По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Для системного администратора очень важно иметь корректную настройку системного времени на IP – АТС Asterisk. Важность этого обуславливается многими причинами, такими как корпоративная маршрутизация звонка по времени, отработка резервного копирования по расписанию или отработка «кастомных» скриптов в cron. В статье мы покажем как правильно настроить время через графическую оболочку FreePBX и продемонстрируем настройки NTP (Network Time Protocol) через командную строку сервера.
Настройка временной зоны через FreePBX
Перейдя в WEB - браузере к графическому интерфейсу FreePBX 13, откройте вкладку Admin → System Admin. Оказавшись в панели управления модулем, выберите необходимую временную зону (Time Zone) из предложенных:
Выбрав необходимую вам зону нажмите Submit
Обратите внимание! Чтобы настройки вступили в силу, необходимо произвести перезагрузку сервера. Вы можете сделать это либо через CLI с помощью команды reboot, либо в разделе Power Options.
Настройка NTP через CLI
Если после установки временной зоны время на вашем сервере так и не поменялось, то необходимо произвести проверку настроек NTP. Подключитесь к серверу по SSH или напрямую, и выполните следующие команды:
[root@localhost ~]# vim /etc/ntp.conf
Проверьте содержимое файла настройки синхронизации времени. В нем в явном виде должны быть прописаны сервера (не закомментированные строки, начинающиеся с server). Если вы хотите указать собственный сервер NTP, то сотрите содержимое файла и добавьте запись. Формат примерно такой:
server 192.168.0.123 //вместо 192.168.0.123, укажите IP – адрес или доменное имя вашего NTP
Перед изменением конфигурации файла ntp.conf рекомендуем проверить сетевую связность, произведя пинг – запрос на IP или доменное имя сервера.
После проверки конфигурации, проверяем запущен ли NTP демон на сервере:
[root@localhost ~]# service ntpd status
ntpd (pid 1234) is running...
Как мы видимо, процесс ntpd с идентификатором 1234 запущен. Если у вас иначе, произведите перезапуск этого процесса:
[root@localhost ~]# service ntpd restart
Shutting down ntpd: [ OK ]
Starting ntpd: [ OK ]
Далее убеждаемся, что ntpd будет автоматически запускать при загрузке нашего сервера:
[root@localhost ~]# chkconfig ntpd on
[root@localhost ~]#
Проверяем, с какими NTP серверами синхронизируется наш Asterisk:
[root@localhost ~]# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
-n2.time1.regnet 194.190.168.1 2 u 46 64 37 50.668 6.009 2.017
Через некоторое время проверяем системное время командой date. Теперь все должно быть корректно:
[root@localhost ~]# date
Mon Oct 24 12:53:06 MSK 2016
Активное сетевое оборудование, должно обеспечивать долгосрочное и бесперебойное функционирование корпоративной сети. Своевременное выявление и устранение неисправностей является залогом успешной и эффективной работы компании. Именно поэтому очень важно уделить особое внимание системе мониторинга, которая бы отслеживала состояние активного оборудования и уведомляла об отклонении от нормальных показателей системного администратора по SMS, e-mail или другим средствам оповещения.
Система мониторинга – это совокупность технических средств, осуществляющих постоянное наблюдение и сбор информации в локальной вычислительной сети на основе анализа статистических данных с целью выявления неисправных или некорректно работающих узлов и оповещения ответственных лиц. Функционал современных систем мониторинга позволяет отслеживать состояние таких сервисов как например:
1) Доступность хоста
Путем периодической отправки запросов ICMP Echo-Request на адрес сетевого устройства
2) Доступность веб-сервера
Путем отправки HTTP запроса на получение страницы
3) Доступность почтовых сервисов
Путем периодической отправки диагностических SMTP сообщений
Кроме того, можно производить замер времени отклика данных сервисов.
Периодические проверки такого рода позволяют быстро определить на каком уровне возникла проблема и незамедлительно приступить к её устранению.
Система мониторинга сети
На приведенном выше рисунке показан простейший пример реализации системы мониторинга, контролирующей всего четыре устройства. В реальных же условиях парк активного оборудования может иметь куда больше узлов. Для осуществления грамотного мониторинга проводят объединение разных типов узлов в группы, например группа веб-серверов или группа маршрутизаторов. Такого рода разделение помогает систематизировать статистическую информацию и облегчает процесс наблюдения.
Большинство систем мониторинга позволяют автоматизировать проверку устройств по SNMP и осуществлять диагностику с помощью различных плагинов (в том числе созданных вручную).
Протокол SNMP (Simple Network Management Protocol) - был создан специально для нужд мониторинга сетевого оборудования. Все активные устройства L2 и L3 содержат так называемую Базу информации управления MIB (Management Information Base), в которой находятся основные параметры состояния оборудования. Например, загрузка CPU, статус интерфейсов, объем свободного места и др. Каждой такой записи соответствует уникальный идентификатор OID(Oject IDentifier). Имея нужный идентификатор, можно получить информацию об интересующем параметре по протоколу SNMP. Современные системы мониторинга позволяют автоматизировать данный процесс. Система, по протоколу SNMP, подключается к устройству, опрашивает его по интересующему OID, получает значение параметра и сравнивает его с заданным. Если обнаруживается несоответствие двух данных значений, то системы мониторинга реагирует и запускает процесс оповещения.
Перед непосредственным внедрением системы мониторинга, необходимо провести обследование ЛВС, результатом которого должен стать перечень наблюдаемого оборудования, параметров и утвержденный алгоритм эскалации событий мониторинга. На основе анализа сетевой инфраструктуры заказчика формируются первые решения определяющие архитектуру будущей системы мониторинга.
На следующем этапе осуществляется составление спецификаций и пакета проектной документации, с учетом пожеланий заказчика.
Далее обычно следует внедрение разработанного решения на отдельном сегменте сети с ограниченным числом наблюдаемых узлов, с целью тестирования и отладки функционала предложенного решения.
Заключительным этапом является масштабирование системы мониторинга, то есть расширение объема наблюдаемой ИТ-инфраструктуры до необходимого заказчику.
Внедрение системы мониторинга – это важный шаг на пути к полной автоматизации ИТ-инфраструктуры, который ведет к повышению эффективности ее использования. Специалисты нашей компании не раз разрабатывали решения, которые оправдывают ожидания заказчиков и надёжно работают вот уже несколько лет.
В сегодняшней статье поговорим о том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данной статье, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС.
Для начала, давайте разберёмся, чем же грозят “дыры” в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС.
Угроза взлома
В отличие от взлома персонального компьютера или почты, взлом АТС – это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов.
Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall или его отсутствие - всё это может стать причиной несанкционированного доступа.
К счастью, все эти уязвимости можно устранить и причём совершенно бесплатно.
Простые шаги к повышению безопасности
Первое правило, которое необходимо соблюдать – это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС.
Второе и самое очевидное – не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать – “1234”, “admin”, “password”, название компании и так далее.
Одной из самых распространённых ошибок, является создание внутренних номеров (Extension), у которых и номер и пароль совпадают. В sip.conf это выглядит примерно так:
sip.conf
[101]
username=101
secret=101
host=dynamic
Допускать такого, категорически нельзя. Тем более что при создании внутреннего номера через интерфейс FreePBX 13, автоматически генерируется 32-значный надёжный пароль.
При настройке внутренних номеров также следует ограничивать IP-адреса, которые могут быть на них зарегистрированы вплоть до пула адресов локальной подсети. IP-АТС Asterisk имеет встроенные ACL (Access Control List), в настройке sip.conf. При помощи команд permit/deny можно разрешить лишь опредёленное количество IP-адресов для регистрации.
Другой важной мерой по усилению безопасности, является ограничение удалённого доступа к IP-АТС при помощи firewall. Будьте внимательны, так как в данном случае, главное грамотно настроить правила, по которым будет отрабатывать firewall. Убедитесь, что настройка не блокирует порты, которые использует ваша IP-АТС и не позволяет анонимно посылать ICMP запросы из публичной сети. Если вы планируете предоставлять удалённый доступ для авторизованных сотрудников, лучше всего организовать его при помощи VPN сервера (например, Open VPN).
Если это возможно, то желательно использовать NAT (Network Address Translation). При помощи NAT’а, можно присвоить IP-АТС приватный IP-адрес и существенно усложнить доступ к ней из Интернета.
Ещё одним очень важным фактором, является разделение входящих и исходящих маршрутов (Inbound Routes и Outbound Routes). Необходимо, чтобы каждый маршрут принадлежал собственному контексту обработки вызова.
Отключите каналы и сервисы, которые не используются. Например, если вы не используете протокол MGCP или skinny. Отключить эти модули можно в /etc/modules.conf как показано ниже:
noload => chan_mgcp.so
noload => chan_skinny.so
noload => chan_oss.so
Чтобы усложнить работу всевозможным SIP-сканнерам, необходимо в настройках sip.conf выставить следующее условие - alwaysauthreject=yes. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС.
Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN – кодом, который могут знать только сотрудники вашей организации.
Как видите, защитить IP-АТС от внешних вторжений не так уж трудно, следуя предложенным советам, можно достаточно серьёзно повысить безопасность и надёжность системы.