По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье расскажем о том, как организовать внутрикорпоративный чат на базе нашей IP-АТС Asterisk при помощи модуля XMPP. Данный функционал будет особенно полезен компаниям, которые используют UCP (User Control Panel). Все примеры в данной статье будут приводиться на FreePBX 13.
Настройка корпоративного чата
Модуль носит название известного протокола XMPP (Extensible Messaging and Presence Protocol) – протокол обмена электронными сообщениями и информацией о состоянии присутствия, основанный на XML. Если коротко, то XMPP предоставляет возможность любому желающему организовать собственный XMPP - сервер для обмена мгновенными сообщениями, регистрировать на нём пользователей и взаимодействовать с другими серверами. Надо отметить, что с развитием протокола, стала также доступна передача голоса, видео и файлов.
Как было сказано ранее, протокол XMPP позволяет организовать некий сервер для обмена электронной информацией. Собственно, модуль FreePBX 13 XMPP делает ровно тоже самое. Настройка модуля очень простая и имеет всего одну опцию.
Чтобы попасть в модуль, необходимо с главной страницы перейти по следующему пути:
Admin -> XMPP, перед вами откроется следующее окно:
Как видно, нам доступна только одна строчка - Domain, это имя XMPP сервера, с которым будут ассоциироваться наши пользователи. Создадим новый домен merionet.
Данный домен мы создаем в тестовых целях, но рекомендуем убедиться, что адрес, который вы здесь объявите, будет иметь формат FQDN и разрешен для использования вашей IP-АТС. Не забывайте нажимать Submit и Apply Config. На этом настройка XMPP сервера завершена, далее необходимо зарегистрировать пользователей.
Обмен мгновенными сообщениями
Для того, чтобы настроить XMPP пользователей используется модуль User Management, попасть в него можно также из вкладки Admin.
Мы позаботились и заранее создали несколько новых пользователей, которым теперь нужно предоставить им возможность обмениваться сообщениями по XMPP. Сразу отметим, что существует множество XMPP клиентов и настройка в них практически не отличается, но в данной статье мы покажем как организовать внутрикорпоративный чат прямо из UCP. Для этого, сначала пользователю необходимо разрешить доступ в UCP. Выбираем нужного пользователя (например 1021) и во вкладке UCP, напротив опции Allow Login ставим Yes, как показано на рисунках ниже.
Далее переходим на вкладку XMPP и выбираем Yes напротив опции Enabled - этим действием мы включили поддержку XMPP. Данную процедуру проводим для всех пользователей, которым хотим разрешить использование чата.
Если всё было сделано верно, то при заходе в UCP панель под учётными данными созданного пользователя, мы увидим вот такой значок:
При нажатии на этот значок откроется список доступных пользователей.
Теперь можно начинать чат. В нашем случае, мы вошли в систему под пользователем 1021 и будем переписываться с 1022. На рисунке ниже представлен пример переписки.
Кириллица также отображается без проблем
При нажатии на зелёный круг рядом со значком XMPP, пользователь может изменить статус своего присутствия . Если например, 1022 выставит статус DND, то это отобразится у остальных пользователей в корпоративном чате.
Таким образом, мы организовали простейший корпоративный чат с отображением статусов присутствия пользователей прямо в web-браузере.
В данной статье пойдет речь о модуле создания SIP - транков в Elastix последней версии (4.0). Процесс создания подключения проиллюстрируем на примере оператора Celecom.
Настройка в интерфейсе Elastix 4
Если вы когда-нибудь настраивали SIP - транк в FreePBX, то вы не найдете для себя ничего нового – интерфейс практически идентичен.
Для начала необходимо зайти на веб-интерфейс, и далее нужно пройти по следующему пути: PBX → PBX Configuration → Trunks → Add SIP Trunk
После клика на кнопку создания нового транка (Add SIP Trunk) появятся поля настройки подключения по протоколу SIP:
Рассмотрим поля по порядку:
Trunk Name – название вашего транка, лучше всего выбирать наиболее понятное и простое название, например – такое же как и название вашего оператора. По сути это поле является просто описанием, с помощью которого, вам будет проще ориентироваться во множественных подключениях.
Outbound CallerID – ваш исходящий CID, чаще всего номер, выданный вам оператором
CID Options – типы CID, которые могут выходить из этого транка, например, при звонке из-за границы, который был переведен на другой номер. Для базовой настройки можно оставить по умолчанию.
Maximum Channels – количество каналов, можно оставить по умолчанию
Asterisk Trunk Dial Options – правила набора номера через этот транк, для изменения необходимо кликнуть чекбокс. Можно оставить по умолчанию.
Continue if Busy – по умолчанию вызов будет идти через другой транк только в случае возникновения коллизии (congestion). Если кликнуть чекбокс, то звонок будет уходить на другой транк, даже если номер был занят или был неверно набран. Можно оставить по умолчанию.
Disable Trunk – выключение транка. Опция, полезная при траблшутинге (решении проблем с подключением) или при необходимости отключения определенного SIP - транка.
Дальнейшие поля при базовой настройке транка можно пропустить, перейдем к исходящим и входящим настройкам SIP - транка
Рассмотрим подробнее поля:
Trunk Name – уникальное название вашего транка, например mytrunk1
PEER Details - настройки, выданные вашим оператором
USER Context - как правило, это номер, выданный вашим оператором, но часто данную строку оставляют пустой
USER Details – настройки, выданные вашим оператором
Register String – строка регистрации, часто может быть различна у каждого оператора или не требоваться вовсе
Кнопка Duplicate Trunk – копирует транк и все его настройки, удобно использовать при создании нескольких транков у одного оператора. Далее приведем пример настройки транка на примере оператора Celecom:
Примечание: для данного провайдера заполнять поля в разделе Incoming Settings необязательно, но для различных операторов настройки отличаются, всю данную информацию должен предоставить оператор после покупки аккаунта.
Привет! В предыдущей статье, посвященной основам WLAN, вы узнали о беспроводных клиентах, формирующих ассоциации с беспроводными точками доступа (AP) и передающих данные по Wi-Fi. В сегодняшней статье мы рассмотрим анатомию защищенного соединения в беспроводных сетях.
Основы защищенного соединения в беспроводных сетях.
Все клиенты и точки доступа, которые соответствуют стандарту 802.11, могут сосуществовать на одном канале. Однако не всем устройствам, поддерживающим стандарт 802.11, можно доверять. Нужно понимать, что данные передаются не как в проводной сети, то есть непосредственно от отправителя к получателю, а от приемника до ближайшей точки доступа, располагаемой в зоне досягаемости.
Рассмотрим случай, изображенный на рисунке ниже. Беспроводной клиент соединяется с каким-либо удаленным объектом с использованием зашифрованного пароля. В сети так же присутствуют два не доверенных пользователя. Они находятся в пределах диапазона сигнала клиента и могут легко узнать пароль клиента, перехватив данные, отправленные по каналу. Особенности беспроводной связи позволяют легко перехватывать пересылаемые пакеты злоумышленниками.
Если данные передаются по беспроводным каналам, как их можно защитить от перехвата и взлома? В стандарте 802.11 предусмотрены механизмы безопасности, которые используются для обеспечения доверия, конфиденциальности и целостности беспроводной сети. Далее более подробно разберем методы беспроводной безопасности.
Аутентификация.
Для того чтобы начать использовать беспроводную сеть для передачи данных, клиенты сначала должны обнаружить базовый набор услуг (BSS), а затем запросить разрешение на подключение. После чего клиенты должны пройти процедуру аутентификации. Зачем это делать? Предположим, что ваша беспроводная сеть позволяет подключиться к корпоративным ресурсам, располагающим конфиденциальной информацией. В этом случае доступ должен предоставляться только тем устройствам, которые считаются надежными и доверенными. Гостевым пользователям, если они вообще разрешены, разрешается подключиться к другой гостевой WLAN, где они могут получить доступ к не конфиденциальным или общедоступным ресурсам. Не доверенным клиентам, вообще рекомендуется запретить доступ. В конце концов, они не связаны с корпоративной сетью и, скорее всего, будут неизвестными устройствами, которые окажутся в пределах досягаемости вашей сети.
Чтобы контролировать доступ, WLAN могут аутентифицировать клиентские устройства, прежде чем им будет разрешено подключение. Потенциальные клиенты должны идентифицировать себя, предоставив информацию учетных данных для точки доступа. На рисунке ниже показан основной процесс аутентификации клиента.
Существует много методов аутентификации по «воздуху». Есть методы, которые требуют ввода только кодового слова, которое является общим для всех доверенных клиентов и AP. Кодовое слово хранится на клиентском устройстве и при необходимости передается непосредственно в точку доступа. Что произойдет, если устройство будет утеряно или похищено? Скорее всего, любой пользователь, владеющий данным устройством, сможет аутентифицироваться в сети. Другие, более строгие методы аутентификации требуют взаимодействия с корпоративной базой данных пользователей. В таких случаях конечный пользователь должен ввести действительное имя пользователя и пароль.
В обычной жизни, при подключении к любой беспроводной сети, мы неявно доверяем ближайшей точке доступа проверку подлинности нашего устройства. Например, если вы на работе, используя устройство с беспроводной связью, найдете WI-Fi, скорее всего, подключитесь к ней без колебаний. Это утверждение верно для беспроводных сетей в аэропорту, торговом центре, или дома - вы думаете, что точка доступа, которая раздает SSID, будет принадлежать и управляться организацией, в которой вы находитесь. Но как вы можете быть уверены в этом?
Как правило, единственная информация, которой вы владеете- это SSID транслируемый в эфир точкой доступа. Если SSID знаком, вы, скорее всего, подключитесь к ней. Возможно, ваше устройство настроено на автоматическое подключение к знакомому SSID, так что оно подключается автоматически. В любом случае, есть вероятность невольно подключиться к тому же SSID, даже если он рассылается злоумышленником.
Некоторые атаки, организованные злоумышленником, осуществляются посредством подмены точки доступа. «Поддельная» точка доступа, аналогично настоящей, так же рассылает и принимает запросы, и затем осуществляет ассоциацию клиентов с АР. Как только клиент подключается к «поддельной» AP, злоумышленник может легко перехватить все данные передаваемые от клиента к центральному узлу. Подменная точка доступа может также отправлять поддельные фреймы управления, которые деактивируют подключенных клиентов, для нарушения нормального функционирования сети.
Чтобы предотвратить этот тип атаки, называемой «man-in-the-middle», клиент должен сначала идентифицировать точку доступа, и только потом подключиться, используя логин и пароль (пройти аутентификацию). На рисунке ниже показан простой пример данного защищенного подключения. Также, клиент, получая пакеты управления, должен быть уверен, что они отправлены с проверенной и доверенной точки доступа.
Конфиденциальность сообщений.
Предположим, что клиент изображенный на рисунке 3, должен пройти аутентификацию перед подключением к беспроводной сети. Клиент должен идентифицировать точку доступа и её фреймы управления для подключения перед аутентификацией себя на устройстве. Отношения клиента с точкой доступа могли бы быть более доверительными, но передача данных по каналу все еще подвергается опасности быть перехваченной.
Чтобы защитить конфиденциальность данных в беспроводной сети, данные должны быть зашифрованы. Это возможно кодированием полезной нагрузки данных в каждом фрейме, пересылаемым по WI-Fi, непосредственно перед отправкой, а затем декодирования ее по мере поступления. Идея заключается в использование единого метода шифрования/дешифрования как на передатчике, так и на приемнике, чтобы данные могли быть успешно зашифрованы и расшифрованы.
В беспроводных сетях каждый WLAN может поддерживать только одну схему аутентификации и шифрования, поэтому все клиенты должны использовать один и тот же метод шифрования при подключении. Вы можете предположить, что наличие одного общего метода шифрования позволит любому клиенту сети перехватывать пакеты других клиентов. Это не так, потому что точка доступа при подключении к клиенту высылает специальный ключ шифрования. Это уникальный ключ, который может использовать только один клиент. Таким образом точка доступа рассылает каждому клиенту свой уникальный ключ. В идеале точка доступа и клиент- это те два устройства, которые имеют общие ключи шифрования для взаимодействия. Другие устройства не могут использовать чужой ключ для подключения. На рисунке ниже конфиденциальная информация о пароле клиента была зашифрована перед передачей. Только точка доступа может успешно расшифровать его перед отправкой в проводную сеть, в то время как другие беспроводные устройства не могут.
Точка доступа также поддерживает «групповой ключ» (group key), когда ей необходимо отправить зашифрованные данные всем клиентам ячейки одновременно. Каждый из подключенных клиентов использует один и тот же групповой ключ для расшифровки данных.
Целостность сообщения
Шифрование данных позволяет скрыть содержимое от просмотра, при их пересылке по общедоступной или ненадежной сети. Предполагаемый получатель должен быть в состоянии расшифровать сообщение и восстановить исходное содержимое, но что, если кто-то сумел изменить содержимое по пути? Получатель не сможет определить, что исходные данные были изменены.
Проверка целостности сообщений (MIC)- это инструмент безопасности, который позволяет защитить от подмены данных. MIC представляет собой способ добавления секретного штампа в зашифрованный кадр перед отправкой. Штамп содержит информацию о количестве битов передаваемых данных. При получении и расшифровке фрейма устройство сравнивает секретный шифр с количеством бит полученного сообщения. Если количество бит совпадает, то соответственно данные не были изменены или подменены. На рисунке ниже изображен процесс MIC.
На рисунке показано, что клиент отправляет сообщение точке доступа через WLAN. Сообщение зашифровано, «741fcb64901d». Сам процесс MIC заключается в следующем:
Исходные данные –«P@ssw0rd».
Затем вычисляется секретный шифр MIC (штамп).
После вычисления штампа происходит шифрование данных и MIC завершается.
На стороне получателя следует расшифровка, вычисление MIC и сравнение штампов.