По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Как известно, сильный пароль – это очень важная составляющая безопасности любого актива, к которому, тем или иным образом можно получить доступ. Не даром все best practices начинаются с рекомендаций устанавливать сильный, устойчивый к взлому пароль. В данной статье мы будем говорить о прописных истинах, поэтому её можно считать скорее «дружеским советом» для тех, кто только начинает своё знакомство с FreePBX.
Слабый пароль, неважно где – это большой риск, который нельзя оставлять без внимания и следует немедленно устранить.
Если вам нужно создать криптостойкий пароль, то можно воспользоваться нашим онлайн генератором устойчивых паролей
Обзор
Начиная с версии 13 во FreePBX появился модуль Weak Password Detection который автоматически детектирует и сообщает о том, что в системе имеется слабый пароль, а также указывает, где именно он обнаружен: на внутреннем номере (Extension), транке (Trunks), конференц - комнате (Conferences) и других модулях.
Чтобы проверить, имеется ли у вас в системе слабый пароль, откройте вкладку Reports → Weak Password Detection. Вот как должно выглядеть окно данного модуля у всех без исключения (окно нормального человека):
Данное сообщение говорит нам о том, что у нас в системе нет слабых паролей. А теперь, давайте-ка немножко похулиганим и создадим пару сущностей с очень слабыми паролями и посмотрим что из этого выйдет.
Наплевав на все best practices, создадим внутренний номер 1111 с паролем 1111:
При создании внутренних номеров, FreePBX генерирует сильный, устойчивый к взлому 32-значный пароль. Рекомендуем не менять его без крайней необходимости!
А ещё создадим транк с паролем 000:
А теперь отправляемся в модуль Weak Password Detection и перед нами открывается «окно курильщика». Вот так не должно быть никогда:
Помимо этого, нам будут напоминать о слабых паролях в Dashboard’е:
Как только Вы настроите внутреннюю нумерацию, линии к провайдерам (транки), пользовательский доступ, не поленитесь, зайдите лишний раз в модуль Weak Password Detection и если там будет уведомление о слабом пароле в системе – незамедлительно смените его! Но помните, что сильный пароль – это не гарантия безопасности, это всего лишь один из уровней, который должен применяться в комплексе с остальными мероприятиями по защите системы.
Зачастую взлом инфраструктуры происходит не с помощью сверхсекретных разработок или специально созданных "организмов" ("вирусов", "червей", "пауков", "дятлов" - нужное подчеркнуть), а из-за стандартных ошибок в настройках и дизайне. Ликвидировать эти недочёты - проще простого, но с такой же простотой они и создают огромные возможности для хакерских атак. Как отмечают специалисты по безопасности, появления подобных упущений в системе встречается настолько часто, что создаётся впечатление, что для таких ошибок существуют спецкурсы. Поэтому задачей данной статьи не является рассказ о самых современных методах защиты - мы просто постараемся заставить читателей задаться вопросом: "А всё ли хорошо в нашей системе безопасности и всё ли мы предусмотрели для того, чтобы конкуренты не смогли воспользоваться нашими данными и разработками и как устранить неполадки в нашей системе?".
Локальная учётная запись? Забудьте об этом.
Уж сколько раз твердили миру... Слова дедушки Крылова как нельзя лучше характеризуют данную ситуацию - она постоянно возникает и о ней всё время напоминают. Не надо (совсем нельзя) создавать доменной групповой политикой локальные учетные записи на хостах в вашем домене. Говоря военными терминами - уровень опасности красный.
Причина самая банальная - данные по записи (в том числе и пароль) хранится в открытом доступе и по умолчанию доступен всем участникам группы. Если кому интересно, то он находится в файле groups.xml, в ресурсе sysvol контроллера домена, но при этом ключ один на всех. Таким образом, любой желающий может скачать файл и путём нехитрых телодвижений стать администратором группы. Думаю о последствиях говорить не надо.
Чтобы не получилось подобных конфузов надо просто добавлять только доменные учетные записи в локальные группы на хостах.
Права юзеров - на необходимый минимум.
Каждая учётная запись имеет свои права для работы в системе и создана для работы конкретной направленности. Поэтому необходимо минимизировать права каждого пользователя системы, так чтобы они подходили под зону его ответственности. Таким образом, снизится риск утраты контроля над записью, и каждый будет знать только свою, необходимую ему информацию.
UAC - на максимум!
Поставьте на максимум User Account Control (UAC). Его, конечно, можно обойти, но он создаст лишнюю нагрузку для атаки, а время в таких вопросах - играет Вам на руку.
Никакого доступа к учетным данным и хэшам
MIMIKATZ - это утилита, которая очищает память процесса, ответственного за проверку подлинности Windows (LSASS). Затем она и выдает пароли в виде открытого текста и хеш-коды NTLM, которые злоумышленник может использовать для перемещения по сети. Чтобы защититься от неё, надо соблюдать несколько простых правил:
Обновите ваш Active Directory как минимум до 2012 R2;
Следите за обновлениями Windows и постоянно их устанавливайте;
Помещайте важные учетные записи в группу защищенных пользователей и установите параметр реестра;
Не предоставляйте учетной записи больше прав администратора, чем им нужно;
Продолжим тему NTLM, поднятую в предыдущем пункте. Его нужно запретить - от слова совсем. Есть такая замечательная штука, как pass-the-hash. Она, как это можно понять из названия, передаёт хеш NTLM на абсолютно любой хостинг, где разрешён NTLM и атакующий всё про вас узнает. Более того, его также можно передавать вместо учетной записи и ее пароля при атаках.
Навешайте ярлыков на рабочий стол
В прямом смысле - поставьте ярлыки на рабочий стол, которые будут связывать с общими файловыми ресурсами. Тем самым Вы уйдёте от сетевых дисков, а malware почти никогда не воспримет их как сетевые ресурсы. Причина, как всегда, банальная - malware путём перебора букв ищет названия дисков. Конечно, данный совет подходит не всем компаниям, но если возможность подобного похода существует - попробуйте.
Отключите скрытые файловые ресурсы!
И вновь из-за банальной причины. Они - первоочередная цель действия malware и злоумышленников. Конечно, это не все инструменты защиты инфраструктуры, но каждый случай нужно рассматривать отдельно, как и индивидуальные настройки для каждой инфраструктуры.
Привет, коллега. Сегодня хотим сделать небольшой обзор двух продуктов компании Cisco, а именно, сервер обеспечения голосовых сообщений Cisco Unity Connection (CUC) и сервер обмена мгновенным сообщениями и доступностью абонента Cisco Unified Presence (Instant Messaging and Presence, IM&P).
Cisco Unity Connection
Данное решение компании Cisco Systems предназначено для сервиса голосовых сообщений, голосовой почты и распознавания голоса. Сервер CUC обеспечивает доступ пользователей к голосовой почте в рамках архитектуры Unified Communications. Один высокопроизводительный сервер может обеспечить взаимодействие с 20 000 пользователей. Функционал распознавания речи, который создан как для внутренних так и для внешних пользователей, позволяет управлять системой с помощью голоса. Встроенный почтовый сервер обеспечивает автоматическую отправку голосовых сообщений, а так же, предоставляется возможность прослушивать свою почту через WEB – интерфейс через интернет браузер.
Cisco Unity Connection – одно из пяти продуктов компании Cisco базирующихся на операционной системе Linux. Вся информация, такая как медиа данные, а так же статистические данные хранятся локально на сервере в БД IBM Informix. Сервер CUC поддерживает интеграцию с различными телефонными станциями, поддерживая соединение как через IP, так и через TDM. Для удобства одновременной настройки большого числа пользователей, понимает стандартный формат Comma-Separated Values (CSV). Данный файл содержит информацию о множестве пользователей, может быть создан через Microsoft Office и импортирован через консоль Unity Connection. Параллельно, поддерживается ручная настройка пользователей и синхронизация с Active Directory по протоколу Lightweight Directory Access Protocol (LDAP).
Сервер Cisco Unity Connection обеспечивает традиционный телефонный интерфейс пользователя Telephone User Interface (TUI) для взаимодействия через Dual-Tone Multi-Frequency (DTMF) протокол.
Лицензирование
Следующие лицензии на CUC предоставляется производителем:
SpeechView - данная технология распознает голосовое сообщение и отправляет его в виде текста на почтовый ящик. Распространяется в расчете 1 лицензия / 1 пользователь.
Голосовой ящик - лицензия на 1 пользовательский ящик для голоса.
Аппаратная платформа
Продукт Cisco Unity Connection может быть установлен на различных аппаратных платформах, например, HP или IBM. Рекомендуется инсталляция на сервера Cisco Convergence Server (MCS).
Cisco Unified Presence (Instant Messaging and Presence, IMP)
Данное решение компании Cisco Systems предназначено для расширения базовых статусов доступности и состояния абонента, передающихся с Cisco Unified Communications Manager (CUCM), таких как трубку поднята или снята. Продукт IMP предназначен для передачи информации о состоянии коллег и бизнес партнеров (доступен, занят и отошел), которая видна пользователю еще до звонка. Корпоративный обмен мгновенными сообщениями, Instant Messaging (IM), обеспечивает чат –группами или индивидуальными чат – сессиями отдельных пользователей.
Основная цель IM&P это сокращение времени дозвона до абонента корпоративной сети, путем обеспечения статуса доступности этого абонента. Пользователи могут самостоятельно менять статус, а так же, сообщать тип устройства через которое они доступны, например, это может быть мобильный или стационарный телефон. Сервер IM&P настраивается в связке с CUCM, который обеспечивает телефонную сигнализацию и базовый статус о доступности, такой как поднятие и снятие телефонной трубки. Основные протоколы, обеспечивающие передачу статусов пользователей, это SIP for Instant Messaging and Presence Protocol (SIMPLE) и Extensible Messaging and Presence Protocol (XMPP).
Итак, Instant Messaging and Presence предоставляет следующие конкурентные преимущества:
Корпоративный обмен мгновенными сообщениями - коммуникации сотрудников в режиме реального времени путем обмена сообщениями в чате. Решение предоставляет возможность как индивидуального, так и группового обмена мгновенными сообщениями
Архивация и хранение данных - решение предоставляет возможность сохранять листинг переписки в PostgreSQL базе данных. Это позволяет всегда вернуться к важной корпоративной переписке.
Виртуальное присутствие - удобная визуализация статуса доступности абонента делает решение максимально привлекательным для корпоративного сегмента.