Welche TK Anlage

[slewo]

Hallo,

wir haben eine Asterisk TK Anlage und grundsätzlich sind wir mit der zufrieden.
Nun hat mich mein Admin angerufen und mitgeteilt, er würde mir 3CX empfehlen, weil diese wohl viel sicherer ist.
Bei der 3CX bräuchten wir eine jährliche Lizenz von 1600 € und das muss ja nicht sein, wenn es keinen wirklichen Mehrwert gibt.
Welche TK-Anlage würde Ihr für eine Firma empfehlen und ist der Mehrwert für die 3CX das wert?

 

[koyaanisqatsi]

Moins


Ist es wirklich so einfach?
Nein, ist es nicht.
Sicherheit ist ein Gefühl und lässt sich nicht einfach kaufen.
...dasselbe gilt für: Vertrauen

Asterisk läßt sich absichern, sodaß es auch das Gefühl für Sicherheit für deutlich unter €1600 gibt.

Mich beschleicht eher das Gefühl, euer Administrator möchte sich nicht weiter mit Asterisk beschäftigen.

 

[slewo]

Er sieht eben die Vorteile bei 3CX.

Im Januar hatten wir für 130 € Auslandsanrufe und keine Ahnung, wie die zustandegekommen waren. Der Admin sagt, dass bei der Anlage alles passt und der Trunk-Anbieter sagt ebenfalls, dass es nicht an ihm liegt...
Darauf sagte der Admin, dass Asterisk nicht 100% sicher sei und man sich ggf. dazwischenschalten kann. Keine ahnung wie...

 

[koyaanisqatsi]

Wenn du wissen möchtest wie, dann schau dir mal auf YouTube die einschlägigen Videos an.
Suchbegriff: sipvicious
Und genau dieses Tool sollte der Admin auch mal zum Prüfen der Asterisksicherheit einsetzen.
...das gibt dann auch gleich die Motivation es besser zu Machen.

Und so sollte dann der Asterisk auf böse Buben antworten...
Kommando: ./svwar.py -P 5070 -d extensions.dict -vv osmc

DEBUG:root:started logging
DEBUG:TakeASip:external ip was not set
INFO:TakeASip:trying to get self ip .. might take a while
INFO:root:start your engines
DEBUG:TakeASip:binding to any:5070
[COLOR=#ff0000][B]ERROR:TakeASip:SIP server replied with an authentication request for an unknown extension. Set --force to force a scan.[/B][/COLOR]
WARNING:root:found nothing
INFO:root:Total time: 0:00:00.037393

Asterisk seine Antwort darauf (Mit: sip set debug on)

[Feb  6 14:44:01] <--- SIP read from UDP:127.0.0.1:5070 --->
[Feb  6 14:44:01] REGISTER sip:osmc SIP/2.0
[Feb  6 14:44:01] Via: SIP/2.0/UDP 127.0.0.1:5070;branch=z9hG4bK-3757703585;rport
[Feb  6 14:44:01] Content-Length: 0
[Feb  6 14:44:01] From: "1948744740"<sip:1948744740@osmc>;tag=313934383734343734300133393433313635343130
[Feb  6 14:44:01] Accept: application/sdp
[Feb  6 14:44:01] User-Agent: friendly-scanner
[Feb  6 14:44:01] To: "1948744740"<sip:1948744740@osmc>
[Feb  6 14:44:01] Contact: sip:1948744740@osmc
[Feb  6 14:44:01] CSeq: 1 REGISTER
[Feb  6 14:44:01] Call-ID: 4282832710
[Feb  6 14:44:01] Max-Forwards: 70
[Feb  6 14:44:01]
[Feb  6 14:44:01] <------------->
[Feb  6 14:44:01] --- (11 headers 0 lines) ---
[Feb  6 14:44:01] Sending to 127.0.0.1:5070 (no NAT)
[Feb  6 14:44:01] Sending to 127.0.0.1:5070 (no NAT)
[Feb  6 14:44:01]
[Feb  6 14:44:01] <--- Transmitting (no NAT) to 127.0.0.1:5070 --->
[Feb  6 14:44:01] [COLOR=#ff0000][B]SIP/2.0 401 Unauthorized[/B][/COLOR]
[Feb  6 14:44:01] Via: SIP/2.0/UDP 127.0.0.1:5070;branch=z9hG4bK-3757703585;received=127.0.0.1;rport=5070
[Feb  6 14:44:01] From: "1948744740"<sip:1948744740@osmc>;tag=313934383734343734300133393433313635343130
[Feb  6 14:44:01] To: "1948744740"<sip:1948744740@osmc>;tag=as7d694780
[Feb  6 14:44:01] Call-ID: 4282832710
[Feb  6 14:44:01] CSeq: 1 REGISTER
[Feb  6 14:44:01] Server: PiBX
[Feb  6 14:44:01] Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
[Feb  6 14:44:01] Supported: replaces, timer
[Feb  6 14:44:01] WWW-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="79c4fa0d"
[Feb  6 14:44:01] Content-Length: 0
[Feb  6 14:44:01]
[Feb  6 14:44:01]
[Feb  6 14:44:01] <------------>
[Feb  6 14:44:01] Scheduling destruction of SIP dialog '4282832710' in 32000 ms (Method: REGISTER)
[Feb  6 14:44:05] Really destroying SIP dialog '1609327365' Method: REGISTER

...denn wenn es im vermeintlich sicheren LAN abgeschmettert wird, so sollte es auch aus dem vermeintlich unsicheren Internet auch nicht funktionieren.

 

[Netzwerkservice]

Die Frage welche sich mir auch stellt. Wieviele Telefone sind denn angeschlossen?
Ist der Admin ein (externer) Dienstleister oder Mitarbeiter?
Was macht Ihr mit der TK-Anlage?

Bei 3CX ist immer die Frage, was man alles macht, nur Telefonieren oder nutzt man auch andere Dinge wie z.B LAN-TAPI etc ....

 

[rentier-s]

Im Januar hatten wir für 130 € Auslandsanrufe und keine Ahnung, wie die zustandegekommen waren.

Habt Ihr kein CDR?

Ich behaupte ein sauber eingerichteter Asterisk ist genau so sicher. Bei ready-to-use Lösungen braucht man sich (hoffentlich) lediglich nicht selber darum kümmern.

Das Thema Hacking und Absicherung wurde hier ja schon mehrfach diskutiert, das brauchen wir jetzt nicht alles nochmal.

 

[andilao]

Muss denn eure Asterisk-TK-Anlage überhaupt "vom Internet aus" erreichbar sein? Bei uns gibt es Zugriff nur lokal und Außenstellen per VPN.

 

[slewo]

Hallo, ja die Anlage muss über das Internet erreichbar sein, weil die Anlage im Rechenzentrum betrieben wird.
Es sind ca. 10 Telefone angeschlossen und eigentich brauchen wir bei der Anlage nur die Telefonie und die Ansagen für Warteschleife.
Als Client nutzen wir aktuell zwei Gigaset Stationen und X-Lite als Softphone.