По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Одной из основных задач, с которой сталкивается администратор IP-АТС, является её защита от внешних вторжений. Как правило, все IP-АТС закрываются от внешней сети по средствам NAT-ирования и порт-форвардинга, но даже в этом случае, сервер может оставаться незащищенным от порт-сканеров, в частности, открытых SIP-портов 5060 и 5061.
В сегодняшней статье рассмотрим механизмы внутренней защиты IP-АТС Asterisk, доступные в web-интерфейсе Elastix 4. Инструменты, о которых пойдёт речь получили общее название Firewall
Итак, для того, чтобы попасть в модуль, переходим по следующему пути: Security → Firewall, перед нами открывается доступный функционал:
Рассмотрим каждую вкладку
Firewall Rules
В данной вкладке, настраиваются правила разрешающие или запрещающие прохождение трафика к IP-интерфейсам вашей IP-АТС. По умолчанию, Firewall выключен и первое, что необходимо сделать – это активировать его, нажав Activate Firewall. С этого момента, Elastix Firewall , будет контролировать ваши IPTables и все настройки, которые были сделаны вручную до этого – аннулируются.
После активации Firewall, перед нами откроется нумерованный список правил для всех портов, которые может использовать Elastix, а также возможность добавления собственного правила - Add Rule
В качестве примера покажем правило, запрещающее подключаться к нашей IP-АТС по протоколу SIP из некоторой подсети. Допустим мы в логах обнаружили слишком частые запросы из подсети 31.54.0.0/24. Для того, чтобы заблокировать доступ для этой сети, выбираем правило №4 (SIP) и редактируем его следующим образом:
Таким же образом можно заблокировать, например, протоколы, которые вы не используете (часто IAX, MGCP). Также, будет полезно ограничить возможность доступа к web-интерфейсу для всех, кроме администраторов Elastix по таким протоколам как HTTP(порт 80/8080/8088), HTTPS(порт 443), SSH(порт 22), Telnet (порт 23)
Define Ports
В данной вкладке можно настроить номера портов, которые впоследствии можно применить в правилах. Например, как правило, HTTP может использовать два порта 80 и 8080, в интерфейсе же мы видим только порт 80. Добавим его, для этого нажимаем View → Edit добавляем запись 8080 и кликаем Save. Можно добавить только ещё один номер порта.
Port Knocking Interfaces
Ещё один механизм защиты, позволяющий получать доступ к выбранным интерфейсам вашей IP-АТС, только после последовательности подключений к специальным портам. По умолчанию, порт, который вы хотите защитить, будет закрытым, пока на него не поступит последовательность пактов, которая заставит его открыться.
Port Knocking Users
Данная вкладка позволяет настроить механизм Port-Knocking для определенных пользователей и соответствующих портов.
В статье покажем, как установить последний на момент написания статьи stable релиз SNG7-PBX-64bit-1910. Установка произведем в среде виртуализации VMware. Погнали!
Скачать последний стабильный релиз FreePBX Distro можно по этой ссылке: https://www.freepbx.org/downloads/
Системные требования к виртуальной машине
Первое, что нужно сделать – создать виртуальную машину, в которой мы развернем IP – АТС Asterisk с помощью FreePBX Distro. Тут нужно воспользоваться нашим калькулятором IP – АТС Asterisk – он доступен по ссылке ниже. Калькулятор подскажет полные требования к серверу согласно ваших входных данных. Переходите по ссылке и возвращайтесь уже с системными требованиями :)
Калькулятор Asterisk
Установка
После того, как виртуальная машина создана, к ней необходимо подцепить .iso, загрузить с него виртуальную машину и следовать нашим инструкциям. Откройте KVM окно (окно управления машиной)
Мы установим FreePBX 15 версии, Linux версии 7.6 и сам Asterisk 16 версии. Поэтому, в первом окне выбираем FreePBX 15 Installation (Asterisk 16) - Recommended и нажимаем Enter:
Далее нужно выбрать, где мы будем получать информацию об установке. Мы выбираем «как бы» на монитор (VGA), но на самом деле, это окно KVM виртуальной машины. Выбирайте опцию Graphical Installation – Output to VGA и нажимаем Enter:
На следующем экране нужно выбрать FreePBX Standard и нажать Enter:
Запускается инсталлятор:
Установим root - пароль. Для этого переходим в соответствующий пункт меню:
И указываем дважды требуемый пароль:
И ждем. Пока на прогрессбаре (индикаторе состояния установки) вы не увидите заветные Complete!:
Дальнейшая настройка
А чтобы настроить установленный и свежий дистрибутив воспользуйтесь статьей по ссылке ниже. Enjoy :)
Настройка FreePBX с нуля
Управление компьютерной сетью процесс довольно трудоемкий и динамичный. Поэтому разработка инструментов по обслуживанию компьютерных сетей не менее важный процесс, чем, собственно, расширение самих сетей. На сегодняшний момент в распоряжении сетевых администраторов представлены несколько наборов инструментов, позволяющих существенно облегчить развертывание, настройку и обновление конфигурации как небольших локальных сетей, так и достаточно масштабных объединений кластеров, насчитывающих десятки тысяч машин. Самые популярные из них это Salt, Ansible, Puppet и Chef, преимущества и недостатки которого мы и разберем в этой статье.
Что же такое Chef? Это система конфигурирования сети, которая "заточена" под кулинарную тематику. Вкратце, система основана на "рецептах" файлах конфигурации, которые администратор объединяет в "кукбуки", или "кулинарные книги" сценарии поведения сети. Эти сценарии помещаются в хранилище, или "книжный шкаф", откуда актуальный набор конфигураций извлекается и устанавливается на клиентские машины в автоматическом режиме. Все операции исполняются с помощью консольного инструмента, который создатели ласково окрестили "шефским ножом".
Что же хорошего можно ожидать от томного итальянского шеф-повара?
Быстрота развертывания: При правильном прописывании параметров конфигурации, добавление в сеть нового устройства, или даже целого кластера достаточно простая и не требующая долгого времени операция. То, что еще лет пять назад требовало ручных настроек и двух-трех дней работы, с помощью Chef выполняется автоматически в течении считанных минут.
Гибкость настроек: Благодаря Bookshelf’ам, Chef позволяет создать несколько сценариев поведения сети, которые позволяют за короткое время переконфигурировать сеть оптимальным образом для выполнения определенного рода задач. Такая возможность актуальна для тех сетей, которые требуют быстрой адаптации под нужды компании. Оперативное перераспределение ресурсной мощности сети один из главных козырей данного решения
Доступность: Решение Chef широко распространено и доступно для широкого круга пользователей. Любой интересующийся человек может скачать ознакомительную версию и попробовать писать свои рецепты, и если дело пойдет можно приобрести лицензию и внедрять решения Chef непосредственно в рабочий процесс.
Мультиплатформенность: Рецепты Chef можно адаптировать под любую операционную систему, и менять конфигурациии ОС клиентских машин независимо от того, какая ОС на них установлена.
А где этот любитель женщин и хорошего вина слабоват?
Человеческий фактор: Применение решений Chef требует от оператора внимательности и хорошего знания конфигурирования сети. Если ошибиться в коде и применить некорректные настройки можно столкнуться с рядом проблем, от потери соединения до полной потери данных с выходом удаленного оборудования из строя.
Безопасность: Важнейшей задачей при работе с Chef является защищенность рабочей станции. Если не обеспечить защиту сети должным образом, то проникновение в систему злоумышленника и перехват управления системой может привести к серьезному ущербу, особенно в сетях крупных корпораций.
Громоздкость: Рецепты Chef зачастую достаточно объемны, и это порождает некоторые сложности в их применении. Каждая строка настроек конфигурации должна быть выверена, и это требует от оператора особого внимания при создании и при проверке рецептов и кукбуков.
Прожорливость: Данное решение на текущий момент несколько уступает конкурентам в производительности и потреблении ресурсов рабочей станции. Однако, работы над оптимизацией Chef ведутся непрерывно, поэтому продукт в ближайших версиях обещает быть более оптимизированным и эффективным.
Итак, если сравнивать Chef с аналогичными продуктами от других разработчиков (а именно Ansible, Salt и Puppet), то данное решение будет несколько уступать в управляемости, за счет сложности описания рецептов (но это дело привычки), а также по производительности. По заявлениям специалистов Chef Enterprise идеальный инструмент именно для сферы разработки ПО. Работы над оптимизацией программы ведутся, и новые версии обещают быть более эффективными и производительными.
Вывод
Несмотря на наличие минусов, Chef остается одним из наиболее популярных и востребованных инструментов администратора сети. Данное решение имеет свои достоинства, а недостатки, как очевидно, легко устранимы. Поэтому данная программа имеет множество сторонников применения в самых разных компаниях.