Voz IP VLAN + Akuvox

A la hora de planificar el despligue de una infraestructura de telefonía sobre voz ip dentro de una red local, una de las recomendaciones básica pasa por separar en una red diferencia. No hablamos de IP fijas en otro rango, subnetting ni similares; sino de una separación totalmente diferenciada.

Segmentar nos ayudará a tener mayor control y trazabilidad frente a eventuales problemas:

  • Autoprovisionamiento controlado mediante Organizationally unique identifier (OUI) tanto para el envio de configuración a los terminales, como para la asignación de VLANs en la eletrónica de red. Utilizando la parte inicial de la MAC del fabricante (habitualmente el mismo en un despliegue).
  • Seguridad adicional, una mayor restricción a la hora de conectar cualquier aparato en cualquier toma. Limita y dificulta pero no impide.
  • Priorizar tráfico mediante políticas QoS, necesitaremos que entre los puntos de comunicación todos los dispositivos dispongan de esta posibilidad.

En este caso concreto con terminales Akuvox, con una configuración previa funcional con otro fabricante, los equipos se quedan permanentemente "Obteniendo dirección IP". Finalmente parece tratarse de un error en el firmware del propio fabricante, en el cual no se añade correctamente el etiquetado de los paquetes...

Firmware afectado: 55.0.6.134

Firmware funcional sin problemas en VLAN: 55.203.6.230

 


Movistar SIP VoIp: Cisco SPA + Askey 3505VW

Con el paso del ADSL/cobre a tecnologías de fibra hasta el hogar (FFTH), la transmisión de voz ha pasado a digitalizarse también. Con un punto de fibra hasta la puerta de nuestra casa y un ONT (Optical Network Terminal) las operadores convierten mediante este dispositivo, integrado o no en el router, la señal digital para los terminales hasta ahora análogicos para seguir funcionando; es decir, nos permite conectar el teléfono de 2 hilos y seguir llamando sin problemas.

En el mundo de la empresa y las comunicaciones unificadas el paso se dió hace tiempo, aquellos que apostaron por desplegar cableado estructurado lo tuvieron más sencillo.

Para todos los casos necesitaremos conocer los datos de configuración para efectuar llamadas desde puntos digitales, en este caso como prueba utilizaremos un antiguo Linksys / Cisco SPA941 como este:

 

En los equipos actuales no son necesarias muchas de las opciones, han sido simplificadas, tengamos en cuenta que el modelo acabo su ciclo de vida en febrero de 2010.

Con el teléfono conectado y accediendo a la IP del mismo debemos aplicar en partícular la configuración regional para los tonos de llamada y timbre en español, desde el menú de administración en modo avanzado:

  • Dial Tone: 425@-19;10(*/0/1)
  • Busy Tone: 425@-19;10(.2/.2/1)
  • Reorder Tone: 425@-19;10(.2/.2/1)
  • Ring Back Tone: 425@-19;*(1.5/3/1)

Con todas las opciones "Vertical Service Activation Codes" en blanco

En los parametros SIP forzamos para utilizar puertos RTP a partir del 4000:

Los datos que necesitaremos estan disponibles para su consulta en el modo de configuración avanzada del Router + ONT, en este caso con Movistar y modelo Askey 3505VW aunque es igualmente válido para otros equipos:

  • Proxy: telefonica.net:5060
  • Outbound proxy: 10.31.255.134:5070
  • User ID: (tu número de teléfono)
  • Password (tu número de teléfono)

Con estos datos podemos configurar, en este caso la extensión 1 y registrarla contra el sevicio de Voz Ip de nuestro router/ono/adaptador:

Si todo es correcto, se iluminará la extensión en verde y tendremos comunicación digital-digital entre los puntos dentro de nuestro hogar incluidos.

Eliminación de catálogo global (GC) no accesible

En entornos con varios servidores actuando conjuntamente con funciones de directorio activo, bien como lectura, replicado... o cualquier escenario posible, recuperación de backups, virtualizaciones fallidas, virus... podemos llegar a querer eliminar cualquier registro del servidor ya no disponible.

Echaremos un vistazo a las referencias que pueda quedar en los DNS, sobre todo en el caso de estar integrados con el directorio.

Con los sitios y servicios debemos hacer lo mismo:

Si intentamos crear un usuario con uno de los servidores no disponible para el sitio, con el mismo nivel como catálogo global replicado, aparecerá un error del tipo:

El servicio de directorio no puede asignar un identificador relativo.

Si estamos seguros que el servidor no va a poder ser restaurado y queremos eliminar todo rastro, deberemos acudir a la linea de comandos.

Conectaremos con el servidor que tenemos activo, consultando y seleccionando el dominio/sitio/servidor que queremos limpiar de nuestra infraestructura.

ntdsutil 
metadata cleanup 
connections
connect to server SERVIDORBUENO
q
select operation target 
list domains
select domain 0
list sites 
select site 0
list servers in site
select server 5 // OJO servidor que queremos eliminar
q
remove selected server 

Debemos tener en cuenta que cualquiera de estas acciones no es reversible y puede suponer el fallo de servicios si no se realiza con cuidado.

 

Asignación de permisos sobre carpetas mediante políticas de grupo

Dentro de un contexto de seguridad restringido/limitado, en ocasiones es necesario asignar permisos adicionales sobre algunas carpetas. Por ejemplo con directorios temporales, carpetas de fuentes... con los usuarios de un dominio podemos realizado mediante la política de grupo (GPO) siguiente:

Configuración del equipo / Directivas / Configuración de Windows / Configuración de seguridad / Sistema de archivos

Con el botón derecho agregamos una nueva carpeta o fichero, en este caso hemos optado por el directorio temporal de Windows, de forma predeterminada rescata los permisos actuales permitiendo propagar o reemplazar los cambios que necesitemos.

Antivirus vs Visual Studio Team Services Agent + SonarQube

En entornos de trabajo corporativo en los que se utiliza TFS como herramienta de desarrollo, el análisis estático de código fuente ayuda a obtener métricas sobre calidad de software, para grandes y pequeños proyectos; un punto de partida en el que comparar convenciones sobre: estilo, seguridad, mantenibilidad, complejidad, duplicidad...

En el caso de las compilaciones lanzadas contra el agente de Visual Studio para Team Services, Microsoft lleva tiempo apostando por el Open Source (suena raro todavía decirlo), la automatización del proceso es sencilla.

Nuestro agente VSTS instalado descargará el código fuente configurado en la compilación, en nuestro caso una de las tareas dentro de este flujo, se integra con el anális de SonarQube mediante su plugin correspondiente. Donde obtenemos repetidamente errores:

Después de comprobar permisos, reinstalar agente, configuración del gateway de conexión TFS-SonarQube el enemigo silencioso... el antivirus, en este caso Panda, detectaba: por un lado el archivo temporal generado por el agente como posible Exploit genérico; por la otra parte, el ejecutable creado durante el análisis de código estático bloqueado...

 

Varias preguntas:

¿Por qué la generación de código fuente desde el agente crea un archivo temporal con el mismo nombre, algún tipo de GUID o similar, en todas las ejecuciones?

¿Por qué la heurística cloud (+hardening) de Panda lo analiza, remite y marca como confiable pero lo sigue bloqueando?

ACTUALIZADO: después de comunicar con Panda se solucionó en la segunda actualización específica para este problema.