Starface "offen" ins Internet stellen? Homeoffice / Softphone

  • Kurz zum Aufbau:
    Unsere Starface steht im Rechenzentrum und bei den einzelnen Dienststellen haben wir eine VPN Definition im Router hinterlegt, die quasi eine "Standleitung" ins RZ direkt zur Starface aufrecht hält, so dass die Starface innerhalb der Dienststellen funktioniert. Momentan verwenden wir kein Softphone, sondern normale Telefone und den UCC Client in der Basis-Version.


    Nun zum "Problem":


    Homeoffice wird ja mehr und mehr angewandt, auch bei uns. Momentan ist es so, dass die Kollegen bei uns das Telefon entweder am Vortag von der Dienststelle aus selbst auf die private Rufnummer umleiten oder das über mich oder die Verwaltung machen lässt, so dass sie ganz normal erreichbar sind. Von zu Hause aus ist das logischerweise nicht möglich. Das funktioniert soweit auch, wobei es da den unschönen Effekt gibt, dass die Mitarbeiter mit ihrer privaten Rufnummer raustelefonieren müssen und nicht mit der Starfacenummer.


    Nun habe ich mit dem Partner mal darüber gesprochen, ob man die Starface nicht "offen" ins Internet stellen kann. Gemeint ist natürlich, dass der Port für die Telefonie / UCC (5222?) freigegeben wird, so dass der UCC-Client eine Verbindung auch von zu Hause aus aufnehmen kann. In dem Zusammenhang würde man dann auch mal Softphone ausprobieren wollen, die Mitarbeiter also über den PC von zu Hause aus mit ihrer Starfacerufnummer telefonieren können. Der Partner hat hier große Bedenken und fürchtet um die Sicherheit bzw. kann diese dann nicht mehr in vollem Umfang gewährleisten. Das ist in gewisser Weise auch nachvollziehbar und auch ich bin ein Freund der "Abschottung" wo immer das möglich ist. Fakt ist halt: Entweder ein Port ist offen oder eben zu.


    Die Frage die sich nun aber stellt ist, wie riskant ist so ein Unterfangen bezüglich Angriffsszenarien? Wie lösen andere das von uns gewünschte Szenario? Bin für Tipps dankbar, so dass ich mich mit dem Partner diesbezüglich nochmal austauschen kann.

  • Wir machen solche Anwendungen ausschließlich über ein VPN.
    Privatgeräte mit UCC Client sind sicherheitstechnisch ein Albtraum, abgesehen von der DSGVO.


    Naja, Privatgeräte allgemein sind ein Albtraum für jeden Systemadministrator, das würde ich jetzt nicht allein auf den UCC Client schieben :)


    Unabhängig davon wäre meine Empfehlung die Mitarbeiter sich über VPN verbinden zu lassen. So ist der Zugriff nur für authentifizierte User möglich.

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Das ist auch alles etwas vom Port abhaengig.


    Der 5060 ist deutlich gefährdeter.


    Mach doch mal eine kleine Analyse.


    Stell mal einen Port 5060 auf einem ungefährdeten Anschluss als honeypot ins Netz. Und schaue dann mit den geeigneten Mitteln, wie schnell und wieviele „nette Internetkollegen“ versuchen „Hallo“ zu sagen.


    Unsere Erfahrung:
    Es dauert nur wenige Minuten, bis es los geht. Am bisher schlimmsten Tag hatten wir mehrere 10.000 (!) Versuche in nur 4 (!) Vormittagsstunden.
    Das potenziert sich, wenn du eine feste IP hast. Da haben die „Jungs“ dann viel Zeit, weil sie Euch „immer wieder finden“...


    Muss halt jeder selbst wissen, ob man sich das dann antut.


    VPN on demand. Geht auch mit Handys.


    Leider hat Starface für die Apps keinen Remotedienst wie manche (wenige) andere Hersteller (z.B. Agfeo). Auch 3cx hat sowas nicht. Und durch den Einsatz uralter Asterisk und CentOS Versionen wird’s ja nicht gerade besser. Schwachstellen hat jedes System. Nur einige mehr, andere weniger.


    Da musst du dann für die Sicherheit sorgen.
    Tipp:
    Ip-Whitelisting, Geoblocking etc. in einer sehr ordentlichen Firewall hilft schon mal sehr viel.

  • Naja, Privatgeräte allgemein sind ein Albtraum für jeden Systemadministrator, das würde ich jetzt nicht allein auf den UCC Client schieben :)


    Das ist wahr und natürlich nicht auf den UCC Client beschränkt.
    Wenn ich den Anfangsbeitrag so lese fallen mir noch viel mehr Sachen auf, private Telefonanschlüssen mit Weiterleitung überträgt unter Umständen die anrufer Nummer usw...

  • Unabhängig davon wäre meine Empfehlung die Mitarbeiter sich über VPN verbinden zu lassen. So ist der Zugriff nur für authentifizierte User möglich.


    Hallo. Super, dass jemand von der Starface-Crew hierauf geantwortet hat.


    Das mit VPN ist prinzipiell eine super Sache. Ich fände es aber gerade für den Privatgebrauch sinnvoll, wenn es im UCC-Client selbst eine VPN-Verbindungsmöglichkeit gäbe, so dass erstens nicht beim Anwender direkt etwas installiert werden muss und zweitens nicht direkt das ganze System im VPN hängt, sondern nur der UCC-Client. Könnt ihr das bitte realisieren? Es gab dahingehend auch schon Vorschläge im Vorschlagsportal. Ich denke das wäre wirklich eine sehr nützliche Funktion.


    Ich persönlich gehe davon aus, dass wir noch mindestens im gesamten Jahr 2021 vermehrt im Home-Office arbeiten werden und sich diese Art der Arbeit auch danach einer gewissen Beliebtheit erfreuen wird. Da sollten wir von der EDV nicht im Weg stehen oder Dinge unnötig kompliziert gestalten.


    Das mit der privaten Rufnummer ist natürlich auch so ein Thema, denn natürlich möchte man nicht seinen Kunden / Klienten seine private Rufnummer unfreiwillig mitteilen, da manche dann meinen man sei 24/7 für sie da. Deswegen ist es mein Ziel, dass möglichst alles über die Rufnummer des Arbeitgebers abgewickelt werden kann.

  • Hm, also erfahrungsgemäß gibt es ja doch immer noch etwas, was der Kunde trotzdem „mit“ der Firma per PC machen muss. Seine Anwendungssoftware oder Dateiablage oder Datenbank oder...


    Ein reiner VPN Tunnel „nur“ für den CTI Client?
    Wofür soll der gut sein?



    Ich denke, jede Wertschöpfung die bei mir bleibt ist mir lieber... ich baue doch den Tunne auf.


    Du nicht?


    Gruss, R.

  • Da sollten wir von der EDV nicht im Weg stehen oder Dinge unnötig kompliziert gestalten.


    Ich denke dein Ansatz ist einfach falsch. Selbst wenn Du ein VPN im UCC Client hast liegen die Daten unverschlüsselt auf einem privaten Gerät.
    Auch die umgeleiteten Anrufer auf privat Anschlüsse landen dort in der privaten Anruferliste usw.


    Ich weiß ja nicht in welcher Branche/Verwaltung ihr das macht, aber wie stellt ihr den Datenschutz auf einem privaten Gerät sicher?


  • Das mit VPN ist prinzipiell eine super Sache. Ich fände es aber gerade für den Privatgebrauch sinnvoll, wenn es im UCC-Client selbst eine VPN-Verbindungsmöglichkeit gäbe, so dass erstens nicht beim Anwender direkt etwas installiert werden muss und zweitens nicht direkt das ganze System im VPN hängt, sondern nur der UCC-Client. Könnt ihr das bitte realisieren? Es gab dahingehend auch schon Vorschläge im Vorschlagsportal. Ich denke das wäre wirklich eine sehr nützliche Funktion.


    Wenn du zuhause im Auftrag deines Arbeitgebers arbeitest, ist das aber meine Meinung nach kein "Privatgebrauch". Und jede halbwegs vernünftige VPN-Lösung hat die Möglichkeit den Datenverkehr je nach Ziel zu trennen (wenn die Mitarbeiter zuhause Spotify streamen, soll das doch nicht über die Internetleitung der Firma laufen).


    Wo soll der VPN-Server sich befinden? Auf der STARFACE? Im Kundennetzwerk?


    Zitat

    Da sollten wir von der EDV nicht im Weg stehen oder Dinge unnötig kompliziert gestalten.


    Auf meinem Firmenlaptop verbindet sich der VPN automatisch, wenn es mein Heim-WLAN oder Heim-LAN erkennt. Einmal konfiguriert, und das war's auch schon. Was ist denn daran kompliziert?


    Mein privater Rechner hat keine Firmendaten drauf. Das Zeugs von der Arbeit hat auch nichts darauf zu suchen, schließlich will ich wenn ich im Feierabend eine Runde zocke nicht an der Arbeit erinnert werden.

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

    Einmal editiert, zuletzt von TomAnson ()

  • Wir arbeiten auf der Citrix-Farm einer übergeordneten Organisation. Von daher haben die Mitarbeiter von überall Zugriff auf die Daten. Wir rufen eine URL im Browser auf, legitimieren uns mit Benutzername, Passwort und Token und es öffnet sich der Citrix Workspace-Client. Der Starface-Client ist aber lokal installiert


    Wo sich der VPN-Server befindet ist zunächst erstmal zweitrangig. Zunächst muss erstmal die Option im UCC-Client vorhanden sein. Wenn die Starface eine Serveroption mitbringt wäre das fein, ansonsten wäre sicher der Partner in der Lage einen entsprechenden Dienst bereit zu stellen.

  • Wir rufen eine URL im Browser auf, legitimieren uns mit Benutzername, Passwort und Token und es öffnet sich der Citrix Workspace-Client. Der Starface-Client ist aber lokal installiert


    Ah jetzt wird ein Schuh draus!
    Aber das löst noch nicht dein UCC Client Problem auf dem privaten Rechner.
    Einfachste Lösung, Smartphones mit VPN bestücken und dort den UCC Client installieren.


    Kommt halt ein bischen drauf an ob Smartphones oder Tablets vorhanden sind...

  • Längst nicht alle Mitarbeiter haben dienstliches Smarthpnes oder gar ein Tablet und längst nicht alle sind technisch versiert. Wir sind kein Techunternehmen und der Schwerpunkt unserer Leute ist ein ganz anderer als sich mit IT auszukennen. Man kann ihnen problemlos zumuten eine Setup auszuführen und dann zu sagen, dass diese und jene Daten unter den Einstellungen eingetragen werden sollen. Da ließe sich zur Not auch schnell eine Anleitung zu schreiben. Fertig ist sehr komfortabel für alle.


    Ich stelle die Frage mal anders: Warum sollte man sich den UCC-Client und einen VPN-Client installieren, wenn der UCC-Client das vereinen könnte und beim Start der Anwendung dann auch noch selbstständig die Verbindung ins RZ herstellt, bzw. beim Beenden trennt ohne dass der Anwender noch irgendwas tun muss und alles im Hintergrund abläuft? Zudem würde der VPN-Client dank direkter Integration automatisch aktuell halten. Wie gesagt: Ich bin ein Freund der Einfachheit und möchte es den Leuten einfach machen mit der IT umzugehen wo immer das ohne (gravierende) Abstriche bei der Sicherheit möglich ist.

  • Man kann ihnen problemlos zumuten eine Setup auszuführen und dann zu sagen, dass diese und jene Daten unter den Einstellungen eingetragen werden sollen. Da ließe sich zur Not auch schnell eine Anleitung zu schreiben. Fertig ist sehr komfortabel für alle.


    Das bieten doch die meisten "Firewalls" an, einfach VPN Sever aufsetzen und dann kommen .exe Installer mit allen Zertifikaten raus.
    Hier routet man dann nur das Netz zur Starface durch und konfiguriert die Firewall auf dem VPN Server.


    Fertig, wenn auch aus Datenschutzgründen sehr fraglich (UCC Client auf privatem Rechner).




    Ich bin ein Freund der Einfachheit und möchte es den Leuten einfach machen mit der IT umzugehen wo immer das ohne (gravierende) Abstriche bei der Sicherheit möglich ist.


    IMHO ist Einfachheit und Sicherheit in der IT einfach nicht zusammen zu bringen :)


    Dein Wunsch erfordert ein VPN Server, eine Firewall, welches VPN nehmen wir dann?
    OpenVPN, IPSec, Wireguard,...?
    Das ist eine neverending story, die Starface ist eine PBX und kein VPN Server, Router oder was auch immer.

  • Nun, es gibt Arbeits-Laptops die zu Hause verwendet werden, Arbeitsgeräte die zu Hause verwendet werden, ja es gibt sogar Leute die ein ganzes Arbeitszimmer zu Hause haben. Ich halte die Argumente "Datenschutz" und "Privatgeräte sind gefährlich" für vorgeschoben, zumal eine integrierte VPN-Möglichkeit ja weit darüber hinaus geht, dass der UCC-Client "nur" im "gefährlichen" Privatbereich verwendet werden kann.


    Ich denke es sollte für eine Firma wie Starface absolut kein Problem darstellen die zwei, drei gängigsten VPN-Lösungen als Client in den UCC zu integrieren und passend vor zu konfigurieren, so dass man nur noch die passenden Daten in die Eingabefelder eingeben muss. Starface ist ein Business-Produkt und zielt nicht auf Privatanwender. Im Businesbereich kann man denke ich erwarten, dass sich ein Produkt den Bedürfnissen der Kunden anpasst und nicht die Kunden sich der Möglichkeit der Software anpassen müssen oder wo man erst rumfrickeln muss damit das gewünschte Ergebnis eintritt.


    Ich verstehe ehrlich gesagt nicht, wie ein gewünschtes Feature immerzu krampfhaft zerredet wird. Die Verwendung wäre doch völlig optional. Es wird niemand gezwungen es zu verwenden. Es wäre aber schön die Möglichkeit zu haben. Die gleiche Funktionalität bekommt man auch durch die Verwendung eines "externes" VPN-Clients, aber schöner und vor allem komfortabler ist es, wenn der UCC das All-in-One liefert und dann clientintern arbeitet. Und Komfort und Sicherheit würde sich durch eine integrierte Lösung auch nicht ausschließen, im Gegenteil.

  • Ich halte die Argumente "Datenschutz" und "Privatgeräte sind gefährlich" für vorgeschoben, zumal eine integrierte VPN-Möglichkeit ja weit darüber hinaus geht, dass der UCC-Client "nur" im "gefährlichen" Privatbereich verwendet werden kann.


    Sorry aber da ist gar nichts vorgeschoben! Und ich bin kein Starface Mitarbeiter oder Partner!
    Du legst VPN Zugänge auf einem privaten unverschlüsselten Gerät ab?
    Darauf liegt dann noch die ganze Call History + Daten welche über das UCC System ausgetauscht wurden?


    Mir würde bei so einem Szenario Angst und bange werden...


    Im Businesbereich kann man denke ich erwarten, dass sich ein Produkt den Bedürfnissen der Kunden anpasst und nicht die Kunden sich der Möglichkeit der Software anpassen müssen oder wo man erst rumfrickeln muss damit das gewünschte Ergebnis eintritt.


    Im Business setzt man einen ordentlichen VPN Server auf, das Thema ist schon komplex genug.


    Und Komfort und Sicherheit würde sich durch eine integrierte Lösung auch nicht ausschließen, im Gegenteil.


    Komfort und Sicherheit geht in der IT einfach nicht, auch wenn das nicht immer alle so sehen. Ich kenne diese Diskussionen zu gut...


  • Ich stelle die Frage mal anders: Warum sollte man sich den UCC-Client und einen VPN-Client installieren, wenn der UCC-Client das vereinen könnte und beim Start der Anwendung dann auch noch selbstständig die Verbindung ins RZ herstellt, bzw. beim Beenden trennt ohne dass der Anwender noch irgendwas tun muss und alles im Hintergrund abläuft? Zudem würde der VPN-Client dank direkter Integration automatisch aktuell halten. Wie gesagt: Ich bin ein Freund der Einfachheit und möchte es den Leuten einfach machen mit der IT umzugehen wo immer das ohne (gravierende) Abstriche bei der Sicherheit möglich ist.


    Weil STARFACE Anbieter von Kommunikationslösungen ist und nichts mit Netzwerk zu tun hat

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security


  • Ich denke es sollte für eine Firma wie Starface absolut kein Problem darstellen die zwei, drei gängigsten VPN-Lösungen als Client in den UCC zu integrieren und passend vor zu konfigurieren, so dass man nur noch die passenden Daten in die Eingabefelder eingeben muss.


    Auch wenn ich mich wiederhole. STARFACE ist kein Netzwerk-/Firewallanbieter.
    Was sind denn Deiner Meinung nach die gängigsten VPN-Clients ?
    Ob ein VPN-Client funktioniert hängt stark vom eingesetzten VPN-Konzentrator resp. Firewall ab. Daher bringt es überhaupt nichts, einfach die "gängigsten" VPN-Clients bereit zu stellen.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Mal abgesehen dass ich Starface da generell recht gebe, wäre gerade im UCC eine eingebaute VPN option geben würde.


    Aber ich muss ehrlich sagen, dass ich da immer eher auf OpenVPN zurückgreifen würde bzw. die Lösungen der Firewall Hersteller wie Sophos, Sonicwall etc.


    Zur Not geht ja auch ein Raspi den man entsprechend konfiguriert.


    Es gibt momentan andere Sachen die ich bei SF viel eher sehen würde als Features die sich anders sehr einfach realisieren lassen

  • Servus!


    Um Mal auf den Threadtitel zurückzukommen : Wie machen es denn Strarface selbst bzw. die Dienstleister die Starface in der Cloud anbieten ?
    Ich meine die Instanzen sind für jeden Kunden ganz normal über FQDN erreichbar.


    Oder ist hier ein SBC mit entsprechenden kundenspezifischen Zertifikaten im Einsatz?..



    Grüße
    Jakob

  • Nein, die Anlagen der STARFACE Eigenen Cloud sind offen - alle Ports offen !! Argumentation ist unter anderem die Security Funktion - mit der Blacklist - jede IP die 10x sich Falsch Anmeldet, wird für ein Paar Stunden gesperrt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!