Outils pour utilisateurs

Outils du site


Panneau latéral

Accueil


-------------------------------------------------- -------------------------------------------------- --------------------------------------------------
--------------------------------------------------
--------------------------------------------------
-------------------------------------------------- -------------------------------------------------- --------------------------------------------------

sip_trunking

SIP Trunking

Présentation

Un Trunk IP est un service fourni par un opérateur de téléphonie sur IP (ITSP). Il permet de transiter leurs appels entrants et/ou sortants, à partir d'une connexion sécurisée sur le réseau Internet Haut Débit a travers le protocole SIP. Le protocole SIP (Session Initiation Protocol), est un protocole normalisé et standardisé par l'IETF. Remplaçant progressivement le H323, il a été conçu pour établir, modifier et terminer des sessions de communication multimédia (voix, vidéo, messagerie, présence).

OpenIP développe ses propres serveurs d'authentification SIP de manière à optimiser la sécurisation de ses services, et accroître continuellement leur interopérabilité avec les différents équipements, réseaux et applicatifs du marché. Les appels peuvent être compressés, et utiliser différents niveaux de bande passante. La solution de Trunking SIP d'OpenIP est ainsi compatible avec l'ensemble des équipements fonctionnant en SIP registered ou SIP authenticate.

L'infrastructure SIP d'OpenIP autorise les Codec G711a (64kb par appel) et G729 (15kb par appel).

Depuis 14 ans, OpenIP a développé une expertise unique autour des technologies de SIP Trunking et notamment dans la gestion de la qualité de service pour délivrer aux entreprises un service haute définition (HD). Aujourd'hui leader sur le marché, OpenIP permet aux entreprises de transiter leurs appels en IP et ainsi de profiter de nombreuses innovations technologiques mais surtout d'un service de téléphonie illimité vers les fixes et les mobiles. Les offres de SIP Trunking vous apportent une économie immédiate sur votre budget télécom.

Compatibilité technique

L'offre SIP Trunking d'OpenIP est compatible avec les équipements suivants

Préconisations et sécurité

A- Préconisations :

Les équipements:

Utiliser du matériel professionnel (IPBX, Switch, Routeur, modem, postes etc…) et non du matériel à l’usage de particulier.

OpenIP préconise l’utilisation de son routeur OpIOS ou alors d’un routeur Cisco série 800. En revanche, OpenIP déconseille l’utilisation de box opérateur (LiveBox, Freebox, Alicebox, Bbox, SfrBox, Dartybox, Auchanbox, Clubbox, NCbox etc …) en tant que routeur. OpenIP déconseille également l’utilisation de routeur tel que LinkSys WAG, Zyxel P-660, Netgear dg834getc…

L’utilisation de notre modem TP-Link en mode routeur et très fortement déconseillé ; OpenIP n’assure pas de support quant à ce type d’utilisation. Nous donnons comme exemple le routeur, car il représente avec le switch le cœur du réseau local du client.

Le cablâge:

OpenIP recommande l’utilisation de câble de catégorie 5 minimum avec sertissage de prise RJ45.

La longueur maximum d'un câble est de 100 mètres, en pratique on compte en général 90 mètres de façon à conserver 10 mètres pour le jarretierage.

D'autre part, les câbles doivent être posés avec précaution : ne pas les coincer ou les plier, cela entraînerait un changement de l'impédance du câble et donc des risques de problèmes. De plus, il faut éviter de les poser parallèlement aux câbles électriques sur des distances longues. Dans ce cas, il faut respecter un écartement minimum (30 cm au moins).

Il ne faut jamais dénuder et surtout dépairer (défaire les torsades) un câble sur une trop grande longueur (sinon les signaux des différents fils interagissent les uns avec les autres : paradiaphonie). On ne devrait pas dépasser 13mm.

OpenIP déconseille:

  • l’utilisation du WIFI et du CPL comme transport de la voix.
  • l’utilisation de la VOIP avec une éligibilité insuffisante : pour l’ADSL, de 3000 m à 3500m de longueur entre le client et le DSLAM, et 30 à 35 décibels (db) d’atténuation ; pour la SDSL, plus de 3700m de longueur entre le client et le DSLAM.

OpenIP préconise :

  • l’utilisation d’un lien exclusivement dédié à la voix.
  • la séparation voix/data sur le LAN du client, soit physiquement, soit par l’intermédiaire de VLAN.

B- Sécurité :

Afin de garantir la sécurité des services de vos clients, la bonne configuration du firewall est essentielle.

OpenIP a mis en place une procédure pour vous accompagner dans le paramétrage des firewalls.

La configuration du service Voix initialise une connexion sur un serveur OpenIP. La configuration des firewalls doit permettre l'initialisation de la dite connexion. Cette connexion utilise le port 5060 en UDP (SIP) ainsi que la plage 10000-20000 en UDP(RTP), ceux-ci doivent donc être ouverts. Cette ouverture doit cependant être impérativement limitée à l'adresse IP du serveur OpenIP.

A chaque ouverture de compte, l’adresse IP du serveur distant vous est communiquée. Cette adresse IP dépend du serveur sur lequel votre client est hébergé.

Nous vous conseillons d’ouvrir tous les ports en entrée et sortie en provenance de cette adresse IP.Si le Firewall n’est pas correctement paramétré, le service de téléphonie sera gravement perturbé (voire piraté !) ; à cet effet, n’hésitez pas à vous rendre sur le site http://www.sos-piratage.com afin de mieux vous renseigner sur le piratage et comment le contrer.

Si toutefois, le client est victime d’un présumé piratage repéré par OpenIP, OpenIP bloquera le Trunk SIP en émission vers les destinations incriminées et avertira le client par mail de contacter le support d’OpenIP afin de vérifier la sécurité de l’installation.

Préconisation sécurité IPBX snomONE / Vodia

Afin de minimiser les risques de piratage sur les IPBX snomONE / Vodia, voici les préconisations de sécurité :

- Dans l'onglet Paramètres / Sécurité / Général

Modifier le mot de passe du compte admin et de tous les comptes ayant accès à l'interface Web

  • Le mot de passe doit contenir à la fois au moins 1 minuscule, 1 majuscule, 1 chiffre, 1 caractère spécial
  • Le mot de passe doit comporter au minimum 8 caractères
  • Le mot de passe ne doit pas être un mot de passe connu des dictionnaire des hackers cad simple du genre P@ssw0rd ou une simple concaténation de données personnelles du style nom+prénom+année de naissance

- Dans l'onglet Paramètres / Sécurité / Général

Insérer la liste suivante dans le champ “Ignore packets from those User-Agents

friendly-scanner friendly-request SIPScan SIPSCAN smap SMAP sipArmyKnife iWar sipcli VaxIPUserAgent VaxSIPUserAgent sipsak sipp SIPp Gulp Viproy Test scanner sipv sipvicious sundayddr SIVuS

- Dans l'onglet Paramètres / Email / Notifications

Ajouter votre email afin de recevoir les notifications (IP blacklistée par exemple)

Le serveur d'envoi SMTP doit alors être paramétré dans Paramètres / Email / Configuration

- Dans l'onglet Paramètres / Sécurité / Firewall

Ajouter une règle 0.0.0.0/0 bloqué afin de tout rejeter sauf les IPs référencée (mauvaise traduction française dans le texte explicatif)

ATTENTION : il faut en premier lieu référencer toutes les IPs en /32 d'où les postes IP se connectent ainsi que les IPs autorisées à accéder à l'interface Web du snomONE / Vodia PBX sous peine de ne plus pouvoir se connecter une fois la règle 0.0.0.0/0 ajoutée !

- Dans l'onglet Avancé / Paramètres généraux du Domaine

modifier les mots de passe et code PIN qui sécurisent les interfaces web des téléphones provisionnés

- Dans l'onglet Comptes / Extensions du Domaine

Modifier le mot de passe SIP et Web de façon sécurisée

  • Le mot de passe doit contenir à la fois au moins 1 minuscule, 1 majuscule, 1 chiffre, 1 caractère spécial
  • Le mot de passe doit comporter au minimum 8 caractères
  • Le mot de passe ne doit pas être un mot de passe connu des dictionnaire des hackers cad simple du genre P@ssw0rd ou une simple concaténation de données personnelles du style nom+prénom+année de naissance

et enlever le sigle * du champ “Fusionner avec l'adresse MAC”. Mettre l'adresse MAC du poste concerné manuellement plutôt.

- Ne pas mettre l'email de l'utilisateur lors de la création de l'extension, cela enverra sinon le mot de passe WEB en clair sur son email. Il suffit alors que le PC de l'utilisateur soit piraté pour que le Hacker aie les informations nécessaires pour se connecter au portail Web et faire des modifications.

Afin d'éviter qu'un pirate puisse modifier le mot de passe SIP de l'utilisateur en cas de connexion au portail Web réussie, il faut désactiver les deux premiers champs (SIP et WEB) de l'onglet Personnalisation / Contrôle des accès utilisateurs

- Paramétrer les Logs pour que le serveur garde une trace (accessible en SSH) des 3 derniers jours avec un niveau 9 pour plus de détail

Dans l'onglet Paramètres / Général / Journal de log

log-$.txt

- Si besoin, empêcher tout appel vers l’international en ajoutant une règle dans le DialPlan

Onglet Fonctionnalités / Plan d'appel du Domaine

sip_trunking.txt · Dernière modification: 24/06/2019 14:29 par tviana