1. Manuels
  2. Marques
  3. Elastix Manuels
  4. Matériel réseau
  5. SIP Firewall
  6. Manuel de l'utilisateur

Elastix SIP Firewall Manuel De L'utilisateur

Masquer les pouces
Table des Matières

Publicité

Liens rapides

Télécharger ce manuel

Publicité

Table des Matières
loading

Sommaire des Matières pour Elastix SIP Firewall

  • Page 2 Droits sur la propriété. L'information contenue dans ce document est confidentielle à Elastix® et est protégé par la loi. L'informa- tion et le présent document sont assignés uniquement pour le destinataire. L'utilisation de ce document, par quelqu'un d'autre à...

  • Page 3: A Propos De Ce Manuel

    1.1. A propos de ce Manuel Ce manuel décrit l'application du produit Elastix® et explique comment il fonctionne et comment utiliser les principales fonctions. Il sert ici comme un moyen de décrire l'inter- face utilisateur et la façon de l'utiliser pour accomplir des tâches communes. Ce manuel décrit également les hypothèses fondamentales, et les utilisateurs accomplissent ce mo-...

  • Page 4: Informations Sur Le Support

    1.2. Informations sur le support Tous les efforts ont été faits pour assurer l'exactitude de ce document. Si vous avez des commentaires, des questions ou encore des idées concernant ce document, contactez: sales@elastix.com...

  • Page 5: Table Des Matières

    Table des matières 1.1. A propos de ce Manuel ....................2 1.1. Conventions du Document ..................2 1.2. Informations sur le support ..................3 Introduction ......................6 1.1 Aperçu ........................6 1.1.1. LEDs de notifications (Sur la face avant de Firewall SIP) ........8 1.1.2.
  • Page 6 6. Outils ........................32 6.1. Administration ......................32 6.2. Diagnostics ........................ 33 6.3. Ping ..........................34 6.4. Trace route ........................ 35 6.5. Troubleshooting ......................36 6.6. Mise à jour du Firmware .................... 36 6.7. Archivage du journal d’événements................37 ANNEX ........................

  • Page 7: Introduction

    Ce manuel décrit les étapes impliquées dans la mise en place de l’Appliance pare-feu SIP Elastix®. Elastix® SIP Firewall est un boitier pour la VoIP incluant une solution de prévention des menaces dédiée à protéger le protocole SIP pour des IPBX / Téléphones / passerelle IP Telecom / déploiements de périphériques mobiles.
  • Page 8 § Supporte la souscription de mise à jour de signature et le mécanisme de mise à jour automatique des signatures. § Le boitier est prévu pour fonctionner avec la configuration par défaut, avec juste une mise sous tension de l'appareil. Aucune intervention de l’administrateur n’est néces- saire pour le faire fonctionner avec la configuration par défaut.

  • Page 9: Leds De Notifications (Sur La Face Avant De Firewall Sip)

    1.1.1. LEDs de notifications (Sur la face avant de Firewall SIP) LED 4 - Etat de l’Alerte. Bouton LED 3 - Etat du DPI Marche/Arrêt LED 2 - Etat de l’interface LED de présence LED 1 - Etat du système d’alim.

  • Page 10: Firewall Sip - Remarques À Propos Du Déploiement

    1.1.3. Firewall SIP - Remarques à propos du déploiement. Le Firewall SIP a été conçu pour protéger les IPBX ou Passerelles basés sur le protocole SIP contre des attaques ou anomalies SIP provenant réseaux. Par conséquent il est re- commandé de déployer the pare-feu SIP en même temps que le déploiement de l’IPBX ou Passerelle, comme indiqué...

  • Page 11: Configuration Initiale & Paramétrage

    Déploiement - Scenario 3 Dans le cas de plusieurs IPBX ou passerelles VoIP déployés dans un environnement LAN, le paramétrage suivant est recommandé car il contribuera à se protéger des me- naces aussi bien côté Réseau Privé que côté Réseau Public/Cloud en traversant le Fire- wall non SIP existant de l’entreprise.

  • Page 12: Configuration Par Défaut

    Configuration par Défaut. Le boitier fonctionne comme un pont firewall transparent avec le Deep Packet Inspection validé sur le trafic SIP. Par défaut, le boitier a été configuré avec l’adresse IP sta- tique suivante : 10.0.0.1/24 Le boitier a été conçu pour être entièrement fonctionnel avec la configuration par défaut. Par contre, si l’utilisateur a besoin de personnaliser la configuration du boitier et la poli- tique du DPI, il peut le faire via l’accès à...
  • Page 13 L’interface utilisateur permet à l’administrateur de configurer l’adresse IP du Vlan Gestion. Dans le cas où l’utilisateur changerait l’adresse IP du Vlan IP Gestion, il aura besoin d’affecter une adresse correspondant au réseau de son PC pour y accéder ulté- rieurement.

  • Page 14: Expiration De La Session Webui

    Figure 5: Message Temps dépassé Si quelqu’un est déjà connecté à une session WebUI du Firewall SIP, une invitation à se connecter ultérieurement affichera les détails de la précédente session comme illustré ci- dessous, et demandera à l’utilisateur d’ignorer la session précédente et de continuer ou d’ignorer la tentative de connexion.

  • Page 15: Tableau De Bord

    Figure 7: Configuration du WebUI 2.5 Tableau de bord Figure 8: Tableau de bord Une fois authentifié sur le WebUI du Firewall SIP, le tableau de bord sera affiché. L’utilisateur peut consulter la page du tableau de bord depuis n’importe quelle page de configuration dans le WebUI du Firewall SIP, en cliquant sur l’icône du produit qui appa- rait en haut à...

  • Page 16: Configuration Du Boitier

    En cliquant sur le bouton de rafraîchissement de la page, le contenu de la page courante dans la zone principale sera rafraîchi. En cliquant sur l'icône de réglage, cela affiche un menu contextuel contenant les options suivantes : Paramétrage de l'interface utilisateur Web et Déconnexion. Le cadre «...
  • Page 17 Figure 9: Configuration du boitier Le nombre de changements de configurations apparaitra immédiatement à gauche du bouton ‘Apply Changes’. Pour visualiser ces changements, l’utilisateur peut cliquer sur l’icône du nombre de changements qui les affichera sous forme de liste dans une fenêtre. L’utilisateur peut appliquer les changements de configurations du boitier en cliquant sur le bouton «...

  • Page 18: Paramètres Généraux

    En cliquant sur l’icône en forme de point d’interrogation qui apparait à côté du titre de la configuration sélectionnée, l’aide affichée correspondra à celle de la page de configura- tion courante. 3.1. Paramètres Généraux. La page des paramètres généraux permettra la configuration des paramètres du host et du réseau du boitier Firewall SIP.

  • Page 19: Gestion Des Accès

    Figure 11: Paramétrage date/heure 3.3. Gestion des accès L'accès à la gestion du boitier Firewall SIP (Accès SSH CLI / WebUI) peut être limitée avec des filtres d'accès à la gestion. Par défaut, l’accès a été autorisé globalement à toutes les adresses IP et pour la configuration du réseau Vlan Gestion du boitier. L’administrateur peut remplacer ces paramètres.

  • Page 20: Mise À Jour Des Signatures

    Figure 13: Gestion d’accès L’administrateur aura besoin de configurer l’adresse IP ou le réseau IP, ou encore la plage d’adresses IP qui aura accès au boitier et devra être autorisé dans les règles de filtrage d’accès à la gestion. L’IP de type ‘ANY’ indique le réseau global (Tout réseau, Toute adresse IP).

  • Page 21: Enregistrement / Loggin

    à jour des signatures sur le boitier. Vérifier s'il vous plaît au près d’un agent commercial Elastix pour obtenir les détails sur l'achat de la clé de souscription des signatures du Firewall SIP.

  • Page 22: Configuration Des Politiques De Sécurité Sip

    Figure 15: Enregistrement / Logging 4. Configuration Des Politiques De Sécurité SIP 4.1. Politiques de détections des attaques SIP La page « SIP Attack Detection » permet de configurer les catégories de règles SIP « Deep packet Inspection ». L’administrateur peut activer ou désactiver l’inspection contre une certaine catégorie de règles, l’action à...
  • Page 23 Figure 16: Détections d’attaques SIP La table évoquée ci-dessous liste les catégories de règles SIP Deep Packet Inspection supportées dans le Firewall SIP et les paramètres de configurations pour chaque catégo- rie.
  • Page 24 Options Con- Catégorie Description figurables par l’utilisateur L'intrus tente de détecter quelle version SIP Recon- d'Asterisk vous avez. Avec cette information, naissance il va commencer à exploiter les nombreuses Attacks failles de cette version. Le pare-feu SIP ne répondra pas à sa requête. L'intrus va scanner les ports de l’IPBX pour voir quels sont les périphériques qui y sont SIP Devices...

  • Page 25: Conformité Du Protocole Sip

    L'intrus va envoyer des paquets SIP anormaux à l’IPBX. Son objectif est de planter l’IPBX en- gendrant des perturbations dans les communi- SIP Anoma- cations. Le pare-feu SIP peut bloquer, enregis- ly attacks trer ou blacklister l'IP pour une période donnée si elle dépasse le nombre d'essais autorisés par seconde.
  • Page 26 Figure 17: Conformité du Protocole SIP Max_sessions Une session SIP est l’application d’une configuration au niveau de la connexion créée entre le serveur et le client SIP pour s’échanger des messages audio / vidéo entre eux. Le paramètre max_sessions définie le nombre maximum de sessions que le moteur SIP DPI pourra tracer.
  • Page 27 Max_requestName_len Spécifie la taille maximum du nom de la requête faisant partie de CSeq ID. Par défaut la valeur est réglée à 20. La plage autorisée pour cette option va de 1 à 65535 Max_from_len L’entête From spécifie l’identité de l’initiateur de la requête SIP. Max_from_len spécifie la taille maximum du champ From.

  • Page 28: Règles Du Firewall

    4.3. Règles du Firewall. La configuration des règles du pare-feu permettra à l'administrateur de paramétrer quel trafic devraient être autorisés pour protéger le réseau IPBX / Passerelle SIP à partir d'une zone non fiable Wan, outre le DPI activé, concerne le trafic SIP et RTP. L'administrateur doit spécifier les réseaux source / destination, les numéros de ports et le protocole qui seront utilisés comme les critères de correspondance dans les règles de filtrage et les mesures à...

  • Page 29: Les Règles De Liste Blanche

    Figure 19: Paramétrages du Firewall 4.5. Les règles de Liste Blanche Cette page permet de configurer des adresses IP de la liste blanche venant d’une zone non fiable Wan dont l'accès sera autorisé à communiquer avec le réseau SIP protégées par le pare-feu SIP.

  • Page 30: Règles De Liste Noire (Statique)

    Figure 21: Adresses IP de la Liste Blanche 4.6. Règles de Liste Noire (Statique) Cette page permet de configurer des adresses IP de la liste noire venant d’une zone non fiable Wan dont l'accès pour communiquer avec le réseau SIP sera bloqué par le Firewall SIP.

  • Page 31: Règles De Liste Noire Dynamique

    Figure 23: Adresses IP black listées 4.7. Règles de Liste Noire Dynamique. Les règles de liste noire dynamiques sont les règles de blocages ajoutées par le moteur SIP DPI du firewall pour bloquer le trafic provenant d'adresses IP attaquantes pour une durée configurée dans la catégorie des règles, lors de la détection d’attaques.

  • Page 32: Filtres D'adresses Ip Géographiques

    4.8. Filtres d’Adresses IP Géographiques L’administrateur peut choisir de bloquer le trafic originaire d’un pays en particulier vers le réseau SIP protégé en configurant les règles de filtrages IP géographiques dans le Fire- wall SIP. Figure 25: filtrages IP géographiques 5.

  • Page 33: Outils

    Figure 26: Alertes de Sécurité Sauf si l'utilisateur configure la transmission des alertes de sécurité à un serveur syslog distant, les alertes de sécurité ne sont pas conservées en permanence dans le boitier. L'emplacement de la mémoire tampon de journalisation sera vidé à un intervalle prédéfini (non configurable) et une fois les critères de seuil d'enregistrement remplies.

  • Page 34: Diagnostics

    ». L’appareil exécutera les diagnostics en tâche de fond et affichera les résultats une fois cette tâche effectuée. L’administrateur peut télécharger les rapports en cliquant sur le bouton « Get Report » puis l’envoyer à l’équipe support d’Elastix. (Note : vous pou- vez l’envoyer à : support@elastix.com)

  • Page 35: Ping

    Figure 28: Diagnostics Cliquer sur le lien ci-dessous pour télécharger les diagnostics Figure 29: Télécharger le rapport. 6.3. Ping L'administrateur peut résoudre les problèmes de connectivité réseau en exécutant un ping depuis le boitier Firewall SIP. L’administrateur doit alors rentrer l’adresse IP à pinguer depuis l’appareil, sélectionner le nombre de pings à...

  • Page 36: Trace Route

    Figure 30: Résultat du ping 6.4. Trace route L’administrateur peut résoudre les problèmes de connectivités réseau en exécutant un «Trace route » depuis le Firewall SIP. L’administrateur aura alors besoin d’entrer l’adresse IP qui devra être tracée depuis le Firewall SIP, sélectionner le nombre de sauts et cliquer sur le bouton « Trace route » afin d’exécuter cette tâche.

  • Page 37: Troubleshooting

    Pour installer le firmware : • Télécharger le package de mise à jour du firmware sur le site Elastix et sauvegar- dez-le sur votre PC en local. • Depuis votre navigateur Web de votre station de travail (PC), loguez-vous sur le Firewall et lancez la page de mise à...

  • Page 38: Archivage Du Journal D'événements

    Figure 33: Mise à jour du Firmware 6.7. Archivage du journal d’événements. Si une clef de stockage USB est branchée sur le Firewall SIP, le boitier tentera d’archiver les plus anciens logs sur cette clef. Une synthèse des informations des logs enregistrés sera affichée dans la page Logs Archive.

  • Page 39: Annex

    : None iii. Données iv. Bit de stop v. Contrôle de flux : No 3. L’utilisateur devrait voir un prompt « Elastix » sur le terminal. 4. Taper « help » pour visualiser la liste des commandes de maintenances valides.

  • Page 40: Annex B - Configuration De L'adresse Ip Du Firewall Sip Via La Console

    à acquérir une adresse IP, alors paramétrez une adresse IP en mode CLI en utilisant le ligne de commande. Elastix > Set IP <IP address> <mask> <gateway> Vérifiez l’adresse IP en utilisant la commande « show ip ». Puis utilisez cette adresse IP pour accéder au WebUI ou à...

Table des Matières