По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
FreePBX является модульной платформой и Module Admin позволяет проводить различные манипуляции с модулями – включать, выключать, обновлять и так далее. Так же он служит инструментом для покупки лицензий и их обновлений, но данный модуль не обновляет сам Asterisk.
Работа с модулем
Для того, чтобы попасть в данный модуль нужно во вкладке Admin выбрать Module Admin
Первое что следует сделать – выбрать репозитории. Доступно четыре категории: Standard, Extended, Commercial и Unsupported:
Standard - репозиторий, в котором находятся стандартные модули
Extended – репозиторий, в котором находятся модули, которые не являются стандартными и реже обновляются
Unsupported – в данном разделе находятся авторские модули, которые не поддерживаются командой FreePBX.
Commercial – в данном разделе соответственно находятся коммерческие модули, которые можно купить и которые постоянно поддерживаются и обновляются.
Если нажать на кнопку Check Online, на экран будут выведены активные модули и будут отображены доступные обновления. Для удобства можно отметить галочку Show only upgradeable
Примечание: активные репозитории выделены синим цветом и неактивные – голубым. На примере выше активны стандартные и коммерческие репозитории.
Справа так же есть кнопки одновременного получения и обновления всех доступных для этого действия модулей:
Download all – при нажатии на эту кнопку будут скачены, но не установлены последние версии всех доступных к обновлению модулей. Кнопка станет тёмно-синей при выборе
Upgrade all – при нажатии на эту кнопку будут скачены и установлены последние версии всех доступных к обновлению модулей. Так же, как и кнопка Download all она не запускает процесс обновления, для запуска необходимо нажать на кнопку Process
Reset – данная кнопка отменяет выбранные вами действия, причём это касается любой выбранной опции – установки, обновления, удаления и так далее
Process – данная кнопка активирует выбранные действия. Можно выбрать сразу несколько действий и все они будут одновременно выполнены
Нажимаем на кнопку Process. Всплывёт подтверждение выполняемых действий. Для продолжения нужно нажать Confirm.
После появится окно, в котором будет в реальном времени демонстрироваться процесс обновления
Похожим образом осуществляются манипуляции с теми модулями, которые нужно обновитьудалить отдельно от остальных. Нужно выбрать модуль в общем списке и выбрать действие, а затем нажать кнопку Process.
Примечание: Некоторые модули имеют две ветки релизов – Stable и Beta. Можно устанавливать модуль из нужной вам ветки. Так же модуль можно выключить, без де-инсталляции – для этого нужно выбрать кнопку Disable как на скриншоте выше.
Но не менее важным функционалом является возможность установки сторонних (Third-Party) модулей. Однако нужно понимать, что в случае установки вредоносного модуля, FreePBX интерфейс может стать абсолютно неработоспособным. Для установки нужно нажать на кнопку Upload Modules. Появится окно выбора метода загрузки – через сеть или с локального жёсткого диска
Соответственно для загрузки с диска вам необходимо выбрать файл, а при загрузке через сеть – указать ссылку. Выбрать способ загрузки можно в выпадающем меню.
После загрузки модуля вы увидите сообщение Module uploaded successfully. You need to enable the module using local module administration to make it available После этого необходимо выбрать загруженный модуль в общем списке и сделать его активным – нажать на кнопку Enable.
Примечание: В случае если модуль не является официальным и у вас по умолчанию включена проверка подписей модулей – вверху страницы всё время будет гореть соответствующее предупреждение.
Привет всем! В сегодняшней статье хотим рассказать о том, как защитить исходящие маршруты во FreePBX списком паролей. Мы покажем, как создать множество PIN-кодов, которые необходимо будет набрать прежде чем открылась возможность совершения вызова через тот или иной исходящий маршрут.
Как можно догадаться, для этих целей во FreePBX существует специальный модуль - PIN Sets, о нём и поговорим.
Обзор
Модуль PIN Sets позволяет создавать группы и привязывать к ним список определённых паролей (нас самом деле - PIN-кодов). Затем, через модуль Outbound Route можно сократить пользование исходящим маршрутом только до определённой группы. Получается такое расширение функций поля Route Password в настройках исходящего маршрута только вместо одного PIN-кода мы теперь можем ввести много разных.
Например, мы можем создать группу ”Sales” (Продавцы) и задать в ней 3 PIN-кода, один для руководителя отдела продаж, и ещё два для менеджеров, а затем каждому сообщить свой PIN. Потом назначить данную группу на определённый маршрут и каждый раз, когда кто-то захочет сделать внешний вызов через этот маршрут, ему будет предложено сначала ввести PIN.
Настройка
Перейдём к настройке. Модуль PIN Sets располагается в разделе Settings:
Описание модуля говорит нам, что он используется для управления PIN-кодами для доступа к “запрещённым фичам” таким как Outbound Routes (исходящие маршруты). Но на самом деле, кроме как в модуле Outbound Route функционал PIN Sets больше нигде применить нельзя.
Существует коммерческая реализация данного модуля – PIN Sets Pro. Она позволяет создавать наборы PIN-кодов индивидуально для внутренних номеров, а также строит отчёты по использованию данных PINов.
Для того, чтобы создать новую группу кликаем Add Pinset:
Перед нами открывается окно с параметрами для добавления новой группы:
Описание каждого параметра модуля:
PIN Set Description - Описание для данной группы;
Record In CDR - Параметр, отвечающий за то, записывать ли PIN-коды данной группы в CDR;
PIN List - Собственно, сами PIN коды, которые можно будет набрать прежде чем звонить через маршрут. Можно вводить несколько PIN-кодов, записывая их в линию;
После создания новой группы нажимаем Submit и Apply Config. А затем отправляемся в модуль Outbound Route, выбираем из списка маршрут, который нужно защитить и открываем его настройки. Предварительно, необходимо убедиться, что на вкладке Route Settings в поле Route Password не стоит никакого пароля.
Переходим на вкладку Additional Settings и в поле PIN Sets выбираем только что созданную группу.
Теперь, чтобы можно было воспользоваться маршрутом 79012345678 и позвонить во вне, абоненту нужно будет набрать либо PIN-код 48151 либо 62342 как настроено в PIN Sets.
Каждому исходящему маршруту может быть назначена только одна группа PIN Set. Если Вы хотите разрешить ещё одной группе пользоваться тем же маршрутом, не внося пароли из неё в первую группу, просто продублируйте маршрут и назначьте ему новую группу PIN Set.
В одной из предыдущих статей мы рассматривали межсетевой экран ASA и порядок его первоначальной настройки. Но ничего не стоит на месте и в какой-то момент Cisco купила компанию Sourcefire за баснословные миллиарды "Даларов". Зачем? Ну, во-первых, у Sourcefire был один из лучших в то время на рынке IPS-ов и еще был ряд интересных продуктов, которые Cisco успешно забрала себе в портфолио, например – Advanced Malware Protection, который по сути своей является End Point Detection & Response решением. Зачем? А чтобы можно было вовремя реагировать на угрозы и проводить расследования.
Ну да ладно, мы таки FirePower настраивать собрались. Первоначально Firepower выступал в качестве дополнительного модуля (виртуального в случае 5506-5555 и физического в случае 5585) к ASA. Что есть этот модуль? Этот модуль – отдельный и самобытный кусок ПО, доставшийся от Sourcefire. Отсюда следует забавный вывод: для управления этим модулем требовалась отдельная консоль управления (в идеале). А еще, логика обработки пакетов была довольной необычной, но так как экран работал с относительно небольшими скоростями, было принято решение о выносе модуля FirePower в качестве отдельного, уже не относящегося к межсетевому экрану ASA и назвали это чудо FirePower Threat Defense – где в базе используется ASA, а сверху прилеплен NGFW функционал. Новые FirePower-ы имеют огромную производительность – подробнее смотрите в даташитах.
Кратко о наших баранах или общие рекомендации
Вариации настройки платформы Firepower Threat Defense всего два (а если рассматривать ASA + FirePower сервисы, то аж три, или даже четыре – такой вот коленкор):
FirePower Management Center (FMC) – централизованное управления политиками, устройствами и событиями. Обладает автоматизацией, что упрощает настройку.
FirePower Device Manager (FDM) – является простым автономным решением для стандартных настроек правил обеспечения безопасности.
Мы же рассмотрим самую медленную, но самую богатую (по функционалу) вариацию – средство централизованного управления FMC. Она обладает многопользовательской настройкой, более продвинутым реагированием на угрозы, такой прям мини-SIEM. Также предусмотрено наследование политик (централизованный пуш конфигурации на устройства), что упрощает настройку. Перейдем непосредственно к первоначальной настройке FMC. Настройки будем рассматривать для IPS/IDS (комплексы средств для предотвращения и обнаружения угроз в локальную сеть). Чтобы максимально эффективно использовать IDS/IPS, нужно придерживаться следующих рекомендаций:
Систему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) — так мы снизим нагрузку. В некоторых случаях датчики устанавливают и внутри сегмента.
Перед активацией функции IPS следует некоторое время погонять систему в режиме, не блокирующем (IDS). В дальнейшем потребуется периодически тюнинговать правила.
Большинство настроек IPS установлены с расчетом на типичные сети. В определённых случаях они могут оказаться неэффективными, поэтому необходимо обязательно указать IP внутренних подсетей и используемые приложения (порты). Это поможет железке лучше понять, с чем она имеет дело. Но тут есть такая штука как NGIPS – система снимает профиль трафика и может сама под него подстраиваться, включая нужные правила и отключая ненужные.
Если IPS-система устанавливается «в разрыв», необходимо контролировать ее работоспособность, иначе выход устройства из строя может запросто парализовать всю сеть.
Настройте вы его уже наконец – часть 1
Итак, приступим к настройке платформы Сisco FirePower:
Устанавливаем Необходимое ПО: Его можно найти в вашем комплекте поставки, либо можете скачать с официального сайта cisco.com (при наличии у вас сервисного контракта). ПО понадобится следующее: FirePower Management Center (поддерживает ESXi и KVM) и образ для вашей железяки или же образ виртуального Firepower-а, который американцы прозвали NGFWv.
Подключаем кабели (согласно указанной ниже схеме и что неприменимо к виртуалке).
Console port – консольный порт
Management port – для подключения и настройки сети
Logical Device Management – для настройки логических устройств (можно настраивать как 1, так и все интерфейсы сразу)
Поместите FMC в сеть управления логическими устройствами. Для обновлений FTD и FMC требуется подключение к интернету. Если оборудование не новое (было кем-то использовано), необходимо стереть текущую конфигурацию следующими командами (выделены «жирным»):
Firepower-chass Firepower-chassis # connect local-mgmt
Firepower-chassis(local-mgmt)# erase configuration
Подключитесь к последовательному консольному порту, используя эмулятор терминала. Firepower 9300 включает последовательный консольный кабель RS-232 – RJ-45. Вам может понадобиться использовать кабель последовательного интерфейса USB от стороннего производителя для подключения. Используйте следующие серийные параметры:
9600 baud
8 data bits
No parity
1 stop bit
При появлении запроса войдите в систему с именем пользователя admin и паролем cisco123. Вводим только то, что выделено «жирным».
Когда появится запрос о подтверждении конфигурации, подтверждаете – просто наберите yes.
Настройте вы его уже наконец – часть 2
Далее нам необходимо произвести настройки, используя браузер. Обращаю внимание, что не каждый браузер подойдет! Настраивать можно только с управляющего компьютера, IP-адрес которого попадаем в диапазон, который указывали в конфигурации.
Заходим в браузер и в поисковую строку (строку ввода URL) вводим следующее: https://адрес_железки
Вводим имя пользователя admin и новый пароль для входа в дальнейшем. Осуществляем процедуру входа в систему.
Настраиваем NTP соединение. Оно нужно нам для синхронизации времени на всех устройствах. От этого зависит как стабильность, так и сама работа в принципе.
Заходим непосредственно в настройки и выбираем параметр использования NTP-сервера. В правом нижнем углу выберите «Add»
NTP Server (обязательное поле для заполнения) должен включать IP-адрес или имя host-сервера, Authentication Key – идентификатор от NTP-сервера. Если не знаете этот ключ, можете найти его поискав через поисковик (ntp.keys). Также можно получить его (при условии, что файла ntp.keys нет), прописав команду в консоли управления ntp-keygen -M, затем поискав тот же самый файл, вы найдете его в директории.
Нажимаем «Add» и добавляем наш NTP-сервер.
Сохраняем изменения. Заходим во вкладку «Current Time», затем «Time Zone» и выбираем свой часовой пояс из списка и после сохраняем настройки.
Настройте вы его уже наконец – часть 3. Настройка базового функционала.
Настроим интерфейсы. Для этого переходим в саму вкладку «Interfaces», расположенную у рамки окна в черной полосе. Нажимаем «Edit» для интерфейса, который собираемся настроить.
Открываем порт для работы галочкой напротив «Enable». В строке «Type» выбираем назначение интерфейса (мы будем передавать данные, поэтому выбираем пункт «data-sharing». Остальные данные заполнять не обязательно. Скажу, что там настраивается Скорость передачи, авто согласование и режим дуплекса соответственно. Лучше оставить данные параметры не настроенными, система сама перестроится для работы.
Перейдем непосредственно к настройке IPS (политика обнаружения вторжений).
Выбираем пункт Policies > Access Control > Intrusion
Далее жмем Сreate Policy (справа кнопка)
И в появившемся окне заполняем имя (Name) (обязательный параметр). Если вы не обладаете достаточными знаниями для детальной настройки IPS, воспользуйтесь рекомендуемыми фильтрами. Пункт Base Policy, в нем выбираем Maximum Detection (максимальная защита). Создаем и применяем изменения с помощью кнопки Create and Edit Policy.
IPS тут умен, гораздо умнее автора этой статьи. В ходе эксплуатации вы это заметите. А именно, что при использовании максимальной степени защиты (Maximum Detection) программное обеспечение предложит вам исключить правила, которые не нужны и просто на «холостую» тратят ресурсы вашего устройства защиты. Такие рекомендации она делает по результатам статистики. Она хранится в Policies > Access Control > Intrusion > Firepower Recommendations > Generate Recommendations
Таким образом, система адаптируется индивидуально для вашей сети.
Настроим обнаружение вирусов и зараженных файлов. Но для более адекватной работы сети, рекомендуется создать DNS «ловушку» (следующий пункт), которая покажет, на какое именно устройство пришел вредоносный файл. Если «ловушку» не создавать, то информация о зараженном файле появится в общем хранилище и определить, какое из устройств получило этот вредоносный файл (код), не представится возможным.
Переходим по пути: Policies > Access Control > Malware & File. Создаем новую политику, даем ей название. Затем добавляем правило (Add Rule). Заполнить рекомендуется так, как указано на изображении. Это общепринятое правило с максимальной степенью защиты. Нажимаем Save.
Теперь настроим DNS «ловушку». Objects > Object Management. Отыскиваем в левой колонке Sinkhole. Далее нажимаем Add Sinkhole
Заполняем таблицу. При заполнении обратите внимание на то, что данные, указанные в IPv4/6 не должны быть в вашей сети. После настройки нажимаем Save.
Далее переходим в настройку DNS политики (Policies > Access Control > DNS). Выбираем Add DNS Policy, добавляем название и сохраняем.
Нас автоматически переводит в это правило. Мы видим, 2 раздела (белый и черный листы. Нам необходимо создать и настроить своё правило. Для этого нажимаем Add DNS Rule и появляется новое окно. Заполняем его как на изображении.
В нем мы добавляем все возможные правила, рекомендуемые компанией Cisco. Выбираем все файлы и нажимаем Add to Rule.
И непосредственно здесь мы можем применить свою DNS «ловушку». Для этого в пункте Action выбираем Sinkhole. Напротив откроется новый пункт, в котором мы выбираем наш DNS «ловушку». Теперь мы сможем видеть, на какое устройства пришел вредоносный файл (код). На этом первоначальные настройки произведены. Далее производится более детальная настройка исходя из ваших потребностей.