3CX-firewallinstellingen omvatten specifieke poorten en regels die nodig zijn voor veilige VoIP-communicatie. De belangrijkste poorten zijn 5060 (SIP), 5090 (tunnel), 9000-9500 (RTP-media) en 443 (HTTPS-management). Bij 3CX VoIP-telefonie zorgen wij voor een complete configuratie die zowel functionaliteit als beveiliging waarborgt.
Wat zijn de belangrijkste 3CX-firewallpoorten die open moeten staan?
Voor 3CX zijn verschillende TCP- en UDP-poorten essentieel voor optimale functionaliteit. SIP-signaling gebruikt poort 5060 (UDP), de 3CX-tunnelservice werkt via poort 5090 (TCP) en RTP-mediaverkeer vereist het bereik 9000-9500 (UDP). Voor webmanagement moet poort 443 (HTTPS) toegankelijk zijn.
De SIP-signalingpoort 5060 verwerkt alle oproepinitiatie en -beëindiging. Deze UDP-poort moet bidirectioneel toegankelijk zijn voor zowel inkomende als uitgaande gesprekken. Poort 5090 faciliteert de 3CX-tunnelservice, die externe verbindingen beveiligd doorgeeft naar het interne netwerk.
Het RTP-poortbereik 9000-9500 draagt de daadwerkelijke spraakdata tijdens gesprekken. Dit UDP-bereik moet volledig openstaan voor alle actieve gesprekken. Daarnaast hebben softphones en webclients toegang nodig tot poort 443 voor veilige HTTPS-verbindingen met de 3CX-webinterface.
Hoe configureer je firewallregels voor veilige 3CX-verbindingen?
Begin met het creëren van specifieke inboundregels voor de vereiste 3CX-poorten, gevolgd door outboundregels voor uitgaande communicatie. Implementeer IP-whitelisting voor bekende endpoints en blokkeer ongebruikte poorten. Configureer afzonderlijke regels voor interne en externe gebruikers.
Stel inboundregels in die poort 5060 (UDP) alleen toestaan vanaf geautoriseerde SIP-providers en externe gebruikers. Beperk poort 5090 (TCP) tot specifieke IP-adressen van externe 3CX-clients. Het RTP-bereik 9000-9500 (UDP) moet toegankelijk zijn, maar overweeg geografische beperkingen.
Voor outboundverkeer sta je uitgaande verbindingen toe op dezelfde poorten naar legitieme bestemmingen. Implementeer logging voor alle 3CX-gerelateerde verbindingen om ongewone activiteit te detecteren. Test regelmatig de functionaliteit na elke firewallwijziging om service-onderbrekingen te voorkomen.
Welke beveiligingsrisico’s ontstaan bij verkeerde 3CX-firewallinstellingen?
Onjuiste firewallconfiguratie kan leiden tot DDoS-aanvallen, ongeautoriseerde toegang en call hijacking. Open poorten zonder beperkingen nodigen kwaadwillenden uit tot toll fraud en data-interceptie. Onvoldoende monitoring maakt detectie van inbreuken moeilijk.
DDoS-aanvallen richten zich vaak op SIP-poort 5060, waardoor het telefoniesysteem overbelast raakt en uitvalt. Onbeveiligde RTP-poorten kunnen spraakdata blootstellen aan afluistering. Zonder IP-whitelisting kunnen aanvallers toegang krijgen tot het 3CX-systeem en dure internationale gesprekken voeren.
Call hijacking treedt op wanneer SIP-signaling niet adequaat beveiligd is, waardoor gesprekken kunnen worden omgeleid. Preventieve maatregelen omvatten regelmatige firewall-audits, implementatie van fail2ban voor automatische IP-blokkering en continue monitoring van ongewone verkeerspatronen.
Wat is de beste firewallconfiguratie voor 3CX in verschillende netwerkomgevingen?
De optimale configuratie verschilt per implementatie: cloud-hosted 3CX vereist minimale lokale firewallaanpassingen, on-premise-installaties hebben volledige poortconfiguratie nodig en hybride omgevingen combineren beide benaderingen. Multi-site-deployments vereisen site-to-site-VPN-configuraties.
Voor cloud-hosted 3CX configureer je alleen outboundregels voor lokale gebruikers en sta je HTTPS-toegang toe tot de cloudinterface. On-premise-installaties vereisen alle eerder genoemde poorten plus database-toegang (meestal poort 1433 voor SQL Server). Implementeer DMZ-segmentatie voor extra beveiliging.
Hybride omgevingen combineren lokale en cloudcomponenten, waarbij VPN-tunnels beveiligde verbindingen tussen locaties faciliteren. Multi-site-deployments profiteren van centraal beheerde firewallbeleid dat consistent wordt toegepast. Overweeg SD-WAN-oplossingen voor complexere netwerkarchitecturen met meerdere 3CX-instanties.
Een juist geconfigureerde firewall vormt de basis voor veilige en betrouwbare 3CX-communicatie. Regelmatige evaluatie en aanpassing van firewallregels zorgt voor optimale prestaties zonder beveiligingsrisico’s. Voor professionele ondersteuning bij 3CX-firewallconfiguratie kunt u contact met ons opnemen voor deskundige begeleiding.
Veelgestelde vragen
Hoe test ik of mijn 3CX-firewallconfiguratie correct werkt?
Test de configuratie door inkomende en uitgaande gesprekken te maken, de webinterface te benaderen via HTTPS, en de SIP-registratie van externe gebruikers te controleren. Gebruik tools zoals telnet om poortbereikbaarheid te testen en controleer de 3CX-logs op verbindingsfouten. Voer regelmatig penetratietests uit om beveiligingslekken op te sporen.
Wat moet ik doen als bepaalde 3CX-functies niet werken na firewallwijzigingen?
Controleer eerst of alle vereiste poorten correct zijn geopend en de regels in de juiste volgorde staan. Bekijk de firewall-logs om geblokkeerde verbindingen te identificeren en pas de regels dienovereenkomstig aan. Test stapsgewijs door tijdelijk alle regels uit te schakelen en ze één voor één opnieuw in te schakelen tot de fout is gevonden.
Kan ik het RTP-poortbereik (9000-9500) verkleinen voor betere beveiliging?
Ja, u kunt het RTP-bereik verkleinen in de 3CX-instellingen onder 'IP PBX' > 'Netwerk'. Een kleiner bereik zoals 9000-9100 vermindert de aanvalsoppervlakte, maar zorg ervoor dat er voldoende poorten zijn voor het maximale aantal gelijktijdige gesprekken. Reken ongeveer 2 poorten per actief gesprek.
Welke monitoring-tools kan ik gebruiken voor 3CX-firewallverkeer?
Implementeer tools zoals pfSense met ntopng, SolarWinds NPM, of PRTG voor realtime netwerkmonitoring. Configureer fail2ban specifiek voor SIP-aanvallen en gebruik 3CX's ingebouwde call detail records (CDR) om ongewone oproeppatronen te detecteren. Stel alerts in voor verdachte activiteit op poorten 5060 en 5090.
Hoe beveilig ik 3CX tegen SIP-scanning en brute force aanvallen?
Implementeer rate limiting op poort 5060, wijzig de standaard SIP-poort naar een niet-standaard poort, en gebruik sterke wachtwoorden voor alle extensies. Configureer geografische IP-blokkering om verkeer uit verdachte landen te weren en implementeer een SIP-aware firewall die malformed packets kan detecteren en blokkeren.
Moet ik verschillende firewallregels gebruiken voor mobiele 3CX-apps?
Mobiele apps gebruiken dezelfde poorten als andere clients, maar hebben vaak dynamische IP-adressen waardoor IP-whitelisting moeilijk is. Overweeg het gebruik van VPN-toegang voor mobiele gebruikers of implementeer certificaat-gebaseerde authenticatie. Zorg ervoor dat push notifications (poort 443) niet worden geblokkeerd voor app-functionaliteit.
Hoe configureer ik firewallregels voor 3CX WebRTC-clients?
WebRTC-clients hebben toegang nodig tot poort 443 (HTTPS) voor signaling en het RTP-bereik voor media. Configureer STUN/TURN-servers correct in 3CX voor NAT-traversal en zorg ervoor dat UDP-verkeer niet wordt geblokkeerd. Test WebRTC-functionaliteit in verschillende browsers en netwerkomgevingen om compatibiliteit te waarborgen.
