Module 9 -ScopTEL Logiciel PBX IP - Système de provisionnement automatique (‘APS’)

Module 9 -ScopTEL Logiciel PBX IP - Système de provisionnement automatique (‘APS’)

Contexte

  1. L’APS (système de provisionnement automatique ou « Automatic Provisioning System ») est utilisé pour créer les fichiers de configuration nécessaires pour de nombreux terminaux SIP. L’APS assigne des noms d’utilisateur et des mots de passe SIP, des options réseau, des paramètres de temps, des paramètres de qualité de service, des plans de numérotation, des politiques de mise à niveau du micrologiciel, la programmation des touches programmables, la programmation de touches DSS/BLF (voyants d’occupation), les paramètres de sécurité, les modes DTMF et LDAP.
  1. Les modèles peuvent être configurés pour simplifier les tâches fastidieuses de paramétrages de configurations pour autant de points de terminaux SIP que requis.
  2. Les extensions devant être assignées à une adresse MAC doivent déjà exister et doivent donc être créées avant d’essayer de les assigner au matériel utilisant un APS (système d’approvisionnement automatique).
  3. Voici une liste des fournisseurs reconnus :
  1. Yealink
  2. Aastra
  3. Polycom
  4. Cisco
  5. Sipura/Linksys/Cisco
  6. Panasonic SIP et SIP DECT
  7. Les téléphones VtechHospitality
  8. Snom
  9. CyberdataIntercoms
  10. Grandstream
  11. SpectraLink
  12. Alcatel
  13. AudioCodes
  14. LG-Ericsson

Sécurité

  1. Les pirates balaient régulièrement les adresses IP à la recherche de ports ouverts et, s’ils trouvent une adresse IP vulnérable à l’analyse par force brute, ils exécuteront une analyse de provisionnement à distance en utilisant les 6 premiers chiffres des identifiants de fournisseurs populaires comme Polycom, Yealink et ensuite les 6 derniers chiffres des adresses MAC à 12 chiffres par force brute.
  1. Par exemple, un serveur SCOPTEL utilisant le port d’écoute HTTP par défaut de 5555 peut être attaqué en utilisant cette méthode. D’autres fournisseurs sont également vulnérables sur le port d’écoute HTTP qu’ils utilisent pour fournir à distance des services à des téléphones IP.
  2. Le TFTP est particulièrement vulnérable sur le port UDP 69, car aucun chemin spécifique n’est requis pour le fichier MAC.cfgfile. Seule la variable <MAC>.cfgvariable est nécessaire pour recueillir le fichier MAC.cfgfile. TFTP devrait être bloqué sur le pare-feu dans la mesure du possible.
  3. Si vous avez activé Telephony>Configuration>Security>Flood Protection et le service SCOPTEL Firewall and Telephony Flood Protection (Fail2ban), l’adresse IP de l’attaquant distant sera blacklistée par le pare-feu quand une attaque de type force brute est détectée.
  4. Mais si l’attaquant distant connaît une adresse MAC valide sur le réseau, alors ce fichier MAC.cfgfile peut être facilement récupéré à moins que l’authentification HTTP ne soit configurée. La méthode exacte ne sera pas publiée ici, car elle ne doit pas être de notoriété publique.
  5. Voir : https://blog.scopserv.com/2018/10/securing-configuration-files-with-http-authentication/

Le mappage IP/DNS expliqué

L’objectif du mappage IP/DNS est de remplacer une adresse IP « factice » (dummy) ou une adresse IP statique par un FQDN (nom de domaine complet).
  1. Les FQDN sont très avantageux pour les raisons suivantes :
  1. Un fichier DNS A public peut aider un téléphone VoIP distant à contacter l’adresse IP publique du serveur SCOPTEL afin d’enregistrer son compte SIP et de mettre à jour ses paramètres de provisionnement.
  2. Un fichier DNS A local peut aider un téléphone VoIP distant à contacter l’adresse IP publique du serveur SCOPTEL afin d’enregistrer son compte SIP et de mettre à jour ses paramètres de provisionnement.
  3. Si les adresses LAN ou WAN du serveur changent, les configurations APS n’ont pas besoin d’être modifiées.
  4. Seuls les enregistrements DNS A nécessiteront des modifications et puisque le téléphone utilisera toujours les recherches DNS pour se réenregistrer ou se reconfigurer, les temps d’indisponibilité sont réduits au minimum.
  5. Dans l’un ou l’autre de ces scénarios, le téléphone est toujours configuré avec le même FQDN et si l’enregistrement DNS A doit être modifié sur le mappage IP/DNS.

Ajouter un nouveau système de provisionnement

  1. À partir de From Configuration > Telephony > Provisioning, cliquer sur « Add a New Provisioning System » (Ajouter un nouveau système de provisionnement).

Le mappage IP/DNS

  1. Dans la liste déroulante Tenant, choisir Tenant>All (Global) pour que tous les locataires puissent utiliser le même mappage IP/DNS. Ou sélectionner le locataire spécifique (Tenant) pour qui le mappage IP/DNS doit être limité.
  1. Dans cet exemple, l’adresse IP source 1.1.1.1.1 est une adresse fictive qui sera remplacée par master88.commzilla.net dans les fichiers /tftpboot/<mac>.cfg.
  2. Une fois l’édition terminée, ajouter l’objet (« Add the object ») et continuer à ajouter des modèles basés sur le matériel, puis ajouter des objets basés sur l’adresse MAC en utilisant les modèles.
  3. Ce remplacement est automatiquement effectué pour toutes les instances de la version 1.1.1.1 dans n’importe quel modèle ou objet APS basé sur MAC comme indiqué dans ces exemples:


Ajout d’un nouveau modèle de document (« Template ») basé sur le Matériel

  1. À partir de From Configuration > Telephony > Provisioning, cliquer sur « Add a New Provisioning System » (Ajouter un nouveau système de provisionnement).
  1. Dans la liste déroulante Tenant, choisir Tenant>All (Global) pour que tous les locataires puissent utiliser le même mappage IP/DNS. Ou sélectionner le locataire spécifique (Tenant) auquel restreindre le modèle de document du vendeur.
  2. Dans la liste déroulante Modèle de téléphone (« Phone Model »), sélectionner le matériel correspondant aux téléphones à déployer.
  3. S’assurer de cocher la case « Create Template ».
  4. Donner à ce modèle de document (« Template ») un nom significatif.
  5. Cliquer sur l’onglet Provisioning

Généralités

  1. Utiliser le sélecteur de liste déroulante pour choisir la version de micrologiciel installée sur l’appareil afin que ce modèle de document (« template ») puisse écrire des fichiers compatibles.
  1. Utiliser la liste déroulante pour choisir la méthode de synchronisation préférée.
  2. URL de provisionnement : entrer le chemin d’accès complet vers le serveur de provisionnement dans le format suivant : < http_protocol >://<WAN_IP/LAN_IP>:<Listen_on_Port >/< TFTP_Alias >/
  3. Exemple : http://master 88.commzilla.net:5555/tftpboot/
  4. URL du micrologiciel : * URL de provisionnement : entrer le chemin d’accès complet vers le serveur de provisionnement dans le format suivant: <http_protocol>://<WAN_IP/LAN_IP>:Listen_on_Port >/< TFTP_Alias >/< firmware_filename >
  5. Exemple : http://master88.commzilla.net:5555/tftpboot/T48-35.83.0.50.rom
  6. Cliquez sur l’onglet Server

Serveur

  1. Dans les cases « Registrar », entrez l’adresse IP fictive créée pour le mappage IP/DNS
  1. Cliquer sur l’onglet Network

Réseau (Network)

  1. Il est recommandé d’utiliser l’option NAT pour que rport puisse être activé.
  1. STUN Server : non recommandé
  2. Activer « Link Layer Discovery Protocol (LLDP) », un protocole optionnel standard ouvert de couche 2 qui permet une adhésion automatique au VLAN.
  3. Activer « Link Layer Discovery Protocol (LLDP) », un protocole Cisco Layer 2 optionnel qui permet une adhésion automatique au VLAN.
  4. Cliquer sur l’onglet « Date and Time » (Date et heure), lorsque terminé.

« Date and Time » (Date et heure)

Modifier la configuration de « Date and Time » (Date et heure) si requis * Cliquer sur « Phone Options »

Phone Options (Options téléphoniques)

Modifier les paramètres comme :
  1. « Phone Language » (langue du téléphone) pour l’utilisateur final.
  2. « Country Tone » (tonalité du pays)
  3. « Set Custom Tones » (configurer des tonalités spécifiques)
  4. N’importe quelle autre option spécifique
  5. Cliquer sur n’importe quelle touche DSS

Les touches DSS vs les touches programmables


Touches DSS

  1. Les Touches DSS sont les
  1. Activer Enable Enhanced DSS Keys (EDK)(EDK) pour activer les fonctions SCOPTEL PBX dans les listes déroulantes.
  2. La recommandation du type d’opération (« Deal Type ») est le Transfert Assisté (« Attended Transfer ») pour les fonctionnalités PBX appropriées.
  3. Le type de module d’extension (« Expansion Module ») et le nombre de modules d’extension attribués (« Number of Expansion modules ») dépendent du matériel supplémentaire et sont optionnels.
  4. La touche 1 est utilisée pour l’affectation de poste. Laisser l’étiquette vide (« Label ») et la liste déroulante Ligne définie sur Line 1. NOTE : chaque touche de ligne peut traiter 8 appels simultanés. Il n’est pas nécessaire d’avoir plus d’une assignation de clé (« Key Assignment ») par la poste. Les touches restantes peuvent être attribuées pour les BLF (voyants d’occupation), les événements clés (« Key Events »), les numéros abrégés (« Speed Dials »), les fonctions (« Features »), les événements DTMF (« tonalités multifréquences »), les recherches d’annuaires (« Directory lookups »), etc…
  5. Cliquer sur les Touches programmables (« Programmable Keys »), lorsque vous avez terminé les modifications.

Touches programmables

  1. Les touches programmables peuvent être réaffectées à partir de leurs réglages d’usine (« Factory Settings »).
  1. Cliquer sur l’onglet Security lorsque terminé.

Sécurité

  1. il est recommandé de changer le mot de passe de l’administrateur
  1. Il est assez commun pour les utilisateurs de subir des appels fantômes (« ghost calls ») sur leurs téléphones. Cela se produit lorsqu’un pare-feu lie le port de signalisation SIP par défaut udp / 5060 du téléphone avec l’interface publique du pare-feu en tant que ALG SIP mal implémenté.
  2. Les outils publics comme http://blog.sipvicious.org/ sont souvent utilisés pour analyser les adresses IP publiques sur le port 5060 à la recherche de périphériques à faible sécurité qu’ils peuvent exploiter. Quand cela se produit, des appels des fantômes (« ghost calls ») sont souvent vus et entendus.
Afin de prévenir cela, il est recommandé de : * Désactiver l’option « Allow Direct IP Call » (Permettre les Appels IP directs) * Activer l’option « Accept SIP Trust Server Only » * Pour l’affectation des touches de ligne (Line Keys), utiliser un port UDP non standard entre les valeurs udp / 10000 - 20000. * REMARQUE : le port SIP local ne peut être configuré dans aucun modèle et doit être affecté à la configuration APS MAC. * Cliquer sur l’onglet « Multicast Paging » (radiomessagerie multidiffusion) lorsque terminé.


Radiomessagerie multidiffusion (« Multicast Paging »)

  1. La radiomessagerie multidiffusion dépasse le cadre de ce document.
  1. Se référer à : https://blog.scopserv.com/2018/02/how-to-setup-paging-in-SCOPTEL/
  2. Lorsque la configuration du « Multicast Paging » est terminé, cliquez sur l’onglet Services PBX.

Services PBX

  1. Les services PBX permettent de configurer l’URL pour les téléphones afin de créer des répertoires de recherche internes (« Directory Lookup »).
  1. Cliquer sur l’onglet LDAP lorsque terminé.

LDAP

  1. La configuration LDAP dépasse le cadre de ce document.
  1. Se référer à : https://blog.scopserv.com/2012/08/setting-up-an-ldap-directory-server-on-SCOPTEL-pbx/
  2. Une fois le modèle terminé, cliquer sur le bouton « Add »

Ajout d’une adresse MAC et attribution d’une extension

  1. À partir de From Configuration > Telephony > Provisioning, cliquer sur « Add a New Provisioning System » (Ajouter un nouveau système de provisionnement).

Assignation d’une adresse MAC

  1. Il est essentiel de choisir le sélecteur de Locataire (« Tenant ») pour choisir un Locataire dédié. Il est impossible d’utiliser choisir Tenant « All » (Global) (Locataire « Tous » [Global]).
  1. Utiliser le sélecteur de liste déroulante « Phone Model » pour trouver le matériel correspondant à votre déploiement téléphonique.
  2. Choisir parmi un modèle déjà configuré
  3. Entrer l’adresse MAC unique de votre matériel dans le champ Adresse MAC (« MAC Address »).
  4. Cliquer sur « Lines » (Lignes) lorsque terminé.

Lignes (« Lines »)

  1. Dans l’exemple de modèle, une seule touche DSS a reçu une affectation de ligne 1 (« Line »), nous ne configurerons donc que la ligne 1.
  1. Utilisez le sélecteur de liste déroulante pour assigner un poste (extension) non assigné.
  2. Entrer le texte de l’étiquette (affichage du téléphone ou «  Label, [Affichage du téléphone »]) devant être affiché à l’écran LCD du téléphone.
  3. Pour prendre en charge les mises à jour de la ligne connectée P - Asserted CallerID (Identifiant de l’appelant confirmé P), la sélection par défaut de la source d’identification de l’appelant sur PAI — FROM doit être modifiée.
  4. Le port SIP local peut être changé pour n’importe quelle valeur spécifique, entre 10 000 et 20 000, pour réduire la probabilité d’appels fantômes.
  5. Le chiffrage vocal SRTP peut être activé de manière optionnelle, mais certaines configurations prérequises doivent en ce cas être effectuées à l’avance. Consulter le: https://blog.scopserv.com/2016/09/how-to-use-the-SCOPTEL-certificate-manager-to-enable-tls-encryption/
    1. Cliquer sur l’onglet « PBX Services » (Services PBX) lorsque terminé.

Services PBX

  1. En utilisant le sélecteur de liste déroulante, choisissez le poste (Extension) assigné à la ligne 1.
  1. Cliquer sur Add (Ajouter) lorsque terminé.

Approvisionnement

  1. La sécurité est un élément critique, avant de procéder, consulter : https://blog.scopserv.com/2018/10/securing-configuration-files-with-http-authentication/
  1. L’adresse du serveur SIP est utilisée pour le code de la fonction d’approvisionnement automatique (« Auto Provisioning Feature Code ») dans les paramètres de téléphonie (« Telephony Settings ») : Configuration>Provisioning. Il doit s’agir d’une adresse physiquement assignée au serveur
  2. L’adresse du serveur TFTP doit être une adresse physiquement affectée au serveur et doit être l’adresse liée à l’interface exécutant DHCP.
  3. Le nom d’hôte du serveur doit avoir un enregistrement DNS A correspondant sur le serveur DNS supportant ce réseau.
  4. Si l’option « Enable Auto - Create support if configuration doesn’t exist » (Activer support autocréation si la configuration n’existe pas) est activée lorsque la détection DHCP détecte un périphérique supporté, son adresse MAC sera ajoutée à la liste d’adresses MAC APS. Si cette option est activée, la configuration de la liste blanche (« White List ») doit être considérée comme obligatoire pour des raisons de sécurité.
  5. Les périphériques pris en charge sont : Aastra Snom Polycom Yealink

En plus de la configuration manuelle des adresses MAC pour les périphériques SIP pris en charge, SCOPTEL prend également en charge plusieurs méthodes de déploiement de masse
  1. Importation texte des adresses MAC à partir d’un fichier
  2. Balayage réseau des adresses IP sélectionnées sur des sous-réseaux sélectionnés
  3. Détection DHCP de nouveaux périphériques lorsque le serveur DHCP SCOPTEL est le seul serveur DHCP sur la Configuration minimale requise pour LAN SCOPTEL
  4. SCOPSERV_yum install nmap (si nmap n’est pas déjà installé)
  5. SCOPSERV-network-2.6.4-1.nodist. SCOPSERV.noarch.rpm
  6. SCOPSERV-server-2.6.4-1.nodist. SCOPSERV.noarch.rpm
  7. SCOPSERV-telephony 25-2.6.52-1.el5.SCOPSERV.noarch.rpm

Importation texte des adresses MAC à partir d’un fichier

  1. À partir de la page principale de l’APS, cliquer sur Importer MAC
  1. Entrer une liste d’adresses MAC ou copiez et collez à partir d’un fichier ASCII.
  2. Cliquer sur Next
  3. Une nouvelle liste de périphériques SIP apparaît, indiquant que l’ID du fournisseur de MAC correspond au matériel pris en charge (dans ce cas, 3 nouveaux téléphones Polycom).
  4. Appuyer sur Next.



  1. Comme le système ne peut pas connaître le numéro de modèle de chaque appareil, sélectionner un numéro de modèle correspondant dans la liste pour chaque adresse MAC en utilisant les sélections de la liste déroulante.
  1. Cliquer sur Next
  2. Cliquer sur Finish pour ajouter les nouveaux MAC à la liste APS.


Balayage réseau des adresses IP sélectionnées sur des sous-réseaux sélectionnés

  1. Cette méthode n’ajoutera que les adresses MAC non configurées à la liste APS.
  1. Cliquer sur Network Auto - Discovery (Scan)

  1. Entrer la première adresse IP disponible sur un sous-réseau valide (normalement la première adresse IP dans un pool DHCP).
  2. Entrer la dernière adresse IP disponible sur un sous-réseau valide (normalement la dernière adresse IP dans un pool DHCP).
  3. Choisir l’interface réseau qui dessert le sous-réseau valide.
  4. Choisir le locataire désiré
  5. Entrer l’adresse IP du serveur SIP (généralement l’adresse IP de l’interface réseau desservant le sous-réseau local).
  6. Cliquer sur Next

  1. La nouvelle fenêtre affichera une liste des adresses MAC détectées.

Ajout automatique des périphériques pris en charge via les classes DHCP

Prérequis

Prérequis du module Network (Réseau)

  1. Network>DHCP Server doit être activé et bien configuré.
En créant des classes DHCP, une liste par défaut des périphériques pris en charge sera ajoutée par l’ID fournisseur connu (« Known Vendor ID »).
  1. Chaque classe utilisera les options de provisionnement par défaut pour chaque fournisseur de matériel pris en charge.
  2. Ceci simplifie l’édition d’options comme l’option TFTP 66 ou 150, selon le fournisseur.

Après avoir créé les classes par défaut, les classes doivent être ajoutées au sous-réseau DHCP.

  1. Commettre les changements Réseau.
  2. Redémarrer le Service de serveur DHCP pour activer les changements

Prérequis du module Telephony (Téléphonie)

  1. Telephony>Configuration>Channels>SIP Channel>Auto-Create Peers=yes
  1. MISE EN GARDE La création automatique des pairs (« Auto-Create Peers ») peut être vulnérables aux attaques SIP malveillantes, de sorte que le serveur ne doit pas avoir de ports SIP exposés au public (appliquer le pare-feu à vos ports SIP vers des sous-réseaux externes et suivre les meilleures pratiques de sécurité SCOPSERV).

  1. Telephony>Configuration>Provisioning
  2. Pour des raisons de sécurité, remplacez le NIP de Unprovisioned Feature (« fonction non approvisionnée ») par un nombre complexe.
  3. Entrer l’adresse du serveur SIP requise pour l’enregistrement
  4. Sauvegarder puis commettre (« Commit ») les changements

UTILISATION

  1. Brancher un périphérique SIP pris en charge dans le sous-réseau vocal.
  1. Attendre que ce dernier démarre (il peut redémarrer après avoir téléchargé sa configuration du serveur pour la première fois).
  2. Une fois le téléphone démarré, son adresse MAC devrait apparaître dans la liste APS comme périphérique non approvisionné (« unprovisioned device »).
  3. Une fois que le téléphone affiche UNPROV sur son écran, le processus d’enregistrement peut commencer.
  4. Composer n’importe quel numéro de téléphone pour entendre l’invite du mot de passe
  5. Entrer le code NIP d’approvisionnement défini dans Telephony>Configuration>Provisioning à l’aide du clavier.
  6. Entrer un numéro de poste défini, mais non attribué à l’aide du clavier lorsqu’invité.
  7. Modifier l’adresse MAC dans la liste APS et les paramètres nécessaires comme le modèle utilisé, le nom, les affectations des touches programmables, etc.
  8. Commit (Commettre)
  9. Redémarrer le téléphone pour télécharger les configurations finales