Hotel Sebastian, riešenie bezpečnosti a nasadenie VoIP telefónie
Posted: January 6th, 2012 | Author: Erik | Filed under: Creativity, Networking | Tags: alix, elastix, network security, Networking, VoIP | 6 Comments »Ešte pred vianočnými sviatkami 2011 som robil spolu s jedným kolegom komplexné riešenie IT pre Hotel Sebastian v Modre. Riešenie pozostávalo z dvoch častí:
2) kompletné VoIP riešenie na kľúč (VoIP telefónna ústredňa a VoIP telefóny)
Samozrejme nešlo len o dodávku potrebných zariadení, ale aj o návrh riešenia, inštaláciu, konfiguráciu a implementáciu na kľúč s riadnym zaškolením personálu hotela.
Ako to začalo.
Požadovaný cieľový stav.
Hotel Sebastian najviac trápila telefónia. Primárnym cieľom bolo mať v každej hotelovej izbe telefón. Automaticky s primárnym cieľom sa objavili otázky o bezpečnosti, keďže je jednoduché vytiahnúť ethernet kábel z telefónu a zasunúť do počítača a hosť je na jednej sieti kde aj pokladňa, atď…. Prišla teda na rad debata o bezpečnosti, segmentácie LAN siete a poriadnom firewalle.
Riešenie.
Všetky IT riešenia závisia vo veľkej miere od kabeláže. V hotely Sebastian majú v každej izbe dve RJ45 zásuvky (ethernet porty). Jeden sa teda automaticky využil pre pripojenie VoIP telefónu. V každej izbe je teda VoIP telefón a hosť má možnosť sa pripojiť na internet cez WiFi, ktoré je dostupné na izbách a vo všetkých priestoroch hotela. Telefóny sa inštalovali aj do ďalších prevádzkových priestorov hotela. Dodaný systém VoIP telefónie má dostupné web rozhranie cez obyčajný internetový prehliadač, cez ktoré je možné na recepcii pri odhlasovaní hosťa zistiť koľko minút a teda aj peňazí prevolal.
Už na začiatku som spomenul segmentáciu LAN siete a bezpečnosť. V hotely sú tri segmenty siete:
1) VoIP telefónia
2) WiFi hot spoty (verejný internet pre hotelových hostí)
3) interná/privátna sieť hotela (pokladne, recepcia, kuchyňa,….)
Každý segment sieťe slúži na niečo iné a teda musí mať vlastné bezpečnostné pravidlá pre komunikáciu. Napr. zo segmentu VoIP telefónie nie je potrebný prístup do interentu, do internej siete hotela ani na WiFi hot spoty. Je to uzavretá sieť, kde prebieha komunikácia len medzi VoIP zariadeniami (VoIP telefóny a VoIP telefónna ústredňa). WiFi hot spoty zas potrebujú mať povolenú komunikáciu len do Internetu, ale už nie do internej siete alebo k VoIP telefónom.
Tieto pravidlá komunikácie jednotlivých segmentov siete zabezpečuje nový dodaný firewall pfSense. Každý segment LAN siete je pripojený k firewallu a tento je pripojený aj do internetu. Ovládanie firewallu je cez web rozhranie a je veľmi intuitívne a jednoduché. Aj zamestnanci hotela čo nie sú technici, si vedia pozrieť v prípade problémov vyťaženosť jednotlivých segmentov siete a zistiť ak nejaký hosť sťahuje napr. 4GB film cez hotelové WiFi a samozrejme následne riešiť situáciu.
Čo a odkial bolo dodávané do riešenia (odkazy):
- cez 30 VoIP telefónov
- VoIP telefónna ústredňa Elastix 500
- pfSense 3F Firewall
Záver
Samotná inštalácia aj so zaškolením trvala 2 dni. Zamestnanci hotela a aj majitelia sú spokojný a ak sa chcete presvedčiť o kvalite riešenia, navštívte Hotel Sebastian. Hotel je naozaj krásny s výbornou reštauráciou a v peknom prostredí.
Ak Vás moje riešenie zaujalo a potrebujete riešiť pre Vašu firmu niečo podobné (nemusí to byť iba hotel), napíšte/zavolajte. Veľmi rád pomôžem.
ahoj Erik,
pekna pracicka, zaujimave riesenie a spokojny zakaznik
presne tak Rasto, ale najdolezitejsie je to posledne.
Veľmi dobre spracovaný článok a samotné riešenie vyzerá veľmi dobre. Viacerým hotelom ale aj firmám by takéto riešenia prospeli. Držím palce v ďalšej práci.
Thanks for the good writeup. It actually was a enjoyment account it. Glance complex to far delivered agreeable from you! However, how could we communicate?
I consider this article one of the most thought-provoking articles I’ve read in some time. Your viewpoints and ideas are both unique and interesting. I’ve learned something through this information. http://www.samsung1080phdtv.net/
you write very interesting