Firewall
De PBX heeft een ingebouwde firewall die helpt om toegang tot het platform te controleren. We raden u met klem aan deze functie te gebruiken, omdat het de beveiliging en veiligheid van uw platform verbetert en het ervoor zorgt dat er geen ongevraagde en frauduleuze acties mogelijk zijn door externe partijen.
Algemeen
Gebruik nooit ‘All’ in combinatie met 0.0.0.0/0 in een productie-omgeving want deze instelling staat alle verkeer op de server toe en in feite zet u hiermee de firewall uit.
Toevoegen/bewerken firewall-regel:
- Zet de schakelaar ‘Toestaan’ AAN om toegang te geven of UIT om te blokkeren.
- IP-adres: een IP-adres of een serie. Bijvoorbeeld om een IP subnet toe te staan: 1.2.3.0/24
- Service: geef zo specifiek mogelijk aan welke service is toegestaan.
- Poort: geef het poortnummer om die is toegestaan of geblokkeerd moet worden. Kies ELKE voor alle poorten.
- Protocol dat toegestaan of geblokkeerd moet worden. Zet op ELKE voor alle protocollen.
- Beschrijving: omschrijf wat de regel doet.
Klik, als u iets gewijzigd heeft op de knop ‘Firewall toepassen’ om de wijzigingen weg te schrijven in de tabel.
Subnet masks
De subnet mask kan gevonden worden in het volgende overzicht:
| Netmask | Range | Subnet |
| 32 | 1 | 255.255.255.255 |
| 31 | 2 | 255.255.255.254 |
| 30 | 4 | 255.255.255.252 |
| 29 | 8 | 255.255.255.248 |
| 28 | 16 | 255.255.255.240 |
| 27 | 32 | 255.255.255.224 |
| 26 | 64 | 255.255.255.192 |
| 24 | 256 | 255.255.255.0 |
| 23 | 512 | 255.255.254.0 |
| 22 | 1024 | 255.255.252.0 |
| 21 | 2048 | 255.255.248.0 |
| 20 | 4096 | 255.255.240.0 |
| 19 | 8192 | 255.255.224.0 |
| 18 | 16384 | 255.255.192.0 |
| 17 | 32768 | 255.255.128.0 |
| 16 | 65536 | 255.255.0.0 |
Nieuwe vs bestaande verbindingen uitgelegd
Er zijn drie zaken die u moet weten wanneer u de pbx-firewall gebruik:
- De firewall beïnvloedt alleen nieuwe connecties/verbindingen.
- Telefoons die al geregistreerd waren, kunnen nog steeds communiceren op SIP-niveau (no media) met de pbx nadat er een regel is toegevoegd aan de firewall die dat blokkeert.
- Zelfs als een telefoon niet geregistreerd is, zal deze na enige tijd weer kunnen verbinden met de pbx nadat deze geblokkeerd is geweest door een firewall-regel. Dit kan beëindigd worden door een reboot van de pbx.
De Axeos pbx-firewall is stateful – het houdt tussentijdse informatie bij van connecties die over de firewall lopen. Hierdoor is de firewall beter in staat onderscheid te maken tussen pakketjes die wel toegestaan en niet toegestaan mogen worden. Het checkt alleen het eerste pakketje van een verbinding en staat al bestaande verbindingen toe.
SIP gaat standaard over UDP en UDP is connectie loos, dus een firewallflow is niet een individuele connectie (TCP), maar elk verkeer tussen twee adrespoort-paren. SIP-telefoons verbinden gewoonlijk van hun poort 5060 met de PBX-poort 5060. Nadat de eerste twee pakketjes zijn uitgewisseld, is de flow er en zal pas na lange tijd verlopen.
De PBX onthoudt geregistreerde telefoons na een reboot (en zijn dus meteen bereikbaar na herstart) en stuurt regelmatig ‘qualify’ (keep alive) pakketjes naar de telefoons. Omdat de PBX de communicatie initieerde, wordt dit altijd toegestaan en start een al vastgestelde flow.