Clever Blog

Zero Touch Provisioning mit Sicherheit

Zero Touch Provisioning mit Sicherheit

Welcher Fachhändler oder Reseller kennt das nicht? Je mehr Endgeräte an einer Telekommunikationsanlage genutzt werden, desto höher ist der Zeitaufwand beim Einrichten und Konfigurieren. Abhilfe bietet hier zentrales Provisioning, das Aufwand und Zeit bei der Erstinstallation der IP-Endgeräte in der TK-Anlage deutlich reduziert. Darüber hinaus können im laufenden Betrieb, Änderungen an mehreren Endgeräten zeitgleich durchgeführt werden. Die Einstellungen werden verschlüsselt und automatisch an die Endgeräte verteilt. Besonders komfortabel – man muss nicht mal vor Ort sein! Provisioning kann auch remote und ortsunabhängig bei entsprechender Vorbereitung durchgeführt werden.

Unterstützte Auerswald ITK-Systeme:

  • COMpact 4000
  • COMpact 5000
  • COMpact 5200(R)
  • COMpact 5500(R)
  • COMmander 6000(R/RX)

Unterstützte Auerswald IP-Endgeräte:

  • COMfortel 1400 IP
  • COMfortel 2600 IP
  • COMfortel 3600 IP
  • COMfortel D-100
  • COMfortel D-200
  • COMfortel D-400
  • COMfortel WS-500 M/S

Bei der Erstinbetriebnahme von unseren schnurgebundenen Telefonen mit „Zero-Touch“ Provisioning werden standardmäßig neben dem SIP-Account auch Spracheinstellung und sofern notwendig Telefonbucheinstellungen übertragen (LDAP). Das Telefon ist danach sofort einsatzbereit.

Die zu übertragenden Einstellungen lassen sich erweitern und an die Kundenbedürfnisse anpassen, wie z. B. die Belegung von Funktionstasten.

Der Provisioning-Vorgang ist denkbar einfach und erfolgt in nur 4 Schritten:

  1. Endgeräte im Netzwerk anschließen
  2. VoIP-Teilnehmer in der TK-Anlage erstellen
  3. MAC-Adresse der Endgeräte dem erstellten Teilnehmer zuordnen
  4. Berechtigung für die im ITK-System vorhandene „Standard.xml an die jeweiligen Teilnehmer vergeben

FAQ mit Bildern: Zero-Touch-Konfiguration (Basisprovisionierung)

Safety first

Der Provisioning-Vorgang erfolgt abhör- und manipulationssicher durch verschlüsselte Datenübertragung zwischen den Endgeräten und des ITK-Systems.

Neben der Möglichkeit, das Provisioning über das Auerswald System durchzuführen, können z. B. auch Redirect Server verwendet und Pfade zu XML Dateien über DHCP-Options den Endgeräten zugewiesen werden. Der Provisioning-Prozess wird dabei vom jeweiligen Endgerät in mehreren Stufen abgearbeitet:

Blog-Illustration1

Illustration 1: Ablauf des Provisioning-Prozesses

Der Prozess startet im Normalbetrieb nach einem erfolgreichen ersten Bootvorgang und überprüft zuerst, ob eine gültige Netzwerkkonfiguration vorhanden ist. Ist dies nicht der Fall, ist kein Provisioning über ein Netzwerk möglich und der Prozess wird beendet.

Ist eine gültige IP-Konfiguration vorhanden und wurde das System mit DHCP konfiguriert, wird überprüft, ob der Server mit den Optionen 66 und 67 einen Ort für die Provisioning-Datei angibt. Ist ein solcher Ort gegeben, wird die entsprechende URL für einen Download verwendet. Ist DHCP deaktiviert oder werden keine Optionen mitgesendet, starten zwei Prozesse parallel. Der erste fragt auf dem Auerswald Redirect Server an, ob eine Konfigurations-URL hinterlegt ist. Der zweite führt eine Anlagensuche durch. Alle Auerswald Telekommunikationsanlagen ab dem Firmware-Stand 6.6 können auf diese Suche mit einer Provisionierungs-URL reagieren.

Automatische Anlagensuche im Detail (Zero-Touch):

Provisioning erfolgt durch Multicast-Datenpakete der Endgeräte. Ist das ITK-System entsprechend konfiguriert (siehe Provisioning-Vorgang in 4 Schritten), sendet das System als Antwort darauf ein SIP-Notify mit der entsprechenden URL zur XML-Datei im ITK-System:

Grafik 2 Provisioning.jpg

Illustration 2: Auerswald System sendet URL an Endgerät

Um die gesicherte Kommunikation zwischen Endgeräten und Auerswald System zu gewährleisten, werden Zertifikate verifiziert (TLS Handshake). In Wireshark ist der Beginn des Aufbaus der verschlüsselten Verbindung deutlich erkennbar:

Grafik 3 Provisioning

Illustration 3: TLS Handshake

Anschließend wird die XML-Datei durch die verschlüsselte Verbindung an alle Endgeräte übertragen. Die in der XML-Datei vorhandenen Parameter werden vom Telefon übernommen und durchgeführt, danach sind alle durch das Provisioning verteilten Daten im Telefon vorhanden.

Wir möchten unseren Kunden die größtmögliche Sicherheit bieten und stehen daher jederzeit gerne für Rückfragen zur Verfügung:
Auerswald Hotline.

Ergebnisse des Frauenhofer Instituts (SIT) zum Thema Sicherheit →

Ihr Kommentar

Bitte alle Felder mit einem * ausfüllen