Module 8 - ScopTEL Logiciel PBX IP - Gestion des postes (‘Extensions’)
Les téléphones SIP sont des Agents utilisateurs SIP (« SIP User Agents »). Pour des raisons de sécurité, les agents utilisateurs SIP doivent s’enregistrer auprès du « SIP Registrar » via une authentification par nom d’utilisateur et mot de passe. Il est courant que les ports du protocole SIP soient ouverts ou transférés au serveur SCOPTEL si un pare-feu tiers est implémenté. Lorsque les ports SIP sont exposés sur le pare-feu, il est fréquent pour les pirates de tenter des attaques par force brute sur le serveur. De telles attaques demandent systématiquement l’authentification à l’aide de postes (extension) de plan de numérotation communs et de mots de passe habituels.
Voici des exemples de telles attaques par force brute :
- Plage des postes (extensions) 100 - 3000
- Tentatives systématiques d’utilisation des mots de passe entre 1000 - 3000.
- Des tentatives systématiques d’utilisation de mots de passe avec les mots de passe 0000, 1234, 1111, 4321, 123 456, 7 654 321 sont effectuées. Ainsi, si une politique de mot de passe sécurisé est utilisée, cela empêchera la majorité des pirates d’établir un poste SIP ou une liaison SIP sur le serveur à des fins frauduleuses.
Exemple de politique de mot de passe SIP sécuritaire
- Longueur minimum du mot de passe est de 8 caractères alphanumériques
- Aucun mot du dictionnaire
- Un minimum de 2 caractères en majuscule utilisés
- Un minimum de deux caractères numériques utilisés.
- Chaque poste (extension) doit avoir un mot de passe unique.
La même politique en vigueur doit s’appliquer lors de la configuration des mots de passe de messagerie vocale, excepté que les mots de passe de messagerie vocale ne peuvent pas contenir de caractères alphabétiques et doivent être numériques. Une politique de mot de passe de messagerie vocale (« voicemail ») mal mise en œuvre peut permettre à un pirate d’accéder aux fonctions de numérotation directe à partir d’une boîte aux lettres configurée pour autoriser les fonctions de numérotation externe. Par conséquent, les mots de passe de messagerie vocale (« voicemail ») doivent être stricts, peu importe les inconvénients causés aux utilisateurs finaux.
- Le mot de passe de la boîte vocale (« voicemail ») ne doit jamais être identique au numéro de poste (« extension »). Exemple : Poste 100, mot de passe de la boîte vocale 100
- Les mots de passe de la boîte vocale ne doivent jamais être faciles à deviner. Exemples : 0000 , 1234 , 1111 , 4321 , 123 456 , 7 654 321
Politique de mots de passe et protection contre les attaques de force brute
- Pour définir une stratégie globale de sécurité par mot de passe, accédez au Configuration > Telephony > Configuration > Security
- La politique de mot de passe SIP et IAX2 est définie indépendamment de la politique globale de mot de passe de la messagerie vocale (« Global Voicemail Password Policy »).
- Si l’option « Options to automatically fix invalid password?[ ] » est cochée, les mots de passe non conformes seront rendus conformes après un commit.
- Voici quelques configurations (« Settings ») recommandées
- Il est courant que des postes SIP existent pour les postes distants (utilisateurs nomades). Il est fortement recommandé de protéger le serveur contre les attaques malveillantes en activant le pare-feu.
- Configuration>Network>Firewall>General>Server Type
- Le type de serveur est par défaut « No Firewall ». Les types de pare-feu sont « Single System, Gateway/Firewall ».
- S’il n’existe qu’une seule interface réseau, seul « Single System » ou « No Firewall » est possible. * S’il existe deux interfaces réseau, le serveur peut être configuré en tant que « Gateway/Firewall » (passerelle/pare-feu), ce qui activera les NAT (Network Address Translation) sortants et appliquera le pare-feu à l’interface WAN configurée.
- Dans cette capture d’écran, le « Server Type » (Type de serveur) est configuré comme « Single System » (le pare-feu est activé). Il est également recommandé de définir les options « Server Type » et « Inbound Services » (Permit) Services entrants (autorisation) » à l’aide du « Configuration Wizard » (Assistant de configuration).
- REMARQUE : Les règles de pare-feu ne s’appliquent qu’aux interfaces réseau désignées comme interfaces WAN. Les interfaces LAN ne sont jamais surveillées par un pare-feu.
Assistant de configuration du pare-feu (« Wizard »)
- Dans cet exemple, l’Assistant de configuration du pare-feu (Firewall Configuration Wizard) sera utilisé pour régler les configurations de pare-feu recommandées.
- À partir de Configuration > Network > Firewall > General
- Cliquer sur la touche « Configuration Wizard » (Assistant de configuration).
- Choisir l’option « Single System »
- Cliquer Next.
Services entrants pare-feu
Les services qui seront autorisés varient en fonction des configurations du réseau et des politiques de sécurité administrative.
Gestion des services de réseau
À partir de Configuration > Network > General, cliquer « Edit Services »
- Cliquez sur « Commit » pour écrire vos modifications aux fichiers de configuration appropriés.
- Tout service dont la configuration a été modifiée doit être redémarré après un commit afin de recharger la configuration en mémoire.
- Choisir quels services doivent être exécutés au redémarrage de l’OS.
- Le réseau (« Network ») est obligatoire.
- Appliquer les modifications après l’édition des services et démarrer ou redémarrer le service si nécessaire.
Boîte vocale (« Voicemail »)
Il est recommandé d’activer « Enable » : * « Force a new user to record their Name » (Forcer un nouvel utilisateur à enregistrer son nom) * « Force a new user to record their Greeting » (Forcer un nouvel utilisateur à enregistrer son message d’accueil)
Ceci forcera l’utilisateur d’une nouvelle boîte aux lettres (« Mailbox ») à changer son mot de passe et à enregistrer chacun de ses messages d’accueil avant que la boîte aux lettres ne puisse être gérée. Si le mot de passe n’est pas modifié, toutes les modifications apportées à la boîte aux lettres sont perdues.
Types
Extensions SIP
Puisqu’une boîte vocale spécifique est attribuée à l’extension SIP (extension IP utilisant le protocole SIP), cette dernière requiert donc une licence utilisateur.
Extensions IAX2
Puisqu’une boîte vocale spécifique est attribuée à l’extension * ** IAX2** (extension IP utilisant le protocole IAX2), cette dernière requiert donc une licence utilisateur.
L’extension Zap
Extension ** Zap** (extension FXS analogique utilisant des cartes Sangoma ou Digium. Les cartes Sangoma et Digium ne doivent pas coexister sur un même serveur)
Extension Voicemail (Messagerie vocale)
Extension Hotdesk
- Une extension Hotdesk est une extension qui se connecte à une extension physique en utilisant le code de la fonction Hotdesk (son « Feature Code »), son numéro de poste HotDesk et le mot de passe requis.
- En se connectant à une extension physique, l’extension Hotdesk peut passer et recevoir des appels depuis n’importe quelle extension qui autorise la fonction Hotdesk (son « Feature Code ») dans sa classe de service assignée. L’identification de l’appelant (« Caller ID ») entrant et sortant sera automatiquement manipulée pour afficher les informations de l’utilisateur HotDesk.
- Est autorisé sa propre boîte vocale et nécessite donc une licence d’utilisation.
- Une extension virtuelle (« Virtual Extension ») est un type d’extension très avancé qui permet à un utilisateur de se connecter à l’interface graphique SCOPTEL et d’utiliser le contrôleur en temps réel (« Realtime Monitor ») et de personnaliser les rapports détaillés des appels (« Call Detail Report ») ainsi que les autres types de rapports.
- Une extension virtuelle est autorisée avec sa propre boîte vocale et nécessite donc une licence d’utilisation.
- Les options avancées peuvent être configurées pour appeler plusieurs destinations et transférer automatiquement les copies des messages vocaux à plusieurs postes.
- Les options utilisateur pour les extensions virtuelles incluent Follow Me, Camp-On, Destinations personnelles IVR.
- Des règles de transfert personnalisées peuvent être définies pour :
- Renvoi d’appel immédiat (« Call Forward Immediate »)
- Renvoi d’appel occupé (« Call Forward Busy »)
- Renvoi automatique Pas de réponse (« Call Forward No Answer »)
- Renvoi d’appel indisponible (« Call Forward Unavailable »), renvoi lorsque le poste physique est hors ligne)
- Il est possible de transférer immédiatement une extension virtuelle pour rendre une application disponible dans un contexte IVR (réponse vocale interactive) pour les appelants RPTC entrants.
Extension de sonnerie de groupe (« Ring Group »)
- Une extension de groupe de sonneries (« Ring Group ») transfère automatiquement et immédiatement ses appels vers des destinations Suivez-moi configurées.
- Les options avancées peuvent être configurées pour contacter plusieurs destinations et transférer automatiquement les copies des messages vocaux vers plusieurs postes.
- N’a pas le droit d’avoir sa propre boîte vocale et ne nécessite donc pas de licence d’utilisateur.
- Les options utilisateur pour les extensions virtuelles incluent Follow Me (« Faire suivre l’appel »), Camp -On (« mise en attente par le standardiste »), destinations personnelles IVR.
- Des règles de transfert personnalisées peuvent être définies pour :
- Renvoi d’appel immédiat (« Call Forward »)
- Renvoi d’appel occupé (« Call Forward Busy »)
- Renvoi automatique Pas de réponse (« Call Forward No Answer »)
- Renvoi d’appel indisponible (« Call Forward Unavailable »), renvoi lorsque le poste physique est hors ligne)
- Il est possible de transférer immédiatement une extension virtuelle pour rendre une application disponible dans un contexte IVR pour les appelants RPTC entrants.
Extension d’appareil partagé (« Shared Device »)
- Une extension partagée peut être configurée de façon à ce que plusieurs extensions puissent sonner lorsque le numéro direct (DN) du pilote est composé, mais selon l’état occupé (« Busy ») de la ou des extensions, une ou plusieurs extensions peuvent sonner, mais l’extension occupée ne sonnera pas.
- Chaque extension partagée nécessite sa propre licence d’appareil partagé.
Extension
Ajouter un nouveau téléphone (« Add a New Phone »)
- Chaque extension partagée nécessite sa propre licence d’appareil partagé.
- Cliquer sur « Add a New Phone » (Ajouter un nouveau téléphone)
- Il également possible d’utiliser l’Assistant « Add Multiple Extensions Wizard » (« Ajouter plusieurs extensions ») pour ajouter plusieurs extensions.
Type
Choisir « SIP » dans la liste des types d’extensions disponibles.
Nom et numéro du poste (extension)
- Attribuer un numéro de poste inutilisé
- Entrer un nom complet pour cet utilisateur <First Last> (prénom et nom) sans caractères spéciaux et avec un seul espace.
- Choisir la classe de service (« Class of Service ») souhaitée à appliquer à cet utilisateur dans la liste déroulante.
- Cliquer sur l’onglet Authentication (authentification)
Authentication (« authentification »)
- Le nom d’utilisateur (« Username ») doit correspondre à la valeur numérique du numéro d’extension.
- Puisque la politique de sécurité applique une politique de mot de passe SIP/IAX 2 stricte, la première condition préalable est d’entrer un mot de passe alphanumérique conforme dans la zone de texte ou d’utiliser le bouton « Generate Password » pour générer un mot de passe conforme aléatoire. Cliquer sur l’onglet « Voicemail » (boîte vocale) une fois que vous aurez saisi le texte d’authentification.
Boîte vocale (« Voicemail »)
- Activer « Voicemail » (boîte vocale) si requis.
- Pour forcer un nouveau propriétaire de boîte aux lettres à initialiser celle-ci, utilisez le numéro de poste dans le champ du mot de passe (condition préalable : activer « Force a new user to record their Greeting [x] » [Forcer un nouvel utilisateur à enregistrer son nom] dans le modèle de document Voicemail Manager].
- Activer « Message Waiting Indicator (MWI) » (l’indicateur de message en attente) pour allumer le voyant de messagerie vocale sur le matériel SIP ou le téléphone logiciel correspondant.
- Activer « Email Notification » (notification par courriel) si la messagerie vocale vers courriel est désirée (ce qui nécessite normalement une configuration SMTP Smart Relay dans le Server Manager [Gestionnaire de serveur]).
- Configurez les options de sécurité supplémentaires dans la section « Advanced Settings » (Paramètres avancés).
- Cliquer sur l’onglet « Phone Options »
« Phone Options » (Options téléphoniques)
- Le mode Host doit être laissé par défaut et le champ Adresse IP doit être ignoré, car il s’agit d’un champ avancé utilisé pour les extensions distantes problématiques (« Remote Extensions ») derrière un routeur NAT.
- Si le périphérique SIP doit être utilisé sur le réseau local, l’option « Phone Behind NAT » (Téléphone derrière NAT) ne doit pas être cochée.
- Le(s) mode(s) de transport sont spécifiques au fournisseur, mais la majorité des agents utilisateurs SIP prennent en charge UDP. L’autorisation des deux modes permettra au serveur et à l’agent utilisateur de négocier le mode compatible dans les messages SDP. L’UDP doit être considéré comme un prérequis.
- Si le périphérique SIP doit être utilisé comme Remote Extension (Poste à distance) se trouvant derrière un routeur NAT, l’option « Phone Behind NAT » (Téléphone derrière NAT) doit être cochée. Le fait de cocher cette option est normalement suffisant pour assurer que le poste à distance s’enregistre sur le serveur et que des transmissions vocales bidirectionnelles sont possibles (en supposant que le pare-feu est et que les options NAT globales sont correctement configurées ).
- Le mode P-Asserted est fortement recommandé par rapport à la valeur par défaut RPID qui est devenue une méthode patrimoniale. PAI est requis pour les mises à jour sur lignes branchées. Il n’est pas possible d’activer les deux paramètres, une seule option est autorisée.
- Si vous souhaitez activer le mode de transport TLS et activer le cryptage SRTP, se reporter à : https://blog.scopserv.com/2016/09/how-to-use-the-SCOPTEL-certificate-manager-to-enable-tls-encryption/
- Qualify est activé par défaut et permet au serveur de surveiller l’état du poste pour l’enregistrement et la latence des paquets à l’aide des messages OPTIONS. Ce ne sont cependant pas tous les pairs SIP qui supportent les OPTIONS, de sorte qu’il peut être nécessaire de décocher cette option en fonction du périphérique (les périphériques Cyberdata ne supportent pas OPTIONS).
- Le mode DTMF est normalement à Automatic (RFC 2833 / Inband).
- Seuls les CODECS pris en charge par le point d’extrémité SIP doivent être activés.
- La limite d’appels entrants/sortants peut limiter le nombre d’appels simultanés pris en charge par ce poste (par défaut 8).
- « SIP Alert (Auto Answer/Distinctive Ring) » est utilisé pour configurer ce point d’extrémité SIP afin de recevoir une page interne si le point d’extrémité SIP est un périphérique supporté.
- Pour le support de Cisco, se reporter à la section : https://blog.scopserv.com/2017/07/SCOPTEL-cisco-sip-phone-integration/
- Une fois terminé, cliquer sur l’onglet Caller ID
Identification de l’appelant (Caller ID)
- Tous les champs Caller ID peuvent être modifiés.
- Les valeurs par défaut définiront l’identification de l’appelant local et sortant du RPTC en fonction du numéro de poste et du nom configurés.
- Désactiver — cocher les cases « Appel interne » ou « Appel externe » permet de modifier la configuration de l’identification de l’appelant.
- Notez que l’identification de l’appelant (« CallerID ») ne peut pas être personnalisée sur « Appel externe » (« External Call ») et « Appel d’urgence » (« Emergency Call ») si les lignes téléphoniques du fournisseur PSTI ou RPTC ne permettent pas de réécrire l’identification de l’appelant (ANI).
- Il est fortement recommandé de modifier les options « Appel externe » et « Appel d’urgence » pour afficher soit le « BTN » (numéro de facturation) publié du client, soit le « DID » (sélection directe à l’arrivée ) de l’utilisateur. Si les paramètres par défaut ne sont pas modifiés, seuls le nom et le numéro de poste apparaîtront sur tous les appels externes et d’urgence sortants.
- L’EAN (« ANI ») personnalisé de la ligne sortante est toujours écrasé si l’option Extensions>Caller ID>>Allow extension to override outgoing CallerID est cochée. Les appels d’urgence auront également priorité sur la ligne sortante si configurée.
- Une fois terminé, cliquer sur l’onglet options
- Les options utilisateur définissent les règles de renvoi d’appel (« Call Forwarding »), la langue, le répertoire de fichiers source de Music On Hold, la durée de sonnerie par défaut (« Default Ring Time »), les options d’enregistrement d’appel (« Call Recording »), la détection de télécopie (« Fax Detection »), etc..
- L’activation d’options avancées comme « Follow Me », « Personal IVR », « Camp-On », « E911 Location » ajoute d’autres onglets et option à l’interface utilisateur de cette extension et permet de nouvelles configurations.
- REMARQUE : pour activer une règle avancée comme Follow Me, une option de renvoi d’appel doit être choisir et la liste déroulante utilisée pour la sélection dans la liste déroulante de destination.
- Lorsque terminé,cliquer SUR Web Authentication
Authentification Web (« Web Authentication »)
- L’option « Web Authentication » permet au propriétaire d’une Extension de se connecter à l’interface graphique SCOPTEL et d’accéder à plusieurs fonctionnalités uniques, dont la lecture et la gestion des messages vocaux (« Voicemail Playback »). Et il s’agit d’une fonctionnalité optionnelle et non obligatoire à configurer.
- Pour accéder à ces fonctionnalités, une connexion unique (« login ») est créée en cochant la case « Activer l’interface utilisateur Web » et en attribuant un nom d’utilisateur et un mot de passe uniques pour cette extension. L’utilisateur se connecte à la même adresse IP et au même port de gestion que l’administrateur, mais utilise ces mêmes informations de connexion (« login ») pour accéder à sa connexion personnelle de l’interface graphique.
- Cliquer sur l’onglet « Sécurity » une fois cette configuration terminée.
- Les numéros de la liste de blocage (« Blacklist ») peuvent être ajoutés au champ texte et un mot de passe peut être demandé lorsqu’un autre poste ou canal RTPC tente d’appeler ce poste. Si le mot de passe n’est pas saisi correctement, le poste ne peut pas être contacté.
- Ce paramètre est facultatif et rarement utilisé.
- Cliquer sur « Add » lorsque terminé pour ajouter cette extension au serveur.