PDA

Voir la version complète : Postes Aastra/Mitel et OpenSSL



olppp
13/10/2015, 15h09
Bonjour,

Un petit retour d'expérience.
J'administre une solution comprenant 2 serveurs Asterisk 1.8.x + 1 serveur administration/fonctions annexes + 800 Aastra 6735i + 50 Thomson TB30S + 3 Aastra 6757i + VoP + des utilisateurs de softphones. Depuis la mi-juillet, je recevais des doléances ( un seul ticket !) par divers biais sur un problème de latence lors de l'établissement d'une communication, phénomène avéré après essais.
Pas de mise à jour des serveurs Asterisk ni des postes aastra en juillet.
Résultat des premiers tests : la latence ne se produit qu'en cas de directmedia = yes.
Une mise à jour du micro-logiciel sur quelques postes Aastra n'apporte pas d'amélioration.

Deuxièmes série de tests:
L'analyse des flux réseaux avec Wireshark montre un délai de 3,4 seconde entre le décroché et l'établissement des flux rtp en directmedia. Ce délai correspond à un temps de négociation anormalement long entre les postes et le serveur https qui sert les fonctions xml des postes Aastra.
Origine du problème: les mises à jour d'OpenSSL et d'Apache en juillet suite à la découverte de nombreuses failles de sécurité dans les protocoles de chiffrement.
Solution: trouver le meilleur cipher dans la liste des 18 supportés par les 6735i et l'inclure dans la liste des ciphers valides d'Apache.

Pour les 57i, pas de problème de latence, il ne peuvent pas se connecter en tls. La négociation de la connexion chiffrée se passe bien, mais après les requêtes vers Apache finissent systématiquement en error 408.

Site bien utile pour faire la correspondance entre les noms des ciphers Wireshark et Apache
https://wiki.mozilla.org/Security/Server_Side_TLS#Cipher_names_correspondence_table

Si ça peut aider :) !

A+