Resultaten 1 tot 15 van de 19
Pagina 1 van de 2 1 2 LaatsteLaatste
Geen
  1. #1
    Veilige VoIP omgeving
    geregistreerd gebruiker
    246 Berichten
    Ingeschreven
    31/08/07

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Patrick
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter

    Veilige VoIP omgeving

    We krijgen steeds vaker de vraag van klanten of we een VoIP oplossing kunnen leveren.
    Dit hebben we nu een aantal keer gedaan via een hosted oplossing en dat werkt op zich prima.

    Voor onze grotere klanten heb ik liever een eigen server voor de lokale gesprekken.
    Hiervoor wil ik een VoIP oplossing bouwen.

    VoIP is nieuw voor me. De afgelopen weken heb ik me proberen in te lezen maar ik kom veel verschillende oplossingen tegen.

    Ik had een werkende Asterisk server opgezet. Na het koppelen van een trunk om uitgaand te kunnen bellen, kreeg ik binnen 24 uur een mailtje dat ons beltegoed op was. De server was dus al gekraakt. Dit terwijl ik geen standaard accounts of wachtwoorden in gebruik had (ok, het was een testopstelling en mijn wachtwoord was niet heel moeilijk maar geen 1234 of ander nummer)

    Nu lees ik veel over het inzetten van een SIP-Proxy zoals Repro of Kamilio.
    Hebben jullie hier ervaring mee?

    Repro heb ik nu geïnstalleerd en ik heb net de eerste cliënt met een certificaat kunnen aanmelden.
    Voordat ik verder ga Googlen ben ik even benieuwd naar jullie meningen.

    Is een SIP Proxy de veiligste manier? Zo ja, welke Proxy software raden jullie aan?
    Welke PBX software? Zelf had ik Asterisk in gedachte maar ik lees ook veel goede verhalen over Freeswitch.

    Ik ben zelf meer van de config bestanden maar collega's en klanten vinden een webinterface prettig.
    Is er een webinterface die ook gebruik maakt van de config bestanden zodat beide blijven werken?

    Ik ben benieuwd naar jullie reacties.

  2. #2
    Veilige VoIP omgeving
    geregistreerd gebruiker
    36 Berichten
    Ingeschreven
    06/07/12

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    1 Berichten zijn liked


    Naam: Bernard

    Wat vaak fout gaat bij varianten gebaseerd op Asterisk;
    - Standaard wachtwoorden, ook van achterliggende lagen worden niet veranderd.
    - Er wordt geen firewall toegepast.
    - Verouderde asterisk varianten met exploits
    Het toepassen van een losse SIP-proxy zoals bv. kamailio kan een oplossing zijn, maar dan nog steeds; firewall, up2date, wachtwoorden etc...

    Overigens is Freeswitch (niet te verwarren met FreePBX) naar mijn idee al een stuk veiliger, maar ook hier zul je niet klakkeloos een configuratie online moeten zetten zonder enige veiligheidsmaatregelen. Ook natuurlijk de vraag welke functionaliteit je zoekt, in de asterisk varianten zit eigelijk alle standaard ingebakken, met Freeswitch zul je dit zelf moeten bouwen.

  3. #3
    Veilige VoIP omgeving
    Managed Hosting
    3.704 Berichten
    Ingeschreven
    27/04/04

    Locatie
    Oldenzaal

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    8 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 08157036
    Ondernemingsnummer: nvt

    Zelf gebruik ik liever FreeSWITCH dan Asterisk. Dat komt vooral door de manier van configureren en beheer. Daarnaast is Asterisk teleurstellend als het aankomt op het volgen van standaarden. Bijvoorbeeld de slechte DNS SRV ondersteuning. Voor een relatief eenvoudige setup zullen beide installaties voldoen en is het vooral een kwestie van smaak.

    Wat betreft de veiligheid vraag ik mij af hoe ver je kennis reikt. Dat de server al is gehackt zegt namelijk niet veel goeds. Ik zie niet in hoe het gebruik van een SIP proxy daar positief aan kan bijdragen. Mocht je het toch zelf willen doen, dan adviseer ik je om te beginnen met een geharde Linux server. Dat wil zeggen dat je in ieder geval een ondersteunde Linux distributie pakt die volledig up to date is. Mijn voorkeur gaat uit naar Ubuntu LTS of Debian, maar je kunt natuurlijk ook CentOs of iets dergelijks gebruiken. En verder van essentieel belang is de monitoring van de server. Logt er iemand in op je server, dan wil je dat weten. Veranderen configuratiebestanden, dan wil je dat weten.

    Als je begint met de installatie van je PBX dan doe je er wat mij betreft goed aan om alle webinterfaces te vermijden. Je kunt moeilijk inschatten hoe veilig een webinterface is zonder de hele broncode door te nemen. Doe het beheer in eerste instantie dus lokaal via SSH en configuratiebestanden. Na de installatie van de PBX doe je er goed aan om de voorbeeld configuratie te verplaatsen en te beginnen met een lege configuratie. Ga dan stap voor stap delen uit je voorbeeld configuratie terugzetten in je echte configuratie waarbij je alles bestudeert en heel bewust terug plaatst. Als je je klaar bent om de PBX op te starten, zorg dan dat hij met zijn eigen user start, dus niet als root. Controleer voor en na het starten van de PBX (met lsof en netstat) welke poorten hij opent en of dit is wat je wilt. Je wilt bijvoorbeeld niet dat er nog een management API beschikbaar is met het standaard wachtwoord. Zorg dat alle SIP accounts en andere gebruikers lange willekeurige wachtwoorden hebben. Al het SIP verkeer van en naar je SIP provider wil je via een ACL laten lopen. Al het andere SIP verkeer (van je toestellen) wil je laten authenticeren.

    Ten slotte, laat je SIP provider tijdelijk een blokkade voor buitenland instellen. Zo houd je in ieder geval de kosten laag als er toch iets gebeurd. Controleer op regelmatige basis de CDR's bij je SIP provider om te zien of er frauduleus belgedrag heeft plaatsgevonden.

    http://www.cyberciti.biz/tips/linux-security.html
    http://wiki.freeswitch.org/wiki/Security_Best_Practices
    http://ipcomms.net/blog/70-11-steps-...sterisk-ip-pbx

  4. #4
    Veilige VoIP omgeving
    Dennis.
    3.861 Berichten
    Ingeschreven
    11/07/06

    Locatie
    Oosterhout

    Post Thanks / Like
    Mentioned
    15 Post(s)
    Tagged
    0 Thread(s)
    262 Berichten zijn liked


    Naam: Dennis
    Registrar SIDN: JA
    KvK nummer: 20144338

    Asterisk achter een hardware firewall hangen helpt al ontzettend veel.
    Gewoon alles dichtzetten en via VPN verbinden naar de server.

    Dan heb je de veiligste VOIP omgeving.

  5. #5
    Veilige VoIP omgeving
    geregistreerd gebruiker
    5.751 Berichten
    Ingeschreven
    20/02/05

    Locatie
    Haaksbergen / Amsterdam

    Post Thanks / Like
    Mentioned
    45 Post(s)
    Tagged
    0 Thread(s)
    168 Berichten zijn liked


    Naam: Mark Scholten
    Bedrijf: SinnerG / Stream Service
    Functie: Systeembeheerder
    URL: www.sinnerg.nl
    Registrar SIDN: ja
    KvK nummer: 34255993

    Neem contact op met een SIP provider en regel dit samen. Zo hebben wij in het verleden bij verschillende klanten op locatie een Asterisk installatie neer gezet waar enkel lokaal mee verbonden kon worden en die vervolgens een trunk gebruikt heeft van ons voor alle gesprekken met de buitenwereld. Dat was daar een voordelige opzet (beperkte bandbreedte + 50+% van de gesprekken was intern). Daarnaast is het handig om toegang tot Asterisk te beperken tot een IP (of meerdere IPs) per SIP account om op die manier weer een stukje extra veiligheid te creëren.

    Wij zijn langzaam aan alles van losse config bestanden naar MySQL aan het omzetten (later dit jaar willen we een web interface er voor gaan maken, we hebben nog geen web interface gevonden die aansluit bij onze wensen). De belangrijkste reden om dit aan te gaan passen was het gemak om dingen aan te passen en ze gelijk in Asterisk door te voeren. Voor je iets op gaat zetten adviseer ik ook om even rustig te gaan zitten en te gaan denken wat je allemaal wilt kunnen doen met de VoIP centrale (maak een lijst met "eisen", "nice to have" en "mogelijk willen we het in de toekomst". Dan kun je vervolgens gaan kijken wat het beste aansluit bij al deze wensen.

    Voor vrijblijvend (en gratis) advies kun je altijd een PM sturen.
    Tools die handig zjn voor ISPs vind je natuurlijk bij Tools 4 ISP.

  6. #6
    Veilige VoIP omgeving
    geregistreerd gebruiker
    246 Berichten
    Ingeschreven
    31/08/07

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Patrick
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door MediaServe Bekijk Berichten
    Wat betreft de veiligheid vraag ik mij af hoe ver je kennis reikt. Dat de server al is gehackt zegt namelijk niet veel goeds. Ik zie niet in hoe het gebruik van een SIP proxy daar positief aan kan bijdragen.
    VoIP is nieuw voor me en ik wilde zo simpel mogelijk beginnen zodat ik de basis werkend krijg.
    Ik had niet verwacht dat op een nieuw ip/domein binnen 24 uur al 15.000 sip aanmeldt pogingen vanuit heel de wereld zouden komen.
    Poort UPD 5060 zal nooit meer open gaan in iedergeval.

    De SIP Proxy staat alleen TLS toe met een geldig client certificaat. Dat lijkt me een stuk veiliger, zo niet veilig genoeg om zonder VPN te gebruiken.



  7. #7
    Veilige VoIP omgeving
    geregistreerd gebruiker
    108 Berichten
    Ingeschreven
    16/11/03

    Locatie
    nvt

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    2 Berichten zijn liked


    Naam: Alex
    Registrar SIDN: nee
    KvK nummer: 14131139
    Ondernemingsnummer: nvt

    Kijk eens naar 4psa Voipnow. Als je het wilt gaan aanbieden.

  8. #8
    Veilige VoIP omgeving
    geregistreerd gebruiker
    358 Berichten
    Ingeschreven
    15/03/05

    Locatie
    Lelystad

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    23 Berichten zijn liked


    Naam: Tonnie
    Registrar SIDN: Nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Als je van bugs houd is voipnow idd de weg om te bewandelen... die zijn sinds v3 behoorlijk gekelderd bij mij helaas...

  9. #9
    Veilige VoIP omgeving
    Managed Hosting
    3.704 Berichten
    Ingeschreven
    27/04/04

    Locatie
    Oldenzaal

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    8 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 08157036
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door Patrick_st Bekijk Berichten
    VoIP is nieuw voor me en ik wilde zo simpel mogelijk beginnen zodat ik de basis werkend krijg.
    Ik had niet verwacht dat op een nieuw ip/domein binnen 24 uur al 15.000 sip aanmeldt pogingen vanuit heel de wereld zouden komen.
    Helaas is het hacken van VoIP servers heel lucratief

    Citaat Oorspronkelijk geplaatst door Patrick_st Bekijk Berichten
    Poort UPD 5060 zal nooit meer open gaan in iedergeval.
    Als het niet nodig is dan kun je hem inderdaad dichtzetten, of met een ACL alleen je eigen IP adressen toelaten. Maar laat je dat niet stoppen om de server wel goed te beveiligen. Ik zou liever de hele dag mislukte hackpogingen zien op een goed beveiligde server. Let overigens op dat SIP niet beperkt is tot UDP. All SIP elements MUST implement UDP and TCP. SIP elements MAY implement other protocols, aldus rfc3261.

    Citaat Oorspronkelijk geplaatst door Patrick_st Bekijk Berichten
    De SIP Proxy staat alleen TLS toe met een geldig client certificaat. Dat lijkt me een stuk veiliger, zo niet veilig genoeg om zonder VPN te gebruiken.
    Nogmaals, waarom een proxy? Stel je PBX dan in voor TLS en ZRTP als je het transport wilt beveiligen Standaard VPN wil je eigenlijk niet gebruiken voor VoIP. Door VPN te gebruiken krijg je voor SIP verkeer meer fragmentatie en voor RTP juist het tegenovergestelde (buffering), zodat er steeds twee of drie RTP pakketjes tegelijk worden verzonden met de nodige jitter of zelfs packet loss als gevolg. Dit is natuurlijk allemaal op te lossen, maar waarom zou je dat willen? Je kunt beter je server echt beveiligen.

  10. #10
    Veilige VoIP omgeving
    geregistreerd gebruiker
    246 Berichten
    Ingeschreven
    31/08/07

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Patrick
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door MediaServe Bekijk Berichten
    Nogmaals, waarom een proxy? Stel je PBX dan in voor TLS en ZRTP als je het transport wilt beveiligen Standaard VPN wil je eigenlijk niet gebruiken voor VoIP. Door VPN te gebruiken krijg je voor SIP verkeer meer fragmentatie en voor RTP juist het tegenovergestelde (buffering), zodat er steeds twee of drie RTP pakketjes tegelijk worden verzonden met de nodige jitter of zelfs packet loss als gevolg. Dit is natuurlijk allemaal op te lossen, maar waarom zou je dat willen? Je kunt beter je server echt beveiligen.
    Ik lees overal dat een proxy veiliger is en dat het geen goed idee is om de PBX rechtstreeks aan internet te hangen.
    Hier bijvoorbeeld:
    http://www.opentelecoms.org/using-re...-or-freeswitch

  11. #11
    Veilige VoIP omgeving
    Managed Hosting
    3.704 Berichten
    Ingeschreven
    27/04/04

    Locatie
    Oldenzaal

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    8 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 08157036
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door Patrick_st Bekijk Berichten
    Ik lees overal dat een proxy veiliger is en dat het geen goed idee is om de PBX rechtstreeks aan internet te hangen.
    Heb je meerdere PBX'en of meerdere carriers, dan kan een proxy een toegevoegde waarde hebben. Of om een bepaalde redundantie te bereiken, of om je PBX te decentraliseren vanwege bijvoorbeeld de load of schaalbaarheid in de toekomst. Er zijn genoeg redenen te bedenken om een SIP proxy te gebruiken, maar puur voor beveiliging is wat mij betreft een schijnreden. Bovendien hangt je PBX dan nog steeds aan het internet, want de audio moet ook ergens heen. Dat doet een SIP proxy niet voor je (een SIP proxy is geen B2BUA). Daarvoor kun je eventueel wel een RTP proxy gebruiken. Bovendien, een SIP proxy moet je net als een PBX vertellen wie mag bellen en wie niet.

    Ik zou vooral eens FreeSWITCH proberen. Eventueel met TLS (en ZRTP) als je het verkeer wilt encrypten. FreeSWITCH heeft een goede SIP stack, beter dan de SIP stack van Asterisk.

  12. #12
    Veilige VoIP omgeving
    geregistreerd gebruiker
    246 Berichten
    Ingeschreven
    31/08/07

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Patrick
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Ik ben nu met beide aan het testen, ik heb twee virtuele machines, eentje draait Asterisk en de ander sipXecs wat gebruik maakt van FreeSWITCH.

    Ik krijg steeds beter door hoe alles in elkaar zit maar ik ben er nog lang niet.
    Intern bellen is geen probleem, naar buiten via de trunk ook niet maar extern verbinding via TLS gaat nog niet zo lekker.
    Telefoons (softphones) registreren wel maar bellen is nog niet mogelijk. Onder Android gaat hij wel over maar kan ik niet opnemen.
    Als ik bel met twee Windows PC's waar Jitsi op draait, dan gaat hij over, kan ik opnemen maar niet praten.
    Een kant zegt dan dat hij verbonden is, de andere kant blijft op "connecting" staan.

    Kortom: genoeg te leren de komende weken.

  13. #13
    Veilige VoIP omgeving
    Managed Hosting
    3.704 Berichten
    Ingeschreven
    27/04/04

    Locatie
    Oldenzaal

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    8 Berichten zijn liked


    Registrar SIDN: Ja
    KvK nummer: 08157036
    Ondernemingsnummer: nvt

    Nog een kleine tip, bekijk je SIP netwerkverkeer met het volgende commando:
    ngrep -d any -t -W byline port 5060

    Een maak kennis met het SIP protocol

  14. #14
    Veilige VoIP omgeving
    geregistreerd gebruiker
    246 Berichten
    Ingeschreven
    31/08/07

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Patrick
    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Ik bekijk het nu via tcpdump -i eth0 -n -s 0 port 5060 -v
    Dat werkt ook goed en via de output heb ik al een aantal problemen kunnen oplossen.

    Net even ngrep geïnstalleerd maar de output is volgens mij gelijk aan mijn tcpdump commando.

    Waar ik vandaag tegen aan ben gelopen is dat het callerid wat ik mee geef, niet wordt weergegeven op Vodafone toestellen.
    Ik geef ons normale hoofdnummer (niet VoIP) mee als callerid, zodat klanten toch ons vertrouwde nummer zien als we bellen vanuit de testomgeving. Dit werkt overal behalve bij Vodafone. Iemand een idee waar dit aan kan liggen?

  15. #15
    Veilige VoIP omgeving
    geregistreerd gebruiker
    8 Berichten
    Ingeschreven
    12/02/09

    Locatie
    Groningen

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    1 Berichten zijn liked


    Registrar SIDN: Nee
    KvK nummer: 02092039
    Ondernemingsnummer: nvt

    Ik raad onze klanten altijd aan om een IP centrale achter een firewall te plaatsen. Er zijn ook IP centrales met ingebouwde firewall. Wanneer je op je IP centrale enkel verkeer toestaat van en naar je VoIP provider aan de hand van IP ranges heb je het netjes dicht gezet. In Asterisk en FreeSWITCH kun je ook met ACL's werken als extra beveiligingsmaatregel. Gebruik daarnaast lange, willekeurige wachtwoorden voor je SIP accounts.

    Bij Voys hebben we als extra vangnet ook nog een zeer goedwerkende fraudedetectie. Na invoer van deze detectie zijn er nooit meer gevallen geweest waarbij de schade hoger uitviel dan € 100,- In de meeste gevallen is er zelfs helemaal geen schade. Maar beter is dus helemaal voorkomen dat er wordt ingebroken in je centrale.

    FreeSWITCH heb ik ook betere ervaringen mee. Zoek je een kant en klare oplossing dan zou je nog eens kunnen kijken bij wij_van_wc-eend. Klanten hebben hiermee een hosted telefonie telefooncentrale en toegang tot een zeer gebruiksvriendelijke webinterface. Ik heb inmiddels te veel ICT bedrijven gezien die VoIP er 'even' bij wilden doen. Liefst nog met een paar virtuele FreePBX of 3CX servertjes. Zowel klant als IT leverancier werden hier niet blij van. Weet dus waar je aan begint
    Laatst gewijzigd door ®on; 24/01/14 om 17:38.

Pagina 1 van de 2 1 2 LaatsteLaatste

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics