По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье расскажем о первичной защите Вашего Asterisk’a - Fail2ban. На самом деле Fail2ban - это стандартный функционал любой операционной системы на базе Linux, который сканирует лог-файлы и блокирует подозрительные IP –адреса.
На самом деле Fail2ban - это стандартный функционал любой операционной системы на базе Linux, который сканирует лог-файлы и блокирует подозрительные IP –адреса.
Fail2ban - это система предотвращения вторжений (Intrusion Prevention System), которая защищает сервер от атак типа Brute-force (Полный перебор). Написанный на языке программирования Python, Fail2ban может работать поверх систем POSIX, которые оперируют локально установленным брандмауэром (Firewall) или системой контроля пакетов, таких как TCP Wrapper или IPTABLES
Стоит заметить, что Fail2ban является лишь системой предотвращения вторжений, но не в коем случае не системой обнаружения вторжений или анти-хакерским инструментом
Когда речь идёт о работе Fail2ban с Asterisk, необходимо рассказать о роли IPTABLES в данном взаимодействии.
IPTABLES - это административный инструмент оболочки Linux, который предназначается для управления фильтрацией IP адресов и NAT.
IPTABLES используется проверки таблиц правил фильтрации пакетов IP в ядре Linux . В IPTABLES могут быть определены несколько различных таблиц. Каждая таблица содержит ряд встроенных цепочек (chains) и может также содержать цепочки, определяемые пользователем.
Каждая цепь представляет собой список правил, которым могут совпадать пакеты. Каждое правило определяет, что делать с пакетом, который имеет соответствие правилам.
Для проверки IPTABLES, необходимо ввести следующую команду с правами рута:
# iptables –L
Эта команда отобразит список цепочек (chains), которые называются INPUT, FORWARD и OUTPUT, в самом низу ещё есть кастомные цепи, созданные пользователем.
Дефолтные IPTABLES выглядят примерно следующим образом:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
По умолчанию , IPTABLES разрешают весь трафик. Когда IPTABLES работает в паре с Fail2ban, то трафик не будет блокироваться, пока Fail2ban не создаст запрещающих правил. Fail2ban , по умолчанию, вставляет правила в верхней части цепи, поэтому они имеют приоритет над правилами, настроенными в IPTABLES пользователем. Это хорошо, потому что можно сначала разрешить весь SIP трафик, а затем Fail2ban будет блокировать отдельных хостов, которые совершили попытку нападения, до тех пор, пока они не будут разрешены этим правилом снова.
Стандартная настройка Fail2ban приведена ниже.
Данные изменения, вносятся в файл /etc/fail2ban/jail.conf
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@merionet.ru]
logpath = /var/log/asterisk/security
maxretry = 5
bantime = 259200
А теперь расшифруем, что же означает данная запись. Это фильтр, который на 3 дня банит любой IP-адрес, который 5 раз пытался неудачно получить доступ к Asterisk, а потом отправляет e-mail, уведомляющий о данном факте.
Полученную от маршрутизаторов «соседей» и других устройств в рамках сети роутер хранит в нескольких таблицах. Существует 3 типа таблиц:
Таблица соседей:
Хранит информацию от устройств подключенных напрямую. Вся собранная от соседей информация добавляется в таблицу соседей и включает наименования интерфейсов и соответствующих адресов. По умолчанию, “Hello” пакеты отправляются с интерфейсов каждые 5 секунд, чтобы быть уверенным, что сосед работает. Каждый EIGRP маршрутизатор хранит свой собственный экземпляр такой таблицы. Таким образом:
Каждый маршрутизатор имеет четкое представление о напрямую подключенных устройствах.
Каждый роутер располагает топологией сети в рамках своего ближайшего окружения.
Топологическая таблица:
Представляет собой набор из таблиц других EIGRP устройств полученных от соседей. Данная таблица представляет из себя список сетей назначения и соответствующих метрик. Выглядит данная таблица вот так:
При условии доступность устройств Successor и Feasible Successor они так же присутствуют в таблице для каждой из сетей. Каждый из пунктов маркируется буков A или P, что означает активное или пассивное состояние. Пассивное состояние говорит о том, что роутер знает маршрут к пункту назначения, в то время как активный означает, что топология изменилась и маршрутизатор обновляет данные для данного маршрута. Подчеркнем следующие позиции:
Для каждой из сетей назначения маршрутизатор хранит маршрут через Feasible Successor, т.е маршрут, который считается вторым по приоритету после маршрута через Successor.
Таблица маршрутизации:
Данная таблица представляет собой карту из всех известных маршрутов. Данная таблица строится на основании данных, полученных из топологической таблицы. Можно сказать, что указанные выше таблицы используются для количественной характеристики маршрутов, а таблица маршрутизации дает нам качественную характеристику. Что важно:
Только один маршрут через Successor попадает в таблицу маршрутизации и используется для отправки пакетов (в случае доступности).
Если маршрут через Successor оказывается недоступным, в таблицу маршрутизации из топологической таблицы копируется маршрут через Feasible Successor и используется в качестве альтернативного.
Что такое Successor?
Существует два главных типа устройств в сетях EIGRP. Оба устройства гарантируют отсутствие петель в сети:
Successor: Устройство, которое обеспечивает самую короткую дистанцию маршрута на пути пакета в сеть назначения. Другими словами, это устройство обеспечивает наилучший маршрут в сеть назначения.
Feasible Successor: Это устройство обеспечивает второй по приоритету маршрут в сеть назначения после маршрута Successor – устройства.
Типы пакетов EIGRP
EIGRP использует 5 типов пакетов:
Hello/ACKs пакеты: Это мультикаст пакеты, используемые для обнаружения и отслеживания состояния соседских устройств в сети. Любой Hello пакет должен получить подтверждение, или другими словами ответ – то есть ACK сообщение. Хочется отметить, что ACK пакет является юникастовым.
Updates: Надежные юникастовые пакеты, который содержат обновления маршрутной информации для построения/перестроения таблицы маршрутизации.
Queries: Мультикаст пакеты, которые отправляет устройство при переходе в активное состояние. Если пакет отправляется в качестве ответа, то он будет юникастовым.
Replies: Это надежные юникаст пакеты отправленные в ответ на queries пакеты. Данные пакет говорит получателю о том, что устройство Feasible Successor доступно и не должно переходить в активный режим.
Requests: Ненадежные мультикаст или юникаст пакеты, используемые для сбора информации от соседних устройств.
В следующей статье мы расскажем о сходимости EIGRP сетей.
3CX VOIP мини-АТС для Windows – это программная мини-АТС, заменяющая традиционную аппаратную мини-АТС или офисную мини-АТС с выходом на телефонную сеть общего пользования. IP мини-АТС от компании 3CX разрабатывалась специально для работы под операционной системой Microsoft Windows и основана на стандарте SIP, что упрощает управление и позволяет использовать любой SIP-телефон (программный или аппаратный).
IP мини-АТС от компании 3CX разрабатывалась специально для работы под операционной системой Microsoft Windows и основана на стандарте SIP, что упрощает управление и позволяет использовать любой SIP-телефон (программный или аппаратный).
Процесс установки дистрибутива 3CX Phone System 14
3CX Phone System 14 доступна в двух версиях, бесплатной (пробной) с ограниченным функционалом и коммерческой с расширенным функционалом. Бесплатная версия доступна на сайте разработчика www.3cx.ru
После нажатия на кнопку Скачать, Вам будет предложено заполнить следующую форму:
После заполнения данной формы начнётся скачивание дистрибутива.
В процессе установки будет предложено выбрать на каких портах для HTTP и HTTPS будет доступна вэб-консоль управления. Выберем 5000 и 5001 соответственно.
Далее будет предложено сконфигурировать параметры для HTTPS.
После завершения установки Вы увидите вот такое окно:
Оно свидетельствует о том, что 3СХ установлена на компьютер. Теперь необходимо настроить параметры для доступа на вэб-консоль управления УАТС.
Настройка УАТС 3CX Phone System 14
После завершения установки Вам будет предложено настроить основные параметры УАТС 3СХ через встроенный Мастер настройки. В отличие от большинства программных АТС, 3СХ имеет русскоязычный интерфейс, что гораздо облегчает настройку.
Следующий пункт Публичный IP можно пропустить, поставив галочку на No, I do not have Static Public IP Address, если вы пока не планируете пользоваться услугами SIP провайдеров и звонить “наружу”, то есть через сеть Интернет. В нашем случае все звонки будут осуществляться внутри локальной сети.
Следующим пунктом выбираем Создать новую АТС
Далее будет предложено выбрать количество цифр внутреннего номера, столько цифр будут иметь абоненты нашей УАТС.
Далее идёт настройка доступа Администратора. Здесь нужно ввести логин и пароль по которому будет доступна вэб-консоль управления 3СХ. Введём стандартные данные: Имя пользователя: admin , пароль: admin
Настройку Region нужно оставить по умолчанию.
Далее следует настройка номера Оператора, который принимает все входящие звонки со всех линий по умолчанию, а также настройка номера Голосовой почты, доступной каждому абоненту по уникальному ПИН коду. Оставим эти настройки по умолчанию
Следующее окно уведомляет нас о том, что все службы 3СХ сконфигурированы и готовы к работе
Остаётся зарегистрироваться и указать диапазон номеров доступных на УАТС. Выберем 1-10, таким образом, на сервере можно будет зарегистрировать с 101 по 110 абонента.
Следующее окно уведомляет нас об успешной начальной настройке параметров 3СХ.
Вэб консоль управления теперь доступна по адресу Вашего компьютера на 5000(HTTP) или 5001(HTTPS) порту. Данные для входа были сконфигурированы в пункте Доступ Администратора: Имя пользователя: admin, пароль: admin