Úloha 2: Obmedzenie privilégií a možností užívateľov V tejto úlohe sa zameriame na bezpečnosť siete pred zneužitím zvnútra, obmedzíme práva používateľov a jednotlivých telefónov. Prvým krokom bude vytvorenie partícií, adresného volacieho priestoru a vzorov smerovania. Partície Partície sú skupiny čísiel s podobnou dostupnosťou. Napríklad, telefóny ktoré nechceme aby mali možnosť volať na zahraničné čísla budú súčasťou jednej takejto partície, nazvime ju BLOCK_Intercontinental. Podľa množstva skupín v cvičení si rozdeľte ich nasledujúce partície: All, BLOCK_External, BLOCK_Intercontinental, BLOCK_Custom. Pre ich vytvorenie prejdite v menu do položky Call Routing -> Class of Control -> Partition -> Add New, vložte meno a uložte. To je pre partície zatiaľ všetko, ich ďalšie úpravy budú prebiehať neskôr. Adresný volací priestor Adresný volací priestor predstavuje skupiny partícií. Môže byť priradený buď samotnému telefónu, alebo konkrétnym DN, vytvoreným v predchádzajúcej úlohe. Obr.1 Vytvorte Adresné volacie priestory: Network, Verejne priestory, Kancelarie. Pre ich vytvorenie prejdite v menu do položky Call Routing -> Class of Control -> Calling Search Space -> Add New. Podľa Obr.1 pridajte do priestoru Network partíciu All. Tento volací priestor bude priradený priamo zariadeniam a teda ho budú využívať všetky DN, predstavuje povolené smery volania. Zobrazte si v CUCM vaše aktívne telefóny a vyberte tie, ktoré spravujete. (nachádzajú sa v Device -> Phone) Otvorte ich a pod položkou Calling search Space vyberte možnosť Network (Obr.2). Obr.2 Nasledujúce adresné volacie priestory sú pridávané jednotlivým DN a predstavujú obmedzenia. Do Verejne priestory pridajte partície BLOCK_CUSTOM, BLOCK_External, BLOCK_Intercontinental. Skupina predstavuje najvyššie obmedzenia. Do Kancelarie pridajte BLOCK_Intercontinental. V tomto prípade chceme blokovať len zahraničné hovory. Pre samotné priradenie jednotlivým DN z nastavenia telefónu v CUCM vyberte vaše DN X01 (X predstavuje číslo vašej skupiny) a pod položkou call search space z Obr. 3 vyberte Verejne priestory ak ste skupina 1, 3, atď, Kancelarie ak ste skupina 2, 4, atď. Obr.3 Vzory smerovania Vzory smerovania určujú porovnávací vzor pri vytáčaní čísla. Pomáhajú nám obmedziť typ odchádzajúcich hovory, napríklad vieme, že medzinárodné hovory v Českej republike obsahujú predvoľbu 00 a čísla s touto predvoľbou teda môžeme zakázať smerovať. Zároveň však obsahujú aj vzory pre čísla, ktoré smerovať chceme. Skupina 1 Call Routing -> Route/Hunt -> Route Patterns -> Add New Vytvorte Smerovací pattern so vzorom 0.00[1-9]! Časť „0.“ použijeme pre indikáciu hovoru mimo našu sieť. V samotnom smerovaní sa číslice pred bodkou zahadzujú. Časť „00“ predstavuje predvoľbu pre medzinárodné hovory z českej republiky a časť [1-9]! predstavuje myšlienku: nasledujúca číslica môže byť ktorákoľvek z rozpätia 1 až 9 a za ňou sa môže vyskytovať neurčené ďalšie množstvo číslic. Podľa Obr.4 nastavte partíciu, vyberte vašu bránu a zmeňte smerovanie tohto vzoru na blokované, s reakciou „hovor odmietnutý“. Obr.4 Vytvorili ste vzor pre blokovanie, teraz vytvorte vzor pre smerovanie. Jediný rozdiel bude v pridelenej partícií a povolenom smerovaní, viď Obr.5. Všimnite si taktiež klasifikáciu hovoru, tu vieme nastaviť, či hovor s daným vzorom považujeme za vnútorný, alebo vonkajší. Obr.5 Skupina 2 Call Routing -> Route/Hunt -> Route Patterns -> Add New Vytvorte vzor 0.0[2-5]XXXXXXXX predstavujúci volania na pevnú linku v rámci Českej republiky s predvoľbami miest. Všetky začínajú číslicou 0, pokračujú číslicou 2 až 5 a nasleduje 8 akýchkoľvek číslic, v našom prípade sú reprezentované znakom X. Podľa Obr.6 vyplňte požadované údaje ako partícia, vaša brána a vyberte blokovanie smerovania s možnosťou odmietnutie hovoru. Následne podľa návodu pre skupinu 1 vytvorte vzor pre povolenie smerovania. Obr.6 Skupina 3 Call Routing -> Route/Hunt -> Route Patterns -> Add New Vytvorte podľa povoľovacích vzorov v skupine 1 a 2 vzory 0.15X a 0.112, rovnako ich možnosti bez „0.“ 15X a 112. Tieto vzory slúžia na núdzové volania a preto nepotrebujú zakazovacie náprotivky. Skupina 4 Call Routing -> Route/Hunt -> Route Patterns -> Add New Vytvorte podľa Obr.7 vzor 007, nastavte partíciu, zvoľte vašu bránu, nastavte blokovanie s odmietnutím hovoru, klasifikáciu hovoru prepnite na vnútorný hovor a od značte tón pre vonkajšie volania. Tento vzor predstavuje blokovanie hovoru vo vnútornej sieti. Napríklad šéfov telefón. Obr.7 Výsledkom je, že polovica z X01 DN sa odteraz na 007 nedovolá a pokiaľ vytočíte vzor so zakázaným smerovaním, dostanete tón nedostupného čísla. Obmedzenie nechcených presmerovaní a konferenčných hovorov Ako ste si už všimli, každý hovor má klasifikáciu vnútorný, alebo vonkajší. Čo nemusíme chcieť, je vedieť hovor ktorý príde s klasifikáciou vonkajší preložiť na vonkajší. Tým by sme vybavili hovor zdarma strane ktorá volá a strane na ktorú hovor preložíme, za naše peniaze. Vedenie firmy pre toto nemusí mať pochopenie. Pre vypnutie takéhoto prekladu je nutné ísť do menu System -> Service Parameters >Server(náš server) -> Service (Cisco CallManager) Tu sa ponuka na vypnutie prekladu nachádza v sekcii Clusterwide Parameters (Feature – General) pod názvom Block OffNet To OffNet Transfer. Zmeňte hodnotu na True (Obr.8). Obr.8 Ďalšou nechcenou vecou môžu byť konferenčné hovory, ktoré môžeme pre vzdialené strany vytvoriť a následne ich opustiť. Tomu sa dá zabrániť buď ukončením konferencie po odídení zakladateľa, alebo kontrolou účastníkov s vnútornou klasifikáciou v konferencii, kedy by po odídení všetkých z nich konferencia skončila. Nastavenie prebieha v rovnakom menu, ale v sekcii Clusterwide Parameters (Feature – Conference) pod položkou Drop Ad Hoc Conference. Hodnotu nastavte na ukončenie pri odídení zakladateľa (Obr.9). Toto nastavenie otestujte vytvorením konferenčného hovoru. Zakladateľ musí najprv vytvoriť normálny hovor, a potom pod položkou „more“ na displeji telefónu nájsť možnosť konferencie, kedy pridá ďalších účastníkov. Po pridaní otestuje zrušenie konferencie pri odchode zakladateľa. Obr.9 Smerovanie podľa času v dni Občas môžete chcieť, aby sa prichádzajúce či odchádzajúce hovory chovali inak podľa času kedy sú uskutočnené. Vy si vyskúšate presmerovať hovor v časovom úseku, keď prebieha vaše cvičenie. Ako prvé je potrebné vytvoriť časové rozvrhy. Prejdite do menu Call Routing -> Class of Control -> Time Period -> Add New Každá skupina si vytvorte vlastnú časovú periódu s platnosťou počas vášho cvičenia. Vyplňte meno, počiatočný a koncový čas, pozrite si možnosti opakovania tejto periódy Prejdite do menu Call Routing -> Class of Control -> Time Schedule -> Add New Každá skupina si vytvorí vlastný časový rozvrh a pridá do neho časovú periódu. Teraz je nutné pridať tieto časové rozvrhy telefónom. Pomocou návodu v začiatku cvičenia si každá skupina vytvorí novú partíciu, nastavte jej váš časový rozvrh, túto partíciu pridajte do adresného volacieho priestoru Network a nastavte ju ako platnú partíciu vo vašom DN X01. Posledné nastavenie podľa Obr.10. Obr.10 Následne sa posuňte v nastavení DN nižšie (Obr.11), k presmerovaniu a nastavte Transfer All na číslo nasledujúcej skupiny (napríklad 201 nastaví presmerovanie na 301). Posledná skupina nastaví presmerovanie na 007, ale len pokiaľ má naň zo svojho DN X01 povolené volania. Inak nenastavuje nič. Obr.11 Nastavenie vyskúšajte zavolaním 201, hovor by sa mal presmerovať buď na 007, alebo posledné číslo skupiny. Týmto ste svoje DN obmedzili na istý časový úsek, mimo neho sa vám naň nik nedovolá. V reálnej prevádzke by ste si vytvorili nové DN s rovnakým číslom a pridali mu časový rozvrh s časom opačným než má presmerovanie. Nezabudnite na nutnosť pridania partície do adresného volacieho priestoru All. Nútená autorizácia Pokiaľ máme síce smerovacie vzory povolené, ale chceli by sme im prideliť dodatočnú ochranu, môžeme využiť nútenú autorizáciu. Pre volanie je nutné vlastniť číselný kód a tento kód musí mať dostatočné oprávnenia. Tie sa môžu vzor od vzoru meniť. Každá skupina si vytvorí nový vzor smerovania podľa skupiny vzory X02 (X predstavuje číslo vašej skupiny) podľa Obr.12, priradíte partíciu All, bránu, povolenie smerovania, klasifikáciu vnútornú a nové nastavenie, nútená autorizácia, úroveň zvoľte 100. Obr.12 Rovnako si vytvorte nové DN X02 a priraďte ho tlačidlu telefónu (návod v úlohe 2). Nasledovne prejdite do menu Call Routing -> Forced Authorization Code -> Add New a vytvorte si vlastné kódy, s úrovňou prevyšujúcou 100, aj úrovňou nedosahujúcou 100. Rozsah sa môže pohybovať od 0 do 255 (Obr.13). Obr.13 Teraz skúste vaše nové DN vytočiť. Ak ste všetko správne nastavili, budete požiadaný o vloženie kódu. V prípade kódu vyššieho než 100, bude tento kód akceptovaný, v prípade nižšieho, zamietnutý. V oboch prípadoch sa však nedovoláte, povoľovacie smerovacie vzory sa pre DN na vnútornej sieti nevytvárajú, CUCM sa hovor snaží poslať bránou von. V niektorých prípadoch vás na to môže CUCM upozorniť a nedovolí vám takýto vzor uložiť. Toto je koniec Úlohy 2.