По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В статье пошагово расскажем о том, как интегрировать Active Directory (AD) с Cisco Unified Communications Manager (CUCM). Подобная интеграция поможет централизовать управление пользователями и позволит синхронизировать пользовательские атрибуты от LDAP (Lightweight Directory Access Protocol) сервера.
Одной из наиболее популярных LDAP баз является Microsoft Active Directory (AD), с ней мы и будем производить наш опыт :)
Создаем учетную запись в AD
Безусловно, особый акцент в этой статье будет сделано на работе с CUCM. Мы предполагаем, что в вашей организации существует отдел поддержки серверных решений, который сделает эту часть работ за вас. Энивэй, мы хотим очень рассказать о том, как сделать нужную учетную запись. Порядок следующий:
Подключаемся к Windows Server;
Запускаем Active directory users and computers;
Переходим в Active Directory → Users;
Выбираем пользователя Administrator;
Нажимаем на него правой кнопкой мыши и жмем Copy;
Даем пользователю новое имя и пароль - например, ldap.cucm@domain.ru;
Включаем сервис DirSync
Переходим в интерфейс Cisco Unified Service Ability → Tools → Service Activation:
Включаем сервис DirSync и нажимаем Save. Статус должен быть Activated. Идем дальше.
Включаем синхронизацию LDAP
Возвращаемся в интерфейс Cisco Unified CM Administration. Идем по пути System → LDAP → LDAP System:
Делаем следующие опции:
Отмечаем галочкой Enable Synchronization from LDAP Server
LDAP Server Type: Microsoft Active Directory
LDAP Attribute of User ID: sAMAccountName
Нажимаем Save.
Конфигурация директории LDAP
В интерфейсе Cisco Unified CM Administration переходим в System → LDAP → LDAP Directory:
Нажимаем Add New и указываем следующие параметры:
LDAP Configuration Name - LDAP_CUCM;
LDAP Manager Distinguished Name - ldap.cucm@domain.ru (создавали ранее);
LDAP Password: пароль для ldap.cucm@domain.ru;
Confirm password - еще раз пароль;
LDAP User Search Space - OU=SOME, DC=TEST, DC=COM. Указываем, где искать запроса для пользователей;
LDAP User Search Space - OU=SOME, DC=TEST, DC=COM. Указываем, где искать запроса для пользователей;
Phone number - выбираем как ipPhone;
Внизу указываем адрес LDAP – сервера:
Сохраняем.
Делаем LDAP аутентификацию
Делаем аутентификацию. Переходим в раздел System → LDAP → LDAP Authentication и добавляем новое подключение:
Use LDAP Authentication for End Users - отмечаем галочкой;
LDAP Manager Distinguished Name - ldap.cucm@domain.ru (создавали ранее);
LDAP Password: пароль для ldap.cucm@domain.ru;
Confirm password - еще раз пароль;
LDAP User Search Space - OU=SOME, DC=TEST, DC=COM. Указываем, где искать запроса для пользователей;
Host Name or IP Address for ServerRequired Field - адрес;
Сохраняем.
Синхронизация
Делаем аутентификацию. Переходим в раздел System → LDAP → LDAP Directory и нажимаем Perform Full Sync Now:
Отлично. Давайте проверим, что у нас получилось: переходим в раздел User Management → End User и нажимаем на Find:
Также, как и системы электронной почты, системы VoIP телефонии есть практически у каждой компании. Это могут быть простые облачные АТС, арендуемые у провайдера или собственные выделенные под IP-АТС серверные мощности, но среда, по которой передаётся сигнализация и пользовательский трафик данных систем один – Интернет. Это делает систему VoIP телефонии одной из самых востребованных злоумышленниками целей, ведь получив к ней доступ, открывается масса возможностей для извлечения прибыли или нанесения другого ущерба. Если Вы банально откроете логи своего межсетевого экрана и поищите запросы, поступающие извне, то наверняка увидите, что тысячи сканеров каждую секунду пробуют узнать какие сервисы работают на вашем внешнем адресе. И даже если этот адрес никак не связан с IP-телефонией, то вы всё равно там увидите запросы, связанные с VoIP. Это говорит о том, что злоумышленники очень хотят найти уязвимые системы телефонии и знают как проэксплуатировать выявленную брешь. В этой статье разберём какой профит получают хакеры, взломавшие VoIP систему, основные методы атак и протоколы, на которые они направлены. Чего хотят плохие парни? Как только Ваша систему IP-телефонии будет зарегистрирована в сети VoIP провайдера – вы сможете позвонить в любой уголок мира - на мобильный телефон в Тайване, на такософон в одной из красных будок Лондона и даже на декадно-шаговую АТС в музее Франкфурта-на-Майне! Что сделает злоумышленник, получивший такую возможность? – Воспользуется ею за Ваш счёт! В большинстве плачевно известных случаев, получая доступ к системе по средствам какой-либо уязвимости, злоумышленники делают следующее: совершают дорогостоящие звонки на дальние расстояния (long-distance calls); перепродают возможность звонка третьим лицам, не подозревающим, что услуга предоставляется на украденных мощностях звонят на номера с премиум обслуживанием, зарабатывая кэшбэк на свой счёт Существует провайдеры телефонных номеров с премиум обслуживанием (international premium rate number - IPRN). Это такие номера, звонки на которые, происходят очень часто и со всего мира. Например, номера для технической поддержки, прогноза погоды, сервисы для взрослых. Провайдеры таких номеров платят часть прибыли тому, кто гонит на них трафик - генератору звонков (call generator). В некоторых случаях провайдер осознанно участвует в мошеннической схеме, а иногда и вовсе не подозревает, что платит кэшбэк злоумышленникам за трафик, сгенерированный на "угнанных" мощностях. В конечном итоге и провайдеры и call generator'ы остаются в выигрыше, а платить приходится тому кого взломали. Всё вышеописанное подпадает под одно определение, которому в английской литературе дали название - toll fraud. На русский язык это можно перевести как неправомочные действия и несанкционированное пользование чужими ресурсами телефонной связи. Злоумышленникам также может быть интересно вывести вашу систему телефонии из строя, устроив атаку типа DoS (Denial of service) - отказ в обслуживании, хотя это случается реже toll fraud'а. Нам известны случаи, когда целый ботнет из серверов FreePBX начинал забрасывать IP-АТС заказчика "мусорными" вызовами, в результате чего на какое-то время, пользоваться системой стало просто невозможно. Техническая реализация Согласно исследованию IBM наиболее атакуемыми VoIP протоколами являются SIP, SCCP и H.255. Самым распространённым VoIP протоколом на сегодняшний день является SIP, поэтому и большинство атак осуществляется именно на этот протокол. Всё начинается с поиска сервера для проведения атаки. Протокол SIP использует стандартный порт 5060, поэтому первое, что сделает потенциальный злоумышленник – это отправит SIP-запрос на данный порт, чтобы посмотреть какой придет ответ. Как правило, для поиска SIP-сервиса используются стандартные запросы INVITE, REGISTER или OPTIONS. Хорошей практикой является перенос SIP-сервиса со стандартного порта на какой-нибудь другой. Таким образом мы можем увести сервис из-под удара. Ещё лучше – ограничить доступ к этому порту только для доверенного списка IP-адресов. Однако, иногда такой возможности просто нет. Для изначального установления соединения в SIP используется метод “тройного рукопожатия” , начинающийся с запроса INVITE, который подтверждается ответом 200 OK. Однако, если этот ответ от вызывающей стороны не получен, то соединение не устанавливается. Если наблюдается много таких незаконченных соединений за коротких промежуток времени, то это может быть признаком того, что против сервера идёт DoS-атака. Кстати, точно таким же образом, злоумышленник может провести атаку против легитимного устройства пользователя, чтобы сбросить его регистрацию на сервере и зарегистрироваться самому. Существует также метод “флуда” запросами REGISTER. Для этого злоумышленник должен знать параметры зарегистрированного устройства, регистрацию которого он хочет сбросить, подделать заголовок Contact в SIP пакете и отправить много (достаточно раз в 15 секунд) запросов REGISTER на сервер. Такой метод называется Registration-hijacking. Эти атаки возможны благодаря тому, что протокол SIP передает информацию в открытом виде, а значит атакующий может её собрать, модифицировать и воспроизвести. Помимо этого, в протоколе SIP не предусмотрено проверки целостности сообщений, поэтому атаки с модифицированной информацией и воспроизведенными пакетами не детектируются. Злоумышленникам совсем не обязательно перехватывать ваш трафик, чтобы вытащить запросы регистраций легитимных пользователей, потом модифицировать их и подсовывать обратно серверу. После обнаружения открытого SIP-порта, можно просто устроить перебор зарегистрированных внутренних номеров, например, от 10 до 9999. Ответ от сервера на запрос регистрации по такой схеме будет однозначно свидетельствовать о том, какие номера есть на IP-АТС, а каких там нет. Например, я могу отправить запрос на регистрацию с номера 2526 с неправильным паролем. Если на сервере зарегистрирован такой номер, то я получу ответ, что пароль неверен (Wrong Password), а если нет – то сообщение о том, что номер не найден (Not Found). Собрав список зарегистрированных номеров можно потом применить против них метод перебора паролей и получить доступ к внутреннему номеру легитимного пользователя. Другой неприятные метод атаки на VoIP позволяет прослушивать ваши телефонные разговоры. Для этого необходимо перехватить сигнальную информацию и соответствующие медиа потоки определенного соединения. Медиа потоки, которые как раз и содержат пакеты с голосом, обычно передаются по UDP с использованием протокола RTP. Захватив достаточное количество пакетов, можно декодировать RTP поток, а затем сделать из них простой аудио файл, который и будет содержать голос. Сделать это можно с помощью программы Wireshark. Мы рассказали про базовые методы проведения атак на VoIP системы. В следующих статьях, мы обязательно расскажем как защититься от каждого типа атаки, как выявить признаки атак и какие инструменты можно для этого использовать.
Иногда, системному администратору необходимо отключить интерфейс, не прибегая к переключению и удалению кабеля. Проще говоря, мы должны иметь возможность решать, какие порты будут включены, а какие отключены.
В Cisco используются интерфейсные подкоманды для административного включения и отключения порта: команда shutdown (отключить) и команда no shutdown (включить). Команду no shutdown является неотъемлемой частью при настройке сетевых устройств (чаще всего используют сокращенные команды "shut" и "no shut").
Ниже показан пример 1 отключения интерфейса с помощью команды shutdown. В этом примере на коммутаторе SW-1 имеется рабочий интерфейс F0 / 1. Пользователь подключается к консоли и отключает интерфейс. IOS генерирует сообщение журнала событий каждый раз, когда интерфейс переходит из одного состояния в другое, и сообщения журнала появляются на консоли, как показано в примере:
Чтобы включить интерфейс, необходимо выполнить ту же последовательность команд, но вместо команды shutdown использовать команду no shutdown. Прежде чем использовать команды shutdown/no shutdown, используйте команды show, которые отображают состояние интерфейса . Команда show interfaces <номер порта> status выводит одиночное сообщение о состоянии интерфейса. Если интерфейс выключен, то выводится на экран статус интерфейса как "disabled". Команда show interfaces (без ключевого слова status) выводит на экран детализированную информацию о состоянии порта. Информация, выведенная с использованием этой команды, состоит из двух частей. Первая часть отображает фразу "administratively down". Она выделена в сообщении журнала в примере 2.
Здесь показаны примеры использования этих команд. Обратите внимание, что в обоих примерах используется параметр F0/1 (сокращение от Fast Ethernet0/1). Этот параметр позволяет выводить сообщения только о состоянии порта F0/1.
Удаление настроек с помощью команды no
С помощью некоторых команд конфигурации IOS (но не всех) можно вернуться к настройкам по умолчанию, введя команду no <команда>. Что это значит?
Давайте рассмотри несколько примеров :
Если вы ранее настроили скорость 100 Mb/s на интерфейсе, команда no speed на том же интерфейсе, вернет настройки скорости по умолчанию (включится режим speed auto).
Так же и с командной настройки дуплекса: ранее произведенные настройки дуплекса, переводящие порт в режим duplex half или duplex full, можно отменить командой no duplex, введенной на том же интерфейсе. Эта команда возвращает настройки по умолчанию - duplex auto.
Если вы произвели настройку описания, используя команду description , то чтобы вернуться к состоянию по умолчанию, удалить описание вообще, используйте команду no description.
В примере 3 показан этот процесс. В этом примере порт F0/2 коммутатора SW-1 был предварительно настроен со скоростью 100 Mb/s, режим дуплекса - duplex half, и описанием Link to BUH и отключен (shutdown). Все это отображено в листинге примера. (Для лучшего понимания работы команд, часть листинга была удалена)