По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье речь пойдет о способах организации виртуальных частных сетей VPN (Virtual Private Network). VPN – это набор криптографических механизмов, обеспечивающих защищенный, двухсторонний канал для безопасной передачи данных через незащищенную сеть, такую как Интернет. Благодаря VPN пользователь может получить доступ к удаленной сети и работать с её ресурсами так, как если бы он находился внутри нее. Поэтому VPN получил широкое распространение у компаний, имеющих в своем штабе дистанционных сотрудников.
Терминология
VPN представляет собой соединение типа Point to point (точка-точка), которое принято называть “туннелем” (tunnel), а участников данного соединения – “пирами” (peer). Каждый пир шифрует данные, подлежащие передаче через туннель и дешифрует данные, которые получает из туннеля.
Если к одному пиру устанавливается несколько туннелей, то такой пир называется VPN – шлюзом, а сеть, находящаяся за ним – “доменом шифрования” (encryption domain). Несмотря на название, трафик внутри домена шифрования не шифруется, так как считается защищенным от попадания во внешнюю сеть. Кроме того, VPN – туннель может быть установлен между сетями.
Удаленный сотрудник, желающий настроить VPN - туннель с доменом шифрования своего офиса, должен установить на своей рабочей станции специальное ПО – VPN-клиент, например: OpenVPN, VyprVPN, TunnelBear и др.
Для большего понимания, на рисунке ниже отмечены все элементы, рассмотренные ранее:
Разберем основные принципы, по которым устанавливается VPN – соединение.
Перед установлением соединения пиры идентифицируют друг друга, чтобы удостовериться, что шифрованный трафик будет отправлен правильному получателю.
Пиры договариваются, по каким протоколам будет устанавливаться соединение для сохранения целостности и конфиденциальности данныхю
Создается ключ, который будет использоваться для шифрования и дешифрования данных
Существует множество механизмов, способных обеспечить выполнение данных функций, но мы рассмотрим самый распространенный - IPsec(IP Security).
IPsec – это целый набор протоколов, обеспечивающих сервисы приватности и аутентификации. Обычно в IPsec выделяют три основных протокола:
AH (Authentication Header) – протокол идентификации заголовка. Данный протокол обеспечивает защиту передаваемых данных от изменения, путем проверки каждого бита пакета после передачи. То есть обеспечивает функции целостности.
ESP (Encapsulating Security Protocol) Данный протокол обеспечивает не только функции целостности, но и конфиденциальности, путем добавления своего заголовка в пакет, подлежащий защите.
IKE (Internet Key Exchange protocol) – протокол обмена ключами. Данный протокол предназначен для автоматического генерирования, обновления и обмена ключами между участниками VPN – соединения.
В IPsec есть еще один важный термин – SA (Security Association). SA это непосредственно VPN – соединение в контексте IPsec. SA устанавливается сразу после того, как IPsec – узлы договорились и согласовали все параметры, по которым будет организован VPN – туннель.
Итак, VPN – соединение с использованием IPsec устанавливается в два этапа:
На первом этапе VPN – узлы идентифицируют друг друга и согласовывают алгоритмы шифрования, хэширования и аутентификации, после чего создается первый SA.
Второй этап возможен только после завершения первого. На втором этапе генерируются данные ключей и происходит согласование используемой политики. После завершения второй фазы формируется второй SA и все данные, подлежащие передаче, шифруются. Именно после второго этапа формируется VPN – туннель и установка считается завершенной.
В сегодняшней статье расскажем как с помощью сервера Asterisk и и телефонных офисных аппаратов можно создать простейшую, эффективную систему оповещения и организовать внутреннюю селекторную связь. Как можно догадаться, речь сегодня пойдёт о модуле Paging and Intercom на примере Asterisk и FreePBX 13
/p>
Модуль Paging and Intercom позволяет сконфигурировать группы телефонных аппаратов, которые будут автоматически принимать вызов при звонке из, так называемой Page Group , и проигрывать оповещательное сообщение через свои динамики. Например, в небольшом офисе можно настроить Page Group со специальным внутренним номером. Когда кто-либо из локальных пользователей наберет этот номер, все телефоны, находящиеся в группе автоматически примут вызов, и можно будет озвучивать сообщение одновременно на все телефоны. Нужно отметить, что этот модуль будет работать практически со всеми SIP телефонами, которые поддерживаются IP-АТС Asterisk.
Модуль Paging and Intercom связан с другим модулем – Extensions, который предназначен для создания внутренних добавочных номеров (extension). При настройке Paging группы можно будет выбирать, какие внутренние номера необходимо в неё включить.
Рассмотрим настройку модуля Paging and Intercom на примере FreePBX 13. Для того, чтобы попасть на страницу конфигурации модуля, необходимо с главной страницы перейти по следующему пути Applications -> Paging and Intercom . Перед нами откроется окно глобальных настроек Settings, где можно настроить, например, звуковое оповещение, которое услышат участники Page группы, когда локальный пользователь наберет номер группы. По умолчанию – это гудок (Beep), однако можно выбрать любой звук из System Recordings или выставить None, чтобы никакого звука не было вообще.
Далее, на вкладке Paging Groups настраиваются непосредственно группы оповещения. Необходимо нажать Add Paging Group, чтобы открылись параметры новой группы.
Рассмотрим ключевые параметры при создании Page Group
Paging Extension – Внутренний номер группы оповещения. Именно его необходимо набрать, чтобы передать на телефоны участников группы необходимое сообщение
Group Description – Описание группы, задается опционально. На примере выше указано “Sales”, то есть участники группы являются сотрудниками отдела продаж
Device List – Здесь необходимо выбрать добавочные номера (Extensions) сотрудников, которые будут участниками группы оповещения. Рекомендуется не набирать в одну группу более 25 участников
Announcement – Звуковое сообщение, проигрывающееся членам группы, когда происходит вызов группы
Busy Extensions – Параметр, позволяющий настроить как поступать с участниками группы, если в момент вызова группы они разговаривают (Busy)
Duplex – Параметр, позволяющий включить двустороннюю связь между членами группы
Default Page Group – Определить данную группу как группу по умолчанию. В группу по умолчанию можно добавлять участников прямо из модуля Extensions
Временные списки доступа ACL (Time Based Access-List) – это такие ACL, которые позволяют ограничивать или разрешать доступ до ресурсов в зависимости от времени. Например, запретить выход в интернет для компьютеров в нерабочее время.
Настройка на оборудовании Cisco
Про настройку стандартных ACL можно прочесть тут;
Про настройку расширенных ACL можно прочесть здесь;
Для реализации списков доступа, основанных на времени, существует несколько простых шагов:
Определить временной диапазон когда должен действовать ACL
Определить что должен ограничивать и разрешать ACL и применить к нему временной диапазон
Применить ACL к нужному интерфейсу
Сначала на маршрутизаторе создадим временной диапазон, используя команду time-range [имя_диапазона] . Затем определяем, будет он периодическим (задаем периоды работы) или абсолютным (задаем начало и конец). Если он будет периодическим, то мы используем команду periodic [день_недели][час:минуты]to[день_недели][час:минуты] (также можно использовать аргументы weekend - Суббота и Воскресенье, weekdays - с Понедельника по Пятницу, и daily - Каждый день), а если абсолютным, то используем команду absolute [дата_начала] [дата_конца] .
Пример создания периодического временного диапазона:
Router#conf t
Router(config)#time-range weekends
Router(config)#periodic weekend 08:00 to 22:00
Либо можно указать отдельные дни:
Router#conf t
Router(config)#time-range mwf
Router(config)#periodic Monday Wendsday Friday 08:00 to 16:00
Пример создания абсолютного временного диапазона:
Router#conf t
Router(config)#time-range cisco
Router(config)#absolute start 00:00 1 May 2018 end 00:00 1 April 2019
Далее создаем ACL и указываем в нем созданный диапазон при помощи аргумента time-range [название]
Router(config)#ip access-list extended deny-weekends
Router(config)#deny tcp any any eq 80 time-range weekens
И после этого применим этот лист на интерфейсах:
Router(config)#interface fa0/1
Router(config)#ip access-group deny-weekends out
После этого лист контроля доступа будет применяться в зависимости от времени, выставленном на маршрутизаторе, поэтому очень важно, чтобы оно было выставлено верно. Посмотреть созданные временные диапазоны можно при помощи команды show time-range.