• Asterisk. Уровень 2. Телефонное оборудование и безопасность

• Узнать свой номер стенда

• Базовая схема компьютерной сети предприятия
• Базовая схема телефонии предприятия

Запустите с правами Administrator

C:\cmder\Cmder.exe

λ bash

λ cd

λ test -d conf && rm -rf conf

λ git clone http://val.bmstu.ru/unix/conf.git

λ cd conf/virtualbox/

!!! 2 - это номер курса, вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!

λ ./setup.sh X 2

• Настройка виртуальных систем Unix с использованием Скрипты автоконфигурации

• Настройка host системы, интерфейс LAN: 192.168.X.29/24

• gate: Адаптер1-eth0-LAN, Адаптер2-eth1-WAN

# sh net_gate.sh

# init 6

• server: Адаптер1-eth0-LAN

# sh net_server.sh

# init 6

• Создать в Putty профили gate, server и подключиться

• Сервис DHCP

gate:~# sh conf/dhcp.sh

• Финальная настройка DNS сервера

server:~# sh conf/dns.sh

• Настройка клиента DNS на gate и server

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

# nslookup ns

• Установка
• Настройка CHAN_SIP каналов
• Настройка базового плана нумерации

• Самостоятельная работа “Ручная” настройка пользовательского оборудования SIP Phone Panasonic KX-HDVXXX (Настройка через WEB интерфейс) на номер 401

• Импорт VM Windows10, включение
• Настройка WAN, IP/M 172.16.1.100+X/24, G: 172.16.1.254, DNS: 192.168.X.10
• Подключение ZoIPer к каналу 402

• Перечислите варианты, позволяющие узнать IP адрес, полученный оборудованием?

• IP-телефон
• Телефонные платы расширения
• Digium Telephony Cards
• VoIP-шлюз

• FXS (Foreign Exchange Station или Subscriber)
• FXO (Foreign eXchange Office)
• Loop start (often called kewlstart)
• Мультиплексирование с разделением по времени
• ISDN (Integrated Services Digital Network)
• Интерфейс первичного уровня (Primary Rate Interface, PRI)
• Q.931 - протокол управления соединениями для цифровой телефонии ISDN

• Офисная АТС, учрежденческая АТС (УАТС)
• IP-АТС, IP-УАТС (IP-PBX, от Internet Protocol и Private Branch Exchange)

• Эрланг (обозначение Эрл) — безразмерная единица интенсивности нагрузки

Статья: Возможности IP телефонии для мобильных пользователей

Сценарий: Забыли про номерной план 4XX!!! В компании используется аналоговая ATC с номерным планом 1XX, разворачиваем рядом Asterisk, и переводим отдельных абонентов на более высокий класс обслуживания с помощью персональных шлюзов.

Методическая рекомендация: Выполнять лабораторную работу в два этапа, отдельно для интерфейсов FXS и FXO

• 2.1.1 Переключение телефона 1XX сотрудника на Asterisk и предоставление ему услуг

• Демонстрирует преподаватель

server# cat /etc/asterisk/sip.conf

...
[101]
type=friend
secret=tpassword101
host=dynamic

;[102]
...

gate# dhcp-lease-list

• Включение WEB интерфейса на WAN интерфейсе (Узнать назначенный устройству IP адрес)
• Настройка VoIP параметров

• Делаем все
• Подключение к VoIP - Шаблон конфигурации для осуществления исходящих вызовов и параметры NAT из Настройка CHAN_SIP каналов
• Сервис FollowMe (Переадресация вызовов на внешний номер), настроить для 401-го на свой мобильный и протестировать

• Демонстрирует преподаватель

server# cat /etc/asterisk/extensions.conf

...
exten => 101,1,Dial(SIP/${EXTEN},10)
      same => n,FollowMe(${EXTEN})
      
;exten => 102,1,Dial(SIP/${EXTEN},10)
;      same => n,FollowMe(${EXTEN})
...

• 2.1.2 Соединение телефонов 1XX, подключенных к Asterisk с телефонами, подключенными к АТС

server# cat /etc/asterisk/sip.conf

...
[fxo101]
type=friend
secret=fpassword101
host=dynamic

;[fxo102]
...

server# cat /etc/asterisk/extensions.conf

...
exten => _1XX/101,1,Dial(SIP/fxo101/${EXTEN})

;exten => _1XX/102,1,Dial(SIP/fxo102/${EXTEN})

• Linksys SPA-3102 (Настройка FXO/LINE/PSTN Line)

Сценарий: Делаем Linksys из Asterisk и Платы Digium TDM

• Демонстрирует преподаватель

• Плата Digium TDM

• Демонстрирует преподаватель

• Для системы host использовать дополнительный адрес 192.168.1.29/24
• Debian/Ubuntu: Статическая настройка параметров (алиас 192.168.1.10/24)
• Настройка IP параметров TAU-32M.IP
• Настройка IP параметров SMG-1016

Сценарий : В компании используется аналоговая ATC с номерным планом 1XX, разворачиваем рядом Asterisk, и переводим отдельных абонентов на более высокий класс обслуживания с помощью многопортового шлюза с FXO/FXS интерфейсами.

• Демонстрирует преподаватель

Примечание:

• Выключить интерфейсы FXO и FXS в spa3102
• Удалить все элементы конфигурации, относящиеся к spa3102
• Линии с номерами 101 …, подключенны к портам FXS 1 … Их линии ATC подключаются к портам FXO 9 …
• В 109-ю линию включается телефон - абонент классической PBX
• Методически показываеть все этапы отдельно

Конфигурация:

• TAU-32M.IP Настройка параметров SIP и плана номеров

server# cat /etc/asterisk/sip.conf

;[101]
;...
...
;[fxo101]
;...
...
[tau32m]
type=peer
host=192.168.1.2
;directmedia=no

• TAU-32M.IP Настройка FXS интерфейсов
• TAU-32M.IP Настройка FXO интерфейсов для звонков PBX->TAU32->SIP
• TAU-32M.IP Настройка FXO интерфейсов для звонков SIP->TAU32->PBX

server# cat /etc/asterisk/extensions.conf

...
;exten => _1XX,1,Dial(SIP/${EXTEN},10)
;...

;exten => _1XX/101+X,1,Dial(SIP/fxo101+X/${EXTEN})

exten => _1XX,1,Dial(SIP/tau32m/${EXTEN},10)
;      same => n,NoOp(${DIALSTATUS})

      same => n,GotoIf($["${DIALSTATUS}" = "CHANUNAVAIL"]?call_pbx)   

      same => n,FollowMe(${EXTEN})
      same => n,Hangup()
      
      same => n(call_pbx),Dial(SIP/tau32m/fxo${CALLERID(num)},,D(ww${EXTEN}))
...

• Делаем все

• Подготовительное задание: Шаблон конфигурации для обработки входящих вызовов

• Демонстрирует преподаватель

Общий сценарий: Старую АТС выключили. В компанию приходит несколько городских линий для абонентов 4XX.

Сценарий 1: Подключаем несколько городских линий 84951234560 … к Asterisk с помощью однопортовых шлюзов с FXO интерфейсом. Телефоны 84951234564 … играют роль абонентов PSTN. Так же, нужно добавить функционал отправки вызова обратно в город, в случае отсутствия ответа.

server# cat /etc/asterisk/sip.conf

...
[pstn0]
type=friend
secret=ppassword0
host=dynamic

[pstn1]
type=friend
secret=ppassword1
host=dynamic

;[pstn2]
;...

server# cat /etc/asterisk/extensions.conf

...
;exten => _8XXXXXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})

exten => _8XXXXXXXXXX,1,Dial(SIP/pstn0/${EXTEN})
exten => _8XXXXXXXXXX,n,Dial(SIP/pstn1/${EXTEN})
;exten => _8XXXXXXXXXX,n,Dial(SIP/pstn2/${EXTEN})
...
exten => frompstn,1,Dial(SIP/401&SIP/402,10)
       same => n,Goto(default,84951234565,1)
...

• Linksys SPA-3102 (Настройка FXO/LINE/PSTN Line)
• Просмотр текущих звонков
• Настройка параметров аналоговой линии (Демонстрация важности настройки Disconnect Tone)

Сценарий 2: Подключаем городские линии Asterisk с помощью много-портового шлюза с FXO интерфейсами.

Реализация:

• Номера 84951234560 и 84951234561 играют роль городских линий, пришедших в офис и подключаются к портам FXO 9 и 10, которые объединяются в fxogroup 84951234569 (выдуманный номер, играющий роль общего номера для обоих линий).
• Телефонные линии слушателей 84951234560+X включены в телефоны играют роль абонентов PSTN
• Звонок из города, производится на любой из номеров 84951234560 или 84951234561 эмулируя передачу телефонным оператором вызова номера 84951234569 в свободную линию клиента.
• Звонок в город производится с телефона 402 преподавателя (два параллельных звонка с двух каналов)

Конфигурация:

• TAU-32M.IP Объединение FXO интерфейсов в группу для звонков SIP->TAU32->PBX

server# cat /etc/asterisk/extensions.conf

...
exten => _8XXXXXXXXXX,1,Dial(SIP/tau32m/84951234569,,D(ww${EXTEN}))
...
exten => 84951234569,1,Dial(SIP/401&SIP/402,10)
;       same => n,Goto(default,84951234567,1)
...

Сценарий: В компании используется классическая ATC с PRI интерфейсом, разворачиваем рядом Asterisk, новые IP телефоны, план нумерации для них. Соединяем абонентов старой АТС и Asterisk с помощью шлюза с PRI интерфейсом. Программируем в классической ATC транк в номерной план Asterisk через PRI интерфейс.

• Демонстрирует преподаватель

• SMG-1016

server# cat /etc/asterisk/sip.conf

...
;[tau32m]
; ...
...
[smg1016]
type=peer
host=192.168.1.3
;directmedia=no

server# cat /etc/asterisk/extensions.conf

...
;exten => _1XX,1,Dial(SIP/tau32m/${EXTEN})
;...
...
exten => _1XX,1,Dial(SIP/smg1016/${EXTEN})
...
exten => _8XXXXXXXXXX,1,Dial(SIP/smg1016/${EXTEN})
...

• Настройка SIP каналов

server# cat /etc/asterisk/sip.conf

...
;[101]
; ...
...
[403]
type=friend
secret=tpassword403
host=dynamic

[404]
type=friend
secret=tpassword404
host=dynamic

• Мониторинг текущего состояния абонента (BLF) (поддержка должна быть включена до настройки в телефоне)
• Для дополнительных кнопочных панелей требуется внешний блок питания

• Сервис DHCP Стандартная конфигурация Проверка конфигурации и запуск
• Сервис ТFTP
• Установка и запуск сервера Apache

gate# dhcp-lease-list

• Использование Provisioning для Cisco 7912
• Использование Provisioning для Linksys SPA-3102
• Использование Provisioning для SIP Phone Panasonic KX-HDVXXX
• Использование Provisioning для Digium D40

server# tcpdump -n -e -s0 -A host 192.168.X.IPPHONE

• Linksys SPA-3102 Восстановление фабричных настроек
• SIP Phone Panasonic KX-HDVXXX Сброс к заводским установкам

• Интеграция с Microsoft AD и LDAP
• Provisioning

• Демонстрирует преподаватель

• Плата OpenVox D130

• Локализация временной зоны
• Регистрация сообщений, переданных по сети в Linux
• Linksys SPA-3102 Отладка через Syslog

• В чем разница между FXO и FXS интерфейсами?
• Чем отличаются сети с коммутацией пакетов от сетей с коммутацией каналов?
• Какая формула используется для расчета необходимого количества телефонных линий?
• Какое сообщение используется в PRI для инициализации исходящего вызова?
• Как определить, поддерживает ли оборудование Provisioning?
• В каком файле хранится конфигурация драйвера для телефонной платы?

• Трансляция сетевых адресов (NAT) и SIP
• Asterisk 11 за NAT, нет звука в одну сторону, нет слышимости... Что делать?
• Симметричный RTP
• Варианты расположения VoIP участников с точки зрения NAT и FIREWALL
• Особенности протоколов сигнализации SIP и IAX с точки зрения NAT и FIREWALL
• Элементы конфигурации Asterisk с точки зрения NAT и FIREWALL

• Подключение Asterisk к Asterisk по протоколу IAX

или, для видеозвонков:

• Видеозвонки
• Настройка базового функционала IP PBX для подключение Asterisk к Asterisk по протоколу SIP
• Настройка плана нумерации

• Отключаем маршруты в сети слушателей
• Настраиваем NAT (Трансляция на основе адреса отправителя)

voip1.un# cat /etc/asterisk/sip.conf

...
[000001]
...
;nat=yes
nat=force_rport,comedia
;canreinvite=no
directmedia=no
qualify=yes
...
[000006]
...
;nat=yes
nat=force_rport,comedia
qualify=yes
;canreinvite=no
directmedia=no
...

server# service asterisk restart

!!!Примечание!!!

Эксперимент работает не сразу, попробовать

• pfctl -F states на voip1.un
• отключить windows firewall на host системе

server# cat /etc/asterisk/sip.conf

[general]
...
localnet=192.168.1.0/255.255.255.0
localnet=192.168.X.0/255.255.255.0

;;externip=172.16.1.X
;externaddr=172.16.1.X:6050
externaddr=172.16.1.X
;;defaultexpiry=60
...
[voip1_00000X]
...
nat=comedia
qualify=yes
directmedia=no
...

• Asterisk and Phones Connecting Through NAT to an ITSP
• Настройка RES_PJSIP каналов

• Трансляция портов сервисов
• Настраиваем DNS View (Финальная настройка DNS сервера)

!!!Примечание!!!

На преподавательской системе прописать маршруты в сети слушателей (из-за сети 192.168.1.5/24)

server# cat /etc/asterisk/sip.conf

...
[402]
...
nat=force_rport,comedia
directmedia=no
qualify=yes
...
[corpY]
...
nat=force_rport,comedia
directmedia=no
;;qualify=yes
...

• Достаточно перезапустить сервисы Asterisk для вступления в силу новых параметров DNS (см. /etc/asterisk/dnsmgr.conf)

server# service asterisk restart

• Верно ли, что для получения входящих вызовов от VoIP провайдера Asterisk должен иметь публичный адрес?
• Перечислите, какие задачи решают директивы конфигурации nat, directmedia, qualify, localnet/externip?
• Когда требуется открывать доступ к Asterisk из внешней сети?
• В каком файле конфигурации Asterisk можно указать диапазон портов для голосового трафика?
• Что должны разрешать правила в пакетном фильтре для передачи голосового трафика?
• Что должны разрешать правила в пакетном фильтре для передачи SIP сигнализации?

• "Voip hackers runs up a phone bill worth $120,000".

• Поддерживаемые версии
• Список проблем безопасности

• Сервис Asterisk (Зашита от несанкционированного использования)
• SIPVicious security tools

• SIP авторизация и MD5
• Использование хешей паролей для каналов типа user

gate# dhcp-lease-list

server# tcpdump -n -e -s0 -A host 192.168.X.IPPHONE and port 80

server# cd /var/www/html/

server# mv -v spa-000E08NNNNNN.cfg /root/

• Использование алгоритмов симметричного шифрования
• Linksys SPA-3102 Безопасное распространение файлов конфигурации
• Linksys SPA-3102 Восстановление фабричных настроек

• Создание самоподписанного сертификата для системы server.corpX.un
• Поддержка протокола HTTPS
• SIP Phone Panasonic KX-HDVXXX Использование Provisioning

• Требует телефона с поддержкой TLS SRTP, например - ZoIPer 3.15 (требует добавление самоподписанного сертификата в систему) или PhonerLite (принимает самоподписанный сертификат)
• Прослушивание голосового трафика (на gate, Утилита Wireshark, Публичный каталог доступный на запись)

gate# tcpdump -ni eth1 -s0 -w file1.dmp 

• Создание самоподписанного сертификата для системы server.corpX.un
• Использование TLS в Asterisk

• https://val.bmstu.ru/unix/voip/python-2.7.10.msi
• https://val.bmstu.ru/unix/voip/sipvicious-0.2.8.zip

gate.isp.un:~# apt-get install sipvicious

userX@gate.isp.un:~$ svmap 172.16.1.1-172.16.1.13


C:\bin\sipvicious-0.2.8>svmap.py 172.16.1.1-172.16.1.254

C:\>c:\Python27\python.exe C:\sipvicious-0.2.8\svmap.py 172.16.1.1-172.16.1.10
...

• Сокрытие версии

server# cat /etc/asterisk/sip.conf

[general]
...
autocreatepeer=no
...

server# asterisk -rx 'sip show settings' | grep AutoCreate

  AutoCreate Peer:        Off

!!! Для демонстрации необходимо установить струю версию ZoIPer !!!

server# cat /etc/asterisk/sip.conf

[general]
...
allowguest=no
...

server# asterisk -rx 'sip show settings' | grep unknown

  Allow unknown access: Yes

userX@gate:~$ svwar --force -e100-999 172.16.1.X

c:\Python27\python.exe C:\sipvicious-0.2.8\svwar.py --force -e100-999 172.16.1.X
...
server# asterisk -rx 'sip show settings' | grep rejects

  Always auth rejects: No

server# cat /etc/asterisk/sip.conf

[general]
...
alwaysauthreject=yes
...

server# cat /etc/asterisk/sip.conf

...
[401]
secret=1234
...

C:\bin\sipvicious-0.2.8>svcrack.py -u401 -r1-9999 -z4 172.16.1.X

• Утилита hydra

userX@gate:~$ svcrack -u401 -d 10-million-password-list-top-1000000.txt 172.16.1.X

• Использование шаблонов в именах CHAN_SIP каналов

server# cat /etc/asterisk/sip.conf

[general]
...
context=default
...
subscribecontext=blf
...
[office](!)
context=from-office
...

[internet](!)
context=from-internet
...

[401]
context=from-office
...
[402]
context=from-internet
...
[403]
context=from-office
...
[404]
context=from-office
...
[voip1_00000X]
context=incoming
...

server# cat /etc/asterisk/iax.conf

...
[corpY]
;type=user
context=from-corp
...

server# cat /etc/asterisk/extensions.conf

[default]

exten => _X.,1,Playback(vm-goodbye)
exten => _X.,n,Hangup()

[blf]
exten => _4XX,hint,SIP/${EXTEN}

[from-office]
include => to-office
include => to-corp
include => to-pstn

[from-internet]
include => to-office
include => to-corp

[from-corp]
include => to-office

[to-office]
;exten => _1XX ...

exten => 301 ...

exten => _4XX ...

[to-corp]
exten => _00Y[41]XX,1,Set(CALLERID(num)=00X${CALLERID(num)})
exten => _00Y[41]XX,n,Dial(IAX2/corpY/${EXTEN:3})

[to-pstn]
exten => _8XXXXXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})

[incoming]
exten => voip1_00000X,1,Dial(SIP/401&SIP/402&SIP/403&SIP/404)

• Сервис FollowMe (Переадресация вызовов на внешний номер)

server# cat /etc/asterisk/extensions.conf

...
[to-pstn]
;!!! Authenticate !!!

exten => _89XXXXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})

exten => _8495XXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})

exten => _8499XXXXXXX,1,Dial(SIP/voip1_00000X/${EXTEN})
...

• Финальная настройка DNS сервера
• Трансляция портов сервисов

# nslookup -q=SRV _sip._udp.corpX.un

• Сервис Fail2ban

• Почему не рекомендуется использовать решения VPN для IP телефонии?
• На что следует обратить внимание при настройке защиты Asterisk в первую очередь?
• Что определяют параметры конфигурации autocreatepeer, allowguest, alwaysauthreject в конфигурации Asterisk?

• Настройка RES_PJSIP каналов

• Настройка базового функционала IP PBX

gate# dhcp-lease-list

• Базовая станция DECT KX-UDS124
• Микросотовый терминал KX-UDTXXX