häufig dann zum Einsatz, wenn Verbindungen zwischen Computern und anderen IT-Systemen sicherer gestaltet werden sollen.

Ein Beispiel: Wenn sich ein Computer im Homeoffice über das Internet an einem Server im Firmennetz anmelden will, dann erfolgt die Authentifizierung der Anfrage oft nur über Zugangsdaten inkl. Passwort. Jeder Mensch, der in den Besitz dieser Daten kommt, hätte dann Zugriff auf möglicherweise sensible Bereiche dieses Netzwerks.

Ein Weg, den Zugriff in diesem Beispiel zusätzlich abzusichern, wäre die Verwendung von Trusted IPs. Anmeldungen werden dann nur von explizit freigegebenen, vertrauenswürdigen IP-Adressen (oder Adressbereichen) akzeptiert. Anmeldeversuche von anderen IP-Adressen werden abgelehnt.

Die Authentifizierung über Trusted IP ist nur dann möglich, wenn sich die IP-Adressen der anfragenden Geräte (Telefonanlage, Endgeräte, Apps, etc.) nicht verändert. Insbesondere für Verbindungen über das Internet benötigen Sie daher eine statische öffentliche IP-Adresse. Eine solche feste IP-Adresse ist beispielsweise im optionalen Premium Service unserer Office Komplett-Angebote enthalten.

Trusted IP bei Trunks

Bei Trunks verbirgt sich hinter der Option „Trusted IP“ mehr als nur eine Authentifizierungsmethode. Viel mehr bieten wir Ihnen hier die Möglichkeit, eine Kombination aus verschiedenen Lösungen zu nutzen.

Der Hintergrund dafür ist, dass im Zusammenhang mit Home-Office oder abgesetzten Standorten neue Anforderungen an Kommunikations- und IT-Systeme gestellt werden. So erfolgen Registrierungen beispielsweise oft nicht mehr nur von der immer selben IP-Adresse. Um hier mehr Flexibilität zu schaffen, können Sie bei easybell eine Lösung nach Ihren individuellen Anforderungen finden.

Die Einstellungen dafür finden Sie in der Rufnummernverwaltung Ihres easybell Kundenportals. Die Rufnummer oder der Rufnummernblock muss sich im Modus „Trunk“ befinden. In der Detailansicht finden Sie dann die Funktion „Trusted IPs“. Ein Klick auf das Zahnradsymbol führt Sie zu folgender Auswahl:

  • SIP-Passwort: Die Standard-Authentifikation. Diese Option ist nützlich in allen Bereichen, wo die öffentliche IP-Adresse der Installation nicht immer identisch ist (z.B. nicht statische, öffentliche IPs).
    Wenn die Telefonanlage oder ein Endgerät sich an dem Trunk registrieren möchte, müssen der SIP-Benutzername und das SIP-Passwort des Trunks in dem Gerät eingetragen und von diesem bei der Registrierung übergeben werden. Die IP-Adresse von welchem sich das Gerät meldet spielt hier keine Rolle. Diese. Option ist nützlich in allen Bereichen, wo die öffentliche IP-Adresse der Installation nicht immer identisch ist (z.B. nicht statische, öffentliche IPs).
  • SIP-Passwort und IP-Adresse: Dies ist die Konfiguration für Installationen, bei denen es auf doppelte Sicherheit ankommt.
    Nicht nur wird bei einer Registrierung oder einem Anruf die IP-Adresse kontrolliert und gegen die konfigurierte(n), freigegebene(n) Adresse(n) abgeglichen, weiter wird das korrekte SIP-Passwort benötigt um die Registrierung erfolgreich werden zu lassen.
  • SIP-Passwort oder IP-Adresse: Bei dieser Option bieten wir mehr Flexibilität, ohne auf Sicherheiten zu verzichten.
    Entweder muss sich ein registrierendes Endgerät von einer freigegebenen IP-Adresse melden, oder alternativ die korrekten SIP-Benutzerdaten bei einer Registrierung mitschicken. Dies ist immer dann sinnvoll, wenn nicht sichergestellt werden kann, dass eine Registrierung immer von einer festen IP-Adresse stammt.
  • IP-Adresse: Diese Methode kann für besondere Installationen genutzt werden, bei denen bspw. nicht alle Endgeräte in der Lage sind, eine individuelle SIP-Registrierung umzusetzen. Diese Variante wird immer seltener, kommt aber trotzdem vor.
    Die Authentifizierung findet dann rein über freigegebene IP-Adresse(n) statt. SIP-Authentifizierungsdaten werden nicht beachtet.

Trusted IPs in der Cloud Telefonanlage

In der Cloud Telefonanlage bieten wir Trusted IPs als zusätzlicher Sicherheit bei der automatischen Einrichtung von Endgeräten. Um Missverständen vorzubeugen ist es wichtig zu wissen, dass diese Einstellung lediglich für den Provisionierungsserver der Telefone genutzt wird und nicht für SIP-Registrierungen.

Wenn ein Telefon automatisch provisioniert wird, meldet es sich zunächst beim Provisionierungsserver des Herstellers um dort seine Konfiguration „abzuholen“. Zur eindeutigen Identifizierung muss dabei die MAC-Adresse des Endgerätes übermittelt werden. Wir raten aber dringend dazu, dass Sie zusätzlich eine weitere Authentifizierungsmethode wählen. 

Wenn Sie im Menü „Endgerät konfigurieren“ „Automatisch“ auswählen, sehen Sie folgendes Menü:

  • Keine Authentifizierung (nicht empfohlen): Die Zuordnung des Endgeräts erfolgt ausschließlich über die MAC-Adresse.
  • Benutzername/Passwort: Die Cloud Telefonanlage generiert ACS-Zugangsdaten, die beim ersten Start am Endgerät händisch eingegeben werden müssen.
  • Vertrauenswürdige IP: Sie können eine IP-Adresse angeben, von der sich das Endgerät beim ersten Start meldet.

Die Authentifizierung mit einer vertrauenswürdigen IP ist natürlich gerade bei Installationen sinnvoll, bei denen der Administrator während der Einrichtung der Telefone keinen direkten Zugriff auf das Gerät hat.

Durch die Verwendung von Trusted IP bei der Einrichtung sorgen Sie für einen hohen Sicherheitsstandard, auch wenn aus bestimmten Gründen die ACS-Zugangsdaten nicht eingegeben werden können. Einmal eingerichtet (und nicht zurückgesetzt), kann das Gerät dann von überall „ans Internet geklemmt“ werden, und wird sich an der Cloud Telefonanlage ordnungsgemäß registrieren.