Keď som prišiel do tejto spoločnosti, mal som už nejakú databázu IP zariadení, niekoľko serverov s hviezdičkou a patch v podobe FreeBPX. Paralelne navyše fungovala analógová ústredňa Samsung IDCS500, ktorá bola vo všeobecnosti hlavným komunikačným systémom v spoločnosti, IP telefónia fungovala len pre obchodné oddelenie. A všetko by sa takto varilo aj naďalej, no jedného pekného dňa bol vydaný výnos o prechode všetkých na IP telefóniu, dohodnuté termíny, zakúpené vybavenie a plán preniesť podnik do 21. storočia sa začal realizovať.
Prvá vec, ktorá v takejto situácii začína znepokojovať, je rýchlo rastúci počet telefónnych prístrojov, ktoré treba nejako spravovať, druhá vec, ktorá bola veľmi znepokojujúca, bol telefónny zoznam. Ak by nám Endpoint Manager mohol pomôcť s prvým (ktorý, mimochodom, bol vystrihnutý z najnovších verzií FreePBX), potom s knihou vyvstalo niekoľko otázok:
- Po prvé, ako zabezpečiť jeho presnosť, keď sa poloha/plynulosť používateľov neustále mení?
- Po druhé, ako úplne odosobniť telefóny. A nevypĺňať zakaždým meno kontaktu?
Problém bol zaujímavý, riešenie nenechalo na seba dlho čakať. Teraz uvediem úplný zoznam a potom sa na to pozrieme v poradí.
from scapy.all import sniff
from scapy.layers.inet import IP
import mysql.connector
import ldap
import getpass
import tftpy
import requests
import os
import time
from string import replace
def conn_ldap(login):
ad = ldap.initialize('ldap://***.local')
ad.simple_bind_s('voip@***.local', 'password')
basedn = 'OU=IT,DC=***,DC=LOCAL'
basedn_user = 'OU=***,OU=***,DC=***,DC=LOCAL'
scope = ldap.SCOPE_SUBTREE
filterexp = "(&(sAMAccountName=" + login + ")(ObjectClass=person))"
filterexp2 = "(&(ObjectClass=organizationUnit))"
attrlist = ['cn']
attrlist2 = ['OU']
search = ad.search_s(basedn, scope, filterexp, attrlist)
adname = search[0][1]['cn'][0].decode('utf-8')
if adname == ' ':
search = ad.search_s(basedn_user, scope, filterexp2, attrlist2)
for i in range(1, len(search)+1):
group = search[i][1]['ou'][0]
basedn_user2 = 'OU='+group+','+basedn_user
search = ad.search_s(basedn_user2, scope, filterexp, attrlist)
adname = search[0][1]['cn'][0].decode('utf-8')
if adname != ' ':
return adname
adname = search[0][1]['cn'][0].decode('utf-8')
ad.unbind_s()
return adname
def tftp_file_change(config,place,adname,current_account,current_account_password):
client = tftpy.TftpClient("192.168.0.3", 69)
client.download('template.cfg', place)
fileread = open(place, 'r')
line = fileread.readlines()
fileread.close()
line[5] = (('account.1.label = ').encode('utf-8') + adname.encode('utf-8') + 'n')
line[2] = (('account.1.auth_name = ').encode('utf-8') + current_account.encode('utf-8') + 'n')
line[3] = (('account.1.display_name = ').encode('utf-8') + current_account.encode('utf-8') + 'n')
line[6] = (('account.1.password = ').encode('utf-8') + current_account_password[0][0] + 'n')
filewrite = open(place, 'w')
for i in line:
filewrite.write(i)
filewrite.close()
print place
print config
client.upload(config,place)
def get_phone_inform(ipaddr):
fileconf = requests.get('http://admin:admin@'+ipaddr+'/servlet?phonecfg=get[&accounts=1]')
conf = fileconf.text.split('|')
current_account = conf[2]
return current_account
def sniff_frame():
pcapf = sniff(count=1, timeout=70, filter="dst host 192.168.0.3 and port 5060")
if len(pcapf) == 0:
exit()
frame = pcapf[0]
macaddr = frame.src
print macaddr[:8]
if macaddr[:8] != '80:5e:c0':
exit()
ipaddr = frame[0][IP].src
return macaddr, ipaddr
def conn_mysql(query,fquery,macaddr,qwery2):
connect = mysql.connector.connect(host='192.168.0.3', database='voip', user='voip_wr', password='***')
cursor = connect.cursor()
cursor.execute(fquery)
state = cursor.fetchall()
state = bool(state[0][0])
if state == True:
cursor.execute(qwery2)
connect.commit()
connect.close()
else:
cursor.execute(query)
connect.commit()
connect.close()
def check_account(current_account):
connect = mysql.connector.connect(host='192.168.0.3', database='asterisk', user='voip_wr', password='***')
cursor = connect.cursor()
qwery = 'select data from sip where id=' + current_account + ' and keyword="secret";'
cursor.execute(qwery)
password = cursor.fetchall()
if password == ' ':
exit()
else:
return password
if __name__ == '__main__':
macaddr, ipaddr = sniff_frame()
current_account = get_phone_inform(ipaddr)
current_account_password = check_account(current_account)
macaddr = macaddr.replace(':', '')
ipaddr = ipaddr.decode('utf-8')
adname = conn_ldap(getpass.getuser())
query = 'INSERT INTO station (mac, ip, name, number) VALUES (' + '"' + macaddr + '",' + '"' + ipaddr + '",' + '"' + adname + '",' + '"' + get_phone_inform(ipaddr) + '"' + ')'
qwery2 = 'UPDATE station SET ip=' + '"' + ipaddr + '"' + ', name=' + '"' + adname + '"' + ', number=' + '"' + get_phone_inform(ipaddr) + '"' + ' WHERE mac=' + '"' + macaddr + '"'
fquery = 'SELECT EXISTS(SELECT mac FROM voip.station WHERE mac=' + '"' + macaddr + '")'
query = query.encode('utf-8')
fquery = fquery.encode('utf-8')
config = macaddr + '.cfg'
place = os.path.expanduser("~") + "" + "AppDataLocal" + config
conn_mysql(query,fquery,macaddr,qwery2)
tftp_file_change(config,place,adname,current_account,current_account_password)
requests.get('http://admin:admin@'+ipaddr+'/cgi-bin/ConfigManApp.com?key=AutoP')
requests.get('http://admin:admin@'+ipaddr+'/cgi-bin/ConfigManApp.com?key=Reboot')Program beží na počítači užívateľa a funguje za predpokladu, že je počítač pripojený k sieti cez telefón, keďže Yealink T19 nemôže fungovať ako brána.
Najprv musíme pochopiť, či je to prepojené? a aký mac a ip má náš telefón.
def sniff_frame():
pcapf = sniff(count=1, timeout=70, filter="dst host 192.168.0.3 and port 5060")
if len(pcapf) == 0:
exit()
frame = pcapf[0]
macaddr = frame.src
print macaddr[:8]
if macaddr[:8] != '80:5e:c0':
exit()
ipaddr = frame[0][IP].src
return macaddr, ipaddr
Tu používame funkciu sniff zo scapy frameworku, pomocou ktorej dostaneme vopred určený udp paket, počkáme 70 sekúnd a ak nič nezachytíme, skončíme.
count=1, timeout=70, filter="dst host 192.168.0.3 and port 5060"Ďalej sa ubezpečíme, že zariadenie je skutočne Yealink a vrátime potrebné hodnoty (ip a mac).
Pomocou špeciálnej požiadavky zistíme aktuálny účet v telefóne. Na tento účel sa z telefónu stiahne a analyzuje aktuálna konfigurácia.
def get_phone_inform(ipaddr):
fileconf = requests.get('http://admin:admin@'+ipaddr+'/servlet?phonecfg=get[&accounts=1]')
conf = fileconf.text.split('|')
current_account = conf[2]
return current_accountZistite heslo pre tento účet. Aby sme to urobili, obrátime sa na tabuľku asterisk.sip a dátové pole v nej.
def check_account(current_account):
connect = mysql.connector.connect(host='192.168.0.3', database='asterisk', user='voip_wr', password='***')
cursor = connect.cursor()
qwery = 'select data from sip where id=' + current_account + ' and keyword="secret";'
cursor.execute(qwery)
password = cursor.fetchall()
if password == ' ':
exit()
else:
return passwordV poslednej fáze sa pripojíme k ldap AD a pomocou funkcie sAMAccountName získame getpass.getuser() vziať cn aktuálneho používateľa (ktorý zvyčajne obsahuje celé meno používateľa).
def conn_ldap(login):
ad = ldap.initialize('ldap://***.local')
ad.simple_bind_s('voip@***.local', 'password')
basedn = 'OU=***,DC=***,DC=LOCAL'
basedn_user = 'OU=***,OU=***,DC=***,DC=LOCAL'
scope = ldap.SCOPE_SUBTREE
filterexp = "(&(sAMAccountName=" + login + ")(ObjectClass=person))"
filterexp2 = "(&(ObjectClass=organizationUnit))"
attrlist = ['cn']
attrlist2 = ['OU']
search = ad.search_s(basedn, scope, filterexp, attrlist)
adname = search[0][1]['cn'][0].decode('utf-8')
if adname == ' ':
search = ad.search_s(basedn_user, scope, filterexp2, attrlist2)
for i in range(1, len(search)+1):
group = search[i][1]['ou'][0]
basedn_user2 = 'OU='+group+','+basedn_user
search = ad.search_s(basedn_user2, scope, filterexp, attrlist)
adname = search[0][1]['cn'][0].decode('utf-8')
if adname != ' ':
return adname
adname = search[0][1]['cn'][0].decode('utf-8')
ad.unbind_s()
return adnamePripojíme sa k vopred vytvorenej tabuľke v databáze (vytvoril som ju tam) a zadáme všetko, čo sme sa naučili, a to: ip, mac, používateľské meno.
def conn_mysql(query,fquery,macaddr,qwery2):
connect = mysql.connector.connect(host='192.168.0.3', database='voip', user='voip_wr', password='***')
cursor = connect.cursor()
cursor.execute(fquery)
state = cursor.fetchall()
state = bool(state[0][0])
if state == True:
cursor.execute(qwery2)
connect.commit()
connect.close()
else:
cursor.execute(query)
connect.commit()
connect.close()Tu by sme sa mohli zastaviť, pretože sme už vytvorili dynamický adresár, môžete sa opýtať, ale išiel som ďalej a pridal som sem automatické poskytovanie zariadení.
Na tento účel sa z predkonfigurovaného tftp servera stiahne konfigurácia šablóny, do ktorej vykonáme zmeny a uložíme ju ako mac.cfg. To znamená, že pre Yealink existujú dva typy konfigurácie, jedna je globálna a druhá sa vzťahuje na konkrétny telefón a mala by mať tvar mac_phone.cfg
Po všetkých zmenách v súbore a jeho uložení späť na server tftp dáme telefónu príkaz na zabezpečenie a reštart zariadenia.
def tftp_file_change(config,place,adname,current_account,current_account_password):
client = tftpy.TftpClient("192.168.0.3", 69)
client.download('template.cfg', place)
fileread = open(place, 'r')
line = fileread.readlines()
fileread.close()
line[5] = (('account.1.label = ').encode('utf-8') + adname.encode('utf-8') + 'n')
line[2] = (('account.1.auth_name = ').encode('utf-8') + current_account.encode('utf-8') + 'n')
line[3] = (('account.1.display_name = ').encode('utf-8') + current_account.encode('utf-8') + 'n')
line[6] = (('account.1.password = ').encode('utf-8') + current_account_password[0][0] + 'n')
filewrite = open(place, 'w')
for i in line:
filewrite.write(i)
filewrite.close()
print place
print config
client.upload(config,place)requests.get('http://admin:admin@'+ipaddr+'/cgi-bin/ConfigManApp.com?key=AutoP')
requests.get('http://admin:admin@'+ipaddr+'/cgi-bin/ConfigManApp.com?key=Reboot')Po reštarte zariadenia dostaneme na obrazovku telefónu naše celé meno + vždy správne vyplnený adresár v podobe databázy, potom už zostáva len pridať XML a trochu PHP na dynamické zobrazenie obsahu. Takýchto príkladov je veľa, má ich aj samotný YEALINK.
PS: Pre väčšiu škálovateľnosť môžete presunúť hlavné nastavenia (premenné) do samostatného súboru.
Zdroj: hab.com