VOIP - consiglio su infrastruttura sicura

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
coteaz
Cisco power user
Messaggi: 109
Iscritto il: ven 01 mag , 2009 11:59 am

Salve

spero di non essere of-topic, visto che non parlo di CISCO

vorrei un vostro prere in merito alla mia infrastruttura voip

ho installato un centralino sulla macchina win2008 che fa da DC;

funziona tutto sia in ricezione che in invio

questa macchina ovviamente è in rete locale, e per far funzionare il tutto ho dovuto aprire delle porete UDP sul firewall

attualmente ho un netgear prosafe, ma presto installero un ASA 5510

è sicuro avere il centralino all'interno della rete oppure è un buco di sicurezza aprire quelle porte? è consigliabile spostare il centralino su una macchina in DMZ?

come si fa di solito in una infrastruttura sicurissima?

da premettere che per ora nn ho la necessità di accedere al voip da remoto, in futuro lo farò via VPN

grazie
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

è sicuro avere il centralino all'interno della rete oppure è un buco di sicurezza aprire quelle porte? è consigliabile spostare il centralino su una macchina in DMZ?
E' buona norma mettere in dmz ogni macchina che pubblichi su internet
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
coteaz
Cisco power user
Messaggi: 109
Iscritto il: ven 01 mag , 2009 11:59 am

grazie...

dovrei mettere anche i telefoni voip in dmz, oppure metterli dentro e creare una regola...

solo che forse ricorro in qualche problema, perchè a quanto pare il passaggio tra lan e dmz sulla udp è un po lento

http://www.ciscoforums.it/viewtopic.php?p=46175#46175
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

dovrei mettere anche i telefoni voip in dmz, oppure metterli dentro e creare una regola...
Io creerei una vlan dedicata ai telefoni, questa vlan la puoi poi mettere dietro alla inside del firewall oppure creare una interfaccia dedicata
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
coteaz
Cisco power user
Messaggi: 109
Iscritto il: ven 01 mag , 2009 11:59 am

Wizard ha scritto:
dovrei mettere anche i telefoni voip in dmz, oppure metterli dentro e creare una regola...
Io creerei una vlan dedicata ai telefoni, questa vlan la puoi poi mettere dietro alla inside del firewall oppure creare una interfaccia dedicata
grazie! cmq per ora il sw centralino gira su una macchina win che fa anche altre cose, per cui non ho una macchina dedicata! però è un ottima idea nel caso abbia una macchina dedicata!

grazie
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Immagino che avrai aperto solo le porte 5060 per il trunk SIP cpn il tuo provider...abilita l'accesso a quella porta solo dall'IP pubblico del server SIP...per i telefoni,come ti ha già detto Wizard cregli una vlan dedicata.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi