Sichere Firmenkommunikation mit VoIP

[VoIP_isti]

Hallo,


ich bin ziemlich neu im Bereich „VoIP“


wir möchten unser kleines Unternehmen auf VoIP umstellen.

Bei der Umstellung hätten wir die folgenden Aspekte:


I. Struktur:

Wir hätten ca. 5 feste und 5 freie Mitarbeiter. Das Büro wäre mit „Hardphone“ und die Mitarbeiter selbst mit Softphone „ausgerüstet“.

II. Accounts:

In optimalem Fall hätte jeder eine eigene Rufnummer, wo die Kosten allerdings zentral verwaltet / abgerechnet werden müssten. Sollte es nicht möglich sein, würde es reichen, wenn alle Mitarbeiter aus demselben SIP-Account telefonieren könnten. --> alle hätten dieselbe Nummer

III. Technik:

Hardphone / Router: wir würden auf die Empfehlungen des Forums zurückgreifen

VI. Softphones: SJPhone

Da wir bisher auf Jabber gesetzt haben würden wir dieses dezentrale Netz gerne integrieren.

So weit ich weiß unterstützt nur SJPhone Jabber vollständig.

V. Sicherheit:

Da bei SIP keine interne Verschlüsselung wie bei Skype es gibt würden wir den Plugin „Zfone“ benutzen, der mit SJPhone gut funktionieren soll.

Aus Sicherheitsgründen würden wir gerne auf einen ausländischen Provider zurückgreifen, der sich in VDS nicht beteiligt. .

Wenn es von den Pingzeiten her geht, sollte die Verbindung durch VPN (Hamachi) geleitet werden, damit wenigstens die interne Kommunikation geschützt ist. Generell würden wir gerne den Anonymisierungsdienst von Jondos benützen, der allerdings mit seinem 1Mbits / 300msec eher ungeeingnet sein sollte.

Was denkt ihr? Ergibt es technisch Sinn.

VI. Provider:

Es sollte hat gut, zuverlässig und billig sein möglichst wenige Daten speichern und gute Verwaltungsfunktionen für eine „multiuser“-Umgebung anbieten. 

Auf ersten Blick starten wir mit „Phonepower „

http://www.phonepower.com/services/voip/products.aspx


Danke für eure Tipps und Ideen.


Gr. I.

 

[gandalf94305]

Ohne jetzt zu dieser frühen Stunde auf alle Details des angedachten Konzepts einzugehen, mal hier ein paar Anmerkungen:

- Es ist eine Illusion, daß man nicht einer VDS unterliegt, wenn man mit mindestens einem Endpunkt der Kommunikation sich ohnehin in Deutschland/der EU befindet. Zumal amerikanische Provider sicher noch sehr viel weitergehende Sicherheitsrisiken bergen (NSA hört auf jeden Fall mit und von CALEA hast Du vielleicht auch schon etwas gehört). :lach: Sorry, wenn Du nun auf einen Provider in Südafrika oder Taiwan ausgewichen wärst, hätte ich das noch verstehen können... aber USA? :gruebel: Ich würde sagen: vom Regen in die Traufe.

- Anonymisierungsdienste taugen für die Verwendung mit VoIP nichts, da sie zum Zwecke der Anonymisierung üblicherweise mehrfache Weiterleitungen nutzen und damit Latenzen erzeugen, die für VoIP schädlich sind. Das hast Du selbst ja auch schon erkannt. Weiterhin sind die zum Zweck der Anonymisierung eingesetzten Verfahren zum automatischen Umschalten zwischen Proxies bzw. dem zufällligen Auswählen von Exit-Knoten aus einem Anonymisierungsnetzwerk schädlich für VoIP-Datenströme.

- VPN ist ebenso ungünstig und sollte nur als Notmittel eingesetzt werden. Ist der Pfad zwischen den Knoten jedoch kurz, dann könnte gewöhnliches VoIP per VPN funktionieren. Ich habe das selbst in einigen Ländern mit Gegenstellen in Deutschland schon so verwendet... es ist jedoch ggf. Glückssache, ob es sauber funktioniert oder die Kommunikation wie mit einer Mondaußenstation abläuft.

Für eine private, unternehmensinterne Kommunikation würde ich daher eher empfehlen, eher einen eigenen Asterisk (oder ein anderes VoIP-PBX) auf einem Server irgendwo gut erreichbar von allen Teilnehmern einzurichten, über den die Kommunikation per SRTP oder VPN/RTP geht. Du wirst Soft- und Hardphones mit SRTP-Support finden.

Du findest zu SRTP und Asterisk hier im Forum einige Informationen. SRTP verschlüsselt den Kommunikationsinhalt, die Signalisierung müsste über SSL/TLS gehen, damit sie auch verschlüsselt wird. Für "normale" Unternehmensanwendungen reicht diese Sicherheit aus.

Weitergehend solltest Du mir erst mal glaubhaft machen, warum ein höherer Sicherheitsstandard überhaupt erforderlich ist. Das ist nämlich dann richtig mit Kosten und Aufwand verbunden.

--gandalf.

 

[MrMcCrash]

Glück Auf!

Wenn es lediglich um verschlüsseltes Telefonieren zwischen den Mitarbeitern geht, wäre der einfachste Weg ein zentraler Asterisk (am Firmenstandort oder als Root-Server), zu dem dann die Mitarbeiter im Aussendienst einen OpenVPN Tunnel aufbauen (Zertifikatsbasierte Authentifizierung). Durch diesen Tunnel hindurch kann man dann bequem den SIP/RTP Traffic zum Asterisk routen.

_.-=: MFG :=-._

 

[VoIP_isti]

http://www.ip-phone-forum.de/showthread.php?t=86296&page=2

Danke sehr für eure Antworten.

Ich habe den obigen Thread durchgelesen und als Endergebnis würde ich das Ende des Threades beschriebene "mitnehmen".

" ... Also: Asterisk 1.6.2 + Snom 370/7.3.30 kommunizieren jetzt TLS/SSL .."

Mehr brauche ich auch nicht.

Benötigten Komponente:

- Linux-Server an dem Router angeschloßen (mit entsprechendem NAT-Routing)
- Snom 370 Geräte für die Büros.
- kompatible Softphones für die freien Mitarbeitern
- Als Asterisk würde ich halt das Paket AsteriskNOW nehmen und dann entsprechend konfigurieren.

Meine Frage wäre, ob AsteriskNOW wirklich nur auf einem Linux-Maschine installiert werden kann oder eventuell auch auf einen WinXP-Client, wo eventuell eine virtuelle Linux-Maschine installiert wird.

Testweise könnte ich momentan einen Client aus unserem LAN für diesen Zweck einstellen... Falls ich extra einen Linux-PC einrichten muss, wird es schwierig, weil ich mich mit Linux nicht besonders auskenne. Notfalls könnte ich noch Ubuntu 9.04 auf den PC installieren und in den Bootmanager einrichten.

Welche Softphones werden für Asterisk empfohlen? Wie gesagt wegen Jabber würden wir gerne bei SJPhone bleiben.

Eine weitere Frage ist wie es im Alltag aussieht. Können die Hard- oder Softphone-Clients mit zwei Netzwerken umgehen?

Sie sollten einerseits in unserem geschloßenem Netzwerk kommunizieren, gleichzeitig die Anrufe von dem VoIP-Provider empfangen. Geht es?

Danke für eure Hilfe.

Gr. I.

 

[MrMcCrash]

AsteriskNOW ist doch ein fertiges Linux-System. Zum Testen kannst du das einfach in eine virtuelle Maschine packen, kein Problem. Wichtig ist dabei nur, nicht mit dem RAM zu geizen und auch genug Prozessorzeit übrig zu lassen, damit Asterisk nicht ins Stottern gerät.

_.-=: MFG :=-._

 

[VoIP_isti]

ahhhh, ich erreiche hier deftig meine Grenzen....

Sorry, ich habe kaum Erfahrung mit dem Zeug....

Wie kann man sich es vorstellen?:

installiert man das Paket einfach auf einen Windows-Rechner und das war es oder sollte es mit VMware und Co. gemacht werden?

Wie stark sollte der PC sein?:

P4 reicht oder mind. ein DualCore? 512MB Ram oder 2GB???

Reicht es wenn der Asterisk-Server direkt an dem Router hängt oder braucht man etwas noch dazu?

Ist ein Consumer-Router (Dlink 624+) OK oder sollte was besseres her?

Danke für die Hilfe.

Gr. I.

 

[MrMcCrash]

Das ISO-Image von AsteriskNow ist eine Installations-CD für das komplette Linux-System. In einer Virtuellen Maschine (z.B. VMware) kannst du das CD-Image einbinden und das virtuelle System davon booten lassen. Nach ein paar Tastendrücken wird das System dann installiert. Wenn die virtuelle Maschine alleine auf dem PC läuft, reicht ein P4 mit 512MB gerade aus. Wenn du aber noch andere Sachen laufen lassen willst, ist mehr RAM auf jeden Fall Pflicht. CPU-Leistung brauchst du nur, wenn du zwischen verschiedenen Codecs wandeln willst bzw. zum ver-/entschlüsseln - aber bei 10 Teilnehmern ist das imho noch nicht so viel, dass da ein extra Rechner dafür herhalten müsste.

Wichtig ist aber, dass die CPU nicht von anderen Diensten bis 100% ausgelastet wird, sonst kann Asterisk nicht mehr schnell genug reagieren und die Telefonverbindungen fangen an zu stottern, knacksen, etc.

Wenn der Rechner am DSL-Router hängt ist zu beachten, dass die Port-Weiterleitungen für die verwendeten Protokolle richtig eingerichtet sind, es sei denn, die Clients kommen über ein VPN direkt ins Netz. Dem Asterisk müsste man ggf. noch beibringen, dass er sich die externe IP-Adresse selber holt, wenn der Anschluss bei jeder Einwahl eine neue IP bekommt.

Soweit erstmal von mir - weiterführende Details zu oben genanntem dürften sich hier im Forum finden lassen

_.-=: MFG :=-._

 

[mister_]

Servus,

mal eine Anmerkung.

Wenn du schon auf abhörsichere Leitungen "stehst", dann würde ich einmal Fachleute zu Rate ziehen. Denn dein Wissen und Können scheint hierfür nicht auszureichen.

Denn, wenn du noch nicht einmal die Berechnungen selbst machen kannst, um eine Asterisk-Anlage aufzubauen bzw. zu betreiben (meiner Meinung nach ist Asterisk "Müll" da diese zu viele Ressourcen frist), dann hängst du spätestens beim realisieren der "abhörsichere Leitungen" im Stau.


Gruss
Thomas

 

[gandalf94305]

Immer schön sachlich bleiben...

--gandalf.

 

[woprr]

(meiner Meinung nach ist Asterisk "Müll" da diese zu viele Ressourcen frist),

*omg* gugg mal in meine Signatur, PII 266 MMX Bj. 1998 und debug build, wohlgemerkt.
spandsp allerdings.

Den üblichen Mittelklässler kaufen, lieber Qualitätshardware und Mirror-Raid als Leistung.

 

[mister_]

*omg* gugg mal in meine Signatur, PII 266 MMX Bj. 1998 und debug build, wohlgemerkt.
spandsp allerdings.

Den üblichen Mittelklässler kaufen, lieber Qualitätshardware und Mirror-Raid als Leistung.

Das funktioniert sicherlich recht gut bei niedriger Teilnehmeranzahl. War ja auch "meine" Meinung ... wenn man sich natürlich nur mit Asterisk beschäftigt hat, kann man die Ergebnisse anderer Systeme nicht kennen. Dies möchte ich nicht als Behauptung/Vorwurf/Gegenrede in den Raum stellen zu wissen.