По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье расскажем о первичной защите Вашего Asterisk’a - Fail2ban. На самом деле Fail2ban - это стандартный функционал любой операционной системы на базе Linux, который сканирует лог-файлы и блокирует подозрительные IP –адреса.
На самом деле Fail2ban - это стандартный функционал любой операционной системы на базе Linux, который сканирует лог-файлы и блокирует подозрительные IP –адреса.
Fail2ban - это система предотвращения вторжений (Intrusion Prevention System), которая защищает сервер от атак типа Brute-force (Полный перебор). Написанный на языке программирования Python, Fail2ban может работать поверх систем POSIX, которые оперируют локально установленным брандмауэром (Firewall) или системой контроля пакетов, таких как TCP Wrapper или IPTABLES
Стоит заметить, что Fail2ban является лишь системой предотвращения вторжений, но не в коем случае не системой обнаружения вторжений или анти-хакерским инструментом
Когда речь идёт о работе Fail2ban с Asterisk, необходимо рассказать о роли IPTABLES в данном взаимодействии.
IPTABLES - это административный инструмент оболочки Linux, который предназначается для управления фильтрацией IP адресов и NAT.
IPTABLES используется проверки таблиц правил фильтрации пакетов IP в ядре Linux . В IPTABLES могут быть определены несколько различных таблиц. Каждая таблица содержит ряд встроенных цепочек (chains) и может также содержать цепочки, определяемые пользователем.
Каждая цепь представляет собой список правил, которым могут совпадать пакеты. Каждое правило определяет, что делать с пакетом, который имеет соответствие правилам.
Для проверки IPTABLES, необходимо ввести следующую команду с правами рута:
# iptables –L
Эта команда отобразит список цепочек (chains), которые называются INPUT, FORWARD и OUTPUT, в самом низу ещё есть кастомные цепи, созданные пользователем.
Дефолтные IPTABLES выглядят примерно следующим образом:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
По умолчанию , IPTABLES разрешают весь трафик. Когда IPTABLES работает в паре с Fail2ban, то трафик не будет блокироваться, пока Fail2ban не создаст запрещающих правил. Fail2ban , по умолчанию, вставляет правила в верхней части цепи, поэтому они имеют приоритет над правилами, настроенными в IPTABLES пользователем. Это хорошо, потому что можно сначала разрешить весь SIP трафик, а затем Fail2ban будет блокировать отдельных хостов, которые совершили попытку нападения, до тех пор, пока они не будут разрешены этим правилом снова.
Стандартная настройка Fail2ban приведена ниже.
Данные изменения, вносятся в файл /etc/fail2ban/jail.conf
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@merionet.ru]
logpath = /var/log/asterisk/security
maxretry = 5
bantime = 259200
А теперь расшифруем, что же означает данная запись. Это фильтр, который на 3 дня банит любой IP-адрес, который 5 раз пытался неудачно получить доступ к Asterisk, а потом отправляет e-mail, уведомляющий о данном факте.
Система хранения данных - это программно-аппаратное решение для надежного и безопасного хранения данных, а также предоставления гарантированного доступа к ним.
Так, под надежностью подразумевается обеспечение сохранности данных, хранящихся в системе. Такой комплекс мер, как резервное копирование, объединение накопителей в RAID массивы с последующим дублированием информации способны обеспечить хотя бы минимальный уровень надежности при относительно низких затратах. При этом также должна обеспечиваться доступность, т. е. возможность беспрепятственной и непрерывной работы с информацией для санкционированных пользователей. В зависимости от уровня привилегий самих пользователей, система предоставляет разрешение для выполнения операций чтения, записи, перезаписи, удаления и так далее.
Безопасность является, пожалуй, наиболее масштабным, важным и труднореализуемым аспектом системы хранения данных. Объясняется это тем, что требуется обеспечить комплекс мер, направленный на сведение риска доступа злоумышленников к данным к минимуму. Реализовать это можно использованием защиты данных как на этапе передачи, так и на этапе хранения. Также важно учитывать возможность самих пользователей неумышленно нанести вред не только своим, но и данным других пользователей.
Топологии построения систем хранения данных
Большинство функции, которые выполняют системы хранения данных, на сегодняшний день, не привязаны к конкретной технологии подключения. Описанные ниже методы используется при построении различных систем хранения данных. При построении системы хранения данных, необходимо четко продумывать архитектуру решения, и исходя из поставленных задач учитывать достоинства и недостатки, присущие конкретной технологии в конкретной ситуации. В большинстве случаев применяется один из трех видов систем хранения данных:
DAS;
NAS;
SAN.
DAS (Direct-attached storage) - система хранения данных с прямым подключением (рисунок ниже). Устройство хранения (обычно жесткий диск) подключается непосредственно к компьютеру через соответствующий контроллер. Отличительным признаком DAS является отсутствие какого-либо сетевого интерфейса между устройством хранения информации и вычислительной машиной. Система DAS предоставляет коллективный доступ к устройствам хранения, однако для это в системе должно быть несколько интерфейсов параллельного доступа.
Главным и существенным недостатком DAS систем является невозможность организовать доступ к хранящимся данным другим серверам. Он был частично устранен в технологиях, описанных ниже, но каждая из них привносит свой новый список проблем в организацию хранения данных.
NAS (Network-attached storage) - это система, которая предоставляет доступ к дисковому пространству по локальной сети (рисунок выше). Архитектурно, в системе NAS промежуточным звеном между дисковым хранилищем и серверами является NAS-узел. С технической точки зрения, это обычный компьютер, часто поставляемый с довольно специфической операционной системой для экономии вычислительных ресурсов и концентрации на своих приоритетных задачах: работы с дисковым пространством и сетью.
Дисковое пространство системы NAS обычно состоит из нескольких устройств хранения, объединенных в RAID - технологии объединения физических дисковых устройств в логический модуль, для повышения отказоустойчивости и производительности. Вариантов объединения довольно много, но чаще всего на практике используются RAID 5 и RAID 6 [3], в которых данные и контрольные суммы записываются на все диски одновременно, что позволяет вести параллельные операции записи и чтения.
Главными преимуществами системы NAS можно назвать:
Масштабируемость - увеличение дискового пространства достигается за счет добавления новых устройств хранения в уже существующий кластер и не требует переконфигурации сервера;
Легкость доступа к дисковому пространству - для получения доступа не нужно иметь каких-либо специальных устройств, так как все взаимодействие между системой NAS и пользователями происходит через сеть.
SAN (Storage area network) - система, образующая собственную дисковую сеть (рисунок ниже). Важным отличием является то, что с точки зрения пользователя, подключенные таким образом SAN-устройства являются обычными локальными дисками. Отсюда и вытекают основные преимущества системы SAN:
Возможность использовать блочные методы хранения - базы данных, почтовые данные,
Быстрый доступ к данным - достигается за счет использования соответствующих протоколов.
Системы резервного копирования данных
Резервное копирование - процесс создания копии информации на носителе, предназначенном для восстановления данных в случае их повреждения или утраты. Существует несколько основных видов резервного копирования:
Полное резервное копирование;
Дифференциальное резервное копирование;
Инкрементное резервное копирование.
Рассмотрим их подробнее.
Полное резервное копирование. При его применении осуществляется копирование всей информации, включая системные и пользовательские данные, конфигурационные файлы и так далее (рисунок ниже).
Дифференциальное резервное копирование. При его применении сначала делается полное резервное копирование, а впоследствии каждый файл, который был изменен с момента первого полного резервного копирования, копируется каждый раз заново. На рисунке ниже представлена схема, поясняющая работу дифференциального резервного копирования.
Инкрементное резервное копирование. При его использовании сначала делается полное резервное копирование, затем каждый файл, который был изменен с момента последнего резервного копирования, копируется каждый раз заново (рисунок ниже).
К системам резервного копирования данных выдвигаются следующие требования:
Надежность - обеспечивается использованием отказоустойчивого оборудования для хранения данных, дублированием информации на нескольких независимых устройствах, а также своевременным восстановлением утерянной информации в случае повреждения или утери;
Кроссплатформенность - серверная часть системы резервного копирования данных должна работать одинаково с клиентскими приложениями на различных аппаратно-программных платформах;
Автоматизация - сведение участие человека в процессе резервного копирования к минимуму.
Обзор методов защиты данных
Криптография - совокупность методов и средств, позволяющих преобразовывать данные для защиты посредством соответствующих алгоритмов.
Шифрование - обратимое преобразование информации в целях ее сокрытия от неавторизованных лиц. Признаком авторизации является наличие соответствующего ключа или набора ключей, которыми информация шифруется и дешифруется. Криптографические алгоритмы можно разделить на две группы:
Симметричное шифрование;
Асимметричное шифрование.
Под симметричным шифрованием понимаются такие алгоритмы, при использовании которых информация шифруется и дешифруется одним и тем же ключом. Схема работы таких систем представлена на рисунке ниже.
Главным проблемным местом данной схемы является способ распределения ключа. Чтобы собеседник смог расшифровать полученные данные, он должен знать ключ, которым данные шифровались. Так, при реализации подобной системы становится необходимым учитывать безопасность распределения ключевой информации для того, чтобы на допустить перехвата ключа шифрования.
К преимуществам симметричных криптосистем можно отнести:
Высокая скорость работы за счет, как правило, меньшего числа математических операций и более простых вычислений;
Меньшее потребление вычислительной мощности, в сравнении с асимметричными криптосистемами;
Достижение сопоставимой криптостойкости при меньшей длине ключа, относительно асимметричных алгоритмов.
Под асимметричным шифрованием понимаются алгоритмы, при использовании которых информация шифруется и дешифруется разными, но математически связанными ключами - открытым и секретным соответственно. Открытый ключ может находится в публичном доступе и при шифровании им информации всегда можно получить исходные данные путем применения секретного ключа. Секретный ключ, необходимый для дешифрования информации, известен только его владельцу и вся ответственность за его сохранность кладется именно на него. Структурная схема работы асимметричных криптосистем представлена на рисунке ниже.
Ассиметричные криптосистемы архитектурно решают проблему распределения ключей по незащищенным каналам связи. Так, если злоумышленник перехватит ключ, применяемый при симметричном шифровании, он получит доступ ко всей информации. Такая ситуация исключена при использовании асимметричных алгоритмов, так как по каналу связи передается лишь открытый ключ, который в свою очередь не используется при дешифровании данных.
Другим местом применения асимметричных криптосистем является создание электронной подписи, позволяющая подтвердить авторство на какой-либо электронный ресурс.
Достоинства асимметричных алгоритмов:
Отсутствует необходимость передачи закрытого ключа по незащищенного каналу связи, что исключает возможность дешифровки передаваемых данных третьими лицами,
В отличии от симметричных криптосистем, в которых ключи шифрования рекомендуется генерировать каждый раз при новой передаче, в асимметричной их можно не менять продолжительное время.
Подведём итоги
При проектировании таких систем крайне важно изначально понимать какой должен получиться результат, и исходя из потребностей тщательно продумывать физическую топологию сети хранения, систему защиты данных и программную архитектуру решения. Также необходимо обеспечить резервное копирование данных для своевременного восстановления в случае частичной или полной утери информации. Выбор технологий на каждом последующем этапе проектирования, зачастую, зависит от принятых ранее решений, поэтому корректировка разработанной системы в таких случаях, нередко, затруднительна, а часто даже может быть невозможно.
Привет! Сегодня в статье рассказываем про внутреннее устройство маршрутизатора Cisco
Маршрутизатор состоит из нескольких типов компонентов. Например, в любом маршрутизаторе Cisco есть 4 типа памяти и 2 типа портов. К основным компонентам любого маршрутизатора Cisco относится:
Память
ROM
FLASH
RAM
NV-RAM
Порты (интерфейсы и линии)
CLI (Command Line Interface)
ROM – это память, которая содержит программу (ROM - monitor) для начальной загрузки и самотестирования. Когда маршрутизатор включается, происходит диагностика аппаратного обеспечения специальной программой, называемой Power On Self Test (POST). Если эта диагностика не выявила ошибок, то далее загружается и запускается IOS из флэш-памяти. Флэш-память является перезаписываемой. Это позволяет обновлять IOS маршрутизатора Cisco.
Если загрузчик не найден во флэш-памяти IOS, то ROM загружается с временной версией IOS. ROM нельзя переписать или стереть. Это постоянное запоминающее устройство (ПЗУ).
Если IOS находится во флэш-памяти, то она загружается в оперативную память (RAM). После этого загрузчик находит файл конфигурации запуска в NVRAM. NVRAM-энергонезависимая оперативная память, поэтому ее содержимое не стирается.
Если IOS не находит файл конфигурации запуска, она пытается загрузить файл конфигурации с сервера TFTP. Если сервер TFTP также не отвечает, то IOS переводится в режим начальной настройки устройства. В этом режиме пользователям задаются вопросы, которые позволяют быстро настроить маршрутизатор.
Если IOS получает файл конфигурации запуска в NVRAM, то он загружается в оперативную память и становится файлом загрузочной конфигурации.
Давайте более подробно рассмотрим назначение каждого компонента маршрутизатора
Память
Как было уже упомянуто, существует 4 типа памяти в Cisco IOS, которые приведены ниже:
ROM - это память только для чтения. Она встроена в маршрутизатор. В плату вшита специальная программа-загрузчик, которая выполняет самотестирование. Это называется режимом мониторинга ROM. Когда маршрутизатор не может найти IOS, он загружается из ROM.
FLASH - по умолчанию маршрутизатор определяет наличие флэш-памяти для загрузки IOS и, если она есть и рабочая, то далее происходит загрузка IOS в эту память. Это электронная перезаписываемая программируемая память.
RAM - она также называется динамической оперативной памятью (random access memory). Оперативная память — это рабочая область процессора маршрутизатора Cisco. В этой памяти хранятся текущий конфигурационный файл и таблицы маршрутизации.
NV-RAM - она называется энергонезависимой оперативной памятью. В NVRAM хранится файл конфигурации запуска, который используется для запуска системы.
Порты
Cisco IOS имеет интерфейсы и линейные входы двух типов.
Интерфейсы соединяют маршрутизатор с другими устройствами, такими как маршрутизаторы и коммутаторы. Данные в сети проходят через эти порты. Ниже приводятся названия некоторых распространенных интерфейсов:
Serial interface
Ethernet interface
Fast Ethernet interface
Gigabit Ethernet interface
Интерфейсы идентифицируются по их названию и номеру. Например, первый интерфейс FastEthernet известен как FastEthernet0/0. Некоторые семейства маршрутизаторов являются модульными, поэтому интерфейсы в них организованы в слоты. Поэтому, наряду с номером интерфейса, записывается и номер слота. Таким образом, вы можете ввести 2 интерфейса первого слота.
Пример: i) FastEthernet0/2
Для настройки маршрутизатора используются отдельные (специальные) порты. Они называются линейными. Ниже приводятся названия некоторых таких портов:
Console ports
Auxiliary ports
VTY ports
USB ports
Подобно интерфейсам, линейные входы также идентифицируются по типу линии и номеру линии. Так что, на первом консольном порту будет написано что-то вроде этого: Console0
Command Line Interface (CLI)
IOS предоставляет интерфейс командной строки для взаимодействия с маршрутизатором Cisco. Интерфейс командной строки является единственным вариантом для настройки и управления устройствами Cisco. Вы можете получить к нему доступ через консоль или telnet-соединение. В CLI можно вводить команды и выполнять их.
Этапы загрузки Маршрутизатора
Каждое устройство Cisco при включении проходит определенные этапы загрузки. Эти этапы показаны ниже:
Включается маршрутизатор.
Загрузчик загружается из ROM
Загрузчик запускает POST
Загрузчик пытается загрузить IOS из флэш-памяти -
Если IOS недоступна во флэш-памяти, то загружается базовая IOS из загрузочного ПЗУ.
Если IOS находится во флэш-памяти, она загружается в оперативную память.
IOV NVRAM пытается загрузить файл конфигурации запуска (startup config)-
Если файл конфигурации запуска не найден в NVRAM, тогда IOS пытается загрузить файл конфигурации с сервера TFTP.
Если сервер TFTP не отвечает, то маршрутизатор переходит в режим начальной конфигурации.
Если файл конфигурации запуска находится в NVRAM, то он загружается в оперативную память.
Конфигурация запуска записывается в оперативную память.