Май 2016

Виктор Овчинников

10 лет с Microsoft – это не срок

Полный портфель продуктов и сервисов для построения эффективного решения на базе Microsoft Skype For Business

AudioCodes Mediant 800 CCE (Cloud Connector Edition)

SfB Online Infrastructure

John SfB Online user in

Internet

Sip Traffic Media Traffic

Mediation Edge

Domain Controlle

r

Storage

Cloud Connector

Domain Controller for Cloud

ConnectorDave SfB Online user in internal network

PSTN

PSTN connection

Mediant 800 CCE

Уже доступен для заказа!

IP телефоны для Skype For Business

Microsoft раз в какое-то время определяет требования для телефонов и просит производителей пройти соответствующее тестирование

Каждая сертификация имеет имя, типа V3.0, V4.0, V4.5 … Каждая спецификация имеет обязательные и расширенные требования Телефоны AudioCodes на данный момент сертифицированы на V3.0 AudioCodes в процессе сертификации V4.5, которая добавляет множество функций

Сертификация V4.5

Список требований Microsoft для сертификации V4.5 Прямая работа с Cloud PBX Интеграция с Exchange

- Доступ к календарю- Отображение голосовой почты

Управление конференцией Skype For Business с телефона Блокировка телефона QoE Reporting для on-prime и Cloud инфраструктуры Сертификация BToE, включая BToE Direct pairing Поддержка кодека SILK (Не обязательно)

Версия телефонов 3.0.0 для Skype For Business

Новый функционал на IP телефонах AudioCodes Работа с Cloud PBX

Доступ к календарю- Просмотр календаря прямо с экрана телефона- Быстрый доступ к конференции Skуpe For Business из меню телефона

Блокировка телефона

QoE Reporting для on-prime и Cloud инфраструктуры

BToE Direct Pairing – не требуется вводить код для подключения телефона к SfB клиенту

Поддержка кодека SILK

Ближайшие планы по функция IP телефонов

Версия 3.0.0 уже доступна для тестирования и проходит сертификацию в Microsoft. Официальный выход - июнь

До конца июля- Настройка быстрых контактов через группу «Избранные»- Видео через BToE- Сертификация IP телефона 450HD

2H 2016 - Common Area Phone with Hot-desking- Синхронизация истории вызовов с Exchange сервером - Управление через публичный Интернет

До конца 2016 года ожидается устройство для переговорных комнат (speakerphone)

450HD статус и планы

15 июня июнь Июль СентябрьАвгуст

Первые демо экземпляры

Финальный релиз аппаратной версии

Официальный выход

PN DescriptionUC450HDEG SfB 450HD IP-Phone PoE GbE Black

UC450HDEPSG SfB 450HD IP-Phone PoE GbE Black with external power supply

Консоль расширения

Сертификация SfB

Сбор отзывов

405HDG статус и планы

15 июля Июль Август

Демо

Самый бюджетный телефон с Gigabit Ethernet для Skype For BusinessНаличие USB порта для подключения гарнитурыУже доступен для демо в конфигурации Fast Ethernet (с ограниченным функционалом)

Сертификация SfB Доступен для заказа

PN Description UC405HDEG SfB 405HD IP-Phone PoE GbE Black

UC405HDEPSG SfB 405HD IP-Phone PoE GbE Black with external power supply

New 450HD – Лучшее, что было сделано для Microsoft Skype For Business

• High End 5 дюймовый сенсорный экран• Единый поставщик дисплеев, что и у

компании Apple• Поддержка до 3 консолей расширения• Встроенный Bluetooth • Основной экран:• 5” TFT 800xRGBx480• Панель расширения:• 5” TFT 480xRGBx854

• Разрешения экрана в 2 раза выше, чем у существующей топовой модели ближайшего конкурента

• Доступен для заказа с сентября 2016

“Coming Soon“ 450HD

Портфолио IP телефонов AudioCodes для SfB

Стоимость

Уровень

405 IP Phone

420HD IP Phone

430HD

450HD

Entry

Mid

High

440HD

AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute

Новинка: IP Phone Manager Windows Edition

Простое решение для управление телефонами Отдельное решение по управлению IP телефонами AudioCodes

Не является частью EMS или CloudBond 365 Устанавливается Windows 2012 R2

Может устанавливаться на виртуальную инфраструктуру Бесплатное решение (до 500 телефонов)

Не требует лицензий Не требуется никакого заказа для установки Нет требований к минимальному заказу телефонов Скачивается на прямую с сайта AudioCodesn– Доступно на этой неделе

Поддержка опциональна (платная)

Новинка: IP Phone Manager Windows Edition

Сравнение бесплатной и коммерческой версии

AudioCodes Proprietary & Confidential, do not copy, duplicate or distribute

AudioCodes Mediant SBC/GW 7.2 – меняемся для вас

Настройка SBC теперь превратилась в рисование картинок

Защита в инфраструктуре Microsoft Skype For Busines

SIP Digest Authentication

SIP Access List & Classification

Brute force DoS

Protocol Vulnerabilities

SIP dialog Attacks

UnClassified SIP Traffic

Проверка сообщение по SIP заголовкам. Пример:, request URI, from, P-A-I b и т.д.

TCP attacks,Identity Spoofing

Context Identification

SIP Message Policy

TCP/TLS Integrity and Authentication

Dynamic & static layer 3-4 Firewall and Rate Limiting

LegitimateTraffic

Фильтр SIP сообщений по множеству параметров SIP пакетов: размер, политики

Фильтрация SIP сообщений по принадлежности к SIP диалогуCall Admission Control

Проверка TCP инициализации, TLS аутентификация

Проверка по IP адресу и порту с возможностью блокировки и ограничения полосы пропускания

Unauthorized Access

Calls over Limit

Атака из вне (совсем из вне) Атака из вне (совсем из вне) с целью слития трафика (звонки в Гонолулу).

Попытка найти дыру через любой VoIP внешний вход. Далее генерация большого количества вызовов на Гонолулу и другие «популярные»

направления.

Как работает Генератор, который проверяет SIP порт/порты После любого ответа от SIP сервера, злоумышленник запускает скрипт, который проверяет

различные изъяны в системе Параллельно этому проверяют другие порты, на предмет открытых сервисов. Во время проверки, возможна DoS атака, но более грамотные делают это не часто, чтобы не

увидели. Возможны варианты подбора пароля оператора связи, для подключения на прямую к оператору

для «слива» трафика.

Атака через входящие вызовы с целью «слития» трафика Атака через входящие вызовы

Если есть возможность найти дырку в системе при входящем вызове и его переадресацию на внешний вызов.

Как работает Возможность при звонке из вне настроить переадресацию При звонке на этот номер, срабатывает переадресация на требуемый номер Если есть сервис делать межгород/международние вызовы с мобильного через донабор, то это

потенциальная «дыра».

Целенаправленная атака DoS атака

Попытка положить сервис (редко) Попытка взлома, для генерации вызова от лица х Прослушка

Как работает Целенаправленно ломятся на определенные адреса В случае прослушки, просто стараются найти месте, где можно собрать весь трафик

(единственный способ этого избежать – использовать TLS, который в РФ не предоставляется) Параллельно этому проверяют другие порты, на предмет открытых сервисов.

Основные принципы защиты в VoIP сетях Цель IP АТС обеспечить функционалом пользователей, а не обеспечение защиты

У многих АТС по умолчанию включены транзитные вызовы, что является большой «дырой» в безопасности, хотя и является дополнительной функцией АТС.

Skype For Business в дефолтной настройке позволяет делать транзитные вызовы. Обязательно это надо проверять и закрыть транки соответствующей политикой, если не предусмотрено иного.

IP АТС почти всегда расположена в одной подсети и редко имею отдельные роли с отдельными серверами для подключения из вне. Для подключения внешних абонентов и по SIP требуется выносить IP АТС во внешнюю сеть. Skype For Business имеет роль Edge, для федеративных подключений и подключений

пользователей из вне. Front End не обеспечивает никакой защиты!!!

Настройка безопасности AudioCodes SBC Разделение WAN/LAN/OAMP интерфейсов

LAN – смотрит на IP АТС/Skype For Business WAN – смотрит на оператора связи OAMP – интерфейс управления лучше выносить в отдельную подсеть

Старайтесь не использовать стандартные порты (UDP/TCP: 5060, TLS: 5061) Большинство проверок доступности SIP осуществляется по порту 5060

Используете встроенный Access List Настраиваете встроенный Access List с правилом в конце “deny all”

Используете максимально подробные правила маршрутизации Старайтесь избегать символ «*» Старайтесь описывать правило максимально конкретно

Настройка безопасности AudioCodes SBC IDS – оповещение или динамическое закрытие доступа на 3-м уровне при следующих тригерах

Количество инициализаций сессий в единицу времени превышено Количество не корректных сообщений в единицу времени превышено Количество не корректных авторизаций на SBC Количество не корректно установленных сессий

Внимательнее требуется настраивать классификацию По умолчанию, SBC проверяет валидность оператора только по IP Можно настроить по IP+Port+Transport/любом полю SIP

Максимально скрывайте всю информацию о себе Требуется использовать SIP Message Manipulation

Используете по максимуму Call Admission Control Ограничения по количеству одновременных соединений Отдельно ограничения на входящие и исходящие направления Отдельно ограничения на пользователей и направления

Пример вызова от Skype For BusinessINVITE sip:+79031506611@sgwmediant01.customer.ru;user=phone SIP/2.0 FROM: <sip:+74991234567@customer.ru;user=phone>;epid=4F895BBC53;tag=3ced1f4fb5TO: <sip:+79031506611@sgwmediant01.customer.ru;user=phone>CSEQ: 632994 INVITECALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97cMAX-FORWARDS: 70VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345cCONTACT: <sip:sgwlyncfe01.customer.ru:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>CONTENT-LENGTH: 548SUPPORTED: timerSUPPORTED: 100relUSER-AGENT: RTCC/5.0.0.0 MediationServerCONTENT-TYPE: application/sdpALLOW: ACKSession-Expires: 1800Min-SE: 90Allow: CANCEL,BYE,INVITE,PRACK,UPDATE

Понятно, какую систему использует клиент

Понятно, на какую систему идёт вызов

IP адреса все известны

Пример вызова от Skype For Business (как надо изменить)INVITE sip:+79031506611@IP_или_имя_оператора_связи;user=phone SIP/2.0 FROM: <sip:+74991234567@внешний_IP_адрес_SBC;user=phone>;epid=4F895BBC53;tag=3ced1f4fb5TO: <sip:+79031506611@IP_или_имя_оператора_связи;user=phone>CSEQ: 632994 INVITECALL-ID: 7d7c4614-a3fa-4307-b3c1-4680dec1d97cMAX-FORWARDS: 70VIA: SIP/2.0/TCP 10.201.90.154:59967;branch=z9hG4bK708e345cCONTACT: <sip:внешний_IP_адрес_SBC:5068;transport=Tcp;maddr=10.201.90.154;ms-opaque=0506eea0ef271760>CONTENT-LENGTH: 548SUPPORTED: timerSUPPORTED: 100relUSER-AGENT: IamUserCONTENT-TYPE: application/sdpALLOW: ACKSession-Expires: 1800Min-SE: 90Allow: CANCEL,BYE,INVITE,PRACK,UPDATE

Не надо показывать используемую систему

Внутренних адресов нет, так же как и названий

Всё лишние лучше удалить

Пример классификации входящего сообщения от оператора

INVITE sip:00028842@voice.telphin.com SIP/2.0Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269Max-Forwards: 10From: <sip:+79031506611@87.229.221.61>;tag=1c588204014To: <sip:00028842@voice.telphin.com>Call-ID: 14762308623112015174434@87.229.221.61CSeq: 1 INVITEContact: <sip:+79031506611@87.229.221.61:5095;ob>Supported: ice,outbound,timer,replacesAllow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFERSession-Expires: 90User-Agent: Telphin SoftSwitchContent-Type: application/sdpContent-Length: 423 Оператор как правило использует

настроенное поле User-Agent

Номера в Request-URI и To могут быть только ваши

Проверка может быть по домену

Можно использовать любое уникальное поле

Переадресованный вызов

Пользователь А (321)

звонит Пользователю Б (322)

Пользова

тель Б

(322)

переадресуе

т на

Пользова

теля В

(323)

Пример исходящего SIP сообщения (History-Info)

INVITE sip:323@itsp.com SIP/2.0Via: SIP/2.0/UDP 87.229.221.61:5095;branch=z9hG4bKac620156269Max-Forwards: 10From: <sip:321@Customer>;tag=1c588204014To: <sip:323@itsp.com>Call-ID: 14762308623112015174434CSeq: 1 INVITEHistory-Info: <sip:322@customer?reason=uncondition>;index=1Contact: <sip:+79031506611@87.229.221.61:5095;ob>Allow: INVITE,ACK,CANCEL,BYE,UPDATE,MESSAGE,OPTIONS,REFERSession-Expires: 90Content-Type: application/sdpContent-Length: 423

Если не использовать поле History-info или Diversion, то мы не знаем реально откуда пришел вызов. Если его использовать, то есть возможность сделать дополнительный контроль!

Май 2016

Виктор Овчинников

Спасибо!

victor.ovchinnikov@audiocodes.com