По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Сразу перейду к делу. Пользователями FreePBX 14 замечен крайне серьёзный баг в утилите fail2ban. Версия fail2ban, на которой замечен баг - 0.8.14-11 и ниже. Проверить можно командой rpm -qa | grep fail2ban: fail2ban-fpbx-0.8.14-11.sng7.noarch Данный баг заключается в том, что после установки чистой FreePBX Distro 14 сервис fail2ban хоть и в активном статусе, однако никаких “тюрем" (jails) он не подгружает и их количество = 0. Проверить можно командой fail2ban-client status, если Ваш сервер подвержен багу, то Вы увидите: [root@merionlab]# fail2ban-client status Status |- Number of jail: 0 `- Jail list: Это значит, что например, максимальное число попыток ввода пароля для доступа к вэб-интерфейсу FreePBX или попыток регистрации SIP-клиента с неверным паролем - не ограничено, а IP-адрес, с которого приходят эти запросы не блокируется. Естественно, что модуль Intrusion Detection во FreePBX также не будет работать. "Тюрьмы" или jails - это такие секции в файле /etc/fail2ban/jail.local, в которых указано, логи какого сервиса необходимо мониторить, чтобы выявлять и блокировать несанкционированные попытки доступа к этому сервису, а также такие параметры как время блокировки, максимальное число попыток и действие, которое необходимо предпринять в случае выявления. Например, вот секция [asterisk-iptables]: [asterisk-iptables] enabled = true filter = asterisk-security action = iptables-allports[name=SIP, protocol=all] sendmail[name=SIP, dest=none@yourpbx.com, sender=none@yourpbx.com] logpath = /var/log/asterisk/fail2ban maxretry = 5 bantime = 1800 В ней указано, что нужно мониторить лог /var/log/asterisk/fail2ban, искать в нём 5 попыток неуспешной регистрации (например SIP телефон пытается зарегистрироваться с неверным паролем) и банить IP-адрес на 30 минут. Ну и ещё можно отправку по email настроить о данном факте. По умолчанию, в файле /etc/fail2ban/jail.local должно быть 7 таких секций - [apache-tcpwrapper], [recidive], [ssh-iptables], [apache-badbots], [pbx-gui], [asterisk-iptables], [vsftpd-iptables]. В каждой указан путь к логам соответствующего сервиса. Решение Итак, есть два решения данной проблемы. Первое – остановить сервис fail2ban командой systemctl stop fail2ban и внести следующие изменения в файл /usr/lib/systemd/system/fail2ban.service: [Unit] Description=Fail2Ban Service After=httpd.service [Service] Type=forking ExecStartPre=/bin/mkdir -p /var/run/fail2ban ExecStart=/usr/bin/fail2ban-client -x start ExecStop=/usr/bin/fail2ban-client stop ExecReload=/usr/bin/fail2ban-client reload PIDFile=/var/run/fail2ban/fail2ban.pid Restart=always [Install] WantedBy=default.target Затем запустить сервсис fail2ban командой systemctl start fail2ban и сделать так, чтобы сервис включался после ребута автоматически systemctl enable fail2ban. И вторая – обновить сам fail2ban. Для этого вводим следующие команды: yum install sangoma-devel yum update Проверяем версию fail2ban после обновления - rpm -qa | grep fail2ban: fail2ban-fpbx-0.8.14-75.sng7.noarch После данных действий, команда fail2ban-client status должна отобразить верное количество jails и fail2ban с Intrusion Detection должны вновь встать на стражу Вашего сервера: [root@merionlab]# fail2ban-client status Status |- Number of jail: 7 `- Jail list: apache-tcpwrapper, recidive, ssh-iptables, apache-badbots, pbx-gui, asterisk-iptables, vsftpd-iptables Чтобы случайно не заблокировать свой адрес и игнорировать любые неуспешные попытки доступа к серверу с адресов, находящихся в локальной сети или других доверенных адресов, внесите их или всю доверенную подсеть в секцию [DEFAULT] в поле ignoreip в том же файле /etc/fail2ban/jail.local
img
На рынке телефонных станций, компания Cisco Systems представлена двумя основными продуктами: Cisco Unified Communications Manager (CUCM) и Cisco Unified Communications Manager Express (CME). О них сегодня и поговорим. Cisco Unified Communication Manager Cisco Unified Communication Manager – это система процессинга телефонных вызовов на базе ОС Linux. Поддерживает основные стандарты, такие как SIP, H.323, MGCP и проприетарный SCCP. CUCM – решение, которое предназначено для средних и крупных организаций. При кластеризации серверов, один кластер может обрабатывать 30 000 пользователей. В одном кластере может находиться до 20 серверов, причем лишь только 8 из них предназначены непосредственно для обработки телефонной сигнализации. Остальные, это TFTP, MOH (music on hold) сервер, CUC и другие. Среди 8 серверов, обычно выделяют один Publisher, а остальные Subscriber’ы. Основная роль Publisher’a заключается в репликации базы данных на все остальные сервера. CUCM - это программное обеспечение, удобное в администрировании и настройке. Основной WEB GUI проиллюстрирован ниже: Данный интерфейс называется Cisco Unified CM Administration. Всего их 5: Cisco Unified CM Administration Cisco Unified Reporting Disaster Recovery System Cisco Unified Serviceability Cisco Unified OS Administration Cisco UCM может быть развернут как в виртуальной среде, так и на физическом сервере. Интегрируется с другими продуктами компании Cisco, такими как: Cisco Unity Connection (CUC), Cisco Unified Presence (CUP, начиная с 9 версии IM and Presence), Unified Contact Center Express и другие. Так же поддерживается интеграция с решениями других вендоров. Cisco Unified Communication Manager Express (CME) CME отлично подходит для малого и среднего бизнеса, удаленных офисов и небольших площадок. Call Manager Express реализуется на ISR (integrated service router) маршрутизаторах, что обеспечивает консолидацию сервисов телефонии и интернета в одном устройстве. Данная платформа способна поддерживать около 500 телефонных аппаратов. Например, маршрутизатор Cisco 3945E ISR G2 может обеспечить работу 450 телефонов. В CME предусмотрена работа голосовой почты, автосекретаря и других функций, которые реализуются с помощью специальных модулей. Как правило, администрирование CME происходит через CLI (command line interface). Но разработчиками предусмотрено использование аппликации Cisco Configuration Professional (CCP), с помощью которого можно управлять dial – планом, администрировать телефоны, пользователей и многие другие опции. Cisco Call Manager Express поддерживает SRST, что обеспечивает отказоустойчивость в случае падения WAN. При планировании важную роль играет DSP, которая отвечает за транскодирование и преобразование традиционного телефонного трафика в IP. CME может локально хранить данные об именах пользователей. Это позволяет отображать имя звонящего при входящем звонке. Другая удобная опция это Call Forwarding. Она позволяет перенаправлять входящие вызовы на номер, указанный заранее, если получатель звонка занят, или не отвечает. Пример реализации ниже: merion_voice(config)#ephone-dn 15 merion_voice (config-ephone-dn)#call-forward busy 1111 Cisco Call Manager Express поддерживает такие опции как: Call Transfer – перевод вызова. Бывает консультативный (англ. Consult - возможность разговора с адресатом до трансфера вызова) и слепой (англ. Blind – моментальный перевод вызова после набора номера получателя). Call Park – возможность повесить вызов на «холд» на специально выделенном номере, а затем, набрать с любого другого ТА этот номер и продолжить разговор. Call Pickup – возможность ответить на телефонный вызов, который пришел на другой телефонный аппарат. Обычно реализуется в рамках одного отдела. Intercom – позволяет при нажатии одной клавиши отдать распоряжения. Например, интерком может быть настроен на кнопке телефона руководителя, для быстрой связи с секретарем. Paging – тоже самое что и интерком, только в широковещательном формате. Удобно для экстренных оповещений большого количества людей. Таким образом, мы рассказали о двух основных продуктах компании Cisco Systems в области телефонных станций. В следующих статьях мы подробно расскажем о каждой из телефонных станций.
img
В сегодняшней статье мы поговорим об одном из первых протоколов, получивших широкое применения в сетях VoIP – H.323. Первая реализация H.323 была представлена ITU-T (International Telecommunication Union - Telecommunications) еще в 1996 и предназначалась для использования в видеоконференциях, ограниченных LAN (Local Area Network). Однако, протокол был быстро адаптирован для передачи голосовых данных в других типах IP сетей, таких как WAN (Wide Are Network) и Интернет. H.323 чаще всего называют “протоколом”, хотя на самом деле, это целый стек протоколов, которые объединены одной задачей – поддержание передачи аудио- и видео-данных через сеть с коммутацией пакетов. Протокол H.323 Как видно из данного рисунка передача аудио и видео осуществляется по стекам G.xxx/RTP/UDP/IP и H.xx/RTP/UDP/IP, за статистическую информацию о сессии отвечает RTCP. Протокол H.255 RAS (Registration, Admission, Status) отвечает за взаимодействие оконечных устройств с привратником или контроллером зоны. Протокол H.245 управляет информационными медиа каналами, проводит согласование функциональных возможностей терминалов и осуществляет управление логическими каналами. Процесс установления и завершения звонков через IP сеть осуществляется по средствам протокола H.255.0, сигнальные сообщения которого, позаимствованы у Q.931, использующегося в ISDN. Архитектура H.323 имеет клиент-серверную модель и включает в себя следующие элементы: - Терминал Это основное устройство в системе H.323, обеспечивающее передачу видео- и аудио данных. Терминал обязательно должен поддерживать все протоколы, входящие в стек H.323, для обеспечения сервисов IP телефонии. Выполняется как в виде простого IP телефона, так и в виде сложного устройства с дополнительными функциями. - Шлюз (Gateway) Данный элемент присутствует только тогда, когда необходимо обеспечить сопряжение сети H.323 с сетью другого типа, например ISDN (Integrated Services Digital Network) или PSTN (Public Switched Telephone Network). Стоит отметить, что с помощью шлюзов можно обеспечить взаимодействие H.323 и с сетями мобильной связи третьего поколения (3G), которые используют протокол H.324. - Привратник (Gatekeeper) Также как и шлюз, привратник является опциональным элементом сети H.323. В число функций привратника входят: регистрация терминалов, управление полосой пропускания, трансляция адреса, аутентификация пользователей. Привратник работает в двух режимах: direct routed и gatekeeper routed Наиболее эффективным и широко распространенным является режим direct routed, поскольку в этом режиме оконечные устройства (терминалы), по средствам протокола RAS узнают IP адрес удаленного устройства и соединение происходит напрямую. В режиме же gatekeeper routed соединение всегда происходит через привратник, что конечно же требует от него дополнительных вычислительных мощностей. Совокупность устройств, подключенных к одному привратнику называется зоной (zone), поэтому привратник часто называют контроллером зоны. - Устройство управления конференциями (Multipoint Control Unit) Данное устройство является сервером, в функции которого входит поддержание аудио- и видео- конференций между тремя или более H.323 терминалами. Сервер управляет ресурсами конференции, определяет аудио- и видео-потоки, проводит согласование терминалов по возможности обработки аудио- и видео-данных. Как видно, наличие всех рассмотренных устройств, кроме терминалов, является опциональным. Таким образом, простейшей архитектурой сети H.323 могут являться два, напрямую подключенных терминала, поддерживающих соответствующий стек протоколов. В следующей статье мы более подробно рассмотрим работу некоторых протоколов из стека H.323, а также изучим возможные варианты сценариев установления соединения. Кроме того, мы научимся разбираться в сигнальных сообщениях протокола Q.931, что поможет нам в понимании не только H.323, но и ISDN.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59