CallControl, Verschlüsselung

[seppelswyx]

Hallo Swyx-Profis,

 

ich hätte da ein Problem.

Ich bekomme im Wireshark keine CallControl Informationen angezeigt.

Soweit mir bekannt, sprechen die Swyphones das Siemens HFA.

 

Mir wurde gesagt, dass die CallControls zwischen Swyxphone und Server verschlüsselt sind.

Ist das korrekt?

Falls ja, kann man das abschalten?

Bezieht sich das Feature "Verschlüsselung", welches ich pro Teilnehmer aktivieren kann, nur auf den RTP Datenstrom oder auch auf das CallControl ?

Beim Hersteller gibt es hierzu wenig Informationen?

 

Vielen Dank!

[Virikas]

Call Control ist TLS verschlüsselt. An den private Key der Verschlüsselung kommst du nicht ran (somit kein decodieren in Wireshark möglich). Abschalten geht ebenfalls nicht.

Du kannst dir aber sehr detailiert ansehen, was zwischen Telefon und Server passiert. Die PhoneMgr Tracelog Datei ist dein Freund an dieser Stelle.
 

Die Konfiguration "Verschlüsselung" bezieht sich ausschließlich auf RTP.

 

 

[seppelswyx]

Vielen Dank für die Info.

Das haben wir bereits festgestellt.

Die Frage lautet: Warum bekomme ich bei SIP-Geräten, z.B. analoge Faxe an einem a/b Adapter, der ja dann reines SIP mit der Swyx spricht,

die kompletten Verbindungsdaten im Wireshark?

z.B. Rufnummern

So habe ich jetzt den RTP Strom, der ja extern generell nicht verschlüsselt wird, aber nur die IP-Adressen der beteiligten Partner Telefon und SBC.

Damit kann ich nat. nicht viel anfangen.

Gibt es eine Möglichkeit an diese Daten zu kommen?

Hintergrund ist die Aufzeichnung von Gesprächen. Swyx bietet ja selbst keine Möglichkeit bei einem virtualisierten Server.

Meine Idee war per Mirrorport alles abzugreifen u. zu filtern. Nur funktioniert eben fas Filtern aktuell nicht.

 

[jodost]

Naja, weil SIP standardmäßig nicht verschlüsselt ist.

Was spricht gegen das Trunk recording auf der Swyx?

[seppelswyx]

Gegen Trunk-Recording bei Swyx spricht, dass man hierfür einen physikalischen Server benötigt. (Monitoring Lizenz)

Gegen Client-Recording spricht, dass Swyx hier keine CTI Geräte aufzeichnen kann. (nur PC-Client+ USB Phone)

Abgesehen davon, dass keine dieser beiden Methoden rechtlich zertifiziert ist.

Man ist hier also auf Drittanbieter zwangsläufig angewiesen.

Nur versteht natürlich verschlüsseltes Call Control keine Software dieser Welt.

[jodost]

Gegen Trunk-Recording bei Swyx spricht, dass man hierfür einen physikalischen Server benötigt. (Monitoring Lizenz)

Dass du eine Lizenz benötigst und wireshark-Basteleien hingegen nicht - einverstanden. Das mit dem physikalischen Server hingegen verstehe ich nicht.

[seppelswyx]

lt. Handbuch v. Swyx S. 25:

 

SwyxRecord
Ist das Optionspaket „SwyxRecord“ installiert, so kann ein Benutzer
während eines Telefonats selbstständig mit einem Mausklick das
Gespräch aufzeichnen bzw. diese Aufzeichnung wieder beenden. Für
Benutzer mit anderen Endgeräten wie z. B. SwyxPhone, SIP-Telefone
Bitte beachten Sie, dass Sie für die Nutzung von Konferenzen die Anzahl
der Rufe zu einem Standort entsprechend erweitern müssen. Weitere
Informationen entnehmen Sie bitte dem Abschnitt Konferenz und
Begrenzung der Rufe zu einem Standort, Seite 108.
oder GSM-Telefone (oder auch SwyxIt! im CTI-Modus), können die
Gespräche direkt auf der Trunk-Verbindung aufgezeichnet werden.

 

SwyxMonitor
Das Optionspaket „SwyxMonitor“ umfasst zwei zusätzliche Möglichkeiten:
die permanente Rufaufzeichnung und das Aufschalten auf ein
Gespräch (Silent Call Intrusion).
 Permanente Rufaufzeichnung
Auf jeder Trunk-Verbindung können für ausgewählte interne Nummern
die Gespräche permanent mitgeschnitten werden. Dabei kann
festgelegt werden, ob eine oder beide Seiten des Gesprächs aufgezeichnet
werden. Diese Möglichkeit wird oft in Callcenter-Szenarien
zu Trainingszwecken eingesetzt oder bei Gesprächen, in denen
wichtige Transaktionen beauftragt werden.
 Stilles Aufschalten auf ein Gespräch (Silent Call Intrusion)
In einem Callcenter kann der Supervisor sich mit seinem SwyxIt! auf
ein bestehendes Gespräch aufschalten und mithören, dem sprechenden Callcenter-Agenten Anweisungen geben (z. B. eine Argumentationshilfe)
oder sogar aktiv am Gespräch teilnehmen.

 

Es liegt in Ihrer Verantwortung, bei dem Einsatz des Optionspaketes
SwyxMonitor die jeweils anwendbaren gesetzlichen Bestimmungen zu
beachten.
SwyxMonitor-Funktionen sind nur bei deaktiviertem CTI-Modus verfügbar.

 

Man beachte die markierten Passagen.

Das bedeutet: Benutzt man CTI, kann man mit Swyx nicht aufzeichnen.

;-)

 

Habe ich beides schon getestet.

Funktioniert einfach nicht.

 

Ich setze jetzt an einer anderen Stelle im Netzwerk an. Das ist, aufgrund der Redundanzen, etwas kompliziert, aber

ich habe kaum eine andere Wahl.

[Virikas]

Und wo steht da was von "nur bei physischem Swyx Server"?

Und weiterhin: Was spricht gegen SwyxReord auf Trunkebene, außer dass es logischerweise nur bei externen Rufen funktioniert?

[jodost]

Und wo steht da was von "nur bei physischem Swyx Server"?
Und weiterhin: Was spricht gegen SwyxReord auf Trunkebene, außer dass es logischerweise nur bei externen Rufen funktioniert?

Ergänzend zu Verikas: auch deine Frickel-Lösung mit wireshark würde stabil nur die externen Anrufe aufzeichnen. Neben verschlüsselten CallControl vergisst du nämlich, dass RTP bei internen Gesprächen oft von Endgerät zu Endgerät geht (also auf dem mirror port parallel zur Swyx nicht zu sehen ist) oder bei Clients, die den RemoteConnector nutzen, für dich quasi unsichtbar zur Swyx gelangen.

[seppelswyx]

Also...

 

@Virikas

>> Was spricht gegen SwyxReord auf Trunkebene, außer dass es logischerweise nur bei externen Rufen funktioniert?

 

CTI spricht lt. Swyx dagegen. Egal ob SwyxMonitor oder SwyxRecording. s. Handbuch.

(Natürlich geht z.B. SIPREC am SBC. Kostet entsprechend u. hat mit Swyx nichts zu tun)

 

@jodost, ich habe Wireshark nur zu Testzwecken benutzt. RTP geht natürlich von Endgerät zu Endgerät. Daher wollte ich auch am Spiegelport des Hauptswitches (alle Telefone hänge da dran) aufzeichnen.

Geht nur leider nicht, weil eben die Signalisierung bei Swyx verschlüsselt ist u. man diese offenbar nicht deaktivieren kann.

 

Verstehe den Hersteller hier nicht. RTP kann ich am Benutzer einstellen (SSL an oder aus), das CallControl leider nicht.

 

Eine Aufzeichnung ist daher erst am SBC oder danach möglich.

Habe mir extra eine Recording-Lösung ausgesucht, die Siemens HFA versteht u. dann verschlüsselt Swyx das auch noch.

[Markus Wallner]

Mitschneiden am Server über den Trunk funktioniert, die Funktion kann halt nicht über die Taste am SwyxIt! aktiviert werden sondern über die konfigurierte DTMF Tastenfolge.

Voraussetzung ist allerdings, dass der Ruf auch über den Server läuft, also per SIP Trunk am LinkManager oder per ISDN Karte am SwyxGate. Trunks die über Gateways (z.B. SwyxConnect) angebunden sind können nicht mitgeschnitten werden, da der Medienstrom nicht am Server ankommt.

[seppelswyx]

@Markus Wallner, genau meine Rede. ;-)

Die Anrufe (RTP Strom) laufen nicht über den Server, sondern direkt. (SwyxConnect)

 

@Virikas, --> per ISDN Karte am SwyxGate. --> das meinte ich mit "physikalischer Server". Denn eine ISDN Karte in einer virtuellen Maschine wird sehr schwierig.

 

[jodost]

Na dann hättest du das vielleicht Mal schreiben sollen, statt zu behaupten, Trunk Recording ginge nicht wegen Virtualisierung, wegen fehlenden physikalischen Server und wegen CTI. Das hat damit alles nämlich genau gar nichts zu tun.

Aber - ich muss gestehen, SwyxConnect ist bei mir >10 Jahre her: wie verbindet sich das Ding denn mit dem Swyx-Server? Ich hätte jetzt vermutet, als SIP Trunk? Dann kann man es doch natürlich mitschneiden?

[seppelswyx]

@jodost, leider ist das so. Ich mache die Voraussetzungen nicht, sondern der Hersteller. ;-)

 

Um es präzise zu formulieren: Trunk Recording setzt voraus, dass die Gespräche über den Server laufen.

Das tuen Sie aber bei CTI auf gar keinen Fall.

Natürlich wird das SwyxConnect, also der SBC, per Trunk angebunden, ABER: Die Gespräche laufen nicht über den Server. Daher keine Chance.

Meine Ausgangsfrage wurde bereits beantwortet. Swyx verschlüsselt das Call-Control mit TLS u. das kann man offenbar nicht abschalten.

[jodost]

[mention=374]jodost[/mention], leider ist das so. Ich mache die Voraussetzungen nicht, sondern der Hersteller. ;-)

Welcher Hersteller? Swyx jedenfalls nicht.

quote post="7295" timestamp="1511247430" name="seppelswyx" userid="820"]
Das tuen Sie aber bei CTI auf gar keinen Fall.


Es wird nicht besser, je öfter du es wiederholst.

Du verwechselst glaube ich die beiden Varianten.

Client-seitiges Mitschneiden setzt voraus, dass die Gespräche über den Client laufen. Das tun sie bei CTI nicht, darum geht client-seitiges Mitschneiden nur bei SwyxIt im Softphone-Betrieb.

Trunk recording hingegen erfolgt auf dem Server und ist vom Endgerät völlig unabhängig.

Selbst beim SwyxConnect glaube ich erst, dass es nicht geht, wenn ich's sehe.

Aber gut, du hast dich eh schon längst entschieden, mach halt.

Sollte es nicht klappen, kannst du immer noch mit drei Klicks das Trunk-Recording aktivieren und wirst sehen, dass es auch mit CTI und auf Virtualisierung funktioniert

[Virikas]

16 hours ago, jodost said:

Aber - ich muss gestehen, SwyxConnect ist bei mir >10 Jahre her: wie verbindet sich das Ding denn mit dem Swyx-Server? Ich hätte jetzt vermutet, als SIP Trunk? Dann kann man es doch natürlich mitschneiden?

 

SwyxConnect <-> Swyx ist SIP

Allerdings macht das Ding ggf. lokales Mediarelease, so dass du hinsichtlich Trunkrecording dann auf der Swyx wieder nichts davon siehst, da der Media Stream zwischen Client und Swyxconnect läuft.

 

Zum Thema TLS abschalten, gäbe es vermutlich "undokumentierte Registry Schlüssel". Hätte da sogar eine konkrete Idee.
Die sind aber wie gesagt undokumentiert Heisst wenn du sie haben willst, wende dich dazu an deinen Swyx Distri.

 

Alternativ schmeiss das ISDN gelumpe Weg und geh auf einen SIP Trunk. Dann hast du zumindest die externen Calls die über den Server laufen.

[seppelswyx]

@Virikas, vielen Dank für den Tipp.

Ja, mir ist klar, dass die Telefone HFA und kein SIP sprechen. Daher sehe ich z.B. auch die analogen Faxe am a/b Adapter, die ja dann reines SIP sprechen.

RTP läuft direkt zwischen Telefon u. SBC. Korrekt.

(Daher war mein Gedanke ja auch, direkt am Switch per Mirror aufzuzeichnen)

 

Ich kann im Telefon selbst auch die Signalisierung per TLS abschalten. Das scheint aber nicht zu funktionieren, da Swyx offenbar TLS zwingend voraussetzt.

Registry Key wäre eine Option. Ich denke mal, dass hier global deaktiviert wird? Per Teilnehmer wäre natürlich besser.

Ich hake mal bei meinem farblich einprägsamen "Distri" nach. ;-)

Danke.

 

[jodost]

 
SwyxConnect Swyx ist SIP
Allerdings macht das Ding ggf. lokales Mediarelease, so dass du hinsichtlich Trunkrecording dann auf der Swyx wieder nichts davon siehst, da der Media Stream zwischen Client und Swyxconnect läuft.

OK, das ließe sich ja mit wenig Aufwand abgewöhnen. Damit bleibe ich dabei, es gibt keinen Grund, hier ein Vielfaches an Mehraufwand in eine Bastellösung zu stecken, die spätestens dann wieder scheitert, wenn Mal ein User die App nutzten will...

[seppelswyx]

@Virikas, kurze Frage zur Verschlüsselung.

Wenn diese im Server / Eigenschaften, komplett abgeschaltet wird, ist dann auch das TLS für das CallControl inaktiv oder bleibt das bestehen?

Soweit mir bekannt, bezieht sich diese Einstellung nur auf die RTP-Daten.

Vielen Dank!

[Virikas]

korrekt.. Wenn du nur in der Swyx Konfiguration die Verschlüsselung per User oder global deaktivierst bezieht sich das nur auf RTP.

Daher ja auch "undokumentierte Registry Keys" mit denen das gehen könnte.

 

Halte ich für das gegebene Ziel zwar für den falschen Ansatz, aber nun gut, der OP möge tun, was der OP tun will. Ist ja sein System

[Markus Wallner]

Die Konfiguration von Swyx bindet das SwyxConnect als SIP-Gateway am Swyx Server Dienst an. Daher kein Medienstrom über den LinkManager, so wie bei SIP Trunks.

Man kann das Gerät sicherlich auch über den LinkManager anbinden, allerdings wäre diese Konstellation von Swyx nicht vorgesehen und damit nicht supportet. Muss man sich halt überlegen, ob man das möchte. Fertige Konfigs für so einen Fall hätte ich aber keine.

[seppelswyx]

@Virikas

Danke für die Info!

Dann macht es wenig Sinn, die Verschlüsselung am Server zu deaktivieren.

Ich lasse das aktuell beim Hersteller verifizieren. (nix für ungut)

Naja, sagen wir mal so. Es werden nur externe Gespräche aufgezeichnet. Diese sind sowieo nicht verschlüsselt.

Was interessiert mich dann die interne Verschlüsselung.

Hätte ich das jetzt mit 1 Mausklick quasi lösen können, wäre das immer noch besser als die umständliche Konfiguration der Switche.

So bleibt mir jetzt nur letzteres.

SIPREC als 2. Alternative ist ja praktisch unbezahlbar.