Voici nos conseils pour une configuration sûre et efficace des appareils VoIP beroNet :
Mot de passe sécurisé
Les données d’accès des appareils VoIP beroNet sont „admin / admin“ à la livraison. Ces informations sont connues et publiées dans notre documentation disponible en ligne. Il est donc essentiel de vous informer de changer votre mot de passe pour augmenter votre sécurité.
Vous pouvez créer un mot de passe sécurisé, par exemple, avec cet outil : http://passwordsgenerator.net/
Désactivation de bfdetect
bfdetect vous permet d’identifier vos appareils VoIP beroNet dans le réseau et de modifier les paramètres IP de celles-ci. Nous recommandons de ne l’utiliser qu’au début et de le désactiver ensuite pour minimiser la possibilité d’un accès externe.
Vous pouvez désactiver l’option en paramétrant „Disable bfdetect“ dans l’interface web dans le menu „Preferences“ sous „network Settings“.
Utilisation d’une connexion https
HTTPS est un facteur important pour accroître la sécurité. Pour assurer une connexion cryptée, également du côté du réseau local, nous recommandons d’utiliser le protocole https. Entre autres dispositifs de sécurité, HTTPS empêche les tiers de voler vos données d’accès dès que vous vous connectez. Lorsque vous utilisez des certificats auto-signés, ceux-ci doivent être ajoutés aux exceptions dans votre navigateur web.
Exploitation de l’appareil beroNet derrière un pare-feu
La sécurité d’un appareil VoIP beroNet est renforcée s’il est exploité derrière un pare-feu et n’est accessible que depuis le réseau local. Les politiques de NAT et de pare-feu sont donc essentielles. Par exemple, dans un scénario „tout IP“, les règles de transfert doivent être définies pour le port 5060 et la plage de ports RTP dans le routeur. Le transfert de port doit également être défini avec soin, de sorte que le port 5060 ne soit pas le même du côté WAN, par exemple, car c’est la seule façon d’accroître la sécurité et les attaques ne peuvent se produire que du côté LAN.
Configuration de l´ACL
L’ACL est également un facteur important qui contribue à accroître la sécurité. Pour pouvoir accéder à l’appareil depuis Internet, l’ACL doit être configurée. L’accès à l’appareil peut donc être limité à certaines adresses IP.
Vous pouvez configurer l’ACL via l’interface web dans le menu „Preferences“ sous „ACL“. La configuration de cette option de sécurité varie selon que l’appareil se trouve derrière un pare-feu ou non.
Appareil derrière un pare-feu
Si l’appareil se trouve derrière un pare-feu, il est déjà très sûr et l’utilisation de l’ACL n’est pas absolument nécessaire. Cependant, vous pouvez l’utiliser pour prévenir les attaques du côté du réseau local.
L’ACL peut limiter l’accès au seul administrateur. A la livraison, tout le monde peut accéder à l’appareil VoIP beroNet depuis le réseau local. Pour restreindre l’accès, il suffit de désactiver l’option ci-dessous.
Désormais, seules les adresses IP préalablement définies peuvent atteindre l’appareil.
Exemple :
Appareil sans pare-feu
Si votre appareil VoIP beroNet est directement accessible depuis Internet, nous vous recommandons vivement d’utiliser l’ACL pour limiter l’accès à votre appareil. La devise devrait être que seul ce qui doit être ouvert sur l’extérieur est ouvert sur l’extérieur.
En théorie, seul le port SIP ou SIP-TLS devrait être ouvert et le reste ne devrait pas l’être. La configuration de l’ACL pourrait ressembler à ceci :
Désactivation du SSH
Le SSH n’est pas activé à la livraison. Cependant, le support beroNet pourrait demander un accès SSH à l’appareil dans certains cas. Après un support réussi, le SSH devrait être à nouveau désactivé. Vous pouvez activer et désactiver SSH via l’interface web dans le menu „Preferences“ sous „Security“.
Changement du port SIP par défaut
Pour augmenter encore la sécurité, nous recommandons de changer le port SIP standard 5060 de l’appareil VoIP beroNet pour un autre port. Vous pouvez modifier le „Bind Port“ dans la section „SIP Stacks“ de l’interface web sous le menu „SIP“ :
N’oubliez pas que vous avez effectué ce changement lorsque vous avez défini vos règles de NAT !
