Sparrow : Wazo PBX sur Raspberry Pi

Le jeune projet Sparrow propose un build non officiel de l’architecture armhf de plateforme Wazo. Il vous permet d’héberger un système téléphonique VoIP Open Source complet et programmable sur un Raspberry Pi. Un autre projet qui semble maintenant peu maintenu permettait d’installer un système Xivo ou Wazo (mais en 18.03) sur Raspberry, Raspvivo.

J’apprécie particulièrement cette architecture, car elle permet de manière efficace et avec une faible consommation de faire fonctionner des services performants. Dans la même veine, mais j’en parlerai dans un autre article, j’ai fait fonctionner la plateforme de class 4 de Wazo sur un cluster Kubernetes à base de cartes Raspberry.

J’aime bien la définition de Wazo :

Wazo Platform is an Open Source project writen in python who gets the best from Asterisk and Kamailio to build a telecom platform.

Sparrow peut fonctionner sur n’importe quel système avec une architecture armhf. Il est néanmoins recommandé 2 Go de RAM et une carte SD rapide industrielle d’une taille d’au moins 16 Go. Attention au volume des messages de logs, des backups et surtout des messages vocaux, le chiffre annoncé étant un minimum !

La dernière version est basée sur Wazo 20.01. C’est la seconde version de Sparrow, la première release datant du 3 janvier 2020.

L’ensemble des fonctionnalités de Wazo Platform sont disponibles sous Sparrow  sauf le codec OPUS qui n’est pas fonctionnel. Mais cela n’impactera que les applications WebRTC. De plus, du fait des faibles ressources d’une carte raspberry PI, les capacités de transcodage sont fortement limitées. Veillez bien à correctement configurer vos paramètres SIP.

Le process d’installation est assez simple. Après avoir installé la distribution Raspbian en version minimale (basée sur debian Buster, les dernières releases de Wazo ne supportant plus Jessie mais uniquement Buster), l’installation se déroule en quelques simples lignes de commandes. Le process prend du temps, profitez en pour prendre un bon café et marcher un peu !

Je n’ai pas eu le temps de faire des tests de performances, mais on peut facilement estimer que pour une petite entreprise équipée de 1 ou 2 T0 (2 à 4 appels simultannés) ou une utilisation en homelab, le Raspberry sera suffisament performant.

La documentation est accessible ici : https://sparrow.b5.pm/docs

et le repo github : https://github.com/benasse/sparrow

Merci Benoit Stahl pour ce superbe travail qui met en valeur la force d’une communauté Open Source.

Vidéo d’installation et de déploiement d’une instance WAZO UC en moins de 3 minutes

Découvrez dans notre courte vidéo comment installer et déployer une solution UC en moins de 3 minutes avec la console de gestion Wazo Portal sur AWS.

 

Routage SIP asynchrone : performance et montée en charge chez Wazo

L’objectif de Wazo Platform est de proposer une solution télécom  flexible, facile à configurer et performante pour les opérateurs. Le composant clé de la solution est le routeur SIP basé sur le projet Kamailio, le serveur SIP open-source de premier plan.

Je vous partage un article écrit par Fabio de la team Wazo.

L’objectif de Wazo Platform est de proposer une solution télécom  flexible, facile à configurer et performante pour les opérateurs. Le composant clé de la solution est le routeur SIP basé sur le projet Kamailio, le serveur SIP open-source de premier plan.

L’objectif est, tout en offrant une grande flexibilité et une grande facilité de configuration, d’éviter tout compromis sur les performances.

Bonne lecture : Kamailio routing with rtjson and http_async_client

RTPBleed et Asterisk : les appels d’Asterisk sous écoute

Asterisk souffre d’un problème assez grave permettant à un attaquant d’écouter simplement vos conversations. Une attaque de l’homme du milieu (man-in-the-middle), sans être vraiment au milieu d’ailleurs, permet de redirriger les flux RTP assez facilement.

Asterisk souffre d’un problème assez grave permettant à un attaquant d’écouter simplement vos conversations. Une attaque de l’homme du milieu (man-in-the-middle), sans être vraiment au milieu d’ailleurs, permet de rediriger les flux RTP assez facilement.

L’annonce a été faite il y a quelques jours (31/08/2017). Il s’agit en fait d’un vieux bug datant de 2011 qui a été réintroduit au premier trimestre 2013. Le premier report annonçant la régression date de mai dernier ainsi que le patch (fournit pour test). L’annonce officielle a été faite le 31 août dernier.

Quelles sont les versions vulnérables ?

Toutes les versions d’Asterisk entre la 11.4.0 à la 14.6.1 sont malheureusement touchées.

Dans quel cas le serveur Asterisk est vulnérable ?

Quand le serveur Asterisk fonctionne avec des postes derrière un routeur NAT, il est nécessaire de mettre en oeuvre des actions afin de router correctement les paquets voix. Le protocole SIP s’appuie sur le protocole RTP afin de transporter la voix et le protocole SDP afin que les user-agents (UA) puissent négocier entre eux des éléments comme les codecs, adresses et ports. Ces éléments sont échangés en clair sur le réseau.
Pour permettre ces négociations, le serveur Asterisk est configuré (fichier sip.conf) avec les options nat=yes et strictrtp=yes. De plus, ces options sont configurées ainsi par défaut !

Comment exploiter la faille ?

Un attaquant doit envoyer des paquets RTP au serveur Asterisk sur un port alloué pour recevoir un flux RTP. Si le serveur est vulnérable, alors le serveur Asterisk répond à l’assaillant en relayant les paquets RTP du destinataire véritable. Il est ensuite aisé avec des outils comme Wireshark de décoder le flux audio.

Quelles sont les actions de mitigation envisageable ?

  • La première recommandation est de ne pas transporter les flux SIP et RTP sur internet en clair, mais d’utiliser un tunnel VPN. Si cela n’est pas possible pour diverses raisons bonnes ou mauvaises, voici d’autres solutions :
  • application du patch fournit par Asterisk (https://raw.githubusercontent.com/kapejod/rtpnatscan/master/patches/asterisk/too-short-rtcp-bugfix.diff) qui actuellement limite la fenêtre temps de l’attaque aux toutes premières millisecondes.
  • éviter l’option nat=yes si possible
  • chiffrer les flux RTP avec SRTP (je vous invite aussi à chiffrer les flux SIP et à utiliser le protocole de transport TCP uniquement pour ce dernier afin de fiabiliser les échanges au lieu de l’UDP)
  • ajouter une option de configuration à vos peers SIP afin de prioriser les paquets RTP venant de l’adresse IP apprises au travers de l’échange initial effectué via le protocole SIP.

Par ailleurs, si vos postes IP et vos fournisseurs de trunk SIP utilisent des adresses IP fixes et connues, la mise en oeuvre d’une règle sur votre firewall bloquant l’accès aux ports UDP 10000 à 20000 (ports RTP utilisés par défaut par un serveur Aterisk) uniquement à partir de ces adresses apporte une protection suffisante.

Comment vérifier si mon serveur Asterisk est vulnérable ?

L’outil rtpnatscan permet de tester votre serveur Asterisk.

Références :

Xivo : vidéo de présentation de l’IPBX libre

L’équipe Xivo vient de publier une vidéo en anglais présentant l’IPBX libre. Dans cette vidéo de 3:51 minutes, la communauté Xivo est présentée par Gregory Sanderson, développeur R&D de la team Xivo, les partenaires et les contributeurs. Enfin, vous trouverez un tutorial de prise en main de  Xivo en 3 étapes.

Bon visionnage.

Snom : fin de vie des téléphones SIP 760, 720 et 710

Snom annonce la fin de commercialisation des téléphones SIP 760, 720 et 710 qui seront remplacés respectivement par les D765, D725 et D710. Pendant les 2 années suivantes, Snom mettra à disposition les mises à jour du firmware corrigeant des bugs critiques.

Xivo et Raspberry PI 2 : l’IPBX idéal pour les petites sociétés ?

Intégrer Xivo, IPBX libre sur Asterisk, et une carte low cost, la Raspberry PI 2 pour proposer une solution de téléphonie low cost aux TPE.

Pouvoir utiliser une carte Raspberry PI pour faire un petit IPBX est un projet intéressant : compacité et faible consommation. Plusieurs manières existent afin d’atteindre cet objectif. Naturellement, installer un Asterisk ou un FreeSwitch tout frais sur une distribution adaptée à la carte, la Raspbian, est la première idée qui a germée dans mon esprit. L’exercice fut concluant, mais les performances assez limitées, entre 3 et 5 appels simultanés selon la configuration et le système. Un peu juste, et difficilement utilisable en production sans une interface graphique digne de ce nom (sauf pour des projets de niche).

Depuis, la carte Raspberry PI 2 a vu le jour avec des spécifications en hausse ouvrant ainsi d’intéressantes perspectives. Les limitations techniques de la carte étant repoussée, une utilisation en IPBX pour les petites entreprises devient envisageable. Cette carte embarque assez de puissance afin de pouvoir faire tourner Asterisk ou FreeSwitch et un petit serveur web pour la configuration et l’interface utilisateur. N’ayant pas eu beaucoup de temps disponible, ni de carte Raspberry PI 2 sous la main, je n’ai pas encore monté de lab.

Mais un intégrateur Nantais, Geoffroy RABOUIN a remonté ses manches et a passé quelques nuits blanches afin d’intégrer Xivo, un célèbre IPBX Open Source basé sur Asterisk offrant une interface web agréable,  à une carte Raspberry PI 2. Au passage, un grand merci à la community manager de Xivo, Valérie DAGRAIN, de m’avoir fait découvrir ce projet. Le nom de ce sympathique projet : simplement Raspivo, Xivo sur Raspberry PI 2.

A l’heure de la rédaction de cet article, Raspivo intègre la dernière version de Xivo, la 15.12.

La documentation d’installation est disponible en ligne : installation de Raspivo depuis les dépôts de Iris Networks (société de Geoffroy RABOUIN). Le process est vraiment simple. Selon le créateur, les performances sont très intéressantes. Il a en effet atteint 12 appels simultanés sans déformation de la voix. Reste à voir les limitations, je pense notamment à certaines fonctionnalités gourmandes en CPU et en I/O.

Ce projet mérite une attention toute particulière, de part la qualité de la distribution Xivo (une de mes 2 solutions de téléphonie libre préférées), et d’autre part par les caractéristiques de la carte Raspberry PI 2 : faible consommation, pas de pièces mobiles et taille réduite.

Dès que j’ai un peu de temps et une carte sous la main, je testerai Raspivo et je vous ferai un retour détaillé.

Raspivo présente une réelle alternative permettant aux petites sociétés de disposer d’une solution de téléphonie libre low cost, un IBPX asterisk simple et fiable.

Liste des IPBX libres

Le choix d’un IPBX est parfois compliqué : l’offre est importante et complexe. Sur le papier toutes les solutions se valent, proposent toutes les fonctionnalités utiles, sont sécurisées, facilement administrables … Quand on doit choisir une solution IPBX libre, le choix est plus difficile. La première difficulté est de lister les différentes solutions.

Je vais lister pour vous les différentes solutions qui s’offrent à vous, la contrainte étant que la solution doit-être libre et à même de mettre en place un IPBX en entreprise. Pas d’autre contrainte ! Les voici classées par ordre alphabétique :

  • Astlinux
  • Blue.box
  • Elastix
  • FreePBX Distro
  • FusionPBX
  • Incredible PBX
  • PIAF : PBX in a flash
  • Wazo
  • Xivo
  • Yate (avec le module pbxassist)

Il existe d’autres solutions, je n’ai indiqué que les plus utilisées. Le choix n’est pas simple. Vous pouvez commencer par choisir un moteur VoIP (Asterisk, FreeSwitch ou Yate) et regarder l’interface graphique. Des critères peuvent-être éliminatoires comme le support de certains protocoles (comme IAX2 ou H323 par exemple), de montée en charge …

Un IPBX doit être facile à administrer. N’oubliez pas non plus de regarder les évolutions des différents projets. Malheureusement certains projets prometteurs sont devenus propriétaires comme TrixBox CE qui est devenu Fonality et AskoziaPBX qui a changé de licence.

Le mieux est de les tester au sein d’une VM afin de se faire une bonne idée après avoir rédigé un cahier des charges précis.

Je me dois de répondre à la question qui brûle vos lèvres : quelles solutions d’IPBX libres je préfère ? Selon l’usage, je vais préférer soit Astlinux soit Xivo. FusionPBX est intéressant mais est un peu lourd d’usage. L’interface d’administration mériterait un lifting.

Lesquelles avez-vous testé et quel est votre retour d’informations ?

FritzBox : installer les applications AVM sans utiliser le Google Play Store

L’adresse du site FTP d’AVM afin de télécharger les applications FRitzBox Android sans utiliser le Google Play Store.

Les routeurs FritzBox proposent des fonctionnalités incroyables, loin devant les box opérateurs. Les équipements haut de gamme peuvent convenir aux petites entreprises en leur fournissant des services indispensables :

  • sécurité
  • routage
  • téléphonie (PABX)
  • mobilité WiFi et DECT
  • stockage

AVM, le constructeur des FritzBox proposent aussi des applications pour les terminaux fonctionnant sous IOS et Android. Mais si vous ne souhaitez pas utiliser le play store d’Android, vous pouvez les télécharger directement sur leur ftp :

MyFRITZ!App: http://update.avm.de/fapp/MyFRITZ.apk

FRITZ!App Cam: http://update.avm.de/fapp/FritzAppCam.apk

FRITZ!App Fon: http://update.avm.de/fapp/FritzApp.apk

FRITZ!App Fon Labor: http://update.avm.de/fapp/FritzAppLabor.apk

FRITZ!App Media: http://update.avm.de/fapp/FritzAppMedia.apk

FRITZ!App Ticker: http://update.avm.de/fapp/FritzAppTicker.apk

FRITZ!App TV: httphttp://update.avm.de/fapp/FritzAppTV.apk

FRITZ!App WLAN: http://update.avm.de/fapp/FritzAppWLAN.apk

Sécurité des iPBX : responsabilité des intégrateurs

Je viens d’avoir un appel téléphonique d’un responsable d’une société qui vient de subir une fraude sur son installation téléphonique. Alerté par son opérateur, Orange pour ne pas le citer, il vient de subir des appels frauduleux pour un montant dépassant les 10k euros. Juste de quoi vous gâcher la journée.

L’opérateur ayant fait le nécessaire (suppression des appels à l’étranger), il cherche maintenant à savoir qui va payer cette facture bien salée. Et pour cela, il faut chercher le responsable, qui a fait la boulette. Un détournement des accès téléphoniques, un employé malintentionné ou une faille du système téléphonique.

Après un audit des accès téléphoniques de l’iPBX, cette hypothèse est rapidement écartée comme la seconde (les montants en jeu sont trop importants). Il reste donc l’hypothèse malheureusement la plus courante, une faille sur le système téléphonique.

Seul un audit permettra de déterminer quelle faille a été exploitée, et si cette faille est la conséquence d’une négligence dans la programmation et la maintenance du standard téléphonique. Malheureusement un certain nombre d’installateurs téléphoniques ou intégrateurs prennent la sécurité des équipements et des systèmes à la légère. Pour preuve, la non application des matchs de sécurité sur certains parcs de PABX pourtant reconnus vulnérables, ou la mise en oeuvre d’architecture dont la conception même fragilise toute l’infrastructure informatique de la société cliente.

Il est grand temps que le petit monde de la téléphonie (installateurs, éditeurs, constructeurs …) adopte des pratiques strictes en terme de sécurité. Et pour commencer, la mise à disposition des patchs de sécurité devrait être gratuit (ce n’est pas encore le cas de tous les constructeurs) et le déploiement des mises à jour de sécurité inclu au contrat de maintenance en incluant des SLA (délai de déploiement de la mise à jour maximum garanti …). Une veille technique devrait aussi faire partie de ces contrats avec une information claire diffusée au client.

Les intégrateurs ou installateurs privés en tant que professionnels reconnus sont responsables devant la loi du respect des bonnes pratiques. Laisser un mot de passe par défaut ou faible est un exemple simple, mais qui engage la responsabilité du prestataire. Comme le fait de ne pas avoir répondu aux solicitations de son client lui demandant de mettre à jour le système, ou le fait d’avoir programmé le système en ignorant les règles de sécurité connues.

Les attaques se faisant de plus en plus nombreuses, j’espère qu’à la fois les clients (ceux qui refusent de mettre à jour leur système et qui refusent tout contrat d’infogérance) et les professionnels prennent plus sérieusement en compte ces risques.