Firewall en Netwerk

Voor uitgaand verkeer:

Maak een regel voor alle UDP- en TCP-poorten voor Flow-netwerken 80.83.208.0/20.

Voor deze regel moet er een Timeout (TTL) van minimaal 3720 seconden zijn, aangezien onze telefoons elke 3600 seconden contact met ons opnemen. Als u uw TTL niet kunt verhogen, neem dan contact op met onze ondersteuning en we kunnen het registratie-interval op de telefoons verkorten tot 120 seconden.

Voor inkomend verkeer:

Hier zijn geen regels nodig omdat de sessie vanuit het netwerk wordt geïnitieerd. Als het verkeer naar Flow zich in de firewall bevindt, schakel dan alle ALG/SIP-functies, Application Control en IPS/IDS/IDP uit. Deze doen meestal meer kwaad dan goed.

Volledige informatie over ons netwerk:

Adress: 80.83.208.0

Netmasker: 255.255.240.0 = 20

Wildcard: 0.0.15.255

Network: 80.83.208.0/20

Broadcast: 80.83.223.255

HostMin: 80.83.208.1

HostMax: 80.83.223.254

Hosts/Net: 4094

Als je een Gigaset- of Yealink-telefoon bij ons hebt gekocht, moet je ook verkeer naar hun server openen, zodat zij hun instellingen correct kunnen ophalen. De adressen hiervan zijn:

Gigaset:
148.251.91.32 - 148.251.91.63 (148.251.91.32/27) Port: 80, 443
148.251.246.96 - 148.251.246.127 (148.251.246.96/27) Port: 80, 443
148.251.243.128 - 148.251.243.159 (148.251.243.128/27) Port: 80, 443

Yealink:
IP: 52.29.124.181 Port: 443
IP: 3.124.165.251 Port: 443

Snom redirect server
IP: 52.28.89.237 Port: 80, 443

Grandstream redirect server
IP: 52.221.130.73 Port: 443

Akuvox redirect server
IP: 161.117.206.232 Port: 80, 443, 8080

Fanvil redirect server
IP: 119.28.67.228 Port: 80, 443

Poly redirect server
Hostname: ztp.polycom.com Port: 443

Flow provisionering server:

Gigaset: 80.83.208.0/20 Port:80

Gigaset IP PRO: 80.83.208.0/20 Port:1449

Yealink: 80.83.208.0/20 Port:442

Snom: 80.83.208.0/20 Port:447

Grandstream: 80.83.208.0/20 Port:1446

Akuvox: 80.83.208.0/20 Port:1445

Fanvil: 80.83.208.0/20 Port:1448

Poly: 80.83.208.0/20 Port:450

Protocol

Hieronder vindt u de protocollen die door de door Flow geleverde apparatuur worden gebruikt, evenals een beschrijving van hun functie. Verschillende terminaltypes gebruiken verschillende protocollen, bv. HTTPS heeft de voorkeur voor het downloaden van software boven bv. TFTP en HTTP, maar in gevallen waar de terminal geen HTTPS ondersteunt, wordt een van de andere gebruikt. Flow raadt af om verkeer van en naar terminals te blokkeren op basis van poorten en/of protocollen, maar kiest ervoor om al het verkeer van en naar Flow-netwerken te vertrouwen. Flow verbindt zich er ook niet toe om in de toekomst alleen de onderstaande protocollen te gebruiken, dus een beperking van toegestaan verkeer door firewalls op basis van de volgende risico's die de geleverde diensten beïnvloeden in het geval dat de onderstaande specificatie verandert. Merk op dat de poorten die in alle gevallen worden vermeld, ontvangerpoorten zijn, in de regel gebruikt de apparatuur willekeurig geselecteerde zenderpoorten, in plaats van uitzonderingen.

FTP
File Transfer Protocol, RFC959, TCP-poorten 21 en 20. Wordt gebruikt om terminalconfiguratie en software te downloaden.

DNS
Domain Name Server, RFC1035, TCP / UDP-poort 53. DNS-functionaliteit maakt deel uit van een werkend IP-netwerk en de door Flow geleverde terminals zullen niet werken tenzij ze toegang hebben tot een werkende DNS. In het geval dat de DNS zich buiten de firewall bevindt, moet de firewall de terminals toestaan deze op te zoeken.

Onze aangeleverde telefoons zijn geconfigureerd met Google's DNS 8.8.8.8 en 8.8.4.4.

HTTP
Hyper Text Transfer Protocol, RFC2616, TCP-poort 80. Wordt gebruikt om terminalconfiguratie en software te downloaden. Normaal gesproken is er geen specifieke configuratie vereist om HTTP correct te laten werken, aangezien dit een van de meest gebruikte protocollen op internet is.

HTTPS
Hyper Text Transfer Protocol over Secure Socket Layer, RFC2818, TCP-poort 443. Wordt gebruikt om terminalconfiguratie en software te downloaden.

TFTP
Trivial File Transfer Protocol, RFC1350, UDP-poort 69 en dynamisch toegewezen poorten voor gegevensoverdracht. Wordt gebruikt om terminalconfiguratie en software te downloaden.

SNTP / NTP
Simple Network Time Protocol, RFC1305 / RFC1361, UDP-poort 123. Wordt gebruikt om de tijd / klok in de terminal in te stellen.

SIP
Session Initiation Protocol, RFC3261, UDP-poort 5060. Wordt gebruikt om gesprekken op en stop te zetten. SIP-verkeer loopt tussen onze SIP-server en de telefoon. Dit is verreweg het belangrijkste protocol om je telefonie te laten werken.

RTP
Realtime overdrachtsprotocol, RFC1889, UDP-poort 1024-65535. De audiostroom tussen de terminal en de telefoon verloopt tijdens een gesprek als RTP. De gebruikte poort wordt gerandomiseerd wanneer een oproep wordt gestart. Alle door Flow geleverde terminals gebruiken symmetrische RTP, wat betekent dat de ontvanger- en zenderpoort voor de RTP-stream hetzelfde zijn voor zowel inkomende als uitgaande audiostream. Dit betekent dat de audiostream die van de terminal naar ons gaat, de sessie in de firewall opent om ook inkomende spraakstream over dezelfde sessie toe te staan.

SRTP
Veilig realtime overdrachtsprotocol. Nog steeds getransporteerd via UDP, maar beide partijen van het gesprek hebben sleutels uitgewisseld tijdens de verbinding van het gesprek in de SIP-dialoog om codering mogelijk te maken.

RTCP
Realtime controleprotocol, RFC3550, UDP-poort 1024-65535. Sommige terminals genereren RTCP-pakketten die worden gebruikt in de communicatie tussen RTP-eindpunten om lokale statistieken en oproepgegevens over te brengen, zoals informatie over jitter en eventuele pakketverliezen. Dit wordt geselecteerd als de RTP-poort + 1, dwz. als de RTP-stream poort 12480 passeert, gebruikt RTCP UDP-poort 12481.

WSS web-socket
WSS gebruikt door onze softphone "Flow UC" en gebruikt poort 8443 voor "pushservers" en poort 443 voor SIP.