Swyx in eigener DMZ installieren

[mrstefan]

Hallo,

 

ist es möglich und sinnvoll die Swyx und Apparate in einer eigenen DMZ zu betreiben? Hierbei geht es mir hauptsächlich um den Sicherheitsaspekt. Meiner Meinung nach hat eine IP Telefonanlage und SIP Trunks nix im LAN verloren. 

Die einzigste Schnittstelle ins LAN sollte die Firewall sein.

 

Welche Ports von der DMZ ins LAN müssten für den vollen Funktionsumfang der SwyxIT! CTI Clients freigegeben werden? 

Ist es möglich einen ADS Abgleich zu machen wenn die Swyx in der DMZ und somit nicht in der Domäne steht? Die User Authentifizierung am Client sollte möglichst einfach funktionieren.

 

Hoffe es hat jemand entsprechend Erfahrung und betreibt die Swyx in einer DMZ.

 

Besten Dank schon mal für die Antworten und eine zielführende Diskussion.

 

LG

mrstefan

 

 

[srom]

Finde ich nicht das ideale Szenario, für AD Anmeldung brauchst du eben das AD, die Ports kann man aber Regeln.

Aber AD Member in der DMZ ist irgendwie...naja.

https://www.swyx.de/produkte/support/wissensdatenbank/artikel-details/swyxknowledge/kb4498.html

 

Grundsätzlich ist es doch mal ein Server wie alle andere.

Ich würde mir da eher einen SBC für hernehmen und den Server ins LAN oder in ein eigenen Vlan integrieren.

Derzeit wird bei uns hier mit Lancom gearbeitet, da dieser komplett unterstützt und Supporten ist.

 

 

[mrstefan]

Das es mit dem AD nicht das ideale Szenario ist, ist klar. Notfalls gibt es eben Benutzerauthentifizierung mit Name und Passwort.

Ein SBC ist Providerseitig bereits vorhanden. Das IT Sicherheitskonzept sieht es leider so vor. Streng genommen müsste das Computernetzwerk sogar komplett physikalisch vom Voicenetzwerk entkoppelt werden.

Die DMZ sowie ein eigenes VLAN sind bereits der kompromiss. Dies ist die Voraussetzung, weshalb wir nun den Rest passend "basteln" müssen.

 

Das man hier einen Kompromiss zwischen Sicherheit und Komfort finden muss ist so. Daher die Frage wie es am besten wäre.

 

 

[srom]

ja also zwischen Computer-Netzwerk (SwyxIt) und Voice-Netzwerk (IP-Telefone, etc) gibt es keine Kommunikations.

Ledigich das Computer-Netzwerk muss auf den Server zugreifen und das Voice-Netzwerk eben auch, aber untereinander keine Verbindung.

 

Also das sollte mit einer Firewall alles gut realisierbar sein, damit man hier allen Bedürfnissen gerecht wird.

 

[mrstefan]

Wenn dem so ist das der SwyxIT nur Richtung Server und Telefone kommunizieren muss und andersrum nicht stellt es kein Problem dar. Leider geht die Richting aus den Portlisten nicht hervor. 

 

Welche Möglichkeiten gibt es die Benutzerauthentifizierung zu realisieren? Kann man zumindest den Benutzernamen per GPO oder ähnlichem mitgeben? AD Authentifizierung wird so wohl schwierig.

[srom]

Naja der Benutzername steht in der Registry .... Könnte gehen wir aber bestimmt nicht gerade toll.

 

Aber wenn man dem Benutzer sagt...Benutzername = Nachname, Vorname oder was auch immer und für alle eine Startpasswort setzt sollte das doch machbar sein. Den Servername kannst du per DNS verteilen. 

[Virikas]

18 hours ago, mrstefan said:

Welche Ports von der DMZ ins LAN müssten für den vollen Funktionsumfang der SwyxIT! CTI Clients freigegeben werden? 

 

--> https://www.swyx.de/produkte/support/wissensdatenbank/artikel-details/swyxknowledge/kb4498.html

Neuere Version habe ich auf die schnelle nicht gefunden.

12 hours ago, mrstefan said:

Leider geht die Richting aus den Portlisten nicht hervor. 

 

Doch geht sie, sofern notwendig. Wo es nicht notwendig ist ergibt sich das automatisch aus dem Protokoll.

Genannt in dem PDF sind immer die Listening Ports des jeweiligen Systems (bzw. Prozesses).

Wenn der SwyxServer (Dienst) also auf für Audio auf Port 51000-51499 UDP hört(!) ist damit eben klar, dass Clients die Audio zum SwyxServer senden eben mit Destination Port 51000-51499 senden.

Da nimmst du nun den Client dazu und findest SwyxIT mit Port 60000-60100 UDP als listening Port für Audio.

Anderes Beispiel: SwyxIT registriert sich aktiv per SIP (u.a.) am SwyxServer. Ergo ist die initiale Verbindungsrichtung logischerweise SwyxIT --> SwyxServer (Dienst)

 

Das ist sicherlich nicht optimal dargestellt in Textform und eine Netzskizze wäre vermutlich übersichtlicher, aber die nötigen Infos sind alle öffentlich verfügbar.

Ich gebe hierbei aber nochmal zu bedenken, dass Swyx nach wie vor der Ansicht ist, dass eine Firewall zwischen Swyx Client (Hard wie Softphone) und SwyxServer (Diensten) kein supportetes Szenario ist. Swyx macht es sich hier halt einfach und sagt "wenn Firewall dazwischen dein Problem". Genau dasselbe wie mit der hoffnungs veralteten Ansicht "kein Virenscanner auf dem Swyxserver", der aber nach wie vor von Swyx so propagiert wird (IMHO ist das eigentlich schon Anstiftung zu einer kriminellen Handlung )

 

13 hours ago, srom said:

Ledigich das Computer-Netzwerk muss auf den Server zugreifen und das Voice-Netzwerk eben auch, aber untereinander keine Verbindung.

 

Falsch. Du vergisst einen Call SwyxIT <-> SwyxPhone bei dem du dank Mediarelease einen direkten RTP Stream zwischen den beiden Voice Endpunkten hast.

 

18 hours ago, mrstefan said:

Ist es möglich einen ADS Abgleich zu machen wenn die Swyx in der DMZ und somit nicht in der Domäne steht?

 

Lokales AD für den Swyxserver aufsetzen --> OneWay Trust zur eigentlichen Domäne (swyx.local vertraut mycompany.de)

 

13 hours ago, mrstefan said:

Streng genommen müsste das Computernetzwerk sogar komplett physikalisch vom Voicenetzwerk entkoppelt werden.

 

Euer IT Sicherheitskonzept ist ziemlich veraltet und sollte überarbeitet werden.
Physikalische Trennung ist selbst im Bankensektor ein wenig 2000

 

 

[srom]

10 hours ago, Virikas said:

Falsch. Du vergisst einen Call SwyxIT <-> SwyxPhone bei dem du dank Mediarelease einen direkten RTP Stream zwischen den beiden Voice Endpunkten hast.

 

Da er von CTI spricht gehe ich davon aus es gibt kein SwyxIT der am RTP teilnimmer per USB-Device

[mrstefan]

Danke für die vielen Antworten.

 

Nachdem wir nun auch Info von Swyx direkt erhalten haben werden wir an unserem Konzept festhalten.

 

Swyx Server sowie Swyxphones vollständig in die DMZ.

SIP Trunks werden durch einen SBC angenommen und in der DMZ terminiert.

 

Einschränkungen haben wir bei der Benutzerauthentifizierung (kein AD), dem automatischem ECR und das keine direkten USB Telefoniegeräte möglich sind. 

 

Allerdings können wir mit den Einschränkungen gut Leben. Sobald alles umgesetzt ist poste ich gerne wie wir es im Detail gelöst haben. Vielleicht hilft es dem ein oder anderen ja noch ?

 

 

[srom]

Naja SwyxIt mit usb könnte mit RemoteConnector gehen....aber naja spricht wieder gegen das Sicherheit Konzept.

Damit wäre es zu gar Möglich das ihr keine Kommunikation zwischen den beiden Netzen benötigt. 

 

 

Naja ECR geht schon nur halt keine OutlookKalender Anfrage. Z.b.

 

[seppelswyx]

@mrstefan, wir betreiben das auch in einem separaten Netzwerksegment.

Der Server sollte allerdings im lokalen LAN stehen. Allein schon wegen der Authentifizierung. (z.B. Dienste)

Wir haben jedoch die Telefone und die SBCs in einem separaten Netz. Nicht nur aus Sicherheitsgründen.