По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Всем привет! Сегодня мы поговорим про то, каким образом можно управлять телефонной станцией Cisco Call Manager Express (CME) , подробнее о которой можно прочитать в нашей статье. Сейчас это решение называется Cisco Unified Communications Manager Express (CUCME) .
Есть два метода конфигурации CME – при помощи графического интерфейса GUI и при помощи интерфейса командной строки CLI. Поэтому CME исключаетu споры по поводу того, какой вид интерфейса лучше – графический или командной строки, ведь можно использовать какой больше приходится по душе. Конфигурация при помощи командной строки по-прежнему остается наиболее гибкой и поддерживает все функции CME, однако утилиты на основе графического интерфейса, в частности, Cisco Configuration Professional (CCP) , развились достаточно для поддержки простой конфигурации и устранения неполадок для подавляющего большинства функций CME.
Для траблшутинга удобно использовать командную строку, где представлены команды show или debug, которые можно использовать для проверки или поиска неполадок маршрутизатора CME.
CLI
Для доступа к интерфейсу командной строки можно использовать один из трех способов:
Консольный порт (console) – подключиться при помощи serial интерфейса на компьютере и кабеля rollover;
Telnet – издавна использовался для управления различными системами командной строки. В настоящее время Telnet считается небезопасным протоколом, потому что он передает данные в виде чистого текста;
SSH - Secure Shell (SSH) выполняет ту же функцию, что и Telnet, но обеспечивает связь с большой дозой шифрования;
Стоит напомнить, что для работы с CLI используются команды IOS, про которые можно почитать тут, тут и тут.
Чтобы поддерживать большинство VoIP функций Cisco создали специальный режим telephony-service. Попасть в него можно из глобального режима конфигурации
CME#conf t
CME(config)# telephony-service
CME(config-telephony)#
Как мы уже говорили большинство команд для траблшутинга выполняются из CLI. Одна из наиболее используемых команд – show ephone registered, которая показывает телефоны, зарегистрированные на CME и состояние их линий.
GUI
В качестве графического интерфейса используются два основных инструмента: интегрированный графический интерфейс CME (CME Integrated GUI) и Cisco Configuration Professional (CCP) . Интегрированный графический интерфейс CME работает под управлением HTML и JAR (Java) файлов, которые загружены во flash память маршрутизатора CME. Как правило, маршрутизаторы CME поставляется с этими файлами, однако также можно загрузить пакет TAR с веб-сайта Cisco, и извлечь его во flash память. При помощи минимальной конфигурации командной строки (назначение IP-адреса и включение HTTP-сервера), можно быстро включить интегрированный графический интерфейс CME. Хотя интегрированный графический интерфейс CME может показаться не красивым по сегодняшним стандартам, он имеет функционал, который позволяет обрабатывать большинство основных функций CME: добавление и изменение конфигурации телефона, изменение набора номера, настройка групп и т.д.
Встроенный интерфейс CME сфокусирован в основном для настройки аспектов телефонии. Для расширенной настройки маршрутизаторов CME используется Cisco Configuration Professional (CCP) . С его помощью можно настроить маршрутизатор, фаерволл, систему предотвращения вторжений (IPS), VPN, функции Unified Communications и общие функции WAN и LAN. CCP можно скачать с сайта Cisco и установить на локальном компьютере.
По умолчанию CCP пытается подключиться к маршрутизатору с использованием Telnet и HTTP, которые оба clear-text протоколы. Конечно, безопасные соединения всегда лучше. Поэтому можно изменить настройки и выбрать опцию «Connect securely» , после чего CCP будет использовать SSH и HTTPS для подключения и настройки маршрутизатора CME.
После подключения к маршрутизатору CME CCP запускает процесс обнаружения, который идентифицирует устройтво, программное обеспечение, интерфейсы и модули. По завершении этого процесса можно начинать настройку.
Также у Cisco есть утилита Cisco Configuration Professional Express (CCP Express) , которая является аналогичной утилитой GUI, загружаемой во flash память маршрутизатора. CCP Express фокусируется только на настройке базовых соединений LAN и WAN, NAT и фаервола. С ее помощью нельзя настроить функции Unified Communications.
В сегодняшней статье поговорим о том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данной статье, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС.
Для начала, давайте разберёмся, чем же грозят “дыры” в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС.
Угроза взлома
В отличие от взлома персонального компьютера или почты, взлом АТС – это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов.
Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall или его отсутствие - всё это может стать причиной несанкционированного доступа.
К счастью, все эти уязвимости можно устранить и причём совершенно бесплатно.
Простые шаги к повышению безопасности
Первое правило, которое необходимо соблюдать – это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС.
Второе и самое очевидное – не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать – “1234”, “admin”, “password”, название компании и так далее.
Одной из самых распространённых ошибок, является создание внутренних номеров (Extension), у которых и номер и пароль совпадают. В sip.conf это выглядит примерно так:
sip.conf
[101]
username=101
secret=101
host=dynamic
Допускать такого, категорически нельзя. Тем более что при создании внутреннего номера через интерфейс FreePBX 13, автоматически генерируется 32-значный надёжный пароль.
При настройке внутренних номеров также следует ограничивать IP-адреса, которые могут быть на них зарегистрированы вплоть до пула адресов локальной подсети. IP-АТС Asterisk имеет встроенные ACL (Access Control List), в настройке sip.conf. При помощи команд permit/deny можно разрешить лишь опредёленное количество IP-адресов для регистрации.
Другой важной мерой по усилению безопасности, является ограничение удалённого доступа к IP-АТС при помощи firewall. Будьте внимательны, так как в данном случае, главное грамотно настроить правила, по которым будет отрабатывать firewall. Убедитесь, что настройка не блокирует порты, которые использует ваша IP-АТС и не позволяет анонимно посылать ICMP запросы из публичной сети. Если вы планируете предоставлять удалённый доступ для авторизованных сотрудников, лучше всего организовать его при помощи VPN сервера (например, Open VPN).
Если это возможно, то желательно использовать NAT (Network Address Translation). При помощи NAT’а, можно присвоить IP-АТС приватный IP-адрес и существенно усложнить доступ к ней из Интернета.
Ещё одним очень важным фактором, является разделение входящих и исходящих маршрутов (Inbound Routes и Outbound Routes). Необходимо, чтобы каждый маршрут принадлежал собственному контексту обработки вызова.
Отключите каналы и сервисы, которые не используются. Например, если вы не используете протокол MGCP или skinny. Отключить эти модули можно в /etc/modules.conf как показано ниже:
noload => chan_mgcp.so
noload => chan_skinny.so
noload => chan_oss.so
Чтобы усложнить работу всевозможным SIP-сканнерам, необходимо в настройках sip.conf выставить следующее условие - alwaysauthreject=yes. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС.
Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN – кодом, который могут знать только сотрудники вашей организации.
Как видите, защитить IP-АТС от внешних вторжений не так уж трудно, следуя предложенным советам, можно достаточно серьёзно повысить безопасность и надёжность системы.
Сегодня подробно разберёмся в том, как настроить запись телефонных разговоров, проходящих через нашу IP-АТС Asterisk, с помощью графической оболочки FreePBX 13. Данная статья будет так же полезна тем, у кого, по каким то причинам, не записываются телефонные разговоры и они хотят это исправить.
Заглянем в FreePBX
Множество модулей во FreePBX позволяют включить запись телефонных разговоров напрямую, к таким относятся Extensions, Queues, Ring Groups, Inbound Routes. То есть, например, при создании нового внутреннего номера или ринг группы мы можем определить, записывать ли разговоры проходящие через них.
Для этого, в каждом модуле, который позволяет настроить запись, есть раздел Recording Options или Call Recording, в котором доступно 5 режимов записи - Force, Yes, Don't Care, No и Never.
Данные режимы, позволяют определить, как именно будет идти запись в течение "жизни вызова" или call flow. Вы можете спросить - "Зачем в модулях предусмотрено целых 5 режимов? Почему бы просто не оставить: Yes - есть запись, No - записи нет?"
Все дело в том, что звонок может менять свое назначение, например, он может изначально поступить на телефон секретаря Extension, а потом его переведут, например, на отдел продаж Ring Group (цикл звонка и есть call flow), в одном модуле запись может быть включена, а в другом нет и вот чтобы определить, что будет записано и служат эти 5 режимов. Давайте разберёмся подробнее в их логике:
Force и Never заменяют друг друга и имеют высший приоритет чем Yes и No
Yes и No имеют одинаковый приоритет
Когда один и больше Yes или No встречается в call flow, в приоритете всегда будет первое значение.
Последующие опции Yes или No не переопределяют первую.
Force и Never будут всегда переопределять опции, которые установлены ранее.
Force и Never будут всегда заменять друг друга. Например если сначала был установлен Force, а потом встречается Never, то в приоритете будет Never
Force и Never будут всегда заменять предустановленные опции Yes и No
Yes и No никогда не заменять Force и Never
Don’t Care не будет изменять предыдущую опцию.
Чтобы было проще понять логику этих 5 режимов, каждый раз, когда встречается No представляйте себе такую фразу – «Я бы предпочел не записывать эту часть вызова, если раньше мне не говорили записать её», когда Yes, такую фразу – «Я хотел бы записать эту часть вызова, если только ранее я не был предупрежден не делать этого». Если встречаете Force, то представьте такую фразу – «Начать или продолжить запись сейчас же!», а если Never - «Закончить запись сейчас же!». И наконец, если встречаете Don’t Care - «Сейчас ничего менять не нужно»
Следует отметить, что некоторые модули, такие как Conference не имеют опций Force, Don’t Care и Never, а имеют только Yes и No, а некоторые, например, Ring Group наоборот, имеют только опции Force, Don’t Care и Never.
Ещё одной важной функцией записи телефонных разговоров, является запись по требованию - On Demand Recording. С помощью данной функции, администратор IP-АТС может настроить пользователю определенного внутреннего номера Extension, эксклюзивное право включать и выключать запись прямо во время разговора, используя программируемую кнопку на корпусе его телефона или специальный Feature Code, по умолчанию это *1. Для того, чтобы настроить данный функционал, необходимо открыть Applications → Extensions далее открыть вкладку Advanced, прокрутить меню до опции Recording Option и найти поле On Demand Recording
Как видите, On Demand Recording имеет следующие режимы:
Disable - Пользователь внутреннего номера не сможет использовать функцию записи по требованию, не зависимо от того, какой режим имеет вызов Force, Yes, Don't Care, No или Never.Если пользователь попробует ввести специальный Feature Code, то он услышит ответ “access denied” – “доступ запрещен”
Enable - Функция записи по требованию доступна пользователю, но только если звонок имеет режим Yes,No или Don’t Care. Если звонок в режиме Force, или Never, то он услышит “доступ запрещен”
Overrride - Пользователь всегда может включить или выключить запись по требованию, вне зависимости от режима Force, Yes, Don't Care, No или Never.
Теперь, чтобы основательно закрепить материал, давайте рассмотрим пример вызова и посмотрим, как будет меняться режим записи в этом call flow:
Допустим, мы имеем входящий звонок, в правилах входящего маршрута - Inbound Route которого установлен режим записи Yes. В результате генерируется файл записи и запись разговора начинается.
По правилам этого входящего маршрута, вызов переходит в очередь Queue, режим записи которой - Don’t Care - запись продолжается.
В очереди, звонок принимает оператор, в правилах внутреннего номера которого, стоит режим записи входящих звонков (Inbound External Calls) - No. Запись продолжается, потому что перед этим, в первом шаге, на входящем маршруте был установлен режим Yes и он имеет приоритет.
Оператор нажимает *1, в настройках его внутреннего номера On Demand Recording установлен режим - Enable. Запись останавливается.
Оператор переводит звонок на ринг-группу (Ring Group), режим записи которой - Force. Запись продолжается.
В ринг группе, звонок принимает менеджер, в правилах внутреннего номера которого, стоит режим записи входящих звонков (Inbound Internal Calls) - Never. Запись снова остановлена.
Менеджер хочет начать запись и нажимает *1 и слышит в трубке “доступ запрещен”, потому что функция записи по требованию заблокирована режимом Never
Таким образом, если Вы вдруг заметили, что у вас отсутствуют записи каких-либо телефонных разговоров или отдельных их частей, а вы вроде как её включали в настройках, то рекомендуем Вам проследить call flow звонка, в котором нет записи и посмотреть – какой режим включается на каждом из этапов.