< Help - SipFlare

Manuale utente



Introduzione

SipFlare nasce come “Il firewall VoIP in cloud”; è un router/firewall voip con funzionalità avanzate.
SipFlare è stato progettato in modalità multi-tenancy e permette di gestire company, user, customer.
Per ogni singolo customer è possibile configurare molti dettagli e proprietà, che vedremo nel dettaglio di seguito, in modalità real-time direttamente dal pannello web.

I moduli che costituiscono il servizio sono i seguenti:

  • layer telefonico SIP: questo è il core di SipFlare e permette di configurare più destination IP in modalità Load Balancing o Priority; è possibile configurare regole di firewall e blocklist;
  • layer telefonico RTP: grazie a questo layer, è possibile far transitare per SipFlare il flusso audio con la possibilità di utilizzare funzionalità di transcoding;
  • layer API: questo layer permette l’orchestrazione dei vari moduli;
  • layer WEBPANEL: il web panel permette in real-time di aggiornare le configurazioni della propria installazione;
  • layer DATABASE: tutti i dati vengono salvati nel layer database.


Login

Per poter accedere al pannello web di SipFlare ed effettuare tutte le configurazioni, è necessario essere in possesso di credenziali valide.
Puoi richiedere l’attivazione del servizio e la fornitura di credenziali per l’accesso, compilando il form a questo link sipflare.com/activation.



Struttura Dashboard

In questa sezione descriviamo la struttura del pannello web a disposizione degli utenti.
Esso è suddiviso in 3 sezioni:

header

Header

L’header è la fascia grigia in alto.
Questa sezione è composta, nella sua parte centrale, dal menù principale di SipFlare (di seguito descriveremo nel dettaglio ogni sezione del menù) e nella parte destra di 3 funzionalità:

  • modifica dettagli utente: cliccando sull’ingranaggio è possibile modificare i dati utente;
  • cambio password utente: cliccando sulla chiave è possibile modificare la propria password di accesso al pannello web;
  • modalità Transparent: abilitando la modalità Transparent si disabilitano, per tutti i customer gestiti dall’utente con il quali si è effettuato l’accesso (è possibile abilitare la modalità Transparent per singolo customer accedendo ai dettagli del singolo customer), tutte le funzioni avanzate di SipFlare:
    • controllo di call limit sulle chiamate concorrenti
    • tutte le regole di firewall
    • tutte le regole di blocklist
    • il meccanismo di antifrode
    • il meccanismo di Topology Hiding and Stripping
    • la funzionalità di transcoding
    • i controlli di keepalive
    La modalità Transparent è molto utile per effettuare un’immediata disattivazione delle regole ed impostazioni sopra elencate al fine di effettuare una rapida verifica, senza dover cancellare tutte le regole configurate, in caso di situazione non chiare.

body

Body

Il body è la parte centrale del pannello web; è in questa parte che verranno caricati i contenuti delle varie sezioni.

footer

Footer

Il footer è la fascia bianca in basso; essa è composta dalla sezioni contatti a sinistra, e dalla funzionalità di Help e Log Out a destra (il pannello web è provvisto di session timeout pari a 10 minuti; se non si effettua alcuna operazione sul pannello web, dopo 10 minuti il sistema effettuerà in automatico il logout dell’utente).



Sezioni funzionalità

In questa sezione descriviamo tutte le funzionalità avanzate di SipFlare, che l’utente potrà gestire dal pannello web a disposizione.

Ogni menù presente in questa sezione ha 2 sottomenù:

  • List of ... dove poter visualizzare, modificare e cancellare gli elementi di quella sezione
  • Add new ... dove poter aggiungere una voce a quella sezione
Sotto-menù

Filtri

Nel sotto-menù List of … di ogni sezione sono presenti 2 menù di filtri che aiutano l’utente a ricercare e visualizzare solo le informazioni necessarie.

Filtri

A sinistra è presente il filtro customer che tramite un menù a tendina permette di selezionare e visualizzare solo le regole relative ad un singolo Customer.
Se il filtro Customer è disabilitato, vedrete il bubble giallo con la scritta “No customer selected”.
Se il filtro Customer è abilitato, vedrete il bubble verde con il nome del Customer selezionato.
Questo filtro una volta abilitato resta attivo in ogni sezione del web panel fino a che non lo si disabilita manualmente.
Per disabilitare il filtro basterà cliccare nuovamente sul task Submit.
A destra è presente un filtro testuale personalizzato per ogni sezione (nella sezione Customer questo filtro agisce sul campo Name, nella sezione firewall agisce sul campo value, etc).


Customer

In questa sezione è possibile creare, visualizzare, modificare e cancellare i Customer.
SipFlare permette di personalizzare ogni funzionalità e regola per singolo Customer.
Nel sotto-menù List of Customers è possibile visualizzare l’elenco di tutti i Customer creati e gestiti dall’utente che ha effettuato l’accesso. Per ogni cliente viene mostrata una preview delle funzionalità configurate. In questo elenco è possibile modificare ed eliminare i Customer.

Customer

Nel sotto-menù Add a Customer è possibile aggiungere e personalizzare un nuovo Customer.

Add Customer

Le funzionalità configurabili per singolo Customer sono le seguenti:

  • Name il nome del Customer;
  • Call limit: numero massimo di chiamate contemporanee superato il quale le nuove chiamate vengono rifiutate;
  • Topology Hiding and Stripping: questo modulo offre l’oscuramento della topologia di rete rimuovendo le intestazioni di routing SIP che mostrano i dettagli della stessa. Quando il pacchetto SIP attraversa SipFlare verrà modificato con la rimozione delle Record-Route e la modifica del Contact; tutte queste informazioni verranno salvate da SipFlare per gestire correttamente le risposte;
  • RTP Media Bridging: modalità che permette di far gestire a SipFlare il flusso audio;
  • Transcoding e codec: modalità che permette di elencare i codec da utilizzare ed usufruire della funzionalità di transcoding (Se RTP Media Bridging è disabilitato, non è possibile abilitarlo.);
  • Keepalive: modalità mediante la quale si attiverà l’invio di pacchetti SIP OPTIONS allo scopo di verificare se la destination è attiva o meno;
  • Transparent mode: modalità che permette di disabilitare e bypassare tutte le funzionalità elencate sopra configurate su SipFlare per singolo customer;
  • Routing
    Il modulo di Routing permette di configurare le regole di routing dei pacchetti SIP per ogni Customer. Trovi maggiori dettagli sul modulo Routing nella sezione specifica.
    • Destination group: modalità che permette di abilitare le funzionalità avanzate del modulo routing.
      Se questa funzionalità è abilitata, il customer avrà la possibilità di configurare fino a 9 destination group per ognuna della quali potrà definire delle routing rule e delle destination;
      Se questa funzionalità è disabilitata, il customer non avrà la possibilità di configurare nuove destination group oltre a quella di default aggiunta dal sistema alla creazione del customer e non avrà la possibilità di creare routing rule; potrà invece creare destination e legarle alla destination group di default.
    • Destination mode: modalità che permette di definire come gestire le chiamate che arrivano a SipFlare: Load Balancing (in questa modalità, le chiamate sono distribuite equamente e randomicamente sulle destinazioni definite nella sezione Destination), Priority (in questa modalità, le chiamate sono sempre distribuite alla destinazione con priorità più alta; se il target con priorità più alta non è raggiungibile, le chiamate saranno distribuite alla destinazione successiva.)
  • Valori di Antifrode
    Il meccanismo di antifrode si basa sull’analisi attiva in real-time dei pacchetti di INVITE, REGISTER ed OPTIONS che attraversano SipFlare.
    Per ognuno di questi pacchetti viene creata una hash composta da “customer_id + user del FROM + user della Request URI (strippando le ultime 2 cifre)”
    • Fraud trigger for INVITE: indica il limite massimo di pacchetti SIP INVITE contemporanei con stessa hash sopra descritta. Quando questo limite viene superato tutte le chiamate attive che hanno quell’hash vengono abbattute e l’indirizzo IP sorgente viene bloccato per 5 minuti;
    • Fraud trigger for REGISTER: indica il limite massimo di pacchetti SIP REGISTER con la stessa hash ricevuto in un range di 10 secondi. Quando questo limite viene superato l’indirizzo IP sorgente viene bloccato per 5 minuti
    • Fraud trigger for OPTIONS: indica il limite massimo di pacchetti SIP OPTIONS con la stessa hash ricevuto in un range di 10 secondi. Quando questo limite viene superato l’indirizzo IP sorgente viene bloccato per 5 minuti.
  • Settaggio SIP timer
    I timer SIP forniscono un meccanismo per la gestione della scadenza della sessione.
    • Invite Timeout : Timer in attesa di una nuova risposta finale (da 2xx a 6xx - ad esempio 200 OK) per INVITE. Questo timer viene utilizzato in modo che la transazione (chiamata) non venga lasciata appesa indefinitamente. Quando il timer scade SipFlare chiuderà la chiamata con un 404 Not found.
    • Initial Timeout : Timer in attesa della prima risposta provvisoria (1xx - es. 100 Trying). Nel gestire questo timer, SipFlare controlla se la chiamata è IN (sta arrivando da un UA esterno ed è diretta alla destination) o OUT (sta arrivando dalla destination e sta andando verso il UA esterno):
      • in caso di chiamata IN: quando questo timer scade, se una seconda destination è configurata, il meccanismo di failover si attiva e la chiamata viene inviata alla seconda destination presente nella lista. Questo timer è usato per determinare se la destination è viva. Quando il timer scade, se non ci sono altre destination da testare, SipFlare chiuderà la chiamata inviando un 404 Not found.
      • in caso di chiamata OUT: quando questo timer scade SipFlare chiuderà la chiamata inviando un 408 Request Timeout.

Esempio del meccanismo di antifrode
Poniamo che la soglia Fraud trigger for INVITE sia stata impostata a 10 e prendiamo questo pacchetto di INVITE come esempio

2021/01/01 00:00:00 79.3.2.1:65345 -> my.sipflare.com:5060
INVITE sip:3401234567@pbx.sipflare.cloud SIP/2.0
Via: SIP/2.0/UDP 79.3.2.1:65345;rport;branch=z9hG4bKPjN5bI4xUwAqbq
Max-Forwards: 70
From:;tag=JY90NcIzakDVDIo7wig
To: sip:3401234567@pbx.sipflare.cloud
...

L’hash che SipFlare crea (prendendo per assunto che l’id del customer a cui è destinata questa chiamata sia 1) è: 1+0409876543+34012345.
Se dovessero arrivare contemporaneamente 10 chiamate riconducibili allo stesso hash, SipFlare interromperebbe le 10 chiamate attive e bannerebbe l’IP 79.3.2.1 che è l’ip sorgente di questi pacchetti.


Domain

In questa sezione è possibile creare, visualizzare, modificare e cancellare i Domain.
SipFlare basa la sua multi-tenancy sull’utilizzo dei domini personalizzati; SipFlare analizza ogni richiesta SIP che riceve e comprende a che customer fa riferimento proprio grazie al Domain alla quale essa è destinata.
In questa sezione quindi per ogni customer bisognerà indicare quale dominio si vorrà utilizzare per ogni singolo Customer.
Il dominio da utilizzare può essere fornito dal cliente o può essere richiesto e fornito da SipFlare come dominio di 3° livello cosi composto nomecliente.sipflare.com.
In entrambi i casi, il dominio dovrà sempre essere un record CNAME con destinazione my.sipflare.cloud.

Nell’esempio seguente, per il Customer GiuseppeVerdi è stato richiesto a SipFlare la creazione di un dominio giuseppeverdi.sipflare.com, mentre nel caso del Customer MarioRossi, il client ha creato in autonomia il record CNAME sipflare.mariorossi.it presso il gestore del suo dominio.
Sia giuseppeverdi.sipflare.com che sipflare.mariorossi.it puntano sono record CNAME con destinazione my.sipflare.cloud.

Domain

Nel sotto-menù List of Domains è possibile visualizzare l’elenco di tutti i Domain creati e gestiti dall’utente che ha effettuato l’accesso. In questo elenco è possibile modificare ed eliminare i Domain.
Nel sotto-menù Add a Domain è possibile aggiungere e personalizzare un nuovo Domain.


Routing

In questa sezione è possibile creare, visualizzare, modificare e cancellare le regole di Routing.
SipFlare è un SBC che riceve pacchetti (che dovranno avere Request-URI pari al Domain definito nella sezione Domain) e spedisce pacchetti alla/e destinazione/i configurata/e in questa sezione.
La funzionalità avanzata di Routing di SipFlare è organizzata in 3 sotto-sezioni (Destination Group, Routing Group e Destination) e permette di definire delle regole tramite l'uso di REGEX per identificare una specifica SIP request, associarle ad un gruppo e definire una o più destinazioni per ogni gruppo.
Questa implementazione del modulo di routing permette un'alta granularità nella definizione delle regole, in modo da poter definire regole che si applicano a specifiche chiamate in base all'IP sorgente, all' User-agent, al From ed al To della singola SIP request.

Routing

Il concetto è quello di creare prima di tutto una destination group, poi andare a definire una o più routing rule da associare al destination group creato ed infine creare una o più destination in modalità priorità o Load-balancing che definiranno dove i singoli pacchetti SIP che matchano con le routing rule dovranno essere mandati.
Alla creazione del Customer, il sistema creerà in automatico il destination group con "destination group ID" pari ad 1; esso è il destination group di default e non è editabile ed eliminabile.

Le 3 sotto-sezioni sono così legate fra loro:

Routing Table

Destination Group

In questa sotto-sezione è possibile creare, visualizzare, modificare e cancellare i Destination Group.

Add Destination Group

Per ogni Destination Group è necessario indicare un nome e l'ID univoco del destination group. Ogni cliente ha a disposizione 9 destination group. Il Destination Group ID infatti può essere valorizzato con un numero interno da 1 a 9.

Routing Rule

In questa sotto-sezione è possibile creare, visualizzare, modificare e cancellare le regole di Routing.

Add Routing Group

Per ogni Routing Rule è necessario indicare:

  • Name: un nome identificativo della regola
  • SIP Header: il SIP header da varificare. Si può scegliere fra Request-URI, Source IP, User-Agent, From e To.
  • Value: indicare una REGEX che sarà utilizzata per identificare la SIP request
  • Priority: le Routing Rule funzionano con regole in modalità first-match (un pò come la nota utility di linux iptables) con priorità dalla più bassa alla più alta (una regola con priorità più bassa vince, ossia verrà analizzata prima, di una regola con priorità più alta).
  • Customer
  • Destination Group: indicare a quale Destination Group è legata questa regola. Questo legame è necessario per legare una Routing Rule ad una Destination (come visto nell'immagine delle tabelle)

Per aiutarti a compilare correttamente il campo Value con una REGEX che rispecchi le tue necessità, abbiamo messo a disposizione il pulsante "Check your REGEX".
Cliccando questo pulsante si apre un pop-up con un REGEX tester (Thanks to regex101.com) che ti permette di controllare se la REGEX che hai scritto matcha con i valori che trovi negli header SIP dei pacchetti che vuoi gestire.
Come vedi, quando clicchi il pulsante "Check your REGEX", il tester si apre con la stringa REGULAR EXPRESSION già popolata con quanto hai scritto nel campo Value; nel campo TEST STRING, come abbiamo fatto nell'esempio qui sotto, puoi scrivere quante stringhe vuoi e verificare se la tua REGEX le matcha.

Check Routing Group

Destination

In questa sotto-sezione è possibile creare, visualizzare, modificare e cancellare le regole di Destination.

Add Destination
In questa sezione quindi bisogna indicare, per singolo Destination Group, quale è la destinazione dei pacchetti che arrivano a SipFlare per quel Customer; si possono definire uno o più destinazioni (in formato IP o FQDN) che il SipFlare utilizzerà per instradare le richieste relative al customer e che matchano le eventuali Routing Rule. I protocolli utilizzabili sono UDP, TCP e TLS.

Come descritto nella sezione Customer, lavora in due modalità:

  • Modalità Load Balancing: in questa modalità, le chiamate sono distribuite equamente e randomicamente verso le destinazioni. In questa modalità il campo "priorità" non ha alcuna influenza.
  • Modalità priorità: in questa modalità, le chiamate sono sempre distribuite alla destinazione con priorità più alta; se la destinazione con priorità più alta non è raggiungibile, le chiamate saranno distribuite alla destinazione successiva. Se vuoi usare questa modalità devi configurare le tue destinazioni con priorità sequenziale, dalla più alta alla più bassa.

La preferenza della modalità di destinazione può essere impostata nelle preferenze Customer.
Nel sotto-menù List of Destinations è possibile visualizzare l’elenco di tutte le regole di Destination create e gestite dall’utente che ha effettuato l’accesso. In questo elenco è possibile modificare ed eliminare i Destination.
Nel sotto-menù Add a Destination è possibile aggiungere e personalizzare un nuova regola di destinazione.

Esempio di configurazione in Modalità Load Balancing
Dopo avere preventivamente impostato la modalità Load Balancing nelle impostazioni del customer, in questo esempio sono state create 2 regole di destination. Il traffico SIP quindi verrà suddiviso equamente nelle due destinazioni.

destination load-balancing

Esempio di configurazione in Modalità priorità
Dopo avere preventivamente impostato la modalità priorità nelle impostazioni del customer, in questo esempio sono state create 2 regole di destination con priority differente. Il traffico SIP quindi verrà spedito interamente alla destination pbx1.mariorossi.it; solo se la destination pbx1.mariorossi.it non è raggiungibile, le chiamate saranno distribuite alla destination la destination pbx2.mariorossi.it .

destination priorità

Il modulo routing è molto utile per coloro i quali hanno deciso di cambiare centrale telefonica ma non sanno come affrontare la MIGRAZIONE dalla vecchia alla nuova piattaforma di tutti gli account in modo “flessibile e sicuro”: con il modulo di routing e tramite la configurazioni di REGEX che ispezionano gli header dei pacchetti SIP si può effettuare una migrazione strutturata e sicura
Ad esempio potresti voler migrare prima tutti gli apparati Cisco: basterà creare una routing rule che matcha l'header SIP "User-Agent: Cisco" e associare questa routing rule alla destination che punta alla nuova centrale.


Firewall

In questa sezione è possibile creare, visualizzare, modificare e cancellare le regole di Firewall.
La funzionalità di firewall di SipFlare consente di andare a definire dei parametri che il pacchetto SIP in ingresso deve avere o non avere per essere accettato e inoltrato alla Destination.
Il firewall funziona con regole in modalità first-match (un pò come la nota utility di linux iptables) con priorità dalla più bassa alla più alta (una regola con priorità più bassa vince, ossia verrà analizzata prima, di una regola con priorità più alta).
Gli header SIP che possono essere analizzati dal firewall di SipFlare sono: Request-URI, Source IP, User-agent, From, To, allow (l’header SIP allow elencare l'insieme dei metodi supportati dall'UAS che genera il messaggio), supported (l’header SIP support è usato per elencare una o più opzioni implementate da un UA o da un server).

Nel sotto-menù List of Firewalls è possibile visualizzare l’elenco di tutte le regole di Firewall create e gestite dall’utente che ha effettuato l’accesso. In questo elenco è possibile modificare ed eliminare tali regole.
Nel sotto-menù Add a Firewall è possibile aggiungere e personalizzare un nuova regola di firewall indicando il Sip Header da analizzare, il Value (qui basta indicare una parola contenuta nella stringa che si vuole matchare; SipFlare trasformerà questa stringa in una REGEX), la priorità e l’azione da effettuare.

Add firewall

Nel campo Value puoi indicare una REGEX che sarà utilizzata per identificare la SIP request.

Per aiutarti a compilare correttamente il campo Value con una REGEX che rispecchi le tue necessità, abbiamo messo a disposizione il pulsante "Check your REGEX".
Cliccando questo pulsante si apre un pop-up con un REGEX tester (Thanks to regex101.com) che ti permette di controllare se la REGEX che hai scritto matcha con i valori che trovi negli header SIP dei pacchetti che vuoi gestire.
Come vedi, quando clicchi il pulsante "Check your REGEX", il tester si apre con la stringa REGULAR EXPRESSION già popolata con quanto hai scritto nel campo Value; nel campo TEST STRING, come abbiamo fatto nell'esempio qui sotto, puoi scrivere quante stringhe vuoi e verificare se la tua REGEX le matcha.

Check Routing Group

Una classica modalità d’uso del firewall di SipFlare è quella di abilitare il passaggio di alcuni User-Agent e bloccare tutti gli altri; questa configurazione si ottiene con queste regole

Firewall

Blocklist

In questa sezione è possibile creare, visualizzare, modificare e cancellare i Blocklist.
La funzionalità di Blocklist permette di definire una lista di prefissi telefonici verso i quali le chiamate non verranno instaurate.
Questo modulo è molto comodo per prevenire frodi basate su chiamate a destinazioni con sovrapprezzo.
Nel sotto-menù List of Blocklists è possibile visualizzare l’elenco di tutte le regole di Blocklist create e gestite dall’utente che ha effettuato l’accesso. In questo elenco è possibile modificare ed eliminare tali regole.
Nel sotto-menù Add a Blocklist è possibile aggiungere e personalizzare un nuova regola di Blocklist definendo il dominio per il quale è valida questa regola (deve essere pari ad uno dei domini definiti per questo Customer nella sezione Domain) ed il numero o prefisso da inibire.
In questo esempio gli utenti del Customer MarioRossi che utilizzano il dominio sipflare.mariorossi.it non sono abilitati ad effettuare chiamate verso numero che iniziano con 040.

Blocklist

Tools

In questa sezione è possibile accedere ai tools messi a disposizione degli utenti.

Tools

I tools messi a disposizione sono:

  • Banned IPs

    • In questa sezione è possibile visualizzare e cancellare gli IP che sono stati bannati dal sistema antifrode.
    L'utente potrà visualizzare l'elenco degli IP bannati relativi ai propri customer e cancellarli qualora fosse necessario.

    Banned IPs

  • Whitelist IPs

    • In questa sezione è possibile aggiungere e visualizzare gli IP presenti nella Whitelist.
    L'utente potrà aggiungere e visualizzare l'elenco degli IP in Whitelist relativi ai propri customer e cancellarli qualora fosse necessario.
    La funzionalità di Whitelist permette di inserire gli IP che si reputano fidati nella lista. Tutte le richieste SIP proveniente dagli IP presenti in questa lista verranno sempre accettate e non passeranno al vaglio dei controlli del sistema antifrode.
    Tutte le nuove destinazioni create/editate nella sezione destination vengono automaticamente aggiunte da SipFlare nella whitelist.

    Whitelist IPs