По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Многие люди, работающие в сферах, где утечка информации может нанести существенный ущерб компании или её репутации, беспокоились о безопасности хранения данных на компьютерах, различных носителях. Вскоре эта проблема была решена с появлением различных антивирусов, шифрований, пресекавших несанкционированный доступ к данным. Но как быть, если необходимо хранить данные в какой-то сети, скажем, из 5 компьютеров, но при этом, чтобы они имели выход в интернет? Для решения такой задачи были созданы межсетевые экраны. Одним из фаворитов, среди производителей сетевого оборудования является компания cisco. Название пишется с маленькой буквы, так как при оформлении уже существовала компания CISCO, а владельцам не осталось ничего иного, как cisco. Интересно, что такое название компания получила от сокращенного названия города Сан-Франциско, в котором была образована. На логотипе изображена достопримечательность города – мост «Золотые ворота», которые некоторые люди ошибочно принимают за модулированный сигнал. Компания регулярно радует «сетевиков» своими новинками, что и сделало cisco популярными повсеместно. Перейдем непосредственно к решению задачи по обеспечению безопасного хранения данных в локальной сети. Сетевой экран позволяет блокировать нежелательный трафик из сети Интернет, посредством фильтрации проходящей через них информации. Условно экран (Firewall) может находиться на любом из уровней модели OSI (взаимодействия открытых систем), за исключением физического. Как и любое сетевое устройство, которое вводится в эксплуатацию, Firewall должен разграничить доступ к настройке фильтрации. Рассмотрим на примере 2 ПК, cisco ASA 5505 по пунктам: Подключаем кабель через консольный порт (console), который отмечен голубым цветом вокруг. Второй конец подключаем к ПК, с которого будет производиться настройка. Есть 3 режима работы, многие ошибочно считают, что их всего 2. Общий Пользовательский Привилегированный Для настройки ASA 5005 нам необходим привилегированный режим. Чтобы перейти в него, нужно пройти предыдущие два. Вначале мы оказываемся в общем режиме. Чтобы перейти в пользовательский, вводим команду en или enable (разницы нет, это всего лишь сокращение). ciscoasa> ciscoasa> enable ciscoasa# Система известила нас о том, что произошел переход с пользовательский режим ответом ciscoasa#. #(решетка) означает тот самый пользовательский режим. Далее переходим в привилегированный режим командой conf t или configure terminal. ciscoasa# configure terminal ciscoasa(config)# С помощью ответа в виде ciscoasa(config)# firewall уведомил о переходе в максимально возможный режим с доступов ко всем настройкам. Чтобы ограничить доступ посторонних лиц к настройке, рекомендуется устанавливать пароль командой enable password XXX, где XXX – ваш пароль. ciscoasa(config)# enable password XXX Настроим интерфейсы cisco. Для этого в привилегированном режиме вводим следующие команды: Interface GigabitEthernet 0/0 (входим в настройку интерфейса 0/0). Далее, при новой настройке указывается Interface GigabitEthernet 0/1 и т.д. nameif XXX (XXX – имя интерфейса) security-level 0 (если на этот порт будет поступать информация из Интернета) или security-level 100 (если информация будет находиться в локальной сети) ip address 192.168.1.10 255.255.255.0 (присваиваем IP-адрес интерфейсу) no shutdown (открываем порт для прохождения информации через него) Настроим статическую маршрутизацию командой: ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 83.230.23.69 Главное – последний IP. Задается IP провайдера. Настроим доступ по HTTP: ciscoasa(config)# http server enable ciscoasa(config)# http 192.168.1.10 255.255.255. 0 inside ciscoasa(config)# aaa authentication http console LOCAL Включили HTTPS-сервер, присвоили его к нашему интерфейсу, назначили его работу через локальную сеть. Настроим доступ по SSH: hostname XXX domain-name yyy.ru crypto key generate rsa modulus 2048 ssh 192.168.1.10 255.255.255.0 inside aaa authentication ssh console LOCAL Для того, чтобы можно было проверить соединение с помощью командой ping в командной строке, необходимо выключить ICMP протокол: fixup protocol icmo Если необходимо, чтобы все устройства локальной сети имели общий адрес в сети Интернет, вводим следующую команду: nat (inside,outside) after-auto source dynamic any interface Таким образом на данном межсетевом экране можно настроить и остальные 4 ПК, которые нам необходимо было настроить.
img
Друг, сегодня покажем простой способ интеграции Е1 – шлюза производства российской компании Eltex модели SMG-1016M и IP – АТС Asterisk. От слов к делу. /p> Настройка со стороны Eltex Начнем с настройки шлюза. Мы настроим SIP – транк в сторону IP – АТС Asterisk, а так же маршрутизацию: при наборе номера 4951234567 (вызовы, которые приходят к нам из PRI, потока) мы будем отправлять вызов в сторону Asterisk. Заходим в интерфейс администратора: Идем в раздел Маршрутизация → Интерфейсы SIP: Для добавления нового транка нажмите на соответствующий значок: Делаем настройки во вкладке Настройка интерфейса SIP: Название - дайте имя для транка; Имя хоста / IP-адрес - укажите IP – адрес Asterisk; Порт назначения SIP сигнализации - укажите порт, на котором слушает chan_sip модуль Asterisk; Переходим в секцию Настройка кодеков/RTP и отметим два кодека – G.711A и G.711U: Сохраняем настройки и переходим к маршрутизации. Для этого, переходим в раздел План нумерации → План #0: Нажимаем на уже знакомый значок «+», который создаст новую сущность: Название - дайте имя для сущности; Транковая группа - выбираем созданные транк; Сохраняем сущность. Далее, находим ее в списке плана нумерации и переходим в ее параметры. В самом низу нажимаем привычный значок «+» и добавляя маску для звонков: Готово. На данном этапе все звонки из E1 потока (DID 4951234567) будут отправляться по SIP в сторону Asterisk. Переходим к настройке Asterisk. Настройка со стороны Asterisk Все настройки выполним через графический интерфейс FreePBX. Итак, первое, что необходимо сделать – создать SIP – транк в сторону Eltex. Переходим в раздел Connectivity → Trunks. Нажимаем Add Trunk. Даем имя транку в поле Trunk Name. Во вкладке sip Settings в секции Outgoing добавляем следующие данные: host=ip_адрес_Eltex type=friend qualify=yes disallow=all allow=ulaw,alaw nat=no Готово. Теперь вы можете настроить входящую и исходящую маршрутизацию согласно требований вашей задачи. Если вы хотите сделать исходящие звонки в город через Eltex шлюз (с уходом через E1 (PRI) линию), то сделайте на транке (от Asterisk) опцию Outbound CallerID, на базе которой создавайте диалплан на шлюзе Eltex (в примере, когда мы создавали сущность с номером 4951234567, мы указали типа Called. В указанном случае тип нужно сделать Calling). В качестве назначения используйте Е1 транковую группу.
img
Привет! Сегодня мы оговорим немного о базовой сетевой безопасности, а именно о Port-Security и о том, как его настроить на коммутаторах Cisco. Для начала разберемся, что же вообще такое Port-Security. Port-Security – это функция коммутатора, при помощи которой мы можем указать каким устройствам можно пропускать трафик через определенные порты. Устройство определяется по его MAC-адресу. Эта функция предназначена для защиты от несанкционированного подключения к сети и атак, направленных на переполнение таблицы MAC-адресов. При помощи нее мы можем указывать конкретные адреса, с которых разрешен доступ или указывать максимальное количество MAC-адресов, которые могут передавать трафик через порт. Типы Port-Security Существует несколько способов настройки port-security: Статические MAC-адреса – MAC-адреса, которые вручную настроены на порту, из режима конфигурации порта при помощи команды switchport port-security mac-address [MAC-адрес] . MAC-адреса, сконфигурированные таким образом, сохраняются в таблице адресов и добавляются в текущую конфигурацию коммутатора. Динамические MAC-адреса - MAC-адреса, которые динамически изучаются и хранятся только в таблице адресов. MAC-адреса, сконфигурированные таким образом, удаляются при перезапуске коммутатора. Sticky MAC-адреса - MAC-адреса, которые могут быть изучены динамически или сконфигурированы вручную, затем сохранены в таблице адресов и добавлены в текущую конфигурацию. Sticky MAC-адреса Если необходимо настроить port-security со sticky MAC-адресами, которые преобразуются с из динамически изученных адресов и добавляются в текущую конфигурацию, то необходимо настроить так называемое sticky изучение. Для того чтобы его включить необходимо на интерфейсе коммутатора выполнить команду switchport port-security mac-address sticky из режима конфигурации интерфейса. Когда эта команда введена, коммутатор преобразует все динамически изученные MAC-адреса (включая те, которые были динамически изучены до того, как было включено sticky обучение) к sticky MAC-адресам. Все sticky MAC-адреса добавляются в таблицу адресов и в текущую конфигурацию. Также sticky адреса можно указать вручную. Когда sticky MAC-адреса настроены при помощи команды switchport port-security mac-address sticky [MAC-адрес], все указанные адреса добавляются в таблицу адресов и текущую конфигурацию. Если sticky MAC-адреса сохранены в файле конфигурации, то при перезапуске коммутатора или отключении интерфейса интерфейс не должен будет переучивать адреса. Если же sticky адреса не будут сохранены, то они будут потеряны. Если sticky обучение отключено при помощи команды no switchport port-security mac-address sticky , то эти адреса будут оставаться в таблице адресов, но удалятся из текущей конфигурации. Обратите внимание, что port-security не будут работать до тех пор, пока не будет введена команда, включающая его - switchport port-security Нарушение безопасности Нарушением безопасности являются следующие ситуации: Максимальное количество MAC-адресов было добавлено в таблицу адресов для интерфейса, а устройство, MAC-адрес которого отсутствует в таблице адресов, пытается получить доступ к интерфейсу. Адрес, полученный или сконфигурированный на одном интерфейсе, отображается на другом интерфейсе в той же VLAN. На интерфейсе может быть настроен один из трех режимов реагирования при нарушении: Protect - когда количество MAC-адресов достигает предела, разрешенного для порта, пакеты с неизвестными исходными адресами отбрасываются до тех пор, пока не будет удалено достаточное количество MAC-адресов или количество максимально допустимых адресов для порта не будет увеличено. Уведомление о нарушении безопасности отсутствует в этом случае. Restrict – то же самое, что и в случае Protect, однако в этом случае появляется уведомление о нарушении безопасности. Счетчик ошибок увеличивается Shutdown – стандартный режим, в котором нарушения заставляют интерфейс немедленно отключиться и отключить светодиод порта. Он также увеличивает счетчик нарушений. Когда порт находится в этом состоянии (error-disabled), его можно вывести из него введя команды shutdown и no shutdown в режиме конфигурации интерфейса. Чтобы изменить режим нарушения на порту коммутатора, используется команда port-security violation {protect | restrict |shutdown} в режиме конфигурации интерфейса. .tg {border-collapse:collapse;border-spacing:0;} .tg td{font-family:Arial, sans-serif;font-size:14px;padding:10px 5px;border-style:solid;border-width:1px;overflow:hidden;word-break:normal;border-color:black;} .tg th{font-family:Arial, sans-serif;font-size:14px;font-weight:normal;padding:10px 5px;border-style:solid;border-width:1px;overflow:hidden;word-break:normal;border-color:black;} .tg .tg-fymr{font-weight:bold;border-color:inherit;text-align:left;vertical-align:top} .tg .tg-0pky{border-color:inherit;text-align:left;vertical-align:top} Режим реагирования Передача траффика Отправка сообщения syslog Отображение сообщения об ошибке Увеличение счетчика нарушений Выключение порта Protect Нет Нет Нет Нет Нет Restrict Нет Да Нет Да Нет Shutdown Нет Нет Нет Да Да Настройка Рассмотрим пример настройки: Switch#interface fa0/1 – заходим в режим конфигурации порта Switch(config-ig)#switchport mode access – делаем порт access Switch(config-ig)#switchport port-security – включаем port-security Switch(config-ig)#switchport port-security maximum 50 – задаем максимальное количество адресов на порту Switch(config-ig)#switchport port-security mac-address sticky – включаем sticky изучение Если мы не будем ничего уточнять и просто включим port-security командой switchport port-security в режиме конфигурации интерфейса, то максимальное количество адресов на порту будет один, sticky изучение будет выключено, а режим нарушения безопасности будет shutdown. Проверка порта Чтобы отобразить параметры port-security используется команда show port-security [номер_интерфейса] . Чтобы отобразить все защищенные MAC-адреса используется команда show port-security address.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59