Май 2016
Виктор Овчинников
10 лет с Microsoft – это не срок
Полный портфель продуктов и сервисов для построения эффективного решения на базе Microsoft Skype For Business
AudioCodes Mediant 800 CCE (Cloud Connector Edition)
SfB Online Infrastructure
John SfB Online user in
Internet
Sip Traffic Media Traffic
Mediation Edge
Domain Controlle
r
Storage
Cloud Connector
Domain Controller for Cloud
ConnectorDave SfB Online user in internal network
PSTN
PSTN connection
Mediant 800 CCE
Уже доступен для заказа!
IP телефоны для Skype For Business
Microsoft раз в какое-то время определяет требования для телефонов и просит производителей пройти соответствующее тестирование
Каждая сертификация имеет имя, типа V3.0, V4.0, V4.5 … Каждая спецификация имеет обязательные и расширенные требования Телефоны AudioCodes на данный момент сертифицированы на V3.0 AudioCodes в процессе сертификации V4.5, которая добавляет множество функций
Сертификация V4.5
Список требований Microsoft для сертификации V4.5 Прямая работа с Cloud PBX Интеграция с Exchange
- Доступ к календарю- Отображение голосовой почты
Управление конференцией Skype For Business с телефона Блокировка телефона QoE Reporting для on-prime и Cloud инфраструктуры Сертификация BToE, включая BToE Direct pairing Поддержка кодека SILK (Не обязательно)
Версия телефонов 3.0.0 для Skype For Business
Новый функционал на IP телефонах AudioCodes Работа с Cloud PBX
Доступ к календарю- Просмотр календаря прямо с экрана телефона- Быстрый доступ к конференции Skуpe For Business из меню телефона
Блокировка телефона
QoE Reporting для on-prime и Cloud инфраструктуры
BToE Direct Pairing – не требуется вводить код для подключения телефона к SfB клиенту
Поддержка кодека SILK
Ближайшие планы по функция IP телефонов
Версия 3.0.0 уже доступна для тестирования и проходит сертификацию в Microsoft. Официальный выход - июнь
До конца июля- Настройка быстрых контактов через группу «Избранные»- Видео через BToE- Сертификация IP телефона 450HD
2H 2016 - Common Area Phone with Hot-desking- Синхронизация истории вызовов с Exchange сервером - Управление через публичный Интернет
До конца 2016 года ожидается устройство для переговорных комнат (speakerphone)
450HD статус и планы
15 июня июнь Июль СентябрьАвгуст
Первые демо экземпляры
Финальный релиз аппаратной версии
Официальный выход
PN DescriptionUC450HDEG SfB 450HD IP-Phone PoE GbE Black
UC450HDEPSG SfB 450HD IP-Phone PoE GbE Black with external power supply
Консоль расширения
Сертификация SfB
Сбор отзывов
405HDG статус и планы
15 июля Июль Август
Демо
Самый бюджетный телефон с Gigabit Ethernet для Skype For BusinessНаличие USB порта для подключения гарнитурыУже доступен для демо в конфигурации Fast Ethernet (с ограниченным функционалом)
Сертификация SfB Доступен для заказа
PN Description UC405HDEG SfB 405HD IP-Phone PoE GbE Black
UC405HDEPSG SfB 405HD IP-Phone PoE GbE Black with external power supply
New 450HD – Лучшее, что было сделано для Microsoft Skype For Business
• High End 5 дюймовый сенсорный экран• Единый поставщик дисплеев, что и у
компании Apple• Поддержка до 3 консолей расширения• Встроенный Bluetooth • Основной экран:• 5” TFT 800xRGBx480• Панель расширения:• 5” TFT 480xRGBx854
• Разрешения экрана в 2 раза выше, чем у существующей топовой модели ближайшего конкурента
• Доступен для заказа с сентября 2016
“Coming Soon“ 450HD
Портфолио IP телефонов AudioCodes для SfB
Стоимость
Уровень
405 IP Phone
420HD IP Phone
430HD
450HD
Entry
Mid
High
440HD
AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute
Новинка: IP Phone Manager Windows Edition
Простое решение для управление телефонами Отдельное решение по управлению IP телефонами AudioCodes
Не является частью EMS или CloudBond 365 Устанавливается Windows 2012 R2
Может устанавливаться на виртуальную инфраструктуру Бесплатное решение (до 500 телефонов)
Не требует лицензий Не требуется никакого заказа для установки Нет требований к минимальному заказу телефонов Скачивается на прямую с сайта AudioCodesn– Доступно на этой неделе
Поддержка опциональна (платная)
Новинка: IP Phone Manager Windows Edition
Сравнение бесплатной и коммерческой версии
AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute
AudioCodes Mediant SBC/GW 7.2 – меняемся для вас
Настройка SBC теперь превратилась в рисование картинок
Защита в инфраструктуре Microsoft Skype For Busines
SIP Digest Authentication
SIP Access List & Classification
Brute force DoS
Protocol Vulnerabilities
SIP dialog Attacks
UnClassified SIP Traffic
Проверка сообщение по SIP заголовкам. Пример:, request URI, from, P-A-I b и т.д.
TCP attacks,Identity Spoofing
Context Identification
SIP Message Policy
TCP/TLS Integrity and Authentication
Dynamic & static layer 3-4 Firewall and Rate Limiting
LegitimateTraffic
Фильтр SIP сообщений по множеству параметров SIP пакетов: размер, политики
Фильтрация SIP сообщений по принадлежности к SIP диалогуCall Admission Control
Проверка TCP инициализации, TLS аутентификация
Проверка по IP адресу и порту с возможностью блокировки и ограничения полосы пропускания
Unauthorized Access
Calls over Limit
Атака из вне (совсем из вне) Атака из вне (совсем из вне) с целью слития трафика (звонки в Гонолулу).
Попытка найти дыру через любой VoIP внешний вход. Далее генерация большого количества вызовов на Гонолулу и другие «популярные»
направления.
Как работает Генератор, который проверяет SIP порт/порты После любого ответа от SIP сервера, злоумышленник запускает скрипт, который проверяет
различные изъяны в системе Параллельно этому проверяют другие порты, на предмет открытых сервисов. Во время проверки, возможна DoS атака, но более грамотные делают это не часто, чтобы не
увидели. Возможны варианты подбора пароля оператора связи, для подключения на прямую к оператору
для «слива» трафика.
Атака через входящие вызовы с целью «слития» трафика Атака через входящие вызовы
Если есть возможность найти дырку в системе при входящем вызове и его переадресацию на внешний вызов.
Как работает Возможность при звонке из вне настроить переадресацию При звонке на этот номер, срабатывает переадресация на требуемый номер Если есть сервис делать межгород/международние вызовы с мобильного через донабор, то это
потенциальная «дыра».
Целенаправленная атака DoS атака
Попытка положить сервис (редко) Попытка взлома, для генерации вызова от лица х Прослушка
Как работает Целенаправленно ломятся на определенные адреса В случае прослушки, просто стараются найти месте, где можно собрать весь трафик
(единственный способ этого избежать – использовать TLS, который в РФ не предоставляется) Параллельно этому проверяют другие порты, на предмет открытых сервисов.
Основные принципы защиты в VoIP сетях Цель IP АТС обеспечить функционалом пользователей, а не обеспечение защиты
У многих АТС по умолчанию включены транзитные вызовы, что является большой «дырой» в безопасности, хотя и является дополнительной функцией АТС.
Skype For Business в дефолтной настройке позволяет делать транзитные вызовы. Обязательно это надо проверять и закрыть транки соответствующей политикой, если не предусмотрено иного.
IP АТС почти всегда расположена в одной подсети и редко имею отдельные роли с отдельными серверами для подключения из вне. Для подключения внешних абонентов и по SIP требуется выносить IP АТС во внешнюю сеть. Skype For Business имеет роль Edge, для федеративных подключений и подключений
пользователей из вне. Front End не обеспечивает никакой защиты!!!
Настройка безопасности AudioCodes SBC Разделение WAN/LAN/OAMP интерфейсов
LAN – смотрит на IP АТС/Skype For Business WAN – смотрит на оператора связи OAMP – интерфейс управления лучше выносить в отдельную подсеть
Старайтесь не использовать стандартные порты (UDP/TCP: 5060, TLS: 5061) Большинство проверок доступности SIP осуществляется по порту 5060
Используете встроенный Access List Настраиваете встроенный Access List с правилом в конце “deny all”
Используете максимально подробные правила маршрутизации Старайтесь избегать символ «*» Старайтесь описывать правило максимально конкретно
Настройка безопасности AudioCodes SBC IDS – оповещение или динамическое закрытие доступа на 3-м уровне при следующих тригерах
Количество инициализаций сессий в единицу времени превышено Количество не корректных сообщений в единицу времени превышено Количество не корректных авторизаций на SBC Количество не корректно установленных сессий
Внимательнее требуется настраивать классификацию По умолчанию, SBC проверяет валидность оператора только по IP Можно настроить по IP+Port+Transport/любом полю SIP
Максимально скрывайте всю информацию о себе Требуется использовать SIP Message Manipulation
Используете по максимуму Call Admission Control Ограничения по количеству одновременных соединений Отдельно ограничения на входящие и исходящие направления Отдельно ограничения на пользователей и направления
Пример вызова от Skype For BusinessINVITE sip:[email protected];user=phone SIP/2.0 FROM: <sip:[email protected];user=phone>;epid=4F895BBC53;tag=3ced1f4fb5TO: <sip:[email protected];user=phone>CSEQ: 632994 INVITECALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97cMAX-FORWARDS: 70VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345cCONTACT: <sip:sgwlyncfe01.customer.ru:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>CONTENT-LENGTH: 548SUPPORTED: timerSUPPORTED: 100relUSER-AGENT: RTCC/5.0.0.0 MediationServerCONTENT-TYPE: application/sdpALLOW: ACKSession-Expires: 1800Min-SE: 90Allow: CANCEL,BYE,INVITE,PRACK,UPDATE
Понятно, какую систему использует клиент
Понятно, на какую систему идёт вызов
IP адреса все известны
Пример вызова от Skype For Business (как надо изменить)INVITE sip:+79031506611@IP_или_имя_оператора_связи;user=phone SIP/2.0 FROM: <sip:+74991234567@внешний_IP_адрес_SBC;user=phone>;epid=4F895BBC53;tag=3ced1f4fb5TO: <sip:+79031506611@IP_или_имя_оператора_связи;user=phone>CSEQ: 632994 INVITECALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97cMAX-FORWARDS: 70VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345cCONTACT: <sip:внешний_IP_адрес_SBC:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>CONTENT-LENGTH: 548SUPPORTED: timerSUPPORTED: 100relUSER-AGENT: IamUserCONTENT-TYPE: application/sdpALLOW: ACKSession-Expires: 1800Min-SE: 90Allow: CANCEL,BYE,INVITE,PRACK,UPDATE
Не надо показывать используемую систему
Внутренних адресов нет, так же как и названий
Всё лишние лучше удалить
Пример классификации входящего сообщения от оператора
INVITE sip:[email protected] SIP/2.0Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269Max-Forwards: 10From: <sip:[email protected]>;tag=1c588204014To: <sip:[email protected]>Call-ID: [email protected]: 1 INVITEContact: <sip:[email protected]:5095;ob>Supported: ice,outbound,timer,replacesAllow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFERSession-Expires: 90User-Agent: Telphin SoftSwitchContent-Type: application/sdpContent-Length: 423 Оператор как правило использует
настроенное поле User-Agent
Номера в Request-URI и To могут быть только ваши
Проверка может быть по домену
Можно использовать любое уникальное поле
Переадресованный вызов
Пользователь А (321)
звонит Пользователю Б (322)
Пользова
тель Б
(322)
переадресуе
т на
Пользова
теля В
(323)
Пример исходящего SIP сообщения (History-Info)
INVITE sip:[email protected] SIP/2.0Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269Max-Forwards: 10From: <sip:321@Customer>;tag=1c588204014To: <sip:[email protected]>Call-ID: 14762308623112015174434CSeq: 1 INVITEHistory-Info: <sip:322@customer?reason=uncondition>;index=1Contact: <sip:[email protected]:5095;ob>Allow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFERSession-Expires: 90Content-Type: application/sdpContent-Length: 423
Если не использовать поле History-info или Diversion, то мы не знаем реально откуда пришел вызов. Если его использовать, то есть возможность сделать дополнительный контроль!