4. IP телефоны для Skype For Business
Microsoft раз в какое-то время определяет требования для
телефонов и просит производителей пройти соответствующее
тестирование
Каждая сертификация имеет имя, типа V3.0, V4.0, V4.5 …
Каждая спецификация имеет обязательные и расширенные требования
Телефоны AudioCodes на данный момент сертифицированы на V3.0
AudioCodes в процессе сертификации V4.5, которая добавляет множество функций
5. Сертификация V4.5
Список требований Microsoft для сертификации V4.5
Прямая работа с Cloud PBX
Интеграция с Exchange
- Доступ к календарю
- Отображение голосовой почты
Управление конференцией Skype For Business с телефона
Блокировка телефона
QoE Reporting для on-prime и Cloud инфраструктуры
Сертификация BToE, включая BToE Direct pairing
Поддержка кодека SILK (Не обязательно)
6. Версия телефонов 3.0.0 для Skype For Business
Новый функционал на IP телефонах AudioCodes
Работа с Cloud PBX
Доступ к календарю
- Просмотр календаря прямо с экрана телефона
- Быстрый доступ к конференции Skуpe For Business из меню телефона
Блокировка телефона
QoE Reporting для on-prime и Cloud инфраструктуры
BToE Direct Pairing – не требуется вводить код для
подключения телефона к SfB клиенту
Поддержка кодека SILK
7. Ближайшие планы по функция IP телефонов
Версия 3.0.0 уже доступна для тестирования и проходит сертификацию в Microsoft.
Официальный выход - июнь
До конца июля
- Настройка быстрых контактов через группу «Избранные»
- Видео через BToE
- Сертификация IP телефона 450HD
2H 2016
- Common Area Phone with Hot-desking
- Синхронизация истории вызовов с Exchange сервером
- Управление через публичный Интернет
До конца 2016 года ожидается устройство для
переговорных комнат (speakerphone)
8. 450HD статус и планы
15 июня июнь Июль СентябрьАвгуст
Первые демо
экземпляры
Финальный
релиз
аппаратной
версии
Официальный выход
PN Description
UC450HDEG SfB 450HD IP-Phone PoE GbE Black
UC450HDEPSG SfB 450HD IP-Phone PoE GbE Black
with external power supply
Консоль
расширения
Сертификация
SfB
Сбор отзывов
9. 405HDG статус и планы
15 июля Июль Август
Демо
Самый бюджетный телефон с Gigabit Ethernet для Skype For Business
Наличие USB порта для подключения гарнитуры
Уже доступен для демо в конфигурации Fast Ethernet (с ограниченным функционалом)
Сертификация SfB Доступен для заказа
PN Description
UC405HDEG SfB 405HD IP-Phone PoE GbE Black
UC405HDEPSG SfB 405HD IP-Phone PoE GbE Black
with external power supply
10. New 450HD – Лучшее, что было сделано для Microsoft Skype For Business
• High End 5 дюймовый сенсорный экран
• Единый поставщик дисплеев, что и у
компании Apple
• Поддержка до 3 консолей расширения
• Встроенный Bluetooth
• Основной экран:
• 5” TFT 800xRGBx480
• Панель расширения:
• 5” TFT 480xRGBx854
• Разрешения экрана в 2 раза выше, чем у
существующей топовой модели
ближайшего конкурента
• Доступен для заказа с сентября 2016
11. Портфолио IP телефонов AudioCodes для SfB
Стоимость
Уровень
405 IP
Phone
420HD IP Phone
430HD
450HD
Entr
y
Mi
d
Hig
h
440HD
AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute
12. Новинка: IP Phone Manager Windows Edition
Простое решение для управление телефонами
Отдельное решение по управлению IP телефонами AudioCodes
Не является частью EMS или CloudBond 365
Устанавливается Windows 2012 R2
Может устанавливаться на виртуальную инфраструктуру
Бесплатное решение (до 500 телефонов)
Не требует лицензий
Не требуется никакого заказа для установки
Нет требований к минимальному заказу телефонов
Скачивается на прямую с сайта AudioCodesn
– Доступно на этой неделе
Поддержка опциональна (платная)
14. Сравнение бесплатной и коммерческой версии
AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute
15. AudioCodes Mediant SBC/GW 7.2 – меняемся для вас
Настройка SBC теперь превратилась в рисование картинок
16. Защита в инфраструктуре Microsoft Skype For Busines
Проверка
сообщение по
SIP заголовкам.
Пример:,
request URI,
from, P-A-I b и
т.д.
Фильтр SIP
сообщений по
множеству
параметров SIP
пакетов: размер,
политики
Фильтрация SIP
сообщений по
принадлежности к
SIP диалогу
Проверка TCP
инициализации,
TLS
аутентификация
Проверка по IP
адресу и порту с
возможностью
блокировки и
ограничения
полосы
пропускания
17. Атака из вне (совсем из вне)
Атака из вне (совсем из вне) с целью слития трафика (звонки в Гонолулу).
Попытка найти дыру через любой VoIP внешний вход.
Далее генерация большого количества вызовов на Гонолулу и другие «популярные»
направления.
Как работает
Генератор, который проверяет SIP порт/порты
После любого ответа от SIP сервера, злоумышленник запускает скрипт, который проверяет
различные изъяны в системе
Параллельно этому проверяют другие порты, на предмет открытых сервисов.
Во время проверки, возможна DoS атака, но более грамотные делают это не часто, чтобы не
увидели.
Возможны варианты подбора пароля оператора связи, для подключения на прямую к оператору
для «слива» трафика.
18. Атака через входящие вызовы с целью «слития» трафика
Атака через входящие вызовы
Если есть возможность найти дырку в системе при входящем вызове и его переадресацию на
внешний вызов.
Как работает
Возможность при звонке из вне настроить переадресацию
При звонке на этот номер, срабатывает переадресация на требуемый номер
Если есть сервис делать межгород/международние вызовы с мобильного через донабор, то это
потенциальная «дыра».
19. Целенаправленная атака
DoS атака
Попытка положить сервис (редко)
Попытка взлома, для генерации вызова от лица х
Прослушка
Как работает
Целенаправленно ломятся на определенные адреса
В случае прослушки, просто стараются найти месте, где можно собрать весь трафик
(единственный способ этого избежать – использовать TLS, который в РФ не предоставляется)
Параллельно этому проверяют другие порты, на предмет открытых сервисов.
20. Основные принципы защиты в VoIP сетях
Цель IP АТС обеспечить функционалом пользователей, а не обеспечение защиты
У многих АТС по умолчанию включены транзитные вызовы, что является большой «дырой» в
безопасности, хотя и является дополнительной функцией АТС.
Skype For Business в дефолтной настройке позволяет делать транзитные вызовы. Обязательно
это надо проверять и закрыть транки соответствующей политикой, если не предусмотрено
иного.
IP АТС почти всегда расположена в одной подсети и редко имею отдельные роли с отдельными
серверами для подключения из вне.
Для подключения внешних абонентов и по SIP требуется выносить IP АТС во внешнюю сеть.
Skype For Business имеет роль Edge, для федеративных подключений и подключений
пользователей из вне.
Front End не обеспечивает никакой защиты!!!
21. Настройка безопасности AudioCodes SBC
Разделение WAN/LAN/OAMP интерфейсов
LAN – смотрит на IP АТС/Skype For Business
WAN – смотрит на оператора связи
OAMP – интерфейс управления лучше выносить в отдельную подсеть
Старайтесь не использовать стандартные порты (UDP/TCP: 5060, TLS: 5061)
Большинство проверок доступности SIP осуществляется по порту 5060
Используете встроенный Access List
Настраиваете встроенный Access List с правилом в конце “deny all”
Используете максимально подробные правила маршрутизации
Старайтесь избегать символ «*»
Старайтесь описывать правило максимально конкретно
22. Настройка безопасности AudioCodes SBC
IDS – оповещение или динамическое закрытие доступа на 3-м уровне при следующих тригерах
Количество инициализаций сессий в единицу времени превышено
Количество не корректных сообщений в единицу времени превышено
Количество не корректных авторизаций на SBC
Количество не корректно установленных сессий
Внимательнее требуется настраивать классификацию
По умолчанию, SBC проверяет валидность оператора только по IP
Можно настроить по IP+Port+Transport/любом полю SIP
Максимально скрывайте всю информацию о себе
Требуется использовать SIP Message Manipulation
Используете по максимуму Call Admission Control
Ограничения по количеству одновременных соединений
Отдельно ограничения на входящие и исходящие направления
Отдельно ограничения на пользователей и направления
23. Пример вызова от Skype For Business
INVITE sip:+79031506611@sgwmediant01.customer.ru;user=phone SIP/2.0
FROM: <sip:+74991234567@customer.ru;user=phone>;epid=4F895BBC53;tag=3ced1f4fb5
TO: <sip:+79031506611@sgwmediant01.customer.ru;user=phone>
CSEQ: 632994 INVITE
CALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97c
MAX-FORWARDS: 70
VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345c
CONTACT: <sip:sgwlyncfe01.customer.ru:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>
CONTENT-LENGTH: 548
SUPPORTED: timer
SUPPORTED: 100rel
USER-AGENT: RTCC/5.0.0.0 MediationServer
CONTENT-TYPE: application/sdp
ALLOW: ACK
Session-Expires: 1800
Min-SE: 90
Allow: CANCEL,BYE,INVITE,PRACK,UPDATE
Понятно, какую систему
использует клиент
Понятно, на какую систему
идёт вызов
IP адреса все известны
24. Пример вызова от Skype For Business (как надо изменить)
INVITE sip:+79031506611@IP_или_имя_оператора_связи;user=phone SIP/2.0
FROM: <sip:+74991234567@внешний_IP_адрес_SBC;user=phone>;epid=4F895BBC53;tag=3ced1f4fb5
TO: <sip:+79031506611@IP_или_имя_оператора_связи;user=phone>
CSEQ: 632994 INVITE
CALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97c
MAX-FORWARDS: 70
VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345c
CONTACT: <sip:внешний_IP_адрес_SBC:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>
CONTENT-LENGTH: 548
SUPPORTED: timer
SUPPORTED: 100rel
USER-AGENT: IamUser
CONTENT-TYPE: application/sdp
ALLOW: ACK
Session-Expires: 1800
Min-SE: 90
Allow: CANCEL,BYE,INVITE,PRACK,UPDATE
Не надо показывать
используемую систему
Внутренних адресов нет, так
же как и названий
Всё лишние лучше удалить
25. Пример классификации входящего сообщения от оператора
INVITE sip:00028842@voice.telphin.com SIP/2.0
Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269
Max-Forwards: 10
From: <sip:+79031506611@87.229.221.61>;tag=1c588204014
To: <sip:00028842@voice.telphin.com>
Call-ID: 14762308623112015174434@87.229.221.61
CSeq: 1 INVITE
Contact: <sip:+79031506611@87.229.221.61:5095;ob>
Supported: ice,outbound,timer,replaces
Allow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFER
Session-Expires: 90
User-Agent: Telphin SoftSwitch
Content-Type: application/sdp
Content-Length: 423 Оператор как правило использует
настроенное поле User-Agent
Номера в Request-URI и To могут
быть только ваши
Проверка может быть по домену
Можно использовать любое уникальное
поле
27. Пример исходящего SIP сообщения (History-Info)
INVITE sip:323@itsp.com SIP/2.0
Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269
Max-Forwards: 10
From: <sip:321@Customer>;tag=1c588204014
To: <sip:323@itsp.com>
Call-ID: 14762308623112015174434CSeq: 1 INVITE
History-Info: <sip:322@customer?reason=uncondition>;index=1
Contact: <sip:+79031506611@87.229.221.61:5095;ob>
Allow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFER
Session-Expires: 90
Content-Type: application/sdp
Content-Length: 423
Если не использовать поле History-info или Diversion, то мы не знаем реально откуда
пришел вызов. Если его использовать, то есть возможность сделать дополнительный
контроль!
So, why would you do this? Why would you want to do this?
There are currently a 152 markets that we sell Office 365 in, and right now, 151 of those markets are not covered by Cloud PBX with PSTN calling. Over the next six months we will have various markets lighting up all over Europe and it may take a long time to hit the market for your area. Additionally, it may never be available in your market for a lot of various reasons. Maybe, the Supreme Leaders cousin runs the telco in the country, and we’re never going to get approvals to sell telephony in that market. Some markets won’t make sense for us to even go after due to sheer volume.
Another reason is maybe the customer just signed a contract with a carrier for say 5-years. A good example is Microsoft just signed a killer deal with Century Link, a local carrier here in Seattle just a year ago. That contract has some minimum commitments so we can’t currently justify moving off that carrier. What we’ve seen and heard from the field is these contracts with the larger telco providers are typically five years in length. With that said 20% of your customer base may actually be ready to switch. Hybrid allows them to keep leveraging and using that PSTN that they are already paying for and still move them to the cloud.
Sometimes customers may have highly customized lines of business services that are directly wired into some legacy PBX and this may be really hard to move into our cloud. The value of hybrid is we can still leverage that on-premises PBX and couple it with the power of our Office 365 infrastructure.
We invested a lot in the 450HD Screen and hope it will be recognized by the market.
450 HD Screen is high end quality, same manufactured as Apple.
We hope to have a short video clip in 3-4 weeks, so you will be able to present it as real product and not only pictures J (the clip will include real call of course).