Das Netzwerk, in dem sich die STARFACE befindet bzw. dessen Sicherheitseinstellungen, muss die folgende Portnutzung der STARFACE berücksichtigen, wenn die zugrunde liegenden Funktionen genutzt werden sollen. Dies gilt insbesondere bei der Nutzung von Port-Forwarding, den Einstellungen einer Firewall oder der Nutzung von NAT.
Die Verantwortung für die Absicherung des Netzwerkes obliegt grundsätzlich dem Partner bzw. dem Netzwerkadministrator. Dieser muss entscheiden, welche der folgenden Ports, URLs und IP-Adressen für die individuelle Konfiguration freigegeben werden bzw. erreichbar sein müssen. Es können keine individuellen Empfehlungen zur Absicherung eines Netzwerkes ausgesprochen werden. Eine grundsätzliche Empfehlung ist jedoch, wann immer möglich, für den Zugriff auf die STARFACE bzw. das Netzwerk ein VPN zur zusätzlichen Absicherung einzurichten.
STARFACE PBX (Ports)
Port | Protokoll | Beschreibung |
---|---|---|
53 | UDP | DNS |
53 | TCP | DNS |
80 | TCP | Zugriff auf die Weboberfläche der STARFACE |
80 | TCP | Zugriff auf das REST Interface der STARFACE via http |
123 | UDP | Setzen / Abgleichen der Systemzeit über einen externen NTP-Server |
389 | LDAP | Unverschlüsselter Zugriff auf ein externes Adressbuch (siehe auch LDAP-Anbindung eines Adressbuches konfigurieren) |
443 | TCP | Zugriff auf die Weboberfläche der STARFACE via https |
636 | LDAP | Zugriff mit TLS auf ein externes Adressbuch (siehe auch LDAP-Anbindung eines Adressbuches konfigurieren) |
1902 | UDP | Benutzerauthentifizierung über Active Directory |
3090 | TCP | Aufbau und Nutzung des Anlagenverbunds |
3090 | UDP | Aufbau und Nutzung des Anlagenverbunds |
3478 | UDP | Nutzung des STUN Service |
5060 | UDP | Nutzung durch SIP (z.B. Gesprächsaufbau) |
5060 | TCP | Nutzung durch SIP (z.B. Gesprächsaufbau) |
5061 | TCP | TLS-Verschlüsselung in den STARFACE Desktop Apps und bei verschlüsselten Verbindungen zu einigen SIP-Providern |
5061 | UDP | TLS-Verschlüsselung in den STARFACE Desktop Apps und bei verschlüsselten Verbindungen zu einigen SIP-Providern |
5062 | UDP | SIP Registrierung |
5062 | TCP | SIP Registrierung |
5062 | UDP | Verbindung der STARFACE zu SIP Providern bei Nutzung von Kamailio |
5062 | TCP | Verbindung der STARFACE zu SIP Providern bei Nutzung von Kamailio |
5063 | TCP | SIP Registrierung / Verbindung der STARFACE zu SIP Providern bei Nutzung von Kamailio (Verschlüsselte Verbindung) |
10.000 bis 20.000 | UDP | eingehende RTP-Audiodaten |
1.025 bis 65.535 | UDP | ausgehende RTP-Audiodaten |
50080 | TCP | Autoprovisionierung von Endgeräten an der STARFACE |
50080 | TCP | Unverschlüsselter Zugriff auf die Telefonmenüs |
50081 | TCP | Autoprovisionierung von SNOM Endgeräten mit TLS |
Die Nutzung von TLS 1.0 und TLS 1.1 ist für die folgenden Ports nicht möglich, alle höheren Versionen von TLS werden unterstützt:
- 443
- 5061
- 5222
STARFACE PBX (Serveradressen)
Die folgenden Serveradressen müssen von der STARFACE PBX aus erreichbar sein:
Adresse | Port | Protokoll | Beschreibung |
---|---|---|---|
iplookup.starface.com | 80 | HTTP | Automatische Ermittlung der externen IP-Adresse der STARFACE |
license.starface.de | 80 | HTTP | Zugriff auf den Lizenzserver der STARFACE betreffend Abgleich der Lizenzen |
license.starface.de | 443 | HTTPS | Zugriff auf den Lizenzserver der STARFACE betreffend Abgleich der Lizenzen |
license.starface.de | 8383 | HTTPS | Zugriff auf den Lizenzserver der STARFACE betreffend Abgleich der Lizenzen |
siptrunk.de | 443 | HTTPS | Zugriff auf das Providerportal |
starface-cdn.de | 80 | HTTP | Zugriff auf Updates und die Firmwares der STARFACE |
starface-cdn.de | 443 | HTTPS | Zugriff auf Updates der STARFACE |
stun.starface.com | 3478 | UDP | Zugriff auf den STUN Server |
stun.teamfon.com | 3478 | UDP | Zugriff auf den STUN Server |
update.starface.de | 80 | HTTP | Zugriff auf Updates der STARFACE |
update.starface.de | 443 | HTTPS | Zugriff auf Updates der STARFACE |
www.starface-cdn.de | 80 | HTTP | Zugriff auf Updates der STARFACE |
www.starface-cdn.de | 443 | HTTPS | Zugriff auf Updates der STARFACE |
STARFACE Desktop Apps (Ports)
Die folgenden Ports müssen für die Nutzung der beiden STARFACE Desktop Apps in beiden Richtungen zwischen STARFACE und Desktop App freigegeben sein:
Port | Protokoll | Beschreibung |
---|---|---|
443 | TCP | Zugriff auf grundlegende Funktionen |
443 | HTTPS | Zugriff auf das Adressbuch der STARFACE |
554 | UDP | RTSP Streams |
5060 | UDP | Autoprovisionierung der Server-Adresse |
5061 | TCP | Aufbau des SIP-Gesprächs mit TLS Verschlüsselung |
5222 | TCP | Anmeldung am XMPP-Server der STARFACE |
8554 | TCP | RTSP Streams |
10.000 bis 20.000 | UDP | eingehende RTP-Audiodaten |
1.025 bis 65.535 | UDP | ausgehende RTP-Audiodaten |
Zusätzlich muss die korrekte Konfiguration des Hostnamen, der XMPP Domain und der verwendeten Serveradresse auf der STARFACE sichergestellt sein.
STARFACE Mobile Apps (Ports)
Die folgenden Ports müssen für die Nutzung der beiden STARFACE Desktop Apps in beiden Richtungen zwischen STARFACE und Desktop App freigegeben sein:
Port | Protokoll | Beschreibung |
---|---|---|
80 | TCP | Zugriff auf das Adressbuch der STARFACE |
443 | TCP | Zugriff auf grundlegende Funktionen. |
5060 | UDP | Nutzung durch SIP (z.B. Gesprächsaufbau) |
5061 | TCP | TLS-Verschlüsselung |
5222 | TCP | Anmeldung am XMPP-Server der STARFACE |
10.000 bis 20.000 | UDP | eingehende RTP-Audiodaten |
1.025 bis 65.535 | UDP | ausgehende RTP-Audiodaten |
STARFACE Mobile Apps (Serveradressen)
Der folgende DNS Eintrag muss via Port 443 für die STARFACE und die beiden Mobile Apps erreichbar sein, damit die Funktionalität der beiden STARFACE Mobile Apps gewährleistet ist:
- push-cluster.starface.de
Die IP-Adressen, die sich hinter der Subdomain verbergen sind auch immer aktuell in der folgenden online verfügbaren Textdatei aufgelistet:
https://feed.starface.io/push.txt
Die folgende Adresse muss via HTTPS über für beide Apps via Port 443 erreichbar sein, damit die Funktionalität der Apps gewährleistet ist:
- starface-cdn.de
Zusätzlich muss die korrekte Konfiguration des Hostnamen, der XMPP Domain und der verwendeten Serveradresse auf der STARFACE sichergestellt sein.
STARFACE Connect (Ports und Serveradressen)
Die folgende Subdomain muss von der STARFACE PBX aus erreichbar sein, wenn eine STARFACE Connect Leitung genutzt werden soll:
cluster.starface-connect.com
Die IP-Adressen, die sich hinter der Subdomain verbergen sind auch immer aktuell in der folgenden online verfügbaren Textdatei aufgelistet:
https://feed.starface.io/connect.txt
Sollte die Nutzung der Subdomain oder der online verfügbaren Textdatei nicht möglich sein, können auch die folgenden IP-Adressen in der Firewall eingetragen werden:
- 212.79.220.34
- 212.79.220.35
- 212.79.220.36
- 212.79.220.37
- 212.79.220.46
- 212.79.220.47
- 212.79.220.43
- 212.79.220.44
- 212.79.220.45
- 212.79.220.132
- 212.79.220.134
- 212.79.220.135
- 212.79.220.136
STARFACE NEON (Ports und Serveradressen)
Es wird eine Bandbreite von 6 Mbit/s Downstream und 3 Mbit/s Upstream benötigt.
Die folgenden Ports müssen freigegeben sein für den jeweils einzelnen Arbeitsplatz (PC oder MAC):
Port | Protokoll | Beschreibung |
---|---|---|
443 | TCP | Web Socket |
443 | HTTPS | Zugriff auf die Oberfläche via HTTPS |
40.000 bis 60.000 | UDP | RTP Streams |
Der Port 443 muss zusätzlich auf die folgenden Zieladressen zugreifen können:
- meeting.starface-neon.com
- cluster.starface-neon.com
- start.starface-neon.com
Die Ports 40.000 bis 60.000 müssen zusätzlich auf die folgenden Zieladressen zugreifen können:
- cluster.starface-neon.com
Die IP-Adressen, die sich hinter der Subdomain verbergen sind auch immer aktuell in der folgenden online verfügbaren Textdatei aufgelistet:
https://feed.starface.io/neon.txt
Sollte die Nutzung der Subdomain oder der online verfügbaren Textdatei nicht möglich sein, können auch die folgenden IP-Adressen in der Firewall eingetragen werden:
Telefone des Herstellers Yealink an der STARFACE Cloud
Sollen Telefone des Herstellers Yealink an eine STARFACE Cloud angebunden werden über das Partnerportal der Firma Starface (siehe auch Erklärung zu der STARFACE Provisionierung), müssen die Yealink Telefone die folgenden Hosts erreichen können
- dm.yealink.com
- api-dm.yealink.com
- rps.yealink.com
- rpscloud.yealink.com
- pscloud.yealink.com
Dabei müssen die folgenden Ports freigegeben sein für die oben aufgeführten Hosts:
- 80
- 443
- 8443
- 8445
- 8446
- 9989