По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Расскажем о том, как настроить активную запись разговоров на Cisco UCM (CUCM). Если быть кратким, активная запись это гораздо более удобный, гибкий, масштабируемый и производительный способ выполнить запись разговоров на аппаратах Cisco (с поддержкой BiB). Вы спросите гораздо более удобный по сравнению с чем? С пассивным - ответим мы. Пассивный метод записи осуществляется с помощью зеркалирования трафика, с помощью SPAN/RSPAN/ERSPAN. Работает это примерно так: сервер записи забирает метаданные звонка через специальный API (JTAPI в CUCM, это часть CTI), а RTP поток уходит напрямую с телефона через BiB (Built-in Bridge). Активную запись поддерживают такие вендоры как Nice, ZOOM, Verint, ЦРТ и другие. Приступаем к настройке. Почитать подробнее о том, как работает система записи телефонных переговоров можно по ссылке. Настройка Application User на CUCM Логинимся на интерфейс IP PBX. Далее, выбираем User Management → Application User. Нажимаем Add New. Появляется дисплей: Вводим User ID; Вводим пароль пользователя в поле "Password". Введем тот же пароль в поле "Confirm Password"; Выбираем доступные устройства и добавляем в поле Controlled Devices. Так же, нажимаем Add to User Group, чтобы добавить пользователю роли. Данный пользователь должен иметь возможность контролировать пользователей, ТА которых подлежат записи. Назначим следующие роли: Standard CTI Allow Park Monitoring. Standard CTI Allow Call Recording Standard CTI Allow Control of Phones supporting Connected Xfer and conf Standard CTI Allow Control of Phones supporting Rollover Mode Standard CTI Enabled. Нажать Add Selected: Нажать Save (сохранить).На этом, конфигурация пользователя завершена. Перейдем к настройке SIP транка. Настройка SIP транка на CUCM В деталях про настройку SIP транка на CUCM можно читать по ссылке. В появившемся окне нажать Add New. Выбираем Trunk Type = SIP trunk, Device Protocol = SIP Даем имя транку в поле Device Name, пишем описание в поле Description, выбираем Device Pool (набор общих параметров), SIP Trunk Security Profile выбираем Non Secure SIP Trunk Profile, SIP Profile выбираем Standard SIP Profile. Далее, необходимо настроить Route Pattern (маршрут в транк) Настройка Route pattern на CUCM Выбираем незанятый в диалплане номер. Например 1111. В поле Gateway/Route List выбираем сконфигурированный нами транк. Recording Profile Перейдите в Select Device → Device Setting → Recording Profile. Нажмите Add New: Дайте имя профилю; Задайте номер, как в настройке Route Pattern. 1111 в нашем примере; Осталось только настроить запись на линии телефона (включив BiB), назначить Recording Profile на телефон, включить опцию Allow Control of Device from CTI и в опции Recording Option выставьте Automatic Call Recording Enabled.
img
Сетевая инфраструктура (роутеры, коммутаторы, МСЭ, АТС и так далее) являются очень важными ресурсами организации, и поэтому очень важно корректно настроить доступ к данным устройствам – для достижения нужного уровня защиты. Множество корпораций фокусируются на защите своих серверов, приложений, баз данных и прочих компонентов сети, но они могут совершенно забыть о том, что часть установленных у них устройств содержат, к примеру, дефолтные логин и пароль. К примеру, скомпрометированный маршрутизатор может доставить гигантское количество проблем – злоумышленники могут получить доступ к информации, трафик может улетать на другое направление и так далее. Так что корректная настройка устройств с точки зрения сетевой безопасности является крайне важным моментом при обеспечении защиты информации вашей организации. К примеру Cisco разделяет любое сетевое устройство на 3 функциональных плоскости, а именно: Плоскость менеджмента – это все о том, как непосредственно управлять железкой. То есть данная плоскость используется для доступа, настройки и мониторинга устройства. В нашей статье мы непосредственно расскажем, как защитить данную плоскость; Плоскость управления – данная плоскость содержит в себе сигнальные протоколы и процессы, которые отвечают за связность между устройствами – например такие известные вам протоколы как OSPF, EIGRP и так далее; Плоскость данных – плоскость, ответственная за перемещение информации по сети от источника до ее назначения. В данной плоскости и происходит, как правило, обмен пакетами между устройствами; Из этих трех плоскостей наиболее защитить первую и вторую плоскости, однако в нашей статье мы сконцентрируемся на плоскости менеджмента и обсудим 10 важных шагов по улучшению защищенности сетевого устройства Cisco с IOS. Десять пунктов ниже не являются избыточными, но они включают в себя наиболее важные команды и настройки, которые позволят «закрыть» устройство от нежелательного доступа и повысить степень защищенности. Данные пункты применимы как к маршрутизаторам, так и к коммутаторам. Создание секретного пароля В целях предоставления доступа к IOS устройству только людям, имеющим право (например, сисадмину/эникею/инженеру) всегда нужно создавать сложный «секретный» пароль (enable secret). Мы советуем придумать/сгенерировать пароль минимум 12 знаков, содержащий цифры, буквы и специальные символы. Проверьте, что вы вводите именно enable secret - тогда в конфиге пароль будет отображаться в зашифрованном виде. Router# config terminal Router(config)# enable secret сложныйпароль Зашифруйте пароли на устройстве Все пароли, настроенные на устройстве (за исключением «секретного»), не шифруются от слова совсем и легко видны в конфиге. Чтобы зашифровать все пароли в конфиге, необходимо использовать глобальную команду service password encryption Router# config terminal Router(config)# service password-encryption Используйте внешний сервер авторизации для аутентификации пользователей Вместо использования локальных учетных записей на каждом устройстве для доступа администратора, мы рекомендуем использование внешнего AAA сервера (TACACS+ или RADIUS) для обеспечения Аутентификации, Авторизации и Учета (вольный перевод Authentication, Authorization, Accounting). С централизованным ААА сервером гораздо проще управлять учетными записями, реализовывать политики безопасности, мониторить использование аккаунтов и многое другое. Ниже на схеме вы можете видеть как настроить TACACS+ и RADIUS серверы с использованием enable secret пароля в случае отказа этих серверов. TACACS+ Router# config terminal Router(config)# enable secret K6dn!#scfw35 //создаем “секретный ” пароль Router(config)# aaa new-model //включаем ААА службу Router(config)# aaa authentication login default group tacacs+ enable //Используем TACACS сервер и обычный пароль на случай отказа Router(config)# tacacs-server host 192.168.1.10 //указываем внутренний ААА сервер Router(config)# tacacs-server key ‘secret-key’ //указываем секретный ключ для ААА сервера Router(config)# line vty 0 4 Router(config-line)# login authentication default //применяем ААА аутентификацию для линий удаленного доступа (telnet, ssh) Router(config-line)# exit Router(config)# line con 0 //применяем ААА аутентификацию для консольного порта Router(config-line)# login authentication default RADIUS Router# config terminal Router(config)# enable secret K6dn!#scfw35 //создаем “секретный ” пароль Router(config)# aaa new-model //включаем ААА службу Router(config)# aaa authentication login default group radius enable //Используем RADIUS сервер и обычный пароль на случай отказа Router(config)# radius-server host 192.168.1.10 //указываем внутренний ААА сервер Router(config)# radius-server key ‘secret-key’ //указываем секретный ключ для ААА сервера Router(config)# line vty 0 4 Router(config-line)# login authentication default //применяем ААА аутентификацию для линий удаленного доступа (telnet, ssh) Router(config-line)# exit Router(config)# line con 0 //применяем ААА аутентификацию для консольного порта Router(config-line)# login authentication default Создайте отдельные аккаунты для пользователей Если у вас отсутствует возможность использовать внешний ААА сервер, по инструкции, описанной в предыдущем шаге, то как минимум, вам необходимо создать несколько отдельных локальных аккаунтов для всех, у кого должен быть доступ к устройству. Приведем пример создания трех локальных аккаунтов для троих системных администраторов. Кроме того, в версии IOS начиная с 12.2(8)T и позднее, есть возможность настроить повышенную надежность паролей (Enhanced Password Security) для локальных учетных записей – это зашифрует пароли с помощью MD5 хэша. Ниже пример настройки трех учетных записей: Router# config terminal Router(config)# username efstafiy-admin secret Lms!a2eZf*%_rete Router(config)# username evlampiy-admin secret d4N3%sffeger Router(config)# username vova-admin secret 54sxSFT*&_(!zsd Настройте лимит возможных попыток подключения Для того, чтобы избежать взламывания вашей учетной записи на маршрутизаторе с помощью брутфорса, вы можете настроить ограничение количества попыток подключения, когда после определенного предела система заблокирует пользователя. Это работает для локальных учетных записей. Router# config terminal Router(config)# username john-admin secret Lms!a2eZSf*% Router(config)# aaa new-model Router(config)# aaa local authentication attempts max-fail 5 //max 5 failed login attempts Router(config)# aaa authentication login default local Открытие доступа на управление устройством только для определенных IP – адресов Данный пункт является одним из наиболее важных для сетевых устройств Cisco – необходимо оставить доступ к Telnel или SSH только для определенных сетевых адресов (например, рабочей станции системного администратора). В нашем примере сисадмин находится в пуле 192.168.1.0/28 Router# config terminal Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15 Router(config)# line vty 0 4 Router(config)# access-class 10 in //применить ограничения на все VTY линии (SSH/Telnet) Включить логирование Логирование является очень полезной функцией для отслеживания, аудита и контроля инцидентов. Вы можете включить логирование во внутренний буфер устройства или на внешний лог-сервер. Вторая опция является более предпочтительной, так как вы можете хранить там больше информации и проще производить различного рода аналитику. Всего существует 8 уровней логирования (от 0 до 7), каждый из которых делает лог более насыщенным деталями. Лучше всего избегать 7 уровень логирования (дебаг), т.к это может легко потратить все ресурсы вашего устройства. Ниже пример, как включить логирование и на внешний сервер, и на сам девайс (можно использовать два варианта одновременно). Router# config terminal Router(config)# logging trap 6 //Включить 6 уровень логирования для логов, отправляемых на внешний сервер Router(config)# logging buffered 5 //Включить 5 уровень логирования для логов, хранимых на самом девайсе Router(config)# service timestamps log datetime msec show-timezone //Включить таймстампы с милисекундной точностью Router(config)# logging host 192.168.1.2 //Отправлять логи на внешний сервер Router(config)# logging source-interface ethernet 1/0 //Использовать интерфейс Eth1/0 для отправки логов Включение NTP (Network Time Protocol) Данный шаг необходим для корректной работы логирования – т.к вам необходимо синхронизированное и точное системное время на всех сетевых устройствах, для правильного понимания ситуации при траблшутинге. Вы можете использовать как публичный, так и свой собственный NTP cервер. Router# config terminal Router(config)# ntp server 3.3.3.3 Router(config)# ntp server 4.4.4.4 Использование безопасных протоколов управления По умолчанию, протоколом, с помощью которого можно управлять устройством является Telnet. Однако весь трафик передается в незашифрованном виде – поэтому предпочтительно использовать SSH. Важно – для использования SSH необходимо настроить хостнейм и доменное имя, а также сгенерировать SSH ключи. Также следует разрешить только протокол SSH на VTY линиях Защитить SNMP доступ Про SNMP мы писали в одной из наших статей – это протокол для управления сетью, который, однако, также может служить «дырой» для доступа в вашу сеть. Для защиты данного направления, вам необходимо установить сложную Community String (что-то вроде пароля для SNMP) и разрешить доступ только с определенных рабочих станций. Давайте настроим две Community String – одну с правами на чтение, и другую с правами на чтение и изменение. Также добавим ACL с нужными сетевыми адресами. Router# config terminal Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15 Router(config)# access-list 12 permit 192.168.1.12 Router(config)# snmp-server community Mer!0nET RO 11 //создание community string с правами на чтение и использование ACL 11 для SNMP доступа Router(config)# snmp-server community Mer!0NeTRules RW 12 //создание community string с правами на чтение/запись и использование ACL 12 для SNMP доступа Команды выше позволят сети сисадмина 192.168.1.0/28 иметь доступ на чтение и хосту 192.168.1.12 иметь полный доступ на SNMP чтение / запись к устройствам.
img
Если вы планируете перейти на CentOS 8 с CentOS 7, возможно, вам придется пропустить это, потому что CentOS 8 уходит. Если вы уже используете его, вам следует подумать о переходе на CentOS Stream 8 с CentOS Linux 8. CentOS (сокращение от Community ENTerprise Operating System) - это клон системы Red Hat Enterprise Linux (RHEL). CentOS широко известна своей стабильностью и надежностью и является популярным выбором для многих провайдеров веб-хостинга. Кроме того, это шлюз для людей, которые хотят изучать RHEL бесплатно. Однако разработчики CentOS объявили, что они переключают свое внимание на CentOS Stream. Согласно официальному объявлению, CentOS Linux 8, как перестройка RHEL 8, завершится в конце 2021 года. CentOS Stream продолжится после этой даты, выступая в качестве ответвления (разработки) Red Hat Enterprise Linux. Другими словами, CentOS Stream будет скользящей предварительной версией (то есть бета-версией). Таким образом, CentOS Stream не будет повторной сборкой выпуска RHEL. Это промежуточное звено, которое будет находиться между Fedora и RHEL. Проще говоря, это больше не Fedora - RHEL - CentOS, а Fedora - CentOS - RHEL. С января 2022 года RHEL будет базироваться на CentOS, а не наоборот. Вы по-прежнему можете использовать CentOS 8 и отправлять патчи до 31 декабря 2021 года. Но CentOS 8 будет завершена рано в это же время в следующем году, и CentOS 9 не будет. Пользователи CentOS 7 не должны паниковать. CentOS 7 продлится до конца своей жизни в 2024 году. Миграция на CentOS Stream 8 с CentOS Linux 8 Прежде всего, на всякий случай сделайте резервную копию важных данных. Обновите CentOS 8 до последней доступной версии с помощью команды: $ sudo dnf update После обновления системы перезагрузите ее. Проверьте текущую версию CentOS 8 с помощью команды: $ cat /etc/redhat-release CentOS Linux release 8.3.2011 Затем включите репозиторий CentOS Stream с помощью команды: $ sudo dnf install centos-release-stream Получите примерно такой ответ Last metadata expiration check: 0:35:27 ago on Wednesday 09 December 2020 12:44:07 PM IST. Dependencies resolved. ========================================================================= Package Arch Version Repo Size ========================================================================= Installing: centos-release-stream x86_64 8.1-1.1911.0.7.el8 extras 11 k Transaction Summary ========================================================================= Install 1 Package Total download size: 11 k Installed size: 6.6 k Is this ok [y/N]: y Downloading Packages: centos-release-stream-8.1-1.1911.0.7.el8 17 kB/s | 11 kB 00:00 ------------------------------------------------------------------------- Total 5.9 kB/s | 11 kB 00:01 Running transaction check Transaction check succeeded. Running transaction test Transaction test succeeded. Running transaction Preparing : 1/1 Installing : centos-release-stream-8.1-1.1911.0.7.el8.x86_ 1/1 Verifying : centos-release-stream-8.1-1.1911.0.7.el8.x86_ 1/1 Installed: centos-release-stream-8.1-1.1911.0.7.el8.x86_64 Complete! Наконец, выполните следующую команду, чтобы перенести CentOS Linux 8 на CentOS Stream 8: $ sudo dnf distro-sync Команда distro-sync выполнит необходимые обновления, откатит или оставит выбранные установленные пакеты, чтобы они соответствовали последней версии, доступной из любого включенного репозитория. Если пакет не указан, учитываются все установленные пакеты. Введите Y и нажмите ENTER, чтобы начать переход на CentOS Stream 8: Пример вывода CentOS-Stream - AppStream 521 kB/s | 6.3 MB 00:12 CentOS-Stream - Base 304 kB/s | 2.3 MB 00:07 CentOS-Stream - Extras 5.1 kB/s | 7.0 kB 00:01 Last metadata expiration check: 0:00:01 ago on Wednesday 09 December 2020 01:22:28 PM IST. Dependencies resolved. ======================================================================================================================================== Package Architecture Version Repository Size ======================================================================================================================================== Installing: centos-stream-release noarch 8.4-1.el8 Stream-BaseOS 21 k replacing centos-linux-release.noarch 8.3-1.2011.el8 replacing centos-release-stream.x86_64 8.1-1.1911.0.7.el8 Upgrading: NetworkManager x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 2.5 M NetworkManager-libnm x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 1.8 M NetworkManager-team x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 142 k NetworkManager-tui x86_64 1:1.30.0-0.2.el8 Stream-BaseOS 322 k avahi-glib x86_64 0.7-20.el8 Stream-BaseOS 14 k avahi-libs x86_64 0.7-20.el8 Stream-BaseOS 62 k bind-export-libs x86_64 32:9.11.20-6.el8 . . . . baseos 57 k python3-subscription-manager-rhsm x86_64 1.28.5-1.el8 Stream-BaseOS 362 k subscription-manager x86_64 1.28.5-1.el8 Stream-BaseOS 1.1 M subscription-manager-rhsm-certificates x86_64 1.28.5-1.el8 Stream-BaseOS 258 k usermode x86_64 1.113-1.el8 baseos 202 k Transaction Summary ======================================================================================================================================== Install 9 Packages Upgrade 107 Packages Total download size: 205 M Is this ok [y/N]: y Это займет некоторое время, в зависимости от скорости вашего интернета. После завершения миграции CentOS Stream 8 выполните следующую команду для проверки: $ cat /etc/redhat-release CentOS Stream release 8 Если вам нужен свежий ISO-образ CentOS Stream, вы можете получить его на официальной странице.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59