Je suis en train d'étudier l'achat d'un autocommutateur téléphonique
pour le boulot. La partie "téléphonie" en elle-même ne pose pas de
problème, car elle utilise des câbles différents des câbles Ethernet
du LAN.
Maintenant, on me propose de connecter l'autocommutateur au réseau
pour pouvoir afficher sur chaque PC des informations concernant
l'appelant, ou pour permettre de composer un numéro via le PC.
J'avoue que connecter directement sur le LAN une "noîte noire" qui
peut être contrôlée à distance (par le SAV du fournisseur) m'inquiète
un peu.
Quelqu'un aurait-il un retour d'expérience ? Audit de sécurité,
solutions pour isoler l'autocommutateur des données sensibles, etc.
buffer overflow sur le protocole IAX (reseaux d'asterisk) ...
Mon dieu mon dieu... ça existe encore, les buffer overflow ? C'est à désespérer de la nature humaine (si du moins ce n'était pas déjà fait) :-(
Fabien LE LEZ
On 27 Oct 2007 16:36:19 GMT, Fabien LE LEZ :
le couple (serveur+PABX) devrait être considéré comme un seul élément indivisible, à qui tu peux faire confiance ou pas.
C'est mal écrit, ça... J'aurais dû dire : "...à qui tu peux décider, ou non, de faire confiance -- et à qui tu choisiras probablement de ne pas faire confiance."
On 27 Oct 2007 16:36:19 GMT, Fabien LE LEZ <gramster@gramster.com>:
le couple (serveur+PABX) devrait
être considéré comme un seul élément indivisible, à qui tu peux faire
confiance ou pas.
C'est mal écrit, ça...
J'aurais dû dire : "...à qui tu peux décider, ou non, de faire
confiance -- et à qui tu choisiras probablement de ne pas faire
confiance."
le couple (serveur+PABX) devrait être considéré comme un seul élément indivisible, à qui tu peux faire confiance ou pas.
C'est mal écrit, ça... J'aurais dû dire : "...à qui tu peux décider, ou non, de faire confiance -- et à qui tu choisiras probablement de ne pas faire confiance."
Nina Popravka
On 27 Oct 2007 16:28:46 GMT, Eric Stern wrote:
buffer overflow sur le protocole IAX (reseaux d'asterisk) ...
Donc y a des vilains sur le réseau en question, ce qui n'est pas stupéfiant... Ca peut faire vautrer la téléphonie, c'est agaçant. Et Asterisk, lui, on lui a trouvé des trous ? -- Nina
On 27 Oct 2007 16:28:46 GMT, Eric Stern <xdv5@ragnarok.frmug.org>
wrote:
buffer overflow sur le protocole IAX (reseaux d'asterisk) ...
Donc y a des vilains sur le réseau en question, ce qui n'est pas
stupéfiant...
Ca peut faire vautrer la téléphonie, c'est agaçant.
Et Asterisk, lui, on lui a trouvé des trous ?
--
Nina
buffer overflow sur le protocole IAX (reseaux d'asterisk) ...
Donc y a des vilains sur le réseau en question, ce qui n'est pas stupéfiant... Ca peut faire vautrer la téléphonie, c'est agaçant. Et Asterisk, lui, on lui a trouvé des trous ? -- Nina
Eric Masson
Nina Popravka writes:
'Lut,
Et Asterisk, lui, on lui a trouvé des trous ?
Iirc, oui, et l'inertie à intégrer des patchs a pesé dans le fork qui a mené à CallWeaver.
-- en plus quand je vois le nombre de message sur ce groupe je me pose la question pour quoi Floriano veux détruire le ng il est aussi con le ceux qui ont voter pour la destruction ! -+- L in GNU - Hors-sujet ? C'est pas le sujet ! -+-
Nina Popravka <Nina@nospam.invalid> writes:
'Lut,
Et Asterisk, lui, on lui a trouvé des trous ?
Iirc, oui, et l'inertie à intégrer des patchs a pesé dans le fork qui a
mené à CallWeaver.
--
en plus quand je vois le nombre de message sur ce groupe je me pose la
question pour quoi Floriano veux détruire le ng il est aussi con le
ceux qui ont voter pour la destruction !
-+- L in GNU - Hors-sujet ? C'est pas le sujet ! -+-
Iirc, oui, et l'inertie à intégrer des patchs a pesé dans le fork qui a mené à CallWeaver.
-- en plus quand je vois le nombre de message sur ce groupe je me pose la question pour quoi Floriano veux détruire le ng il est aussi con le ceux qui ont voter pour la destruction ! -+- L in GNU - Hors-sujet ? C'est pas le sujet ! -+-
Nina Popravka
On 27 Oct 2007 21:30:33 GMT, Eric Masson wrote:
Iirc, oui, et l'inertie à intégrer des patchs a pesé dans le fork qui a mené à CallWeaver.
Je ne me suis pas penchée de près sur la question, à part que j'ai un compte SIP et je m'en sers, et des clients avec de la VOIP dont je ne sais pas exactement où ça va, mais je m'en fous un peu, ça va sur des téléphones via le pabx classique... Si je met en place un serveur Asterisk, je suppose qu'il faudra prendre un fournisseur Asterisk friendly, il va brancher sur quoi, au juste ? Une passerelle qui envoie ensuite sur des réseaux dédiés voip ? -- Nina
On 27 Oct 2007 21:30:33 GMT, Eric Masson <emss@free.fr> wrote:
Iirc, oui, et l'inertie à intégrer des patchs a pesé dans le fork qui a
mené à CallWeaver.
Je ne me suis pas penchée de près sur la question, à part que j'ai un
compte SIP et je m'en sers, et des clients avec de la VOIP dont je ne
sais pas exactement où ça va, mais je m'en fous un peu, ça va sur des
téléphones via le pabx classique...
Si je met en place un serveur Asterisk, je suppose qu'il faudra
prendre un fournisseur Asterisk friendly, il va brancher sur quoi, au
juste ? Une passerelle qui envoie ensuite sur des réseaux dédiés voip
?
--
Nina
Iirc, oui, et l'inertie à intégrer des patchs a pesé dans le fork qui a mené à CallWeaver.
Je ne me suis pas penchée de près sur la question, à part que j'ai un compte SIP et je m'en sers, et des clients avec de la VOIP dont je ne sais pas exactement où ça va, mais je m'en fous un peu, ça va sur des téléphones via le pabx classique... Si je met en place un serveur Asterisk, je suppose qu'il faudra prendre un fournisseur Asterisk friendly, il va brancher sur quoi, au juste ? Une passerelle qui envoie ensuite sur des réseaux dédiés voip ? -- Nina
Eric Razny
Le Sat, 27 Oct 2007 22:02:09 +0000, Nina Popravka a écrit :
Je ne me suis pas penchée de près sur la question, à part que j'ai un compte SIP et je m'en sers, et des clients avec de la VOIP dont je ne sais pas exactement où ça va, mais je m'en fous un peu, ça va sur des téléphones via le pabx classique...
Ben c'est du propre :)
Si je met en place un serveur Asterisk, je suppose qu'il faudra prendre un fournisseur Asterisk friendly, il va brancher sur quoi, au juste ? Une passerelle qui envoie ensuite sur des réseaux dédiés voip
Bien si tu t'installe un serveur asterisk, c'est justement pour ne pas être dépendant du fournisseur VoIP qui t'installe un PABX. Ensuite tout dépend de par où tu veux passer. RTC et RNIS (cartes BRI) et PRI via des cartes d'interfaces (itou pour des passerelles GSM sauf qu'elles peuvent aussi causer SIP parfois), mais pour du SIP[1] ou IAX tu as juste besoin d'une carte réseau et éventuellement d'une connexion internet. Pour les téléphones sur le LAN le plus simple est de passer par des téléphones SIP.
Même pour de "simples" accès SIP tu as du mal à te passer après des menus et autres boites vocales, sans parler de la gestion des files d'attente et du fait que tu fais vraiment ce que tu veux, quand tu veux (j'ai un client dont le PABX interdit les appels de certains postes sauf sur certains numéros. Il se voit demander 150¤ pour changer un numéro!)
Par contre (mais c'est pareil pour du VoIP installé par des tiers), il faut sécuriser les flux et gérer la QoS (ce serait con d'avoir une voix hachée parce qu'un gus à l'autre bout de ton LAN upload ses photos de vacances). Ca prend un peu de temps au début mais sans plus.
Attention quand même à la sécurité des règles, en particulier quand tu laisse accès à "la tonalité" pour des appels venant de l'extérieur[2]. Sinon si un gus accède à ça de l'extérieur (et ça reste ma crainte pour les failles du soft) il peut téléphoner à tes frais, et ça peut vite faire mal (penser à lire les logs au minimum). Néanmoins les risques sont identiques avec un matos propriétaire sauf que tu peux ne t'en apercevoir qu'encore plus tard si un pépin arrive.
Niveau sécurité, mais pas la même, ne pas oublier que si tu a uniquement de la VoIP en sortie, une panne de net et couic ;)
Eric
[1] Comme tu es chez Free tu peux te faire la main avec le compte SIP associé.
[2] Vachement pratique dans certains cas, comme par exemple si tu es aux usa tu peux activer gratuitement un numéro géographique (IPkall par exemple) qui redirige les appels vers un SIP. Résultat je prends un mobile sur place, et pour le prix d'un appel local je peux appeler comme si j'étais sur un téléphone derrière mon PABX (via le numéro IPkall, qui finit sur asterisk, qui -après password- me donne accès aux appels sortants).
Le Sat, 27 Oct 2007 22:02:09 +0000, Nina Popravka a écrit :
Je ne me suis pas penchée de près sur la question, à part que j'ai un
compte SIP et je m'en sers, et des clients avec de la VOIP dont je ne
sais pas exactement où ça va, mais je m'en fous un peu, ça va sur des
téléphones via le pabx classique...
Ben c'est du propre :)
Si je met en place un serveur Asterisk, je suppose qu'il faudra
prendre un fournisseur Asterisk friendly, il va brancher sur quoi, au
juste ? Une passerelle qui envoie ensuite sur des réseaux dédiés voip
Bien si tu t'installe un serveur asterisk, c'est justement pour ne pas
être dépendant du fournisseur VoIP qui t'installe un PABX. Ensuite tout
dépend de par où tu veux passer. RTC et RNIS (cartes BRI) et PRI via
des cartes d'interfaces (itou pour des passerelles GSM sauf qu'elles
peuvent aussi causer SIP parfois), mais pour du SIP[1] ou IAX tu as juste
besoin d'une carte réseau et éventuellement d'une connexion internet.
Pour les téléphones sur le LAN le plus simple est de passer par des
téléphones SIP.
Même pour de "simples" accès SIP tu as du mal à te passer après des
menus et autres boites vocales, sans parler de la gestion des files
d'attente et du fait que tu fais vraiment ce que tu veux, quand tu veux
(j'ai un client dont le PABX interdit les appels de certains postes sauf
sur certains numéros. Il se voit demander 150¤ pour changer un numéro!)
Par contre (mais c'est pareil pour du VoIP installé par des tiers), il
faut sécuriser les flux et gérer la QoS (ce serait con d'avoir une voix
hachée parce qu'un gus à l'autre bout de ton LAN upload ses photos de
vacances). Ca prend un peu de temps au début mais sans plus.
Attention quand même à la sécurité des règles, en particulier quand
tu laisse accès à "la tonalité" pour des appels venant de
l'extérieur[2]. Sinon si un gus accède à ça de l'extérieur (et ça
reste ma crainte pour les failles du soft) il peut téléphoner à tes
frais, et ça peut vite faire mal (penser à lire les logs au minimum).
Néanmoins les risques sont identiques avec un matos propriétaire sauf
que tu peux ne t'en apercevoir qu'encore plus tard si un pépin arrive.
Niveau sécurité, mais pas la même, ne pas oublier que si tu a
uniquement de la VoIP en sortie, une panne de net et couic ;)
Eric
[1] Comme tu es chez Free tu peux te faire la main avec le compte SIP
associé.
[2] Vachement pratique dans certains cas, comme par exemple si tu es aux
usa tu peux activer gratuitement un numéro géographique (IPkall par
exemple) qui redirige les appels vers un SIP. Résultat je prends un
mobile sur place, et pour le prix d'un appel local je peux appeler comme
si j'étais sur un téléphone derrière mon PABX (via le numéro IPkall,
qui finit sur asterisk, qui -après password- me donne accès aux appels
sortants).
Le Sat, 27 Oct 2007 22:02:09 +0000, Nina Popravka a écrit :
Je ne me suis pas penchée de près sur la question, à part que j'ai un compte SIP et je m'en sers, et des clients avec de la VOIP dont je ne sais pas exactement où ça va, mais je m'en fous un peu, ça va sur des téléphones via le pabx classique...
Ben c'est du propre :)
Si je met en place un serveur Asterisk, je suppose qu'il faudra prendre un fournisseur Asterisk friendly, il va brancher sur quoi, au juste ? Une passerelle qui envoie ensuite sur des réseaux dédiés voip
Bien si tu t'installe un serveur asterisk, c'est justement pour ne pas être dépendant du fournisseur VoIP qui t'installe un PABX. Ensuite tout dépend de par où tu veux passer. RTC et RNIS (cartes BRI) et PRI via des cartes d'interfaces (itou pour des passerelles GSM sauf qu'elles peuvent aussi causer SIP parfois), mais pour du SIP[1] ou IAX tu as juste besoin d'une carte réseau et éventuellement d'une connexion internet. Pour les téléphones sur le LAN le plus simple est de passer par des téléphones SIP.
Même pour de "simples" accès SIP tu as du mal à te passer après des menus et autres boites vocales, sans parler de la gestion des files d'attente et du fait que tu fais vraiment ce que tu veux, quand tu veux (j'ai un client dont le PABX interdit les appels de certains postes sauf sur certains numéros. Il se voit demander 150¤ pour changer un numéro!)
Par contre (mais c'est pareil pour du VoIP installé par des tiers), il faut sécuriser les flux et gérer la QoS (ce serait con d'avoir une voix hachée parce qu'un gus à l'autre bout de ton LAN upload ses photos de vacances). Ca prend un peu de temps au début mais sans plus.
Attention quand même à la sécurité des règles, en particulier quand tu laisse accès à "la tonalité" pour des appels venant de l'extérieur[2]. Sinon si un gus accède à ça de l'extérieur (et ça reste ma crainte pour les failles du soft) il peut téléphoner à tes frais, et ça peut vite faire mal (penser à lire les logs au minimum). Néanmoins les risques sont identiques avec un matos propriétaire sauf que tu peux ne t'en apercevoir qu'encore plus tard si un pépin arrive.
Niveau sécurité, mais pas la même, ne pas oublier que si tu a uniquement de la VoIP en sortie, une panne de net et couic ;)
Eric
[1] Comme tu es chez Free tu peux te faire la main avec le compte SIP associé.
[2] Vachement pratique dans certains cas, comme par exemple si tu es aux usa tu peux activer gratuitement un numéro géographique (IPkall par exemple) qui redirige les appels vers un SIP. Résultat je prends un mobile sur place, et pour le prix d'un appel local je peux appeler comme si j'étais sur un téléphone derrière mon PABX (via le numéro IPkall, qui finit sur asterisk, qui -après password- me donne accès aux appels sortants).
Xavier Roche
En fait, le câblage téléphonie risque d'être assez réduit, car on s'oriente vers une solution en DECT.
Sur un petit parc, ça peut être pratique, mais ce n'est peut être pas l'idéal sur un nombre de postes élevé..
Et avoir un réseau indifférencié (au niveau physique) téléphonie/data est pratique. Quel est l'avantage ?
Diviser par deux le câblage, et alimenter des groupes de bureaux avec un RJ45 (100 ou 1000).
Accessoirement, cela permet de brancher des portables sur des téléphones (ces derniers ayant en général un port de chainage) de manière ponctuelle.
Si les paquets Ethernet arrivent sur le même câble, comment une machine peut-elle faire la différence entre un paquet qui vient d'un autocommutateur (ou téléphone) compromis et un paquet qui vient d'un PC "gentil" ?
Si on a une maitrise raisonnable de l'autocom (ie. root dessus, et contrôler ce qui s'y fait), il n'est plus vraiment hostile mais au même niveau que des serveurs sensibles.
En fait, le câblage téléphonie risque d'être assez réduit, car on
s'oriente vers une solution en DECT.
Sur un petit parc, ça peut être pratique, mais ce n'est peut être pas
l'idéal sur un nombre de postes élevé..
Et avoir un
réseau indifférencié (au niveau physique) téléphonie/data est pratique.
Quel est l'avantage ?
Diviser par deux le câblage, et alimenter des groupes de bureaux avec un
RJ45 (100 ou 1000).
Accessoirement, cela permet de brancher des portables sur des téléphones
(ces derniers ayant en général un port de chainage) de manière ponctuelle.
Si les paquets Ethernet arrivent sur le même câble, comment une
machine peut-elle faire la différence entre un paquet qui vient d'un
autocommutateur (ou téléphone) compromis et un paquet qui vient d'un
PC "gentil" ?
Si on a une maitrise raisonnable de l'autocom (ie. root dessus, et
contrôler ce qui s'y fait), il n'est plus vraiment hostile mais au même
niveau que des serveurs sensibles.
En fait, le câblage téléphonie risque d'être assez réduit, car on s'oriente vers une solution en DECT.
Sur un petit parc, ça peut être pratique, mais ce n'est peut être pas l'idéal sur un nombre de postes élevé..
Et avoir un réseau indifférencié (au niveau physique) téléphonie/data est pratique. Quel est l'avantage ?
Diviser par deux le câblage, et alimenter des groupes de bureaux avec un RJ45 (100 ou 1000).
Accessoirement, cela permet de brancher des portables sur des téléphones (ces derniers ayant en général un port de chainage) de manière ponctuelle.
Si les paquets Ethernet arrivent sur le même câble, comment une machine peut-elle faire la différence entre un paquet qui vient d'un autocommutateur (ou téléphone) compromis et un paquet qui vient d'un PC "gentil" ?
Si on a une maitrise raisonnable de l'autocom (ie. root dessus, et contrôler ce qui s'y fait), il n'est plus vraiment hostile mais au même niveau que des serveurs sensibles.
Fabien LE LEZ
On 28 Oct 2007 13:03:57 GMT, Xavier Roche :
Si on a une maitrise raisonnable de l'autocom (ie. root dessus, et contrôler ce qui s'y fait), il n'est plus vraiment hostile mais au même niveau que des serveurs sensibles.
Certes. Mais si on n'a pas ce contrôle, tu sous-entendais qu'on pouvait tout de même le brancher directement sur le réseau physique, et "filtrer" -- et j'ai du mal à comprendre comment.
On 28 Oct 2007 13:03:57 GMT, Xavier Roche :
Si on a une maitrise raisonnable de l'autocom (ie. root dessus, et
contrôler ce qui s'y fait), il n'est plus vraiment hostile mais au même
niveau que des serveurs sensibles.
Certes. Mais si on n'a pas ce contrôle, tu sous-entendais qu'on
pouvait tout de même le brancher directement sur le réseau physique,
et "filtrer" -- et j'ai du mal à comprendre comment.
Si on a une maitrise raisonnable de l'autocom (ie. root dessus, et contrôler ce qui s'y fait), il n'est plus vraiment hostile mais au même niveau que des serveurs sensibles.
Certes. Mais si on n'a pas ce contrôle, tu sous-entendais qu'on pouvait tout de même le brancher directement sur le réseau physique, et "filtrer" -- et j'ai du mal à comprendre comment.
