Asterisk. Телефонное оборудование и безопасность

• Asterisk. Уровень 2. Телефонное оборудование и безопасность

• Узнать свой номер стенда
• Удалить виртуалки
• Удалить профили putty
• Отключить не используемые адаптеры
• Записать логин пароль и IP (сообщить преподавателю) рабочей станции
• Проверить наличие дистрибутивов и образов

• Базовая схема компьютерной сети предприятия
• Базовая схема телефонии предприятия

• Скрипты автоконфигурации

будущий_gate# sh conf/net_gate.sh

будущий_gate# init 6

будущий_server# sh conf/net_server.sh

будущий_server# init 6

gate# sh conf/dhcp.sh

server# sh conf/dns.sh

• Настройка IP протокола на использование DHCP

C:\> ipconfig /release

C:\> ipconfig /renew

gate# dhcp-lease-list

gate# ip n

• Установка
• Настройка CHAN_SIP каналов
• Настройка базового плана нумерации
• Самостоятельная работа “Ручная” настройка пользовательского оборудования SIP Phone Panasonic KX-HDVXXX (Настройка через WEB интерфейс) на номер 401

• Перечислите варианты, позволяющие узнать IP адрес, полученный оборудованием?

• IP-телефон
• Телефонные платы расширения
• Digium Telephony Cards
• VoIP-шлюз

• FXS (Foreign Exchange Station или Subscriber)
• FXO (Foreign eXchange Office)
• Loop start (often called kewlstart)
• Мультиплексирование с разделением по времени
• ISDN (Integrated Services Digital Network)
• Интерфейс первичного уровня (Primary Rate Interface, PRI)
• Q.931 - протокол управления соединениями для цифровой телефонии ISDN

• Офисная АТС, учрежденческая АТС (УАТС)
• IP-АТС, IP-УАТС (IP-PBX, от Internet Protocol и Private Branch Exchange)

• Эрланг (обозначение Эрл) — безразмерная единица интенсивности нагрузки

Сценарий: Забыли про номерной план 4XX!!! В компании используется аналоговая ATC с номерным планом 1XX, разворачиваем рядом Asterisk, и переводим отдельных абонентов на более высокий класс обслуживания с помощью персональных шлюзов.

Методическая рекомендация: Выполнять лабораторную работу в два этапа, отдельно для интерфейсов FXS и FXO

• 2.1.1 Переключение телефона 1XX сотрудника на Asterisk и предоставление ему услуг

server# cat /etc/asterisk/sip.conf

...
[101+X]
type=friend
secret=tpassword101+X
host=dynamic

gate# dhcp-lease-list

• Включение WEB интерфейса на WAN интерфейсе (Узнать назначенный устройству IP адрес)
• Настройка VoIP параметров
• Подключение к VoIP (Шаблон конфигурации для осуществления исходящих вызовов)
• Сервис FollowMe (Переадресация вызовов на внешний номер)

server# cat /etc/asterisk/extensions.conf

См. /* возможно, стоит переделать с использованием макросов */ комментарий

...
exten => 101+X,1,Dial(SIP/${EXTEN},10)
      same => n,FollowMe(${EXTEN})
      
;exten => 101+Y,1,Dial(SIP/${EXTEN},10)
;      same => n,FollowMe(${EXTEN})
...

• 2.1.2 Соединение телефонов 1XX, подключенных к Asterisk с телефонами, подключенными к АТС

server# cat /etc/asterisk/sip.conf

...
[fxo101+X]
type=friend
secret=fpassword101+X
host=dynamic

server# cat /etc/asterisk/extensions.conf

...
exten => _1XX/101+X,1,Dial(SIP/fxo101+X/${EXTEN})

;exten => _1XX/101+Y,1,Dial(SIP/fxo101+Y/${EXTEN})

• Linksys SPA-3102 (Настройка FXO/LINE/PSTN Line)

• Локализация временной зоны
• Регистрация сообщений, переданных по сети в Linux
• Linksys SPA-3102 Отладка через Syslog

Сценарий: Делаем Linksys из Asterisk и Платы Digium TDM

• Плата Digium TDM

Методическая рекомендация: проверку доступности стойки со стендов слушателей можно совместить с первой половиной (многопортовый FXS шлюз) следующей работы

Для системы server использовать алиасы и адрес 192.168.1.10/24

Для системы host (win у прохода) использовать адрес 192.168.X.5/24
плюс дополнительный адрес 192.168.1.5/24 на LAN 
(!!! сделать, чтобы не было два default и зависимости от gate)

Для системы client1 оставить dhcp (поможет в отладке лабы provisioning для spa3102)

• Debian/Ubuntu: Статическая настройка параметров
• Настройка IP параметров TAU-32M.IP
• Настройка IP параметров SMG-1016

Сценарий : В компании используется аналоговая ATC с номерным планом 1XX, разворачиваем рядом Asterisk, и переводим отдельных абонентов на более высокий класс обслуживания с помощью многопортового шлюза с FXO/FXS интерфейсами.

Примечание:

• Закомментировать все элементы конфигурации, относящиеся к spa3102
• К линиям на столах слушателей подключены телефоны, которые играют роль абонентов Asterisk с номерами 103 … 108, подключенными к порты FXS 3..8. Их линии ATC подключаются к портам FXO 11..16
• В 109-ю линию включается телефон преподавателя - абонент классической PBX
• Методически преподавтель показывает все этапы, слушатели делают окончательный вариант
• Для тестирования доступности оборудования в стойке, при ее передаче, убрать на шлюзе алиас 192.168.1.1/24

Конфигурация:

• TAU-32M.IP Настройка параметров SIP и плана номеров

server# cat /etc/asterisk/sip.conf

;[101+X]
;...
...
;[fxo101+X]
;...
...
[tau32m]
type=peer
host=192.168.1.2
;directmedia=no

• TAU-32M.IP Настройка FXS интерфейсов
• TAU-32M.IP Настройка FXO интерфейсов для звонков PBX->TAU32->SIP
• TAU-32M.IP Настройка FXO интерфейсов для звонков SIP->TAU32->PBX

server# cat /etc/asterisk/extensions.conf

...
;exten => _1XX,1,Dial(SIP/${EXTEN},10)
;...

;exten => _1XX/101+X,1,Dial(SIP/fxo101+X/${EXTEN})

exten => _1XX,1,Dial(SIP/tau32m/${EXTEN},10)
;      same => n,NoOp(${DIALSTATUS})

      same => n,GotoIf($["${DIALSTATUS}" = "CHANUNAVAIL"]?call_pbx)   

      same => n,FollowMe(${EXTEN})
      same => n,Hangup()
      
      same => n(call_pbx),Dial(SIP/tau32m/fxo${CALLERID(num)},,D(ww${EXTEN}))
...

• Подготовительное задание: Шаблон конфигурации для обработки входящих вызовов

Демонстрирует преподаватель, поскольку конфигурация не отличается от ранее выполненных заданий. !!! На преподавательском астериске, убедиться что шлюзы с него видны!!!

Общий сценарий: Старую АТС выключили. В компанию приходит несколько городских линий для абонентов 4XX.

Сценарий 1: Подключаем несколько (2-3) городских линий 84951234560+X к Asterisk с помощью однопортовых шлюзов слушателей с FXO интерфейсом. Телефон на столе преподавателя (84951234560) и телефоны слушателей, шлюзы которых не используются, играют роль абонентов PSTN. Так же, нужно добавить функционал отправки вызова обратно в город (на телефон слушателя) в случае отсутствия ответа.

• Настройка параметров аналоговой линии (Демонстрация важности настройки Disconnect Tone)

server# cat /etc/asterisk/sip.conf

...
[pstn2]
type=friend
secret=ppassword2
host=dynamic

[pstn3]
type=friend
secret=ppassword3
host=dynamic

[pstn4]
type=friend
secret=ppassword4
host=dynamic

server# cat /etc/asterisk/extensions.conf

...
exten => _8XXXXXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})
exten => _8XXXXXXXXXX,n,Dial(SIP/pstn2/${EXTEN})
exten => _8XXXXXXXXXX,n,Dial(SIP/pstn3/${EXTEN})
exten => _8XXXXXXXXXX,n,Dial(SIP/pstn4/${EXTEN})
...
exten => frompstn,1,Dial(SIP/401&SIP/402,10)
       same => n,Goto(default,84951234565,1)
...

• Linksys SPA-3102 (Настройка FXO/LINE/PSTN Line)

Сценарий 2: Подключаем городские линии Asterisk с помощью много-портового шлюза с FXO интерфейсами.

Реализация:

• Номера 84951234560 и 84951234561 играют роль городских линий, пришедших в офис и подключаются к портам FXO 9 и 10, которые объединяются в fxogroup 84951234569 (выдуманный номер, играющий роль общего номера для обоих линий).
• Телефонные линии слушателей 84951234560+X включены в телефоны играют роль абонентов PSTN
• Звонок из города, производится на любой из номеров 84951234560 или 84951234561 эмулируя передачу телефонным оператором вызова номера 84951234569 в свободную линию клиента.
• Звонок в город производится с телефона 402 преподавателя (два параллельных звонка с двух каналов)

Конфигурация:

• TAU-32M.IP Объединение FXO интерфейсов в группу для звонков SIP->TAU32->PBX

server# cat /etc/asterisk/extensions.conf

...
exten => _8XXXXXXXXXX,1,Dial(SIP/tau32m/84951234569,,D(ww${EXTEN}))
...
exten => 84951234569,1,Dial(SIP/401&SIP/402,10)
;       same => n,Goto(default,84951234567,1)
...

Сценарий: В компании используется классическая ATC с PRI интерфейсом, разворачиваем рядом Asterisk, новые IP телефоны, план нумерации для них. Соединяем абонентов старой АТС и Asterisk с помощью шлюза с PRI интерфейсом. Программируем в классической ATC транк в номерной план Asterisk через PRI интерфейс.

• SMG-1016

server# cat /etc/asterisk/sip.conf

...
;[tau32m]
; ...
...
[smg1016]
type=peer
host=192.168.1.3
;directmedia=no

server# cat /etc/asterisk/extensions.conf

...
;exten => _1XX,1,Dial(SIP/tau32m/${EXTEN})
;...
...
exten => _1XX,1,Dial(SIP/smg1016/${EXTEN})
...
exten => _8XXXXXXXXXX,1,Dial(SIP/smg1016/${EXTEN})
...

• Настройка SIP каналов

server# cat /etc/asterisk/sip.conf

...
;[101+X]
; ...
...
[403]
type=friend
secret=tpassword403
host=dynamic

[404]
type=friend
secret=tpassword404
host=dynamic

• Мониторинг текущего состояния абонента (BLF) (поддержка должна быть включена до настройки в телефоне)
• Для дополнительных кнопочных панелей требуется внешний блок питания

• Сервис DHCP Стандартная конфигурация Проверка конфигурации и запуск
• Сервис ТFTP
• Установка и запуск сервера Apache

gate# dhcp-lease-list

• Использование Provisioning для Cisco 7912
• Использование Provisioning для Linksys SPA-3102
• Использование Provisioning для SIP Phone Panasonic KX-HDVXXX
• Использование Provisioning для Digium D40

server# tcpdump -n -e -s0 -A host 192.168.X.IPPHONE

• Linksys SPA-3102 Восстановление фабричных настроек
• SIP Phone Panasonic KX-HDVXXX Сброс к заводским установкам

• Интеграция с Microsoft AD и LDAP
• Provisioning

• Плата OpenVox D130

• В чем разница между FXO и FXS интерфейсами?
• Чем отличаются сети с коммутацией пакетов от сетей с коммутацией каналов?
• Какая формула используется для расчета необходимого количества телефонных линий?
• Какое сообщение используется в PRI для инициализации исходящего вызова?
• Как определить, поддерживает ли оборудование Provisioning?
• В каком файле хранится конфигурация драйвера для телефонной платы?

• Трансляция сетевых адресов (NAT) и SIP
• Asterisk 11 за NAT, нет звука в одну сторону, нет слышимости... Что делать?
• Симметричный RTP
• Варианты расположения VoIP участников с точки зрения NAT и FIREWALL
• Особенности протоколов сигнализации SIP и IAX с точки зрения NAT и FIREWALL
• Элементы конфигурации Asterisk с точки зрения NAT и FIREWALL

• Подключение Asterisk к Asterisk по протоколу IAX

или, для видеозвонков:

• Видеозвонки
• Настройка базового функционала IP PBX для подключение Asterisk к Asterisk по протоколу SIP
• Настройка плана нумерации

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

• Отключаем маршруты в сети слушателей
• Настраиваем NAT (Трансляция на основе адреса отправителя)

voip1.un# cat /etc/asterisk/sip.conf

...
[000001]
...
;nat=yes
nat=force_rport,comedia
;canreinvite=no
directmedia=no
qualify=yes
...
[000006]
...
;nat=yes
nat=force_rport,comedia
qualify=yes
;canreinvite=no
directmedia=no
...

server# service asterisk restart

!!!Примечание!!!

Эксперимент работает не сразу, попробовать

• pfctl -F states на voip1.un
• отключить windows firewall на host системе

server# cat /etc/asterisk/sip.conf

[general]
...
localnet=192.168.1.0/255.255.255.0
localnet=192.168.X.0/255.255.255.0

;;externip=172.16.1.X
;externaddr=172.16.1.X:6050
externaddr=172.16.1.X
;;defaultexpiry=60
...
[voip1_00000X]
...
nat=comedia
qualify=yes
directmedia=no
...

• Asterisk and Phones Connecting Through NAT to an ITSP
• Настройка RES_PJSIP каналов

• Трансляция портов сервисов
• Настраиваем DNS View (Финальная настройка DNS сервера)

!!!Примечание!!!

На преподавательской системе прописать маршруты в сети слушателей (из-за сети 192.168.1.5/24)

server# cat /etc/asterisk/sip.conf

...
[402]
...
nat=force_rport,comedia
directmedia=no
qualify=yes
...
[corpY]
...
nat=force_rport,comedia
directmedia=no
;;qualify=yes
...

• Достаточно перезапустить сервисы Asterisk для вступления в силу новых параметров DNS (см. /etc/asterisk/dnsmgr.conf)

server# service asterisk restart

• Верно ли, что для получения входящих вызовов от VoIP провайдера Asterisk должен иметь публичный адрес?
• Перечислите, какие задачи решают директивы конфигурации nat, directmedia, qualify, localnet/externip?
• Когда требуется открывать доступ к Asterisk из внешней сети?
• В каком файле конфигурации Asterisk можно указать диапазон портов для голосового трафика?
• Что должны разрешать правила в пакетном фильтре для передачи голосового трафика?
• Что должны разрешать правила в пакетном фильтре для передачи SIP сигнализации?

• "Voip hackers runs up a phone bill worth $120,000".

• Поддерживаемые версии
• Список проблем безопасности

• Сервис Asterisk (Зашита от несанкционированного использования)
• SIPVicious security tools

• SIP авторизация и MD5
• Использование хешей паролей для каналов типа user

gate# dhcp-lease-list

server# tcpdump -n -e -s0 -A host 192.168.X.IPPHONE and port 80

server# cd /var/www/html/

server# mv -v spa-000E08NNNNNN.cfg /root/

• Использование алгоритмов симметричного шифрования
• Linksys SPA-3102 Безопасное распространение файлов конфигурации
• Linksys SPA-3102 Восстановление фабричных настроек

• Создание самоподписанного сертификата для системы server.corpX.un
• Поддержка протокола HTTPS
• SIP Phone Panasonic KX-HDVXXX Использование Provisioning

• Требует телефона с поддержкой TLS SRTP, например - ZoIPer 3.15 (требует добавление самоподписанного сертификата в систему) или PhonerLite (принимает самоподписанный сертификат)
• Прослушивание голосового трафика (на gate, Утилита Wireshark, Публичный каталог доступный на запись)

gate# tcpdump -ni eth1 -s0 -w file1.dmp 

• Создание самоподписанного сертификата для системы server.corpX.un
• Использование TLS в Asterisk

• https://val.bmstu.ru/unix/voip/python-2.7.10.msi
• https://val.bmstu.ru/unix/voip/sipvicious-0.2.8.zip

C:\bin\sipvicious-0.2.8>svmap.py 172.16.1.1-172.16.1.254

C:\>c:\Python27\python.exe C:\sipvicious-0.2.8\svmap.py 172.16.1.1-172.16.1.10
...

• Сокрытие версии

server# cat /etc/asterisk/sip.conf

[general]
...
autocreatepeer=no
...

server# asterisk -rx 'sip show settings' | grep AutoCreate

  AutoCreate Peer:        Off

!!! Для демонстрации необходимо установить струю версию ZoIPer !!!

server# cat /etc/asterisk/sip.conf

[general]
...
allowguest=no
...

server# asterisk -rx 'sip show settings' | grep unknown

  Allow unknown access: Yes

c:\Python27\python.exe C:\sipvicious-0.2.8\svwar.py --force -e100-999 172.16.1.X
...
server# asterisk -rx 'sip show settings' | grep rejects

  Always auth rejects: No

server# cat /etc/asterisk/sip.conf

[general]
...
alwaysauthreject=yes
...

server# cat /etc/asterisk/sip.conf

...
[401]
secret=1234
...

C:\bin\sipvicious-0.2.8>svcrack.py -u401 -r1-9999 -z4 172.16.1.X

C:\bin\sipvicious-0.2.8>svcrack.py -u401 -d passwd.txt 172.16.1.X

• Использование шаблонов в именах CHAN_SIP каналов

server# cat /etc/asterisk/sip.conf

[general]
...
context=default
...
subscribecontext=blf
...
[office](!)
context=from-office
...

[internet](!)
context=from-internet
...

[401]
context=from-office
...
[402]
context=from-internet
...
[403]
context=from-office
...
[404]
context=from-office
...
[voip1_00000X]
context=incoming
...

server# cat /etc/asterisk/iax.conf

...
[corpY]
;type=user
context=from-corp
...

server# cat /etc/asterisk/extensions.conf

[default]

exten => _X.,1,Playback(vm-goodbye)
exten => _X.,n,Hangup()

[blf]
exten => _4XX,hint,SIP/${EXTEN}

[from-office]
include => to-office
include => to-corp
include => to-pstn

[from-internet]
include => to-office
include => to-corp

[from-corp]
include => to-office

[to-office]
;exten => _1XX ...

exten => 301 ...

exten => _4XX ...

[to-corp]
exten => _00Y[41]XX,1,Set(CALLERID(num)=00X${CALLERID(num)})
exten => _00Y[41]XX,n,Dial(IAX2/corpY/${EXTEN:3})

[to-pstn]
exten => _8XXXXXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})

[incoming]
exten => voip1_00000X,1,Dial(SIP/401&SIP/402&SIP/403&SIP/404)

• Сервис FollowMe (Переадресация вызовов на внешний номер)

server# cat /etc/asterisk/extensions.conf

...
[to-pstn]
;!!! Authenticate !!!

exten => _89XXXXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})

exten => _8495XXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})

exten => _8499XXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})
...

• Финальная настройка DNS сервера
• Трансляция портов сервисов

# nslookup -q=SRV _sip._udp.corpX.un

• Сервис Fail2ban

• Почему не рекомендуется использовать решения VPN для IP телефонии?
• На что следует обратить внимание при настройке защиты Asterisk в первую очередь?
• Что определяют параметры конфигурации autocreatepeer, allowguest, alwaysauthreject в конфигурации Asterisk?

• Настройка базового функционала IP PBX

gate# dhcp-lease-list

• Базовая станция DECT KX-UDS124
• Микросотовый терминал KX-UDTXXX