По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Желание использовать данные с внешних сервисов это вполне обычная практика. Так как многие из этих сервисов доступны по HTTP(S) (REST API, например), то в этой статье мы хотим показать простой способ обращения к этим сервисам по cURL и обработку данных в случае, если сервер вернет JSON. Все взаимодействия будут выполняться из диалплана.
Простой cURL запрос
В диалплане Asterisk существует функция CURL, которая позволяет получить содержимое WEB или FTP страницы. Синтаксис запроса следующий:
CURL(url,post-data)
url - URL, к которому мы будем выполнять обращение;
post-data - по умолчанию будет выполнен GET – запрос. Если в данном параметре будут указаны различные значения, то будет выполнен POST запрос с указанными в переменной данными;
Например:
exten => _X.,1,Set(C_RESULT=${CURL(//merionet.ru/rest?num=84991234567)})
Здесь мы выполним GET запрос по указанному URL, а результат сохраним в переменной C_RESULT.
Использование HTTPS в запросах
Иногда, HTTPS запросы могут не срабатывать, так как удаленная сторона будет проверять наш SSL – сертификат. Если поставить параметр ssl_verifypeer=0, то такой проверки не будет:
same => n,Set(CURLOPT(ssl_verifypeer)=0)
Как воспользоваться этим в диалплане?
Легко. С помощью функции GotoIf мы можем определить действие, которое отработает на базе результата cURL:
exten => _X.,1,Set(C_RESULT=${CURL(//merionet.ru/rest?num=84991234567)})
same => n,GotoIf($["${C_RESULT}" = "1"]?res1:res2)
same => n(res1),Verbose(CURL Result = 1)
same => n,Hangup
same => n(res2),Verbose(CURL Result != 1)
same => n,Hangup
Указанный код отправит GET - запрос на rest, в котором в параметре num передаст номер звонящего (можно указать соответствующую переменную диалплана Asterisk). В случае, если результатом выполнения запроса будет 1, то мы перейдем к выполнению шага res1, а противоположном случае, res2.
res_json для обработки JSON ответов
На самом деле, для API, является обычной практикой возврат ответа в виде JSON. Поэтому, нам следует преобразовать эти данные перед обработкой их. Для этого мы воспользуемся модулем res_json из JSON библиотеки, который создан для расширения базовых возможностей диалплана с точки зрения обработки JSON.
Почитайте материал об установке данного модуля по этой ссылке.
exten => _X.,1,Set(C_RESULT=${CURL(//merionet.ru/rest.json)})
same => n,Set(result=${JSONELEMENT(C_RESULT, result/somefield)})
same => n,GotoIf($["${result}" = "1"]?res1:res2)
same => n(res1),Verbose(CURL Result = 1)
same => n,Hangup
same => n(res2),Verbose(CURL Result != 1)
same => n,Hangup
Для теста, создайте у себя на web – сервере файл rest.json со следующим содержанием:
{
"result": {
"somefield": 1
}
}
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до сервера, на котором размещен этот веб-сайт. BGP (Border Gateway Protocol, протокол граничного шлюза) решает, по какому пути следует идти пакетам.
Если маршрутизатор не работает или слишком нагружен, пакеты проходят по другому маршруту. BGP по умолчанию принимает объявленные маршруты от других соседей BGP. Нет объявления о пути или владельце, что оставляет серьезную проблему безопасности.
В этой статье описывается протокол RPKI, как решение для безопасной маршрутизации BGP.
Что такое BGP?
Протокол BGP – основной протокол, который используется для обмена маршрутами в Интернете. Пакеты передаются по всему миру децентрализованным образом с автоматизированной маршрутизацией. По мере передачи данных с одного маршрутизатора на другой информация перемещается ближе к пункту назначения.
Каждый маршрутизатор поддерживает локальную таблицу наилучших путей для каждой группы префиксов IP-адресов. AS (Autonomous System - автономная система) владеет группами префиксов и определяет, как происходит обмен маршрутизацией. Каждая AS имеет уникальный идентификатор (Number), и протокол BGP определяет, как автономные системы обмениваются информацией о маршрутах.
Каждый ASN (Autonomous System Number) объявляет префиксы, по которым он может доставлять данные. Например, AS отвечающая за подсеть 1.0.0.0/8, будет передавать этот префикс соседям и другим провайдерам.
Недостатки BGP
Прием маршрута BGP зависит от проектирования ISP. Сложно принять во внимание все сценарии: ошибки ввода, ошибки автоматизации или злой умысел - это лишь некоторые примеры проблем, которые трудно предотвратить. В конечном счете, суть проблемы заключается в том, что нет никакого видения того, кто должен объявлять маршрут или кто настоящий владелец.
Угоны префиксов равной длины
Угон префикса равной длины происходит, когда тот, кто не является владельцем, объявляет об этом же префиксе. Например:
Исходная AS отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS также объявляет 1.0.0.0/8
В случае объявления равной длины BGP должен выбрать маршрут. Решение сводится к конфигурации AS.
Источник AS замечает небольшое падение трафика. Падение трафика является обычным явлением, которое может произойти по любому числу причин. За счет этого угон BGP остается незамеченным.
Угон определенного префикса
Захват определенного префикса происходит, когда злонамеренный ASN объявляет более конкретный префикс. Оба префикса добавляются в таблицу маршрутизации BGP, но более конкретный адрес выбирается в качестве наилучшего пути к сети.
Например:
Источник отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS объявляет более конкретный 1.2.3.0/24
Поскольку 1.2.3.0/24 лучше соответствует, все данные в диапазоне 1.2.3.0 поступают в нелегитимную сеть.
Что такое RPKI?
RPKI (Resource Public Key Infrastructure) - уровень безопасности в протоколе BGP, обеспечивающий полное криптографическое доверие владельцу, где последний имеет общедоступный идентификатор. В BGP понятия владельца не существует. Любому разрешается анонсировать лучший маршрут, будь то злонамеренно или случайно.
RPKI основан на существующем стандарте PKI - RFC6480. Существует много ссылок на существующие методологии криптографии для безопасной связи.
Почему RPKI важен?
Инфраструктура открытого ключа ресурсов делает BGP более безопасным и надежным. Из-за особенностей работы BGP, уязвимость интернета является систематической проблемой. С ростом Интернета последствия заметнее.
Маршрутизация информации в небольшую сеть создает перегрузку. Вредоносная маршрутизация доставляет конфиденциальную информацию не туда. Ошибки BGP могут привести к мошенничеству и крупномасштабным сбоям. Известны следующие случаи:
Amazon - маршрут 53 BGP угнал DNS Amazon для кражи криптовалют.
Google - неправильная настройка фильтрации BGP во время обновления маршрутизировал весь трафик в Китай, Россию и Нигерию.
Mastercard, Visa и крупные банки - произошла утечка 36 префиксов платежных услуг.
YouTube - Попытка заблокировать сайт YouTube в Пакистане в итоге положила его.
Какую форму защиты предлагает RPKI?
Проблемы BGP возникают по многочисленным причинам:
Нет надежного плана обеспечения безопасности
Ошибки перераспределения
Опечатки
Преступное намерение
Наиболее распространенным фактором является человеческая ошибка.
Криптографическая модель RPKI обеспечивает аутентификацию владельца через открытый ключ и инфраструктуру сертификатов без наличия в них идентифицирующей информации. Сертификаты добавляют уровень сетевой безопасности к префиксам IPv4 и IPv6. Сертификаты RPKI продлеваются каждый год. HTTP использует аналогичное шифрование для защиты веб-страниц.
Хотя весь путь не защищен, RPKI проверяет идентичность источника и предоставляет способ подтвердить, что они являются теми, кем они являются. RPKI является шагом в обеспечении безопасности в маршрутизации BGP, где мы знаем происхождение входящей информации и кто владеет каким пространством.
Широкое распространение делает его еще более эффективным в предотвращении угонов в целом.
Как работает RPKI?
RIR (Regional Internet Registry) обеспечивает корневое доверие в модели криптографии RPKI. IANA (Internet Assigned Numbers Authority) является частью ICANN (Internet Corporation for Assigned Names and Numbers), которая владеет адресными пространствами IPv4 и IPv6.
IANA распределяет порции IP пространства для RIR. Локальные RIR затем распределяют пространство IP для сетей, которые далее распределяют для сетей меньшего размера. Этот путь создает доверенную цепочку в сертификатах подписи. Регионы RIR делятся на пять географических районов:
ROA
Заключительной частью цепочки является ROA (Route Origin Authorization - авторизация источника маршрута). ROA представляет собой простой документ с двумя частями информации:
Какой маршрут и максимальная длина.
AS, объявившая маршрут.
Например, если AS65005 объявляет маршрут в диапазоне от 1.0.0.0/8 до 1.0.0.0/12, ROA содержит область и идентификатор AS65005, проверяя, кто является реальным владельцем информации с полным доверием.
Каждая ROA специфична для каждого из существующих RIR.
Как развертывается RPKI?
"P" в RPKI означает, что сертификаты и ROA доступны в публичных (public) хранилищах. Эта информация используется для формирования списков префиксов, которые относятся к конкретному ASN.
Подписи сертификатов и срок действия ROA проверяются каждой сетью независимо. Если какой-либо из следующих ошибок завершается неуспешно, ROA игнорируется:
Дата начала или дата окончания ROA и привязки сертификатов к корню находятся в прошлом или будущем.
Любая из подписей недействительна или отозвана.
Все ROA, которые прошли тест сохраняются в списке проверенных. Фильтр генерируется и выгружается на маршрутизаторы на основе проверенного списка кэша. Маршрутизаторы проверяют объявления BGP через фильтр и получает один из трех результатов:
Действительное - ROA присутствует. Длина префикса и номер AS совпадают.
Недопустимое - присутствует ROA. Длина префикса или номер AS не совпадают.
Не найдено или неизвестно - ROA отсутствует.
Маршрутизатор действует на основе состояния префикса, сгенерированного фильтром.
Подпись префиксов
RIR предлагают онлайн-инструменты для подписи префиксов. При этом префикс и длина префикса связываются с AS. После подписания префикса другие пользователи, реализовавшие проверку RPKI, могут проверить префиксы.
Подписание сертификата предотвращает захват префиксов (намеренно или непреднамеренно). Подписанные сертификаты являются ядром ROA. RPKI не предлагает проверки пути, и атаки «человек в середине» по-прежнему возможны.
Проверка префиксов
Реализация проверки зависит от сведений о сети. Общие шаги при настройке сети для проверки префиксов:
Установка средств проверки RPKI - программное обеспечение, которое извлекает данные RPKI из всех реестров маршрутизации Интернет (IRR) и проверяет подписи.
Настройка проверки на пограничных маршрутизаторах с помощью средства проверки маршрута - маршрутизаторы заполняют кэш проверки комбинациями проверенных префиксов, длин префиксов и исходных ASN.
Реализация фильтров BGP для внешних сеансов BGP - добавление политики для всех сеансов BGP (одноранговых, транзитных и клиентов) для отклонения любого префикса, который является недопустимым с точки зрения RPKI.
Заключение
RPKI предлагает дополнительный уровень в защите BGP маршрутизации. Большинство маршрутизаторов имеют встроенные возможности проверки и развертывания RPKI.
Мы продолжаем рассказывать про интерфейс графической оболочки Asterisk - Elastix и в сегодняшней статье рассмотрим, как настроить голосовое меню - IVR (Interactive Voice Response).
Настройки
Перейдём к настройке. Для этого с главной страницы, переходим по следующему пути: PBX → PBX Configuration → IVR.
Перед нами откроется следующее окно, в котором нужно нажать Add a New IVR:
Как можно заметить, интерфейс Elastix, в плане настройки, очень похож на FreePBX ранних версий, поэтому создание нового голосового меню будет мало чем отличаться.
Рассмотрим для чего нужна каждая опция, доступная в данном модуле.
IVR General Options
IVR Name - Имя нового голосового меню
IVR Description - Описание данного голосового меню
IVR Options (DTMF)
Announcement - Данная опция позволяет выбрать запись, которая будет проигрываться в данном голосовом меню. Как правило, это фраза типа: "Здравствуйте, Вы позвонили в компанию "Мерион Нетворкс", наберите 1, для связи с отделом продаж, 2 для связи с отделом технической поддержки…" и так далее. Данная запись служит одной единственной цели – направить позвонившего по нужному ему направлению, что в свою очередь снижает нагрузку на секретарей. Записи загружаются через модуль System Recordings.
Direct Dial - Данная опция позволяет позвонившему напрямую соединиться с нужным сотрудником или отделом по внутреннему номеру, если он его знает. Она имеет два варианта - Disabled, то есть отключена и Extensions - что означает, что функция будет работать для всех внутренних номеров на IP-АТС.
Timeout - Данная опция позволяет настроить время, которое будет считаться тайм-аутом, в случае если позвонивший, прослушав все направления, предложенные ему в Announcement ничего не выбрал. По истечению данного времени, начнут работать другие правила, которые мы рассмотрим далее. Например, вызов сразу можно завершить или же предоставить звонящему ещё раз прослушать сообщение голосового меню.
Invalid Retries - Количество попыток после неправильного ввода.
Invalid Retry Recording - Запись, которая будет проигрываться после неправильного ввода номера или цифры, человеком, который находится в голосовом меню. Запись добавляется в модуле System Recordings. Если ничего не выбрать, то будет воспроизведена стандартная запись – Default.
Append Announcement on Invalid - Опция, определяющая проигрывать ли звонящему основное сообщение IVR после неправильной попытки ввода.
Return on Invalid - Данная опция необходима, когда существует 2 или более ступеней голосового меню, она определяет возвращать ли звонящего из под-меню в родительское, в случае неправильного ввода на последующих ступенях.
Invalid Recording - Запись, которая будет проиграна в случае, если звонящий исчерпал все попытки Invalid Retries. Добавляется через модульSystem Recordings, по умолчанию – Default.
Invalid Destination - Направление, на которое перенаправляется вызов, в случае если звонящий исчерпал все попытки Invalid Retries. Это может быть любое направление на IP-АТС.
Timeout Retries - Как много раз звонящий может не выбирать никакую опцию, после озвученных ему вариантов голосового меню. Рекомендуется выставлять 1.
Timeout Retry Recording - Запись, которая будет проиграна когда истечёт время, указанное в Timeout. Добавляется через модульSystem Recordings, по умолчанию – Default.
Append Announcement on Timeout - Опция, определяющая проигрывать ли звонящему основное сообщение IVR после того как наступил тайм-аут.
Return on Timeout - Данная опция необходима, когда существует 2 или более ступеней голосового меню, она определяет возвращать ли звонящего из под-меню в родительское, в случае наступления тайм-аута на последующих ступенях
Timeout Recording - Запись, которая будет проиграна в случае, если звонящий исчерпал все попытки Timeout Retries . Добавляется через модульSystem Recordings, по умолчанию – Default.
Timeout Destination - Направление, на которое перенаправляется вызов, наступил тайм-аут. Это может быть любое направление на IP-АТС.
Return to IVR after VM - Опция, позволяющая пользователю вернуться в IVR после того как он был перенаправлен на голосовую почту.
IVR Entries - Самое последнее, что остаётся настроить это сами маршруты и цифры (digits), по которым они будут доступны. В поле Ext надо выбрать указать цифру направления, например "1", в поле Destination выбрать само направление, по которому вы хотите отправить вызов, после того как звонящий нажмёт "1" на своём телефонном аппарате. Опция Return, если активирована, то позволяет вернуть пользователя в родительский IVR.
В качестве примера мы создали ознакомительное голосовое меню First_Menu, приведенное ниже и сейчас подробно расскажем как оно будет работать.
Итак, мы назвали новое голосовое меню – First_Menu, и дали понятное описание. В записи First_Line_Menu, человек, попавший в наше меню услышит сообщение, где девушка приятным голосом произнесёт что-то типа: "Добрый день, вы позвонили в компанию "Мерион", если Вы знаете внутренний номер сотрудника – наберите его в тоновом режиме" (Это потому что мы включили опцию Direct Dial). Затем она продолжит: "Если Вам необходимо связаться с отделом технической поддержки (Ring Group - 601 ) – нажмите "1", для связи с отделом продаж (Ring Group - 602) – "2", по вопроса партнёрских отношений ( Extension - 111)". Если по истечении 10 (Timeout) секунд после предложенных вариантов, пользователь не сделает выбор – то по Return on Timeout пользователю снова проиграют сообщение основного меню. Если во второй раз по истечении 10 минут пользователь не сделает выбор – вызов завершится по Timeout Destination.
Если пользователь 3 раза (Invalid Retries) сделает неправильный выбор (введёт несуществующий внутренний номер или нажмёт несуществующую в меню цифру), то по Invalid Destination вызов отправится на линию технической поддержки Ring Group - Support 601.