По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
При настройке телефонной маршрутизации очень часто возникает необходимость изменения (корректировки) телефонных номеров, как набираемого (Б-номер), так и инициатора вызова (А-номер, АОН). Например, абоненты вашей станции набирают междугородние/федеральные номера через префикс "8", а вышестоящему оператору связи необходимо передавать номер без префикса, в десятизначном формате. Или вызовы на вашу станцию приходят с кодом зоны, а внутри станции используются номера в 6 или 7 знаков, и лишние символы необходимо удалить. Для корректировки номеров в SoftX3000 существует множество инструментов, применяемые в зависимости от конкретных случаев. Рассмотрим некоторые из них.
Таблица корректировки символов DNC
Для любых операций с изменением номера используются правила таблицы DNC. Эти правила используются для непосредственной корректировки символов, а все прочие команды определяют, в отношении какого поля (А-номер или Б-номер), на каком направлении (входящее/исходящее) и на какой транк-группе будет применено это правило.
Для добавления правила в эту таблицу используется команда ADD DNC.
Назначение атрибутов и применение этой команды:
Number change index порядковый номер правила. Используется для идентификации правила
Number change type тип преобразования номера, принимает значения:
NONE номер не изменяется. Используется, если нужно изменить только тип номера
MOD изменение цифр номера
DEL удаление цифр из номера, указываем позицию, начиная с которой удаляются цифры (Change location) и количество цифр (Change length)
INS добавление цифр в номер, указываем позицию, куда вставляем цифры (Change location) и сами цифры (New number)
RPL замена цифр в номере, указываем позицию, с которой начинаются цифры для замены (Change location) и сами цифры (New number)
Change location позиция цифр, которые подлежат корректировке.
Nature of address indicator тип номера, принимает значения:
NONE тип номера не изменяется
IDN международный номер
NDN национальный номер
UDN местный номер
UNN неизвестный номер
SDN специальный номер
New number добавляемые (изменяемые) цифры.
Для наглядности приведем реальные примеры таких правил:
В таблице выше:
Правило №2 изменяет первый символ в номере (Change location 0) на цифру 8 (New number).
Правило №4 удаляет первые (Change location 0) два символа (Change length - 2) в номере и преобразует тип номера в международный.
Правило №9 заменяет первые (Change location 0) шесть символов (Change length - 6) на номер 29xxxx.
В системе можно создать 65535 правил, правило под №0 системное, изменению не подлежит.
Изменение А и Б номеров на исходящем направлении
Для корректировки номеров вызовах в исходящих направлениях используется две таблицы:
TGLD здесь компонуются правила для А и Б номера.
TGLDIDX указывает транк, в отношении которого применяется правило TGLD и условия, при которых оно применяется.
При добавлении записи командой ADD TGLD, необходимо задать следующие обязательные параметры:
Bearer index номер правила по порядку. Этот номер будет использоваться для идентификации в таблице TGLDIDX.
Trunk seizure point минимальная длина набираемого номера.
Caller sending change index правило из таблицы DNC, которое будет применено к А-номеру.
Callee sending change index правило из таблицы DNC, применяемое к Б-номеру.
Примеры записей TGLD:
Здесь запись TGLD=1 изменяет А-номер по правилу DNC=3 и Б-номер по правилу DNC=12.
Далее, необходимо привязать созданное правила TGLD к транкам. Для этого используем команду ADD TGLDIDX:
Указываем следующие параметры:
Trunk group number номер транка, к которому применяется данное правило.
Call source code callsource источника вызова, по которому срабатывает правило. Если код отличается, правило не применится. Чтобы применить правило ко всем callsrc, необходимо указать 65534.
Local DN set код Local DN set, к которому принадлежат номера/транки, совершающие вызов.
Call prefix префикс, при наборе которого срабатывает правило.
Bearer index номер правила из таблицы TGLD, которое было создано предыдущей командой.
Пример:
Рассмотрим правила, применяемые к транку №7 (столбец Trunk group number):
Для вызовов с callsource=5 при наборе "8" будет применено правило TGLD=2.
Для вызовов с любых прочих callsource при наборе 8 будет применено правило TGLD=17.
Для вызовов с любых callsource при наборе 810 будет применено правило TGLD=1.
Изменение А и Б номеров на входящем направлении
Для изменения атрибутов вызова во входящем направлении применительно ко всем входящим вызовам с определенным callsrc (это может быть группа транков или группа абонентов, объединённых этим параметром), используется таблица PFXPRO. Рассмотрим назначение параметров команды ADD PFXPRO сразу на примере:
Параметры имеют следующее назначение:
Call source code = 0 правило будет применяться к входящим вызовам с callsrc=0 и только к ним.
Call prefix = 871229 правило применяется, если Б-номер начинается с этого префикса (871229).
Local DN set = 0 набор номера должен производится с транка или абонента, привязанного к Local DN set = 0. Следует отметить, что вышеуказанный префикс (871229) должен присутствовать в таблице CNACLD с любым атрибутом в указанном Local DN set.
Called number change flag = true означает, что Б-номер подлежит изменению.
Called number change index = 1 Б-номер будет изменен по правилу DNC=1, которое, для наглядности, приведено ниже:
Согласно данному правилу, из номера Б будут удалены первые 4 символа.
Reanalysis = true после всех изменений вызов снова будет обработан как вновь поступивший и смаршрутизирован согласно новым параметрам А и Б номеров.
Таким образом, вызов, поступивший с атрибутом callsrc=0, в котором Б-номер соответствует шаблону 871229хххх, вновь поступит на обработку, но уже с Б-номером 29хххх, то есть будет вызван 6-значный номер внутреннего абонента станции.
Таблица PFXPRO так же позволяет корректировать и А-номер (поля Caller number change flag и Caller number change index), назначить новое значение источника вызова (New call source code) и изменять некоторые другие поля.
В нашей станции данная таблица используется в нескольких целях:
Приведение Б-номеров по входящему направлению к виду, который мы можем маршрутизировать, то есть: от операторов связи приходит вызов на номер 871229xxxx, а номера абонентов нашей станции 29xxxx, соответственно, нам нужно отрезать первые 4 символа, чтобы распознать нашего абонента.
Номера некоторых экстренных служб имеют общий вид (6-значный городской номер), однако абонент набирает короткий номер службы (01, 02, 03). Нам нужно распознать такой набор и подменить номер на реальный. Кроме того, в зависимости от того, в какой местности расположен абонент, номера одной и той же службы могут быть разными. Для того, чтобы учесть этот аспект, мы и используем атрибут callsrc (назначаем каждому району свой callsrc и в соответствии с ним осуществляем подмену набранного номера).
Изменение атрибутов вызова на входящем направлении на определенном транке
Для корректировки атрибутов вызова на входящем транке используется таблица CLRDSN. Запись CLRDSN привязывается к определенному транку командой ADD TGDSG. В самой команде CLRDSN можно создать несколько правил корректировки, которые будут срабатывать в зависимости от А-номера:
Для добавления правила даем команду ADD CLRDSN:
Здесь заполняем следующие поля:
Discrimination group number номер правила, по этому номеру выполняется привязка к транку в команде ADD TGDSG (в предыдущем примере, например, мы рассматривали параметры правила №5).
Caller number номер вызывающего, то есть А-номер. Можем указать конкретный номер или начальный префикс (например, если указать 995, правило будет действовать на все вызовы, которые совершаются с номеров, начинающихся на 995). Есть возможность использовать так называемый символ "Wildcard", то есть применить к любым возможным номерам, для этого вводим символ "E". Префикс в данном поле должен быть таким же, как он приходит из транка. Например, если установить префикс 906, а из транка номер буден приходить 8906 или 7906 правило не сработает.
Address nature тип А-номера. Позволяет ограничить применение правила только к А-номерам определенного типа, то есть, только для
Unknown неизвестный
International международный
National междугородный
Subscriber местный
All все типы номеров
Function code тип действия с вызовом. Выбираем ATT(Modify caller attribute), то есть изменение атрибутов А-номера.
Call source code если установить значение, код callsource будет изменен. Если оставит пустым, будет установлен callsource = 0. (Однажды потратил полдня, пока не обнаружил эту особенность).
Number change index правило DNC, которое будет применено к А-номеру.
Если дать команду с тем же номером Discrimination group number, но другими параметрами, правило будет добавлено в ту же группу. Таким образом, мы добавим правила для разных номеров (или разных типов номеров) в одну группу и сможем привязать ее к транку.
Как было сказано ранее, привязку правила CLRDSN к транку выполняется командой ADD TGDSG.
Мы используем данную функцию для нескольких сценариев.
Сценарий 1
Подмена номера от подключенной УПАТС. Например, имеем некоторую УПАТС, которая подключена к нашей станции. Мы выдали им номер из нашей емкости, которую они, в том числе, должны использовать в качестве А-номера (29хххх). Однако, по какой-то причине, в поле А-номера абонент присылает нам внутренние номера своей станции (101, 102 и т.д.).
а) Добавим правило DNC, которое выполнит полную подмену номера на тот, который должен быть:
б) Создадим правило, в котором применим правило DNC=15 (number change index = 15), ко всем входящим вызовам (number = E, Adress nature = All number):
в) Привяжем правило CLRDSN=30 к транку №30 командой ADD TGDSG:
Сценарий 2
Блокировка нежелательных вызовов с транка (например, для спам-звонков). Для блокировки вызовов в станции создан Local DNset с пустой таблицей маршрутизации (в таблице CNACLD нет никаких записей), и создан callsource (callsrc=4), привязанный к этому Local DNset. При совпадении А-номера с нежелательным, вызову назначается callsrc=4, тем самым вызов не сможет быть смаршрутизирован и будет отбит.
Сценарий 3
Фильтрация входящих вызовов с транка. В данном случае, изначально присваиваем траку callsrc=4, тем самым, по-умолчанию, все входящие вызовы будут запрещены. Затем создаются правила CLRDSN с определенными условиями, при соблюдении которых входящий вызов может быть смаршрутизирован. При выполнении этих условий код callsrc заменяется на разрешенный и вызов проходит. Условиями для проверки обычно выступают префикс А-номера. Например, при входящих вызовах от сотового оператора все А-номера должны начинаться на с символа "9". При входящих вызовах с наших УПАТС А-номер должен начинаться с цифр "29" и т.д.
Изменение атрибутов вызова по Б-номеру для внутренних абонентов
Данная функция может использоваться для разных задач. Одна из них ограничение исходящих вызовов для определенного абонента на определенный номер. В нашем примере это будут исходящие вызовы на префикс 810, то есть международные вызовы (эту задачу можно решить и другими способами).
Используем команду ADD CNACLR:
Здесь выделим следующие параметры:
Call source code код callsrc, к которому принадлежит номер.
Call prefix префикс, при наборе которого срабатывает правило.
Caller number номер телефона абонента, к которому применяется правило. Здесь так же применимо выражение wildcard, то есть применить правило к любому номеру, установив символ "E".
Function code тип обработки вызова. В данном случае используем изменение Б-номера, выбрав Modify caller attribute.
Caller number change index правило DNC, которое применяется к А-номеру.
Called number change index правило DNC, которое применяется к Б-номеру.
Reanalysis flag = true устанавливаем данный флаг для повторной обработки вызова в таблице маршрутизации с новыми параметрами.
Приведенное правило используется в следующем сценарии. В организации приобретен номер 8-800, вызовы на которые переадресуются на локальный номер станции 29хххх. При помощи данного правила мы можем обнаружить набор этого номера 8800 локальными абонентами и подменить его на локальный номер назначения внутри станции, тем самым избежав тарификации этих вызовов на платформе 8800, а так же снизив внешний трафик.
Применение данных функций и команд не ограничивается приведенными сценариями, и ограничено только фантазией и лицензиями оборудования.
Версия станции Huawei SoftX3000 V300R600, но команды будут применимы на более свежих версиях, а принцип их применения такой же.
Последние два года выдались для роутеров MikroTik нелегкими. Они подвергались сканированию, уводились в ботнеты, майнили крипту без ведома хозяев и почти всё это стало возможным благодаря всего одной уязвимости в сервисе www, а точнее – незащищённому открытому 80 порту. (Используется для настройки роутера через web интерфейс)
Мы беспокоимся о своих читателях, поэтому хотим ещё раз предупредить всех обладателей роутеров MikroTik о данной проблеме.
Впервые, информация о том, что в роутерах MikroTik присутствует критическая уязвимость, позволяющая злоумышленнику исполнить произвольный код в случае успешной эксплуатации, появилась на весьма специфичном ресурсе – WikiLeaks, в рамках серии публикаций об средствах, которыми пользуется ЦРУ для взлома электронных девайсов, под названием Vault 7. Эксплоит получил название Chimay Red, точно также называется одно бельгийское пиво, вкусное или нет - не знаем.
Итак, давайте знакомиться – Chimay Red, cheers, друзья!
Вот лишь некоторый список того, на что способен данный эксплойт:
Удаленно выполнить код, в командной строке роутера. Например, перезагрузить устройство без Вашего ведома;
Извлекать пользовательские логины и пароли;
На моделях роутеров с жидкокристаллическим экраном, можно вывести на него какое-нибудь сообщение;
Скрыть все логи устройства;
И даже - заставить роутер играть какую-нибудь монофоническую мелодию. Например, из Super Mario :)
Согласитесь, не очень приятно знать, что кто-то может заставить Ваш роутер "петь" Super Mario.
В общем, для тех, кто не хочет читать дальше сообщаем - MikroTik выпустил прошивки чтобы закрыть эту уязвимость, поэтому если версия RouterOS у Вас ниже 6.37.5 или 6.38.5, то срочно обновитесь!
А мы продолжаем. Благодаря уязвимости Chimay Red, позже стало возможным создание вредоносных инструментов для проведения ряда атак.
VPNfilter
Вредонос, который обнаружило подразделение кибербезопасности Cisco Talos. Помимо роутеров MikroTik, данный вредонос бил и по другим устройствам класса SOHO. Сначала было непонятно, как вредоносные файлы загружались на роутеры MikroTik, однако позже выяснилось, что всему виной может быть уязвимость в сервисе www.
Несмотря на то, что вредонос получил название VPNfilter, ничего общего с технологией VPN он не имеет.
Что умеет VPNfilter:
Подслушивать ваш трафик;
Внедрять вредоносный контент в трафик, проходящий через роутер, и, с помощью этого, устанавливать вредоносное ПО на подключенные устройства;
Тупо выводить роутер из строя;
Извлекать пользовательские пароли и другую чувствительную информацию;
Устанавливать соединения в анонимные сети TOR к командному серверу и делать роутер частью ботнет сети.
Как понять, что Ваше устройство инфицировано:
Ваш роутер устанавливает неидентифицированные соединения по управляющим портам ко внешним неизвестным ресурсам;
Проверить можно на вкладке IP → Firewall → Connections. Там не должно быть соединений от вашего роутера к публичным IP адресам по портам удаленного администрирования, о которых Вы не знаете.
Допустим, внешний адрес Вашего роутера – 91.191.191.91
На Вашем роутере появились следующие директории:
var/run/vpnfilterm
/var/run/vpnfilterw
var/run/torr
var/run/tord
Ваш роутер самопроизвольно отключается, перезагружается, появляются изменения конфигурации, которые Вы не вносили
Как защитить устройство от вредоноса или удалить его, если оно уже заражено:
Итак, если Вы давно не обновлялись и используете старую версию RouterOS, а также у вас открыт доступ по 80 порту из Интернета, то ваше устройство может быть заражено.
Перезагрузить устройство. Однако, данная мера может не помочь, т.к вредонос способен "пережить" перезагрузку. Так что надёжнее будет сделать сброс к заводским настройкам. Предварительно, сохраните конфигурацию устройства
Обновить версию RouterOS на выпущенную после марта 2017 года. Исправления появились в 6.38.5, 6.37.5. Рекомендуется установить последнюю актуальную версию и патчи для Вашего устройства
Сменить пароль, особенно на встроенных профилях (admin). По возможности, отключите устройство от публичной сети, выполняя данный шаг
Настроить Firewall для сервиса www (порт 80). Лучше всего будет запретить использование данного сервиса и обращения к порту 80 из Интернета. Однако, если это невозможно, то необходимо разрешить доступ только с доверенных адресов.
Данный вредонос поразил такое большое количество устройств и вызвал такой большой резонанс, что компания Symantec даже разработала специальный ресурс, позволяющий определить, заражён ли Ваш роутер VPN filter'ом. Инструмент может проверить Ваш роутер на наличие плагина ssler, который вредонос устанавливает на определенной стадии заражения:
Symantec
Просто перейдите по ссылке компьютера, находящегося за роутером, который Вы хотите проверить и нажмите Run VPNfilter Check.
Даже если проверка не выявит признаков заражения ssler, роутер всё равно может быть заражён другими модулями VPNfilter.
Ботнет
Немного иначе обстоят дела с другим "вредоносом", а точнее целым ботнетом - Hajime. Этот ботнет уже попадал в поле зрения исследователей, когда захватывал в свои ряды умные устройства (IoT), однако, в марте 2018 года, ботнет резко переключился на роутеры MikroTik. Это подтверждается тем, что ботнет начал сканировать рандомные подсети по 80 (www) и 8291 (WinBox) порту. Сканирование порта 8291, говорит от том, что оно направлено именно на оборудование MikroTik.
После успешной идентификации устройства, ботнет применял ряд эксплоитов, чтобы ввести его в свои ряды.
Дальше дело пока не заходило, ботнет Hajime пока не был замечен ни в массированных DDoS атаках, ни даже в рассылке спама. Есть даже предположение, что автор Hajime - это добрый хакер (white hat), который укрепляет безопасность систем. Исследователи Symantec нашли в заражённых устройствах зашифрованное сообщение именно такого содержания.
Так или иначе, ещё раз рекомендуем установить последние обновления для Ваших роутеров и регулярно следить, чтобы прошивка была актуальной.
Если Вы подозреваете, что Ваше устройство заражено или просто хотите это проверить, то предлагаем воспользоваться следующим способом.
В интернете есть множество открытых ресурсов, которые следят за вредоносной активностью в сети и ведут соответствующие записи.
Такие ресурсы как:
VirusTotal
AbusedIP
Spamhaus
IBM-X Threat
Cisco Talos
Помогут Вам определить, замечался ли Ваш публичный IP адрес во вредоносной активности.
Просто введите его в строку поиска на соответствующем ресурсе и посмотрите результат.
Данный способ актуален только если у вас статический IP адрес или, если он динамический, то Вы точно знаете когда он менялся.
Мы продолжаем постигать основы важнейшего протокола, использующегося в IP телефонии и в сегодняшней статье рассмотрим основные сценарии установления соединения, а также работу основных компонентов протокола SIP. Протокол SIP имеет 3 стандартных сценария установления соединения, которые отличаются наличием и участием тех или и иных устройств.
Пример №1
Установление соединения между User Agent’ами, когда в сети отсутствуют всякого рода серверы. Простейшим примером является сеанс связи, в котором принимают участие только два пользователя. Терминальное оконечное оборудование называется UA (User Agent), когда одновременно совмещает в себе функции UAС (User Agent Client) - клиента и UAS (User Agent Server) - сервера. В данном случае сценарий установления соединения будет выглядеть так: .
Абонент A снимает телефонную трубку и набирает номер Абонента B, тем самым генерируя запрос INVITE , который содержит описание сеанса связи.
Устройство абонента B отвечает сообщением 100 Trying , которое означает, что запрос находится в обработке.
После обработки запроса устройство абонента B уведомляет его о входящем вызове, а в сторону абонента A отвечает сообщением 180 Ringing, что соответствует контролю посылки вызова.
Абонент B снимает телефонную трубку, отвечая сообщением 200 OK, означающее успешную обработку запроса.
Устройство абонента A прекращает прием контроля посылки вызова и посылает подтверждение ACK, означающее прием ответа на запрос INVITE.
Между абонентами устанавливается разговорная фаза. Происходит передача голосового трафика по протоколу RTP (Real-Time Transfer Protocol).
Важно отметить, что SIP не участвует в непосредственной передаче голоса, а лишь предоставляет условия и способы согласования открытия неких каналов обмена на основе других протоколов, в данном случае - RTP.
Абонент A кладет телефонную трубку, тем самым инициируя завершение передачи голосового потока. Устройство абонента A генерирует запрос Bye, в сторону устройства абонента B.
Устройство абонента B отвечает сообщением 200 OK, означающем успешную обработку запроса Bye.
Терминальное оконечное оборудование абонентов A и B возвращается в исходное состояние.
Однако, данный сценарий установления соединения является самым примитивным, можно даже сказать частным. Обычно в сети присутствует SIP прокси сервер, который принимает и обрабатывает запросы от пользователей и выполняет, соответствующие этим запросам, действия.
Пример №2
Рассмотрим сценарий установления соединения между двумя пользователями.
В данном случае задачу поиска и приглашения абонента выполняет Прокси сервер, вызывающему пользователю необходимо знать только постоянный номер вызываемого абонента. Отметим, что функции прокси сервера выполняет офисная телефонная станция
Как видно из рисунка, процесс установления и разъединения соединения происходит аналогично первому сценарию, только в качестве посредника при передаче сообщений протокола SIP выступает SIP Proxy.
Пример №3
Допустим, что в сети имеется множество пользователей, число которых постоянно пополняется. Они могут менять свое фактическое положение, ставить переадресацию (redirection) на другой номер, проводить конференц – звонки и др. Для предоставления подобных сервисов требуется наличие в сети соответствующих серверов, поддерживающих ту или иную функцию.
Сервер регистрации (Registration Server) для аутентификации и авторизации пользователей.
Сервер определения местоположения (Allocation Server) для определения реального местонахождения пользователей.
Сервер переадресации (Redirect Server) для перенаправления звонков на другие номера, в случае если пользователь настроил данную функцию.
Сервер регистрации это логический элемент и обычно его функции выполняет SIP Proxy, такие совмещенные сервера называют Registar. SIP Proxy может также выполнять функции серверов определения местоположения и переадресации, такое совмещение полезно в плане масштабируемости сети.
Приведем пример, когда сеть содержит некий комбинированный SIP Proxy, который поддерживает все функции, описанные выше. Допустим, что новый, еще не зарегистрированный пользователь A,вызывает пользователя B, который уже прошел процедуру авторизации.
Новый User Agent A посылает серверу сообщение REGISTER , которое инициирует процесс регистрации.
Т.к User Agent A ещё не зарегистрирован, то сервер Registar отвечает сообщением 401 Unauthorized
Тогда User Agent A посылает серверу сообщение REGISTER + login, содержащее логин и пароль.
Сервер Registar отвечает сообщением 200 OK, на этом процесс регистрации закончен. Теперь пользователь А авторизован на сервере и может совершать звонки.
User Agent A инициирует установление связи с пользователем B сообщением INVITE.
На данном этапе включаются функции серверов определения местоположения и переадресации, сервер отвечает сообщением 302 Moved Temporarily, означающее, что вызываемый абонент временно сменил местоположение и содержащее его новые данные для установления соединения.
User Agent A отвечает сообщением ACK, которое означает прием ответа от Redirect сервера на запрос INVITE.
Далее User Agent A инициирует новое установление соединения напрямую к пользователю B, в соответствии с полученными данными.
Как видно из рисунка дальнейший процесс соединения происходит аналогично сценарию 1.
В следующей статье мы подробно рассмотрим основные модификации протокола SIP для взаимодействия с традиционными телефонными сетями, использующими сигнализацию ОКС-7.