VoIP nasazení v menší firmě

VoIP nasazení v menší firmě
« kdy: 13. 03. 2021, 11:07:58 »
Zdravím uvažujeme o nasazení VoIP a měl bych pár dotazů, snad někdo odpoví.

1) Nevím nakolik je bezpečnostní riziko používat switch ve VoIP telefonu i pro připojení počítače ... "Kabelování" pro VoIp je pak výrazně pracnější ...
2) Pokud je výše zmíněné problém, tak bych asi měl oddělit i samostatnou LAN pouze pro hlas ...
3) Zase praxe mám se babrat s PoE nebo se běžně používají adaptéry ? (musel bych koupit PoE switch + Systimax kabely co to u nás umožňují na rozvodu kabeláže)
4) Nemám jasno jestli HW ústřednu u nás nebo Virtuální, ale cenově je ústředna u nás z hlediska provozních nákladů  u všech nabídek téměř nulová - platí se jen trunk ... Čemu jste dali přednost ?

Díky budu moc rád, pokud někdo VoIp má a má s ní zkušenosti, když se podělí o názory na výše uvedené ...


Re:VoIP nasazení v menší firmě
« Odpověď #1 kdy: 13. 03. 2021, 11:35:53 »
Zatím se jako nebezpečné ukazuje jen to, když si dá někdo VoIP telefon na veřejnou adresu, nebo na něj forwarduje porty z veřejné adresy. Bezpečné přihlašovací heslo na telefon nemusí nutně pomoci. Bývá tam druhý skrytý uživatel "user" (kromě typického admin), nebo může být web děravý.
Nebezpečné  může být mít vlastní ústřednu na veřejné adrese, útočníkům také někdy stačí web ústředny dostupný z internetu. Útočníci zatím vždy postupují tak, že skenují internet a hledají potencionální kořist.
Vždy je třeba omezit maximální provolávku, tak aby maximální možná škoda nemohla být více je několikaměsíční útrata za volání. Pokud nevoláte do celého světa, zařiďte si omezení volání do zahraničí tam kam nevoláte. Útočník pak nebude schopen volat na čísla z kterých dostává provizi.
I virtuální ústředna může být úplně zdarma, třeba na Odorik.cz. Výhoda je, že lze snadněji zapojit lidi z různých lokalit i bez VPN a je s tím méně starostí.
Co se týče PoE, tak jde hlavně o to, že pod stolem nezavazí adaptér navíc. Jde  o to jestli jej máte kam dát. Jestli to stojí za ten příplatek si každý musí zhodnotit sám.

Re:VoIP nasazení v menší firmě
« Odpověď #2 kdy: 14. 03. 2021, 10:13:55 »
Jestli switch ve VoIP telefonu nebo někde pod stolem je úplně jedno, pořád se jedná o stejnou síť. Jedině snad, že VoIP telefony mají obvykle 100 Mbps porty, takže pokud má někdo 1 Gbps síť, pak je v tomto telefon omezující.

Běžně se používají bezdrátové telefony, např. Siemens Gigaset, takže u nich problém s PoE odpadá (resp. žádný ani není).

Jestli ústředna vlastní nebo ne, to záleží na tom, jak se budou VoIP telefony využívat a samozřejmě i na daném VoIP poskytovateli. Třeba u uvedeného Odoriku je vlastní ústředna takřka zbytečná, pokud se nejedná o opravdu velkou korporaci a úplně stačí možnosti, které Odorik nabízí.

Bezpečnost na veřejných IP adresách lze ošetřit směrováním portů v routeru, tj. VoIP telefony neběhají na "provařeném" portu 5060, ale na jiných, které správce sítě zvolí. Pochopitelně základem je již zmiňovaný volací limit, resp. fungovat na prepaid službě.

Re:VoIP nasazení v menší firmě
« Odpověď #3 kdy: 15. 03. 2021, 09:40:17 »
Děkuji za odpověď !
Já měl za to, že pokud budu mít fyzicky oddělenou síť pro VoIP telefony je to dnes nejbezpečnější řešení (tedy kabeláž od telefonů jde do do switche který pak vede do DMZ u fw a routeru). Celkem se dívím, že nikdo neřeší, že přes switch v telefonu je připojený PC, to je pak ten telefon extrémně citlivý bod bezpečnosti (tedy podle mě)...

Re:VoIP nasazení v menší firmě
« Odpověď #4 kdy: 15. 03. 2021, 09:58:42 »
Jediné výraznější nebezpečí je IP telefon přímo na veřejné IP adrese. Ale pokud je IP telefon za routerem, tak už zvenku přímo vidět není.
Jinak je úplně jedno, jestli v té vnitřní síti je kromě IP telefonu ještě PC a další zařízení (třeba síťová tiskárna, NAS atd.). Dost těžko čekat, že by někdo hackoval IP telefon z PC, co běhá v jedné síti (firmě).


Re:VoIP nasazení v menší firmě
« Odpověď #5 kdy: 15. 03. 2021, 10:16:05 »
Já měl za to, že pokud budu mít fyzicky oddělenou síť pro VoIP telefony je to dnes nejbezpečnější řešení (tedy kabeláž od telefonů jde do do switche který pak vede do DMZ u fw a routeru). Celkem se dívím, že nikdo neřeší, že přes switch v telefonu je připojený PC, to je pak ten telefon extrémně citlivý bod bezpečnosti (tedy podle mě)...

Toto se řeší pomocí různých VLAN, které to oddělí. Oddělovat to na úplně různé switche je dnes nesmysl. Pokud máte dostatek kabelů ve zdech, pak se telefonní zásuvky nastaví do jiné VLAN než PC a je výsledek je stejný (z hlediska bezpečnosti), jako byste měl dva switche.

Switche v telefonu dělají to samé. Do telefonu se pomocí 802.1q přivedou dvě VLAN. Telefon si pro sebe ponechá jen tu telefonní, zatímco do PC proswitchuje tu pro PC. Výrazné bezpečnostní riziko v tom není, ale samozřejmě, pokud máte dostatek kabelů, tak je lepší nevyužívat switch v telefonu.

Pro malou firmu, která má provolávku menší než desítky tisíc, se VoIP moc nevyplácí. Co ušetříte na hovorech, to třikrát přeplatíte na správě a problémech. VoIP se musí udržovat pravidelně, právě kvůli bezpečnostním chybám a tomu, že každá chyba může stát velké peníze.

Re:VoIP nasazení v menší firmě
« Odpověď #6 kdy: 15. 03. 2021, 11:32:26 »
Pro malou firmu, která má provolávku menší než desítky tisíc, se VoIP moc nevyplácí. Co ušetříte na hovorech, to třikrát přeplatíte na správě a problémech. VoIP se musí udržovat pravidelně, právě kvůli bezpečnostním chybám a tomu, že každá chyba může stát velké peníze.
Pokud máte zastropovanou maximální provolávku (bez toho se nepřipojujte), můžete přijít maximálně jen o několikaměsíční provolávku. Tedy u menší firmy jsou potencionální škody spíše ve stokorunách maximálně tisícikorunách.
Pokud si navíc povolíte u operátora jen hovory do zemí kam voláte i kdyby vás někdo hacknul, nejspíš se mu nepodaří vše provolat. Útočník chce volat jen na drahá čísla, z kterých dostává provizi.
Nemluvě o tom, že pokud nebudete nic vystavovat na veřejné ip adrese, pravděpodobnost bezpečnostního incidentu je hodně malá. Řekněme menší než 1:10000 za rok. (vycházím s reálných dat jednoho VoIP operátora)  Tedy je to méně pravděpodobné a navíc méně závažné, než že vás na přechodu v příštím roce srazí auto.
Hlavní důvod proč mít VoIP není o tom ušetřit za volání, ale nabízí to některé věci, které na mobilu nejdou, nebo nejsou dost nepohodlné.
Např. hlasové menu, přepojování hovorů, možnosti paralelního vyzvánění více lidem na více různých místech, kteří se tak mohou lépe střídat, okamžitý přehled o hovorech - kdo jak dobře pracuje, centrální nahrávání hovorů (třeba kvůli vlastnímu zdokonalování se - majitel si může poslechnout, jestli jeho zaměstnanci občas neříkají zákazníkům nesmysly) a další věci. Je možné to integrovat do firemního informačního systému, aby v době kdy volá zákazník už jste viděli např. jeho kartu nebo objednávku.
Naproti tomu řešit všechno přes mobil snadno může vést k tomu, že ten mobil nikdo nebude zvedat, protože je přetížený a dotyčný začne být kvůli neustálému vyrušování neefektivní....  Jde také o špatnou zastupitelnost jednotlivých lidí, když si mobil vezmou s sebou na dovolenou a podobně.

Co se týče nákladů na údržbu. Ano mohou být velké, pokud to vezmete za špatný konec. Ale mohou se též blížit nule i pokud započítáte svůj vlastní čas.  Pokud se to celé dobře rozmyslí, obvykle jsou veškeré náklady jen pořízení a nastavení VoIP telefonů, nebo programu Microsip. Další provozní náklady se blíží nule.

Samotné volání vyjde podobně jak z  mobilu s výjimkou volání do zahraničí, kde je často mnohonásobně levnější.
« Poslední změna: 15. 03. 2021, 11:37:35 od xsouku04 »

5nik

Re:VoIP nasazení v menší firmě
« Odpověď #7 kdy: 15. 03. 2021, 12:42:43 »
Zdravím, zkusím odpovědět ze zkušenosti:

1) Nevím nakolik je bezpečnostní riziko používat switch ve VoIP telefonu i pro připojení počítače ... "Kabelování" pro VoIp je pak výrazně pracnější ...
Bezpečnostní riziko to není, oboje zařízení budete mít v lokální síti, maximálně v různé VLANě. Pokud nepoužijete telefony od nějakého noname výrobce, tak bych se toho nebál. Doporučuji použít telefony s gigovými porty, i když nevím, zda interní switch dokáže to gigo přenést. Jak bylo zmíněno, telefony většinou umožňují rozlišovat provoz pro sebe (VoIP) a provoz skrz sebe do PC pomocí VLAN tagů.
2) Pokud je výše zmíněné problém, tak bych asi měl oddělit i samostatnou LAN pouze pro hlas ...
Samostatná VLANa není úplně nutná. Záleží na rozsahu (počtu VoIP zařízení) a charakteru sítě / provozu. Většinou se dělá samostatná VLANa kvůli bezpečnosti (např. může-li mít k telefonu přístup i někdo nepovolaný) či kvůli QoS (prioritizace hlasové VLANy).
3) Zase praxe mám se babrat s PoE nebo se běžně používají adaptéry ? (musel bych koupit PoE switch + Systimax kabely co to u nás umožňují na rozvodu kabeláže)
Řekl bych, že záleží na konkrétním prostředí. Buduje-li se infrastruktura, většinou se počítá s PoE. Ale měnit kvůli tomu switche smysl nemá. Pokud není jiný důvod (estetika, nedostupnost 230V), pak adaptéry k telefonům nevadí.
4) Nemám jasno jestli HW ústřednu u nás nebo Virtuální, ale cenově je ústředna u nás z hlediska provozních nákladů  u všech nabídek téměř nulová - platí se jen trunk ... Čemu jste dali přednost ?
VoIp ústřednu lze provozovat jako samostatné VM ve vlastní infrastruktuře, či jako HW box nebo mít pronajatou virtuální, hostovanou u providera. Záleží na konektivitě, vlastní infrastruktuře apod. Nedá se jednoznačně doporučit jedno či druhé.
Samozřejmě platí zmíněná zásada - nevystavovat ústřednu do internetu, útok na SIP tam máte do minuty.

Re:VoIP nasazení v menší firmě
« Odpověď #8 kdy: 16. 03. 2021, 08:32:14 »
Pánové všem vám MOC děkuji za informace, moc jste mě pomohli s názory !

Bugsa

Re:VoIP nasazení v menší firmě
« Odpověď #9 kdy: 18. 03. 2021, 07:20:36 »
Toto jsem řešil v naší firmě před pár lety:

1) Firemní switche zůstaly klasické, bez PoE. Používám switch z telefonu do PC, tam, kde jsou "klasické" pevné linky. Pak máme ještě Gigasety, které mají základnu a k ní se připojují bezdrátové "handsety". Tam je základna připojena zvlášť, jelikož nemá svůj interní switch.

2) Oddělenou VLAN jsem zvažoval, ale nakonec nepoužívám, není důvod (ale telefony umí nastavit taging).

3) Viz 1). S PoE bych se nezatěžoval. Stejně u uživatele vždy bude el. zásuvka.

4) Já šel cestou FreePBX ve VM a operátora jsem vybral Odorik. Po úvodním nastavení ústředny do ní už nebylo třeba nijak zasahovat, funguje naprosto spolehlivě, můžu jen doporučit.

Re:VoIP nasazení v menší firmě
« Odpověď #10 kdy: 18. 03. 2021, 08:56:30 »
Já ještě přidám odkaz, který může pomoci jestli si pořídit vlastní ústřednu, nebo využít zdarma virtuální u Odorik.cz
http://www.odorik.cz/w/vyhody_a_nevyhody_vlastni_pobockove_ustredny_asterisk

Re:VoIP nasazení v menší firmě
« Odpověď #11 kdy: 18. 03. 2021, 09:15:07 »
Toto jsem řešil v naší firmě před pár lety:

1) Firemní switche zůstaly klasické, bez PoE. Používám switch z telefonu do PC, tam, kde jsou "klasické" pevné linky. Pak máme ještě Gigasety, které mají základnu a k ní se připojují bezdrátové "handsety". Tam je základna připojena zvlášť, jelikož nemá svůj interní switch.

2) Oddělenou VLAN jsem zvažoval, ale nakonec nepoužívám, není důvod (ale telefony umí nastavit taging).
3) Viz 1). S PoE bych se nezatěžoval. Stejně u uživatele vždy bude el. zásuvka.


1] Pokud lze PoE, je to lepsi, min kabelu na stolech. A switche s PeE nestoji dardu ve srovnani s nonPoE
2] Oddelena vlan ma vyhodu v tom, ze se tam da nastavit prioritizace a castecne oddelit provoz od standardniho provozu klientu

Re:VoIP nasazení v menší firmě
« Odpověď #12 kdy: 26. 03. 2021, 09:45:47 »
Tak ještě po všech konzultacích mám následující dotaz k diskuzi ...

Jako primární WAN1 připojení k internetu máme optiku od dodavatele pe3ny (záložní WAN2 je ShDSL od jiného poskytovatele). Když teď vyberu např. VoIP od T-mobile vyžaduje svůj internet.

Takže počítám, že musím naše dualWan připojení nastavit nyní aby jeli oba dva WANy současně (nyní je nastaveno že záložní WAN2 se sepne jen při výpadku). naprosto nyní nevím zda jde na FW nastavit něco takového, aby se WAN2 pokud není výpadek použila jen na VoIP ...

Předpokládám tedy, že si ten T-mobile internet zapojím skrz náš Router/FireWall.

Když nad tím tak přemýšlím, tak možná koupím switch a ten T-mobile internet dám do něj a pojede to jen na VoIP zcela odděleně. Ale zase do háje pak to nepůjde skrz FW a co když si někdo píchne do switche v telefonu notebook nebo něco jiného, bude na internetu úplně bez našeho firewallu.

Vůbec nevím jak to zkombinovat přívětivě.


Re:VoIP nasazení v menší firmě
« Odpověď #13 kdy: 26. 03. 2021, 09:50:45 »
Myslím, že to bude jednoduché. TMO, stejně jako každý další operátor, vyžaduje, aby telefony byly na zvláštním switchi od LAN a vůbec se nedotýkaly firewallu nebo čehokoliv jiného. Případně s nimi lze domluvit, že to bude VLAN v rámci existujících switchů, ale ani to nemají rádi. Musí pak řešit problémy, které mohou vznikat mimo infrastrukturu, kterou mají pod palcem.

Re:VoIP nasazení v menší firmě
« Odpověď #14 kdy: 26. 03. 2021, 10:13:05 »
Mám ve firmě zkušenost pár let s VoIP telefony od https://www.ipex.cz/ Funguje to dobře, máme to na naší síti spolu s ostatním hw a funguje to dobře, připojení máme od UPC/Vodafone. (Jinak při Home office jsme teď důkladně otestovali i přenositelnost telefonů a funguje to dobře ;-) .)

Jinak UPC/Vodafone dělá pronájem VoIP taky - dodávají tuším řešení od https://www.3cx.com/
« Poslední změna: 26. 03. 2021, 10:14:43 od Yetel »