По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Привет! В предыдущей статье, посвященной основам WLAN, вы узнали о беспроводных клиентах, формирующих ассоциации с беспроводными точками доступа (AP) и передающих данные по Wi-Fi. В сегодняшней статье мы рассмотрим анатомию защищенного соединения в беспроводных сетях.
Основы защищенного соединения в беспроводных сетях.
Все клиенты и точки доступа, которые соответствуют стандарту 802.11, могут сосуществовать на одном канале. Однако не всем устройствам, поддерживающим стандарт 802.11, можно доверять. Нужно понимать, что данные передаются не как в проводной сети, то есть непосредственно от отправителя к получателю, а от приемника до ближайшей точки доступа, располагаемой в зоне досягаемости.
Рассмотрим случай, изображенный на рисунке ниже. Беспроводной клиент соединяется с каким-либо удаленным объектом с использованием зашифрованного пароля. В сети так же присутствуют два не доверенных пользователя. Они находятся в пределах диапазона сигнала клиента и могут легко узнать пароль клиента, перехватив данные, отправленные по каналу. Особенности беспроводной связи позволяют легко перехватывать пересылаемые пакеты злоумышленниками.
Если данные передаются по беспроводным каналам, как их можно защитить от перехвата и взлома? В стандарте 802.11 предусмотрены механизмы безопасности, которые используются для обеспечения доверия, конфиденциальности и целостности беспроводной сети. Далее более подробно разберем методы беспроводной безопасности.
Аутентификация.
Для того чтобы начать использовать беспроводную сеть для передачи данных, клиенты сначала должны обнаружить базовый набор услуг (BSS), а затем запросить разрешение на подключение. После чего клиенты должны пройти процедуру аутентификации. Зачем это делать? Предположим, что ваша беспроводная сеть позволяет подключиться к корпоративным ресурсам, располагающим конфиденциальной информацией. В этом случае доступ должен предоставляться только тем устройствам, которые считаются надежными и доверенными. Гостевым пользователям, если они вообще разрешены, разрешается подключиться к другой гостевой WLAN, где они могут получить доступ к не конфиденциальным или общедоступным ресурсам. Не доверенным клиентам, вообще рекомендуется запретить доступ. В конце концов, они не связаны с корпоративной сетью и, скорее всего, будут неизвестными устройствами, которые окажутся в пределах досягаемости вашей сети.
Чтобы контролировать доступ, WLAN могут аутентифицировать клиентские устройства, прежде чем им будет разрешено подключение. Потенциальные клиенты должны идентифицировать себя, предоставив информацию учетных данных для точки доступа. На рисунке ниже показан основной процесс аутентификации клиента.
Существует много методов аутентификации по «воздуху». Есть методы, которые требуют ввода только кодового слова, которое является общим для всех доверенных клиентов и AP. Кодовое слово хранится на клиентском устройстве и при необходимости передается непосредственно в точку доступа. Что произойдет, если устройство будет утеряно или похищено? Скорее всего, любой пользователь, владеющий данным устройством, сможет аутентифицироваться в сети. Другие, более строгие методы аутентификации требуют взаимодействия с корпоративной базой данных пользователей. В таких случаях конечный пользователь должен ввести действительное имя пользователя и пароль.
В обычной жизни, при подключении к любой беспроводной сети, мы неявно доверяем ближайшей точке доступа проверку подлинности нашего устройства. Например, если вы на работе, используя устройство с беспроводной связью, найдете WI-Fi, скорее всего, подключитесь к ней без колебаний. Это утверждение верно для беспроводных сетей в аэропорту, торговом центре, или дома - вы думаете, что точка доступа, которая раздает SSID, будет принадлежать и управляться организацией, в которой вы находитесь. Но как вы можете быть уверены в этом?
Как правило, единственная информация, которой вы владеете- это SSID транслируемый в эфир точкой доступа. Если SSID знаком, вы, скорее всего, подключитесь к ней. Возможно, ваше устройство настроено на автоматическое подключение к знакомому SSID, так что оно подключается автоматически. В любом случае, есть вероятность невольно подключиться к тому же SSID, даже если он рассылается злоумышленником.
Некоторые атаки, организованные злоумышленником, осуществляются посредством подмены точки доступа. «Поддельная» точка доступа, аналогично настоящей, так же рассылает и принимает запросы, и затем осуществляет ассоциацию клиентов с АР. Как только клиент подключается к «поддельной» AP, злоумышленник может легко перехватить все данные передаваемые от клиента к центральному узлу. Подменная точка доступа может также отправлять поддельные фреймы управления, которые деактивируют подключенных клиентов, для нарушения нормального функционирования сети.
Чтобы предотвратить этот тип атаки, называемой «man-in-the-middle», клиент должен сначала идентифицировать точку доступа, и только потом подключиться, используя логин и пароль (пройти аутентификацию). На рисунке ниже показан простой пример данного защищенного подключения. Также, клиент, получая пакеты управления, должен быть уверен, что они отправлены с проверенной и доверенной точки доступа.
Конфиденциальность сообщений.
Предположим, что клиент изображенный на рисунке 3, должен пройти аутентификацию перед подключением к беспроводной сети. Клиент должен идентифицировать точку доступа и её фреймы управления для подключения перед аутентификацией себя на устройстве. Отношения клиента с точкой доступа могли бы быть более доверительными, но передача данных по каналу все еще подвергается опасности быть перехваченной.
Чтобы защитить конфиденциальность данных в беспроводной сети, данные должны быть зашифрованы. Это возможно кодированием полезной нагрузки данных в каждом фрейме, пересылаемым по WI-Fi, непосредственно перед отправкой, а затем декодирования ее по мере поступления. Идея заключается в использование единого метода шифрования/дешифрования как на передатчике, так и на приемнике, чтобы данные могли быть успешно зашифрованы и расшифрованы.
В беспроводных сетях каждый WLAN может поддерживать только одну схему аутентификации и шифрования, поэтому все клиенты должны использовать один и тот же метод шифрования при подключении. Вы можете предположить, что наличие одного общего метода шифрования позволит любому клиенту сети перехватывать пакеты других клиентов. Это не так, потому что точка доступа при подключении к клиенту высылает специальный ключ шифрования. Это уникальный ключ, который может использовать только один клиент. Таким образом точка доступа рассылает каждому клиенту свой уникальный ключ. В идеале точка доступа и клиент- это те два устройства, которые имеют общие ключи шифрования для взаимодействия. Другие устройства не могут использовать чужой ключ для подключения. На рисунке ниже конфиденциальная информация о пароле клиента была зашифрована перед передачей. Только точка доступа может успешно расшифровать его перед отправкой в проводную сеть, в то время как другие беспроводные устройства не могут.
Точка доступа также поддерживает «групповой ключ» (group key), когда ей необходимо отправить зашифрованные данные всем клиентам ячейки одновременно. Каждый из подключенных клиентов использует один и тот же групповой ключ для расшифровки данных.
Целостность сообщения
Шифрование данных позволяет скрыть содержимое от просмотра, при их пересылке по общедоступной или ненадежной сети. Предполагаемый получатель должен быть в состоянии расшифровать сообщение и восстановить исходное содержимое, но что, если кто-то сумел изменить содержимое по пути? Получатель не сможет определить, что исходные данные были изменены.
Проверка целостности сообщений (MIC)- это инструмент безопасности, который позволяет защитить от подмены данных. MIC представляет собой способ добавления секретного штампа в зашифрованный кадр перед отправкой. Штамп содержит информацию о количестве битов передаваемых данных. При получении и расшифровке фрейма устройство сравнивает секретный шифр с количеством бит полученного сообщения. Если количество бит совпадает, то соответственно данные не были изменены или подменены. На рисунке ниже изображен процесс MIC.
На рисунке показано, что клиент отправляет сообщение точке доступа через WLAN. Сообщение зашифровано, «741fcb64901d». Сам процесс MIC заключается в следующем:
Исходные данные –«P@ssw0rd».
Затем вычисляется секретный шифр MIC (штамп).
После вычисления штампа происходит шифрование данных и MIC завершается.
На стороне получателя следует расшифровка, вычисление MIC и сравнение штампов.
Вы используете систему на основе Ubuntu и просто не можете подключиться к своей сети? Вы будете удивлены, сколько проблем можно исправить простым перезапуском.
Перезагрузка сети в Ubuntu с помощью командной строки
Если вы используете Ubuntu Server Edition, вы уже находитесь в терминале. Если вы используете настольную версию, вы можете получить доступ к терминалу с помощью сочетания клавиш Ctrl + Alt + T в Ubuntu.
Теперь у вас есть несколько команд для перезагрузки сети в Ubuntu. Некоторые (или, возможно, большинство) упомянутые здесь команды должны быть применимы для перезапуска сети в Debian и других дистрибутивах Linux.
Network manager service
Это самый простой способ перезагрузить сеть с помощью командной строки. Это эквивалентно графическому способу сделать это (перезапускает службу Network-Manager).
sudo service network-manager restart
Значок сети должен на мгновение исчезнуть, а затем снова появиться.
systemd
Второй способ – это команда systemctl, которая гораздо более универсальна, чем service.
sudo systemctl restart NetworkManager.service
Значок сети снова должен исчезнуть на мгновение. Чтобы проверить другие параметры systemctl, вы можете обратиться к его справочной странице.
nmcli
Это еще один инструмент для работы с сетями на компьютере с Linux. Это довольно мощный инструмент, и многие системные администраторы предпочитают его, поскольку он прост в использовании.
Этот метод состоит из двух шагов: выключить сеть, а затем снова включить ее.
sudo nmcli networking off
Сеть отключится и значок исчезнет. Чтобы включить его снова:
sudo nmcli networking on
Вы можете проверить справочную страницу nmcli для большего количества вариантов.
ifup & ifdown
Эти команды управляют сетевым интерфейсом напрямую, изменяя его состояние на состояние, при котором он может или не может передавать и получать данные. Это одна из самых известных сетевых команд в Linux.
Чтобы закрыть все сетевые интерфейсы, используйте ifdown, а затем используйте ifup, чтобы снова включить все сетевые интерфейсы.
Хорошей практикой было бы объединить обе эти команды:
sudo ifdown -a && sudo ifup -a
nmtui
Это еще один метод, часто используемый системными администраторами. Это текстовое меню для управления сетями прямо в вашем терминале.
nmtui
Это должно открыть следующее меню:
Обратите внимание, что в nmtui вы можете выбрать другой вариант, используя клавиши со стрелками вверх и вниз.
Выберите Activate a connection
Нажмите Enter. Должно открыться меню с соединениями.
Далее, выберите сеть со звездочкой (*) рядом с ней и нажмите Enter. Это должно деактивировать это соединение.
Выберите соединение, которое вы хотите активировать
Нажмите Enter, соединение должно снова стать активным.
Дважды нажмите Tab чтобы выбрать пункт Back
Нажмите Enter, это вернет вас в главное меню.
Выберите Quit для выхода
Это должно закрыть приложение и вернуть вас в ваш терминал.
Перезапуск сети в Ubuntu графически
Это, конечно, самый простой способ перезапустить сеть для пользователей настольных компьютеров Ubuntu. Если это не работает, вы можете сделать это из командной строки как было описано в предыдущем разделе.
Чтобы открыть окно управления сетью, щелкните правой кнопкой мыши значок сети в правом верхнем углу и найдите сетевое соединение, которое вы хотите перезагрузить, затем нажмите «Выключить».
Значок сети исчезнет. Чтобы снова включить сеть, щелкните левой кнопкой мыши в правом верхнем углу стрелку вниз, найдите сетевой интерфейс и нажмите «Подключиться».
Готово!
В сегодняшней статье мы расскажем о модуле FreePBX Follow me , который помогает осуществлять распределение звонков на большое количество направлений одновременно. С помощью настроек Follow Me, можно организовать всевозможные сценарии обзвона сотрудников компании или кол-центра. Например, можно распределить входящий вызов между всеми операторами, или отправить вызов на следующего оператора, если первый занят и т.п.
/p>
Сразу отметим, что в графическом интерфейсе FreePBX 13 в модуле Follow me произошли некоторые изменения. В частности, данный модуль больше не используется для конфигурации непосредственно настроек follow me Extension’ов. Теперь это делается через вкладку Find Me/Follow Me модуля Extensions. В версии FreePBX 13+ модуль Follow Me используется для быстрого просмотра и изменения статуса (enabled/disabled) настроек follow me абонентов. Пользователи также могут изменять данные настройки с помощью специальных кодов (Feature Codes) UCP, REST Apps и так далее.
Для того, чтобы попасть в модуль Follow Me нужно перейти по следующему пути с главной страницы Applications -> Follow Me
Перед Вами откроется список всех Extension’ов, на которых ранее были включены настройки Follow Me. Стоит отметить, что номера сюда будут включаться только после того, как на Extension’е будет хотя бы раз включена настройка Follow Me.
Чтобы включить или выключить Follow Me нажмите Yes или No, после чего появится всплывающее окно с предупреждением о том, что настройки были изменены, нажмите OK. Заметим, что в данном модуле не предусмотрено кнопок Submit или Apply Config, все настройки изменяются сразу.
Чтобы изменить настройки Follow Me нужно выбрать из списка интересующий Extension, например 102 и нажать на него. После чего мы попадаем во вкладку Find Me/Follow Me для номера 102.
Если при установке Follow Me на мобильный телефон и у вас пропадает слышимость, рекомендуем установить 2 опции в конфигурации SIP:
progressinband=yes
prematuremedia=no
Кратко рассмотрим каждый пункт данного меню:
Group Number -Номер Follow Me группы
Enable Follow Me – Включение настроек Follow Me. Если нажать Yes, то данный Extension попадет в список
Initial Ring Time – Сколько секунд будет длиться попытка дозвона на основной Extension прежде чем перейти в follow-me list
Ring Strategy – Стратегия обзвона
Ring Time (max 60 sec ) – Столько секунд будет длиться попытка дозвона на телефоны членов follow-me list’а
Follow-Me List – Список операторов/агентов/добавочных номеров, на которые будет осуществляться попытка дозвона по выбранной стратегии после того, как закончится Initial Ring Time
Announcement - Голосовое сообщение, которое будет проигрываться вызывающему абоненту, при звонке на данную группу. Записи добавляются через System Recordings
Play Music On Hold - Если заменить текущий параметр “Ring” на какую-нибудь доступную музыкальную запись, то вызывающий абонент будет слышать данную запись, пока кто-нибудь из follow-me list’а ему не ответит
CID Name Prefix - Опционально можно поставить данной группе префикс, например Tech_Sup
Alert Info - Используется для характерный SIP-устройств
Confirm Calls – Подтверждение вызова. Используется, когда звонок доходит, например, до голосовой почты. Данная опция просит удаленную сторону набрать 1, прежде чем установить соединение
Remote Announce – Сообщение, которое будет проигрываться стороне, принимающей вызов, если включена опция Confirm Calls. Записи добавляются через System Recordings
Too-Late Announce - Сообщение, которое будет проигрываться стороне, принимающей вызов, если звонок уже был принят, прежде чем они набрали 1. Записи добавляются через System Recordings
Change External CID Configuration - Настройки позволяющие принимать или блокировать прием Caller ID вызывающих абонентов
Fixed CID Value - Фиксированный Caller ID, который будет передаваться, если в Change External CID Configuration была выбрана опция Fixed CID Value. Принимается только формат Е164 с “+” в начале
Destination if no answer - Куда отправить вызов, если никто из follow-me list’а не смог принять его.