Beveiliging
ClearVox Nexxt Firewall
Op uw ClearVox Nexxt-systeem is een standaard firewall geconfigureerd die niet gebruikte poorten en protocollen blokkeert.
Open poorten en protocollen
Protocol | Poort(en) | Type | Reden |
|---|---|---|---|
TCP | 22 | SSH | Een supportmedewerker kan vragen middels SSH op uw systeem in te loggen om support te kunnen verlenen. Deze poort is enkel vanaf een RFC1918- en het X2Com-adres mgm.x2com.nl* (indien ouder dan v1.8.x ook het ClearVox-adres mgm.clearvox.nl*) te bereiken. |
TCP | 80 | HTTP | ClearVox Nexxt-webinterface via een onversleutelde verbinding / ClearVox API (versleuteld). HTTP naar HTTPS omleiden kan bij de Netwerkinstellingen |
TCP | 443 | HTTPS | ClearVox Nexxt-webinterface via een versleutelde verbinding / ClearVox API (versleuteld). |
TCP | 389 | LDAP | ClearVox Nexxt-gids (contactpersonen) via LDAP. |
UDP | 5060 | SIP | SIP-signalering. |
UDP | 10000 t/m 20000 | RTP | RTP-audio en video ten behoeve van SIP-telefoongesprekken. |
ICMP | - | ping | Antwoord op een ping, noodzakelijk voor een goed werkende APP. |
Inkomend staat onze firewall al het 'established' en 'related' verkeer toe. Wij adviseren u dringend uitgaand verkeer niet te beperken aangezien dit kan leiden tot lastig te analyseren problemen. Het ClearVox Nexxt-systeem kan en zal automatisch worden voorzien van updates waarmee andere externe IP-adressen en poorten kunnen worden gebruikt. Hier hebben wij niet altijd invloed op. Het is om deze reden sterk aangeraden de ClearVox Nexxt uitgaand niet te beperken.
SIP-verkeer is een continue-stroom van data over verschillende poorten. Vertraging hierop kan leiden tot haperingen en volledige onderbrekingen van een gesprek. Timing is in deze van essentieel belang, dus inhoudelijk controleren van een SIP-pakket is absoluut uit den boze.
SSH
SSH-verkeer is uitsluitend mogelijk in het interne netwerk. Als u vanuit het interne netwerk (RFC1918) een SSH-sessie opbouwt naar het ClearVox Nexxt-systeem ziet u een login prompt. Zo weet u dat SSH correct werkt. Vanuit het internet (non RFC1918) is geen SSH-verbinding mogelijk daar deze is beperkt tot het IP-adres van ClearVox support. Support kan geen volledige ondersteuning verlenen via potentieel onveilige diensten als teamviewer, anydesk e.d. Voor analyse van logbestanden en services, is externe SSH-toegang noodzakelijk.
Beveiligingsscenario's (On-premise)
Indien u ClearVox Nexxt in uw lokale netwerk installeert en deze niet extern toegankelijk wilt maken voor SIP-toestellen (dit geldt niet voor de ClearVox Nexxt app) hoeft u inkomend geen poorten te openen of forwarden (Dit geldt uitsluitend voor Android en niet voor iOS aangezien deze 4G gebruiken als deze in slaapstand staan). Uitsluitend in geval van technische ondersteuning door een ClearVox medewerker, is toegang tot TCP 22 (SSH) noodzakelijk.
Als u ClearVox Nexxt in uw lokale netwerk plaatst en deze toegankelijk wilt maken voor een externe (universele) SIP-telefoon, dient u UDP 5060 alsmede UDP 10000 t/m 20000 te openen. De signalering van het gesprek verloopt via 5060, waarna er een willekeurige UDP-poort tussen 10000 en 20000 open wordt gezet om de audio (en eventueel video) overheen te sturen. Tevens dient u onder netwerkinstellingen > SIP extern > 'externe toegang' IN te schakelen. Gebruikt u een telefoon die gebruik maakt van LDAP, dient u tevens TCP 389 te openen.
Gebruikt u de ClearVox Nexxt-app, dient u UDP 5060, UDP 10000 t/m 20000 en TCP 80 en TCP 443 te openen. De signalering van het gesprek verloopt via 5060, waarna er een willekeurige UDP-poort tussen 10000 en 20000 open wordt gezet om de audio (en eventueel video) overheen te sturen. Tevens dient u onder netwerkinstellingen, 'externe toegang' aan te schakelen (mits de ClearVox niet aan het open internet hangt) . De app communiceert andere data zoals chats, contactpersonen, gespreksgegevens, voicemail e.d. via de API op poort 80 of 443. Gebruikt u de app als VaMo dient Mobiel op PBX geselecteerd te worden. Voor meer info over de Nexxt APP.
Hostname deze dient te antwoorden op ICMP (ping reply) pakketten. De ping dient te reageren met het WAN ip adres van de on-premise ClearVox.
Beveiligingsmaatregelen
ClearVox heeft alle mogelijke maatregelen getroffen of uw ClearVox Nexxt zo veilig mogelijk met het internet te verbinden. Naast deze maatregelen kunt u eventueel zelf aanvullende maatregelen nemen.
Wat doen wij?
Wij forceren veilige wachtwoorden voor gebruikers en end-points zoals telefoons, intercoms etc.
Wij forceren security updates voor zowel het onderliggende Linux OS als onze eigen componenten.
We gebruiken front- en backend technieken die als veilig worden beschouwd.
Wij maken gebruik van een firewall om aanvallen van buitenaf te weren.
Wat kunt u doen?
Uw netwerkapparatuur veilig inrichten en regelmatig updaten.
Gebruik veilige wachtwoorden voor SIP trunks, beheerders en gebruikers.
Uw telefonienetwerk in een gescheiden VLAN inrichten en gebruikers vanuit en ander VLAN toegang verstrekken tot de ClearVox webinterface via HTTPS / TCP 443.