Защита внутренних SIP устройств

Подключение внутренних SIP устройств к АТС в рамках закрытой локальной сети не вызывают рисков связанных с безопасностью. С появлением необходимости подключения SIP устройств из удаленных рабочих мест или с мобильных устройств, которые работают за пределами закрытой локальной сети требует открытия АТС для внешней сети и это накладывает большое количество рисков. SIP сервер АТС в этом случае будет полностью открыт для всех видов атак. Вариант использования VPN сети накладывает неудобство для конечных пользователей при настройке и эксплуатации. Использование Oktell Studio Bridge позволяет полностью избавится от всех этих недостатков и защищает АТС от всех возможных уязвимостей.

SIP устройства могут работать по протоколам TCP, UDP, TLS и WSS(WebRTC). Если АТС не поддерживает возможность работы по TLS и WSS - Oktell Studio Bridge так же может использоваться как адаптер, который позволит подключить SIP устройства по этим протоколам.

Схема подключения SIP устройств
Рис. 1. Схема подключения SIP устройств

Все SIP устройства подключаются к сторонней АТС через специальную роль SG. Экземпляров SG роли может быть один или несколько. Все экземпляры SG роли синхронизированы между собой. Если один из экземпляров SG роли станет недоступным во время активной SIP сессии - разговор в коммутации не прерывается, и на лету начинает обслуживаться другими доступными экземплярами SG. Такая схема работы позволяет обслужить голосовой звонок до тех пор, пока пользователи не завершат вызов.

Подключение SIP устройств

В Oktell Studio добавляются SIP устройства. Для каждого SIP устройство заводится логин, пароль, внутренний номер и в качестве домена используется рабочий домен. В качестве адреса Outbound Proxy сервера используется адрес сервера, на котором работает роль SG. Если добавлены два экземпляра SG роли на разных серверах нужно первый адрес SG1 прописать в настройках SIP устройства в качестве основного Outbound Proxy сервера, а адрес второго SG2 в качестве дополнительного Outbound Proxy сервера.

Подключение АТС

Подключение сторонней АТС будет производиться через SIP транки. Можно выбрать варианты без регистрации или с регистрацией на самой АТС.

Схема подключения зависит от количества доступных линий на АТС. Если требуется более емкий канал при небольшом количестве доступных линий - рекомендуется использовать схему подключения без регистрации.

Без регистрации

Схема подключения транков без регистрации
Рис. 2. Схема подключения транков без регистрации

Подключение транков без регистрации подразумевает необходимость настройки маршрутизации входящих и исходящих на стороне АТС. Все функции, которые связаны с переключением необходимо будет дополнительно настроить на стороне Oktell Studio. В межсетевом файрволе АТС требуется добавить в разрешенные все IP адреса Oktell Studio, чтобы это был доверенный ресурс.

С регистрацией

Схема подключения в качестве SIP устройств
Рис. 3. Схема подключения в качестве SIP устройств

Регистрация будет осуществляться в качестве внутренних SIP устройств. Устройства в локальной сети могут так же как и ранее подключаться напрямую к АТС. Устройства из внешней сети подключаются через SG роль Oktell Studio и далее маршрутизируются на ESG каналы по внутреннему номеру устройства на стороне АТС, при этом эта схема не требует дополнительных настроек маршрутизации внутри АТС.ройств при подключении к сторонней АТС