По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Как было рассмотрено ранее, IPS/IDS системы это устройства, которые предназначены для обнаружения атак на корпоративную сеть.
Подпись в рамках понятия IPS/IDS систем - это набор правил, который сопоставляет заранее настроенные шаблоны к проходящим через устройство пакетам. Системы обнаружения Cisco и предотвращения вторжений имеют тысячи настроенных по умолчанию шаблонов, которые нуждаются лишь в активации. С появлением все более изощренных атак, компания Cisco Systems постоянно создает дополнительные шаблоны.
На сегодняшний день, система обнаружения и предотвращения вторжений на базе IPS/IDS это самый существенный метод обнаружения атак.
Общая политика безопасности
Данный тип защиты от атак может быть реализован на основании политик безопасности компании. Например, компания имеет правило, что из внешней сети не должно быть доступа в определенный сетевой сегмент, например, серверную ферму. Доступ будет недоступен по протоколу Telnet, 23 порт. При поступлении пакета, с адресом назначения из сегмента серверной фермы и портом назначения 23, IPS оповестит систему мониторинга и сбросит данный пакет.
Проверка на базе нелинейности поведения
Проверка на нелинейность трафика – это еще один мощный инструмент в защите периметра сети. Примером работы алгоритма отслеживания нелинейности, может стать ситуация, при которой администратор сети заранее задает максимальное количество TCP запросов в минуту, который не получили ответ. Например, администратор задал максимум, в количестве 50 сессий. Как только максимальная отметка будет преодолена, IPS/IDS система оповестит систему мониторинга и начнет отбрасывать подобные пакеты. Такое поведение называется нелинейностью, или аномалией. Данный механизм используется для обнаружения «червей», которые пытаются попасть в сетевой корпоративный ландшафт.
Проверка на основании репутации
Данный механизм строится на базе уже совершенных кибер – атак. Устройство IPS, функционирующее на основании данного алгоритма, собирает данные с других систем предотвращения вторжения, которые находятся в глобальной сети. Как правило, блокировка осуществляется на основании IP – адресов, универсальных локаторов ресурса, или Uniform Resource Locator (URL), доменных систем и так далее.
Алгоритм
Преимущества
Недостатки
Проверка на базе подписи
Легкость конфигурации
Не может отследить атаки, выходящие за рамки настроенных правил. Порой, необходимо отключать подписи, которые запрещают нужный трафик. Необходимо периодическое обновление шаблонов.
Общая политика безопасности
Легкость настройки под конкретные нужды, простота и надежность.
Необходимость создания вручную. Имеет место человеческий фактор.
Трафик, создаваемый программным обеспечением станков и оборудования
Обеспечение доступной полосы пропускания минимум 256 кб/с
В открытом виде
Проверка нелинейности поведения
Обнаруживает «червей» на базе нелинейности трафика, даже если данный запрет не создан в подписях.
Трудность адаптации в больших сетях. Данный алгоритм может запрещать нужный трафик помимо вредоносного трафика.
Проверка на основании репутации
Техника раннего обнаружения. Предотвращает известные методы атак.
Необходимо периодическое обновление данных.
Метрические веса TOS K1 K2 K3 K4 K5, выданные командой в режиме конфигурации маршрутизатора EIGRP, может быть использована для установки K-значений, используемых EIGRP в своем расчете. Параметр TOS был предназначен для использования маркировки качества обслуживания (где TOS обозначает тип служебного байта в заголовке IPv4). Однако параметр TOS должен быть равен 0. На самом деле, если вы введете число в диапазоне 1 - 8 и вернетесь назад, чтобы изучить свою текущую конфигурацию, вы обнаружите, что Cisco IOS изменила это значение на 0. Пять оставшихся параметров в команде metric weights - это пять K-значений, каждое из которых может быть задано числом в диапазоне от 0 до 255.
Предыдущие статьи из цикла про EIGRP:
Часть 1. Понимание EIGRP: обзор, базовая конфигурация и проверка
Часть 2. Про соседство и метрики EIGRP
Следующие статьи из цикла:
Часть 3. Конвергенция EIGRP – настройка таймеров
Часть 4. Пассивные интерфейсы в EIGRP
Часть 5. Настройка статического соседства в EIGRP
Часть 6. EIGRP: идентификатор роутера и требования к соседству
Например, представьте, что в нашем проекте мы обеспокоены тем, что нагрузка на наши линии может быть высокой в разы, и мы хотим, чтобы EIGRP учитывал уровень насыщения линии при расчете наилучшего пути. Изучая полную формулу расчета метрики EIGRP, мы замечаем, что наличие ненулевого значения для K2 приведет к тому, что EIGRP будет учитывать нагрузку. Поэтому мы решили установить K2 равным 1, в дополнение к K1 и K3, которые уже установлены в 1 по умолчанию. Значения К4 и К5 сохранится на уровне 0. В приведенном ниже примере показано, как можно настроить такой набор K-значений.
OFF1#conf term
Enter configuration commands, one per line. End with CNTL/Z .
OFF1(config)#router eigrp 1
OFF1(config-router)#metric weights 0 1 1 1 0 0
OFF1(config-router)#end
Первый 0 в команде metric weights 0 1 1 1 0 0, показанной в приведенном выше примере, задает значение TOS равное 0. Следующие пять чисел задают наши пять K-значений: K1 = 1, K2 = 1, K3 = 1, K4 = 0, K5 = 0. Этот набор K-значений теперь будет учитывать не только пропускную способность и задержку, но и нагрузку при выполнении расчета метрики. Однако есть проблема. Обратите внимание на сообщения консоли, появляющиеся после нашей конфигурации. Оба наших соседства были разрушены, потому что маршрутизатор OFF1 теперь имеет другие K-значения, чем маршрутизаторы OFF2 и OFF3. Напомним, что соседи EIGRP должны иметь соответствующие K-значения, а это означает, что при изменении K-значений на одном EIGRP-спикер маршрутизаторе, вам нужен идентичный набор K-значений на каждом из его соседей EIGRP. Как только вы настроите соответствующие K-значения на этих соседях, то каждый из этих соседей должен соответствовать K-значениям. Как вы можете видеть, в большой топологии может возникнуть значительная административная нагрузка, связанная с манипуляцией K-значением.
Преемник и возможные маршруты преемников
Одна из причин, по которой EIGRP быстро восстанавливает соединения в случае сбоя маршрута, заключается в том, что EIGRP часто имеет резервный маршрут, готовый взять на себя управление, если основной маршрут уходит в down. Чтобы убедиться, что резервный маршрут не зависит от основного маршрута, EIGRP тщательно проверяет резервный маршрут, убедившись, что он соответствует условию осуществимости EIGRP. В частности, условие осуществимости гласит:
Маршрут EIGRP является возможным маршрутом-преемником, если его сообщенное расстояние (RD) от нашего соседа меньше возможного расстояния (FD) маршрута-преемника.
Например, рассмотрим топологию, показанную на следующем рисунке, и соответствующую конфигурацию, приведенную ниже. Обратите внимание, что сеть 10.1.1.8/30 (между маршрутизаторами OFF2 и OFF3) доступна из OFF1 через OFF2 или через OFF3. Если маршрутизатор OFF1 использует маршрут через OFF2, он пересекает канал связи 1 Гбит/с, чтобы достичь целевой сети. Однако маршрут через OFF3 заставляет трафик пересекать более медленное соединение со скоростью 100 Мбит/с. Поскольку EIGRP учитывает пропускную способность и задержку по умолчанию, мы видим, что предпочтительный маршрут проходит через маршрутизатор OFF2. Однако, что делать, если связь между маршрутизаторами OFF1 и OFF2 обрывается? Есть ли возможный преемственный маршрут, который может почти сразу заработать? Опять же, мы видим, что маршрутизатор OFF1 будет использовать возможный маршрут преемника через маршрутизатор OFF3. Однако, прежде чем мы убедимся в этом, мы должны подтвердить, что путь через OFF3 соответствует условию осуществимости.
Возможное условие преемника выполнено на маршрутизаторе OFF1
Просто в силу того, что маршрут через маршрутизатор OFF3 (то есть через 10.1.1.6) появляется в выходных данных команды show ip eigrp topology, выполненной на маршрутизаторе OFF1, мы делаем вывод, что путь через OFF3 действительно является возможным маршрутом-преемником. Однако давайте рассмотрим выходные данные немного более внимательно, чтобы определить, почему это возможный маршрут-преемник.
Во-первых, рассмотрим запись из выходных данных в приведенном выше примере, идентифицирующую последующий маршрут (то есть предпочтительный маршрут):
via 10.1.1.2 (3072/2816), GigabitEthernet0/1
Часть выходных данных via 10.1.1.2 говорит, что этот маршрут указывает на адрес следующего прыжка 10.1.1.2, который является маршрутизатором OFF2. На интерфейсе GigabitEthernet0/1 часть выходных данных указывает, что мы выходим из маршрутизатора OFF1 через интерфейс Gig0/1 (то есть выходной интерфейс). Теперь давайте рассмотрим эти два числа в скобках: (3072/2816). Стоимость 2816 называется зафиксированная дистанция (reported distance (RD). В некоторых литературных источниках это значение также называется advertised distance (AD). Эти термины, синонимы, относятся к метрике EIGRP, сообщенной (или объявленной) нашим соседом по EIGRP. В данном случае значение 2816 говорит нам, что метрика маршрутизатора OFF2 (то есть расстояние) до cети 10.1.1.8/30 равна 2816. Значение 3072 на выходе - это допустимое расстояние маршрутизатора OFF1 (FD). FD вычисляется путем добавления RD нашего соседа к метрике, необходимой для достижения нашего соседа. Поэтому, если мы добавим метрику EIGRP между маршрутизаторами OFF1 и OFF2 к RD маршрутизатора OFF2, мы получим FD (то есть общее расстояние), необходимое для того, чтобы OFF1 добрался до 10.1.1.8/30 через маршрутизатор OFF2. Кстати, причина, по которой маршрутизатор OFF1 определяет наилучший путь к сети 10.1.1.8/30, - это via via router OFF2 (то есть 10.1.1.2) В отличие от маршрутизатора OFF3 (то есть 10.1.1.6), потому что FD пути через OFF1 (3072) меньше, чем FD пути через OFF2 (28,416).
Далее рассмотрим запись для возможного последующего маршрута из приведенного выше примера:
via 10.1.1.6 (28416/2816), GigabitEthernet0/2
Часть выходных данных via 10.1.1.6 говорит, что этот маршрут указывает на адрес следующего прыжка 10.1.1.6, который является маршрутизатором OFF3. На интерфейсе GigabitEthernet0/2 часть результатов показывает, что мы выходим из маршрутизатора OFF1 через интерфейс Gig0/2. Эта запись имеет FD 28 416 и RD 2816. Однако прежде, чем EIGRP просто слепо сочтет этот резервный путь возможным преемником, он проверяет маршрут на соответствие условию осуществимости. В частности, процесс EIGRP на маршрутизаторе OFF1 запрашивает, является ли RD от маршрутизатора OFF3 меньше, чем FD последующего маршрута. В этом случае RD от маршрутизатора OFF3 составляет 2816, что действительно меньше, чем FD преемника 3072. Поэтому маршрут через маршрутизатор OFF3 считается возможным преемником маршрута.
Чтобы утвердить эту важную концепцию, рассмотрим топологию, показанную ниже. Процесс EIGRP на маршрутизаторе OFF1 изучил три пути для достижения сети 10.1.1.0/24. Однако далее EIGRP должен определить, какой из этих путей является маршрутом-преемником, какие (если таковые имеются) пути являются возможными маршрутами-преемниками, а какие (если таковые имеются) пути не являются ни преемником, ни возможным маршрутом-преемником. Результаты расчетов EIGRP приведены в таблице ниже.
Примеры расчетов Feasible Successor
Используя приведенную выше таблицу в качестве рассмотрения, сначала рассмотрим путь маршрутизатора OFF1 к сети 10.1.1.0/24 через маршрутизатор OFF2. С точки зрения маршрутизатора OFF2, расстояние до сети 10.1.1.0/24 - это расстояние от OFF2 до OFF5 (которое равно 5000) плюс расстояние от OFF5 до сети 10.1.1.0/24 (которое равно 1000). Это дает нам в общей сложности 6000 для расстояния от маршрутизатора OFF2 до сети 10.1.1.0/24. Это расстояние, которое маршрутизатор OFF2 сообщает маршрутизатору OFF1. Таким образом, маршрутизатор OFF1 видит RD 6000 от маршрутизатора OFF2. Маршрутизатор OFF1, затем добавляет расстояние между собой и маршрутизатором OFF2 (который равен 10 000) к RD от OFF2 (который равен 6000), чтобы определить его FD для достижения сети 10.1.1.0/24 составляет 16 000 (то есть 10 000 + 6000 = 16 000). Процесс EIGRP на маршрутизаторе OFF1 выполняет аналогичные вычисления для путей к сети 10.1.1.0/24 через маршрутизаторы OFF3 и OFF4. Ниже приведены расчеты, которые привели к значениям, приведенным в таблице.
Затем маршрутизатор OFF1 проверяет результаты этих вычислений и определяет, что кратчайшее расстояние до сети 10.1.1.0/24 проходит через маршрутизатор OFF2, поскольку путь через OFF2 имеет самый низкий FD (16 000). Этот путь, определяемый как кратчайший, считается следующим маршрутом. Затем маршрутизатор OFF1 пытается определить, соответствует ли любой из других маршрутов условию выполнимости EIGRP. В частности, маршрутизатор OFF1 проверяет, чтобы увидеть, что RD от маршрутизаторов OFF3 или OFF4 меньше, чем FD последующего маршрута. В случае OFF3 его RD в 11 000 действительно меньше, чем FD последующего маршрута (который составляет 16 000). Таким образом, путь к сети 10.1.1.0 /24 через OFF3 квалифицируется как возможный маршрут-преемник. Однако маршрут через OFF4 не подходит, потому что RD OFF4 из 18 000 больше, чем 16 000 (FD последующего маршрута). В результате путь к сети 10.1.1.0/24 через маршрутизатор OFF4 не считается возможным маршрутом-преемником.
Мы изучили K - значения, теперь почитайте про конвергенцию EIGRP и настройку таймеров
Сталкивались ли вы задачей одновременной типовой настройки телефонный аппаратов? Например, настроить 50 штук IP – телефонов Yealink. Эта задача будет достаточно рутинной и затратной по времени. В FreePBX создан модуль End Point Manager, который позволяет создать шаблон настроек для определенных групп устройств и затем перенести его на телефонные аппараты. О нем и поговорим.
/p>
Пару слов про модуль End Point Manager
Как уже сказано выше, модуль EPM позволяет производить автоматическую настройку различных единиц оборудования, от конечных телефонных аппаратов до шлюзов. Условно говоря, настройка модуля делится на следующие сегменты:
Global Settings - глобальные настройки модуля, такие как IP – адрес Asterisk и прочие
Extension Mapping - раздел, в котором сопоставляется шаблон и MAC – адрес устройства
Brands - в разделе можно посмотреть марки оборудования, которые были сконфигурированы с помощью EPM
Модуль является платным и стоит 75$ на 25 лет. В бесплатной версии модуля, доступна только настройка телефонов марки Sangoma. Полный перечень приведен в таблице ниже.
Add Brand - добавьте необходимые брэнды оборудования, для которого вы бы хотели создать шаблон
Image Management - здесь можно загрузить картинку в формате GIF, JPEG, или PNG и размером не более 20 мегабайт, которая будет использоваться на оконечных телефонов, например в роли фонового изображения. Данный функционал работает только на устройствах с поддержкой фонового изображения
Basefile Edit - данный раздел позволяет менять различные значения, которые нельзя изменить через стандартные настройки телефона, например через его GUI. Представляет из себя XML – файл. Рекомендуем настраивать данный раздел только в том случае, если вы точно знаете что делаете.
Custom Extensions - раздел аналогичен настройке в модуле Custom Extension
Firmware Management - раздел служит для обновления прошивки телефонов.
Network Scan - сетевая утилита, которая позволяет сканировать указанную сеть на предмет наличия в ней поддерживаемых устройств и уточнения их MAC - адресов
Без приобретения лицензии на модуль вы сможете работать со следующими устройствами:
Производитель
Модель
Поддержка фонового изображения
Sangoma
s300
Нет
Sangoma
s500
Да
Sangoma
s700
Да
Sangoma
Vega 50-4FXS
-
Sangoma
Vega 50-8FXS
-
Sangoma
Vega 3000-24FXS
-
Sangoma
Vega 5000-24FXS
-
Sangoma
Vega 5000-50FXS
-
Поддерживаемые без лицензии устройства
В случае оплаты модуля, для работы будут доступны Aastra, Algo, Audio Codes, Cisco, Cortelco, CyberData, Digium, Grandstream, Mitel, Mocet, Obihai, Panasonic, Phoenix Audio, Polycom, Snom, Uniden, VTech, Xorcom и всеми любимый Yealink.
Настройка Global Settings
В настройках EPM переходим в раздел Global Settings:
Internal IP Address - укажите IP – адрес вашего Asterisk. В нашем случае это 192.168.0.77
External IP Address - если какие-то из ваших телефонов будут подключаться к АТС из внешней сети, то в данном поле укажите внешний IP – адрес или FQDN (Fully Qualified Domain Name)
Ports - в разделе будут указаны порты для WEB – доступа, порт для HTTP провижининга
(автоматической настройки телефонов) и RESTful приложений
Phone Admin Password - все управляемые телефоны имеют пароль для администратора. В данном поле вы можете указать его для всех устройств
Phone User Password - некоторые модели телефонов, например Cisco, имеют систему авторизации для администратора через обычного пользователя. Здесь нужно указать его пароль
ReSync Time - через указанное время телефоны будут обращаться к серверу на предмет изменения в их конфигурационных файлах. По умолчанию, время равно 86400 секунд, что есть 1440 минут, что в свою очередь ровняется 24 часа :)
XML-API (RestAPI) Default Login - включение/выключение данной опции позволяет телефону обращаться к различным приложениям через RestAPI
Extension Mapping IP Addresses - отображать ли IP – адрес устройства на этапе сопоставления телефона и внутреннего номера
Extension Mapping Phone Status - отображать ли время пинга до устройства. Оба параметра замедляют работу.
По окончанию настроек нажмите Save Global
Настройка шаблона настроек
Переходим к настройкам. Сделаем шаблон на примере производителя Sangoma. Для этого, в настройках модуля, в блоке Brands, выберем Sangoma. Для добавления нового шаблона нажимаем New Template. Производим настройки в первой вкладке, которая называется General:
Template Name - даем имя для нашего шаблона. Например, New_template
Default Template - будет ли данный шаблон шаблоном по умолчанию для телефонов. Выставляем Default
Destination Address - в данном поле необходимо указать IP – адрес или доменное имя для нашей IP – АТС Asterisk. При нажатии на кнопки Internal или External, при сохранении, в поле будет автоматически подставлено значение внутреннего или внешнего IP – адреса АТС соответственно. Это удобно в том случае, если мы делаем разные шаблона для внутренних телефонов и для внешних.
Provision Server Address - сервер, к которому телефон будет обращаться за конфигурацией. По умолчанию это наш Asterisk
Provision Server Protocol - протокол, который будет использовать IP – телефон чтобы получить файл конфигурации. Оставьте в данном поле TFTP
Переходим во вкладку Regional
Time Zone - временная зона. Поле прибавляет, или удаляет определенное количество часов к GMT (среднее время по Гринвичу). Например, в Москве GMT +03:00 и мы выбираем +03.00
Primary Time Server - главный сервер синхронизации времени по протоколу NTP. Вы можете посмотреть список серверов в интернете
Daylight Savings -опция подсказывает телефону, использовать ли настройки DST (Daylight Saving Time) – то есть сезонное время
Country Tones - опция настройки гудка. В разных странах они различаются, выберите подходящий
Web GUI Language - язык графического интерфейса администрирования IP - телефона
LCD Display Language - язык на дисплее телефона
Date Format - формат даты. Нам привычно ДД-ММ-ГГ
Time Format - формат времени. Мы выбрали 24 часовой формат
Двигаемся дальше и переходим во вкладку Options. Разберем здесь самые основные опции:
Background Image - выберите фоновое изображение, которое ранее, было залито с помощью пункта меню Image Management
Line Label - информация, которая будет отображаться о пользователе телефона на главном дисплее. Может быть следующих видов:
Name - имя пользователя. Например, «Иван Петров»
Extension - показывать только номер абонента. Например, «101»
Name-Extension - показывать и имя и номер. Например, «Иван Петров 101»
Multicast Enable - поддержка Multicast пейджинга
Функционал Multicast Paging появился в 13 версии FreePBX. Если коротко, то теперь телефон может отправлять на заранее сконфигурированный широковещательный адрес пейджинг запросы. Более подробно вы можете почитать в статье про новинки FreePBX 13
Multicast Address - мультикаст адрес, о котором мы рассказали выше
Dial Patterns - шаблон набора номеров для IP - телефона
Ring Tone - выбрать номер звукового сопровождения для звонка (рингтон)
Screen Saver - что показывать на дисплее телефона по таймауту бездействия Screen Saver Timeout
Call Waiting Signal - хотите ли вы услышать звуковой сигнал, при условии того, что вы уже разговариваете с одним из абонентов и вам поступает второй звонок
BLF Alert - тип индикатора BLF. Это может быть визуальное мигание, аудио сопровождение или оба сразу
По окончанию настроек не забываем нажимать Save Template
Соответствие телефона и шаблона
После того, как мы произвели настройку шаблона его необходимо проассоциировать с телефонным аппаратом. Мы будем делать это с помощью MAC – адреса устройства. Переходим в раздел Extension Mapping и нажимаем Add Extension
В столбце слева выбираем необходимый номер
По середине, выбираем производителя и вводим MAC – адрес телефона
В левом столбце выбираем шаблон и модель телефона
Теперь, чтобы доставить на телефоны адрес TFTP сервера (адреса нашего Asterisk в данном случае), в настройках DHCP сервера необходимо настроить параметр option 150 с IP – адресом TFTP. Телефон обратиться на сервер с просьбой предоставить файл конфигурации для устройства с его MAC – адресом, которое мы создали на этапе ранее.