Seite 1 von 2 12 LetzteLetzte
Zeige Ergebnis 1 bis 15 von 20

Thema: Einstellungen Sophos UTM für Starface App

  1. #1
    STARFACE Admin

    Registriert seit
    11.10.2016
    Beiträge
    110

    Standard Einstellungen Sophos UTM für Starface App

    Hallo Starface Gemeinde,

    Ich bin auf der Suche nach einer Anleitung für die Konfiguration (gern aber auch Best Practice) einer Sophos UTM für die STARFACE App. Unsere UTM meine ich größtenteils mit DNAT Regeln richtig eingerichtet zu haben, da zumindest Login, Journalabfrage und so funktioniert. Scheitern tut es noch irgendwie an der Audiodatenübertragung. Ein Anruf lässt sich starten aber es kommt kein Ton über. Ich kann mir vorstellen dass neben NAT und Firewallregeln auch SIP Einstellungen getätigt werden müssen.
    Die UTM hat wohl irgendwelche Mechanismen dass man Einstellungen die via Menüs nicht über Umwege genauso konfigurieren kann.


    des Weiteren habe ich noch ein wenig bedenken bei Port 443 da gleichzeitig das Webinterface für die STARFACE freigeschaltet würde. Sollte man in diesem Falle mit der Webapplication Firewall nutzen, und wenn ja, wie sind da die korrekten Einstellungen.

    Meine Sophos UTM SG230 ist ausgestattet mit Version 9.408
    Geändert von GL@MO (24.11.2016 um 22:16 Uhr)

  2. #2
    STARFACE Crew

    Registriert seit
    02.04.2013
    Beiträge
    233

    Standard

    Wenn "nur" die Audioübertragung nicht funktioniert, sind es möglicherweise die RTP-Ports die nicht korrekt freigeschaltet sind. Vielleicht noch mal eine Blick in das entsprechende Cheatsheet werfen:

    https://knowledge.starface.de/pages/...ents%206.4.pdf

  3. #3
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    1.001

    Standard

    Besorg Dir die IP-Adress-Bereiche Deiner SIP-Provider und lasse Kommunikation zur STARFACE ausschliesslich von diesen Servern zu. Dann reicht es gegen "aussen" lediglich die SIP-, XMPP- und RTP-Ports freizugeben. Im internen Netz hast Du weiterhin Zugriff auf das Webinterface.

    Sollte es dennoch notwendig sein, von aussen auf die STARFACE zuzugreifen, dann nur über einen VPN-Tunnel. Das Selbe gilt für den Anlagenverbund.
    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  4. #4
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    1.001

    Standard

    Zitat Zitat von tdaber Beitrag anzeigen
    Wenn "nur" die Audioübertragung nicht funktioniert, sind es möglicherweise die RTP-Ports die nicht korrekt freigeschaltet sind. Vielleicht noch mal eine Blick in das entsprechende Cheatsheet werfen:

    https://knowledge.starface.de/pages/...ents%206.4.pdf
    Will heissen, damit ich den Mobile Client ohne VPN-Tunnel nutzen kann muss ich zwingend die Ports 10000-65535 UDP offen lassen wie ein Scheunentor ? Einen Bereich von über 50'000 Ports ?

    Aus Security-Sicht ist das nicht sinnvoll. Vernünftigerweise sollten auch Mobile-Clients über VPN angebunden werden.
    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  5. #5
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.397

    Standard

    Zitat Zitat von thomas.hertli Beitrag anzeigen
    Will heissen, damit ich den Mobile Client ohne VPN-Tunnel nutzen kann muss ich zwingend die Ports 10000-65535 UDP offen lassen wie ein Scheunentor ? Einen Bereich von über 50'000 Ports ?

    Aus Security-Sicht ist das nicht sinnvoll. Vernünftigerweise sollten auch Mobile-Clients über VPN angebunden werden.
    Aus Security-Sicht sind 50.000 "offene" Ports in der Firewall nicht schlimmer als einer. Der Dienst dahinter ist der selbe. Der mobile Client kommuniziert – wie die anderen Clients auch – über XMPP auf Port 5222/TCP. Wer das Softphone nutzen will, muß natürlich eine Audiokommunikation ermöglichen.
    Bei der genannten Portrange handelt es sich um zufällig ausgehandelte Kombinationen für ein- und ausgehende Audiodaten. Es ist nicht so, dass da dauerhaft ein Dienst auf eingehende Verbindungen wartet.
    Geändert von fwolf (25.11.2016 um 08:50 Uhr)
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  6. #6
    STARFACE Admin

    Registriert seit
    11.10.2016
    Beiträge
    110

    Standard

    Zitat Zitat von tdaber Beitrag anzeigen
    Wenn "nur" die Audioübertragung nicht funktioniert, sind es möglicherweise die RTP-Ports die nicht korrekt freigeschaltet sind. Vielleicht noch mal eine Blick in das entsprechende Cheatsheet werfen
    jo, ist alles mit NAT eingerichtet.
    wobei das Cheatsheet einen kleinen aber feinen Fehler enthalten dürfte:
    10000 bis 20000 (UDP)eingehende RTP Audiodaten
    20000 bis 65535 (UDP) ausgehende RTP Audiodaten
    es müsste eingehend bis 20000 und ausgehend ab 200001 heißen

    und ich vermisse Port 5060 und 3478 (STUN)

    -----

    des Weiteren muss ich sagen dass ich noch keinen SIP Provider habe, es geht mir für den Anfang erstmal um Verbindung von Außen zu Intern, ohne VPN per App oder per UCC Client und dachte, dass das direkt geht. Oder liege ich da komplett falsch?

    Wie ich eingangs schon erwähnte kann ich wahrscheinlich NAT technisch für Port 5060 und 5061 so viel einstellen wie ich will, das wird nicht greifen weil das nicht über Network Protection - VoIP konfiguriert ist. Hat da schon jemand Erfahrung mit?

  7. #7
    STARFACE Admin
    Benutzerbild von dominik.gilgen
    Registriert seit
    26.03.2013
    Beiträge
    133

    Standard

    Guten Morgen!

    stell mal deine Regeln in der Network Protection auf protokolliert und geh dann ins Live-Log.
    a) siehst du dort die von den Regeln betroffenen Pakete grün
    b) kannst du dann anhand der IP-Adresse filtern und schauen ob noch Pakete verworfen werden

    Und dann die Frage ob dort in Verbindung mit der Endgeräte IP noch Pakete verworfen werden?

    Die Konfiguration im Bereich Networkprotection VoIP dient dazu das Problem mit der großen Portrange zu umgehen. Die Sophos kann über die SIP Pakete die verwendeten Ports auslesen und temporär freischalten. Geh am besten mal in das Menü VoIP und klick rechts oben auf das Fragezeichen. Dort wird es dann detailierter Erklärt.

    Gruß
    Dome
    STARFACE Excellence Partner | www.parit.de | dominik.gilgen@parit.de

  8. #8
    STARFACE Admin

    Registriert seit
    11.10.2016
    Beiträge
    110

    Standard

    logging habe ich jetzt mal aktiviert und ich sehe jetzt folgendes (HandyApp --> Starface):

    Live Log_ Firewall.png
    also von meinem Mobilgerät versucht die App wohl zweierlei: einmal auf die externe IP per NAT wird durchgelassen und einmal auf die interne IP der Starface wo natürlich gedroppt wird. Ich hoffe das wird durch den Screenshot ersichtlich.

  9. #9
    STARFACE Admin
    Benutzerbild von dominik.gilgen
    Registriert seit
    26.03.2013
    Beiträge
    133

    Standard

    Ich vermute du hast deine Regeln falsch angelegt.
    Und solange deine Pakete gedroppt werden, kann es natürlich nicht funktionieren ;-)

    Im Log ist es so eingetragen weil du NAT machst
    Endgerät -> öffentliche IP (NAT)
    Endgerät -> Ziel IP (Firewall)

    Du musst deine Regeln so anlegen:
    Internet IPv4/v6 -> PORTS -> STARFACE (lokal)

    Gern kannst du mir auch mal per PN oder per Mail (dominik.gilgen@parit.de) deine NAT und Firewall Regeln per Screenshot schicken
    STARFACE Excellence Partner | www.parit.de | dominik.gilgen@parit.de

  10. #10
    STARFACE Admin

    Registriert seit
    11.10.2016
    Beiträge
    110

    Standard

    Aber das wäre dann kein DNAT mehr sondern ein Port Forwarding oder?!

  11. #11
    STARFACE Admin
    Benutzerbild von dominik.gilgen
    Registriert seit
    26.03.2013
    Beiträge
    133

    Standard

    Mach mal im ersten Schritt die Regel wieder an die du angelegt hast:
    Internet IPv4 -> Starface Protokolle -> Starface Telefonanlage
    Und nimm in deinem Regelwerk auch SIP (5060) mit auf, sonst geht es natürlich auch nicht.

    Schalt da auch mal die Protokollierung an und prüfe ob die verworfenen Pakete von deinem Screenshot nun durch kommen.
    Ohne die Regel wird es nicht funktionieren ;-)

    Das DNAT in der Sophos macht dir nen Portforwarding auf die STARFACE. Das Ziel ist dann aber auch im Regelwerk die STARFACE und nicht die WAN-Schnittstelle.
    Deshalb brauchst du eine Regel die entsprechend Internet -> Protokoll -> Endgerät aufmacht.

    In deiner Konfig kannst du erstmal die VoIP Settings in der Network-Protection weglassen und in die Regel deine RTP Ports die du angelegt hast mit aufnehmen.
    Ich bin mir aktuell nicht 100%ig sicher ob der VoIP Helper in deinem Szenario auch greift. Primär ist das dafür gedacht Client/TK zu nem externen SIP Provider zu verbinden.
    Wenn dann müsste glaub auch eher bei SIP Server Networks das Netz rein in dem die STARFACE steht und SIP Client Networks müsste dann Internet IPv4/v6 sein (ggf. auch genau verdreht, das geht aus der Doku nicht ganz einher, weil die von ner anderen Situation ausgehen).
    STARFACE Excellence Partner | www.parit.de | dominik.gilgen@parit.de

  12. #12
    STARFACE User

    Registriert seit
    19.11.2015
    Beiträge
    40

    Standard

    Fabian hat recht. Von einem Security-Standpoint sind 50.000 offene Ports nicht schlimmer als ein offener Port.
    Der Listenerdaemon dahinter (asterisk) nimmt eh nur Pakete aus bestehenden, ausgehandelten SIP-Sessions an.

    Ich poste mal meine laufende Konfiguration.
    Bei DNAT das erstellen der Firewallregeln anhaken.

    DNAT
    2016-11-28 11_25_52-WebAdmin - User admin - Device gateway.janz.online.png

    Definitionen
    SIP(S)
    sips.png

    XMPP
    xmpp.png

    RTP
    2016-11-28 11_31_46-WebAdmin - User admin - Device gateway.janz.online.png

    Sonstiges
    Network Protection -> VoIP unbedingt ausschalten.
    Das ist ein SIP ALG was die Funktionsweise der STARFACE beeinträchtigt.

    Port 443 ist durch einen Reverse Proxy (NGINX) belegt, der u.A. das Webinterface und die REST-API der STARFACE rausreicht.
    Geändert von DerGerät (28.11.2016 um 11:42 Uhr)

  13. #13
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    1.001

    Standard

    Zitat Zitat von DerGerät Beitrag anzeigen
    Fabian hat recht. Von einem Security-Standpoint sind 50.000 offene Ports nicht schlimmer als ein offener Port.
    Das heisst aber nicht, dass ich einem "Suchenden" 50'000 statt nur den benötigten Ports anbieten muss; ich muss ja den bösen Buben nicht die Arbeit erleichtern um ein Einfallstor zu finden.
    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  14. #14
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.765

    Standard

    Hallo Thomas,

    naja klar, aber man kann neben den offenen Ports ja nun auch vorgeben, WER diese Ports und vor allem WOHIN nutzen darf - das beschränkt as Ganze dann auch wieder, oder?
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  15. #15
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    1.001

    Standard

    Zitat Zitat von Ulf Beitrag anzeigen
    Hallo Thomas,

    naja klar, aber man kann neben den offenen Ports ja nun auch vorgeben, WER diese Ports und vor allem WOHIN nutzen darf - das beschränkt as Ganze dann auch wieder, oder?
    Aber ich muss doch nicht erst ne "Einladung" bereitstellen. Eine Tür die nicht da ist, muss ich auch nicht noch zusätzlich absichern.

    Es macht doch keinen Sinn erst etwas das nie benötigt wird bereit zu stellen um dann den Zugriff darauf wieder einzuschränken.
    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

Ähnliche Themen

  1. UCC Proxy-Einstellungen
    Von steffen0377 im Forum STARFACE Beta Archiv
    Antworten: 1
    Letzter Beitrag: 19.10.2016, 08:54
  2. Anbindung mit "Sophos UTM 220"
    Von tdaber im Forum Telekom ALL-IP
    Antworten: 1
    Letzter Beitrag: 25.04.2016, 07:54
  3. Einstellungen und Zugriff auf netvoip.ch
    Von uniko im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 24.03.2016, 12:28
  4. Antworten: 0
    Letzter Beitrag: 01.12.2015, 13:37
  5. Rufumleitung Einstellungen 3 verschiedene
    Von Daniel09 im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 13.01.2012, 18:00

Stichworte

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •