По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье поговорим о том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данной статье, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС.
Для начала, давайте разберёмся, чем же грозят “дыры” в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС.
Угроза взлома
В отличие от взлома персонального компьютера или почты, взлом АТС – это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов.
Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall или его отсутствие - всё это может стать причиной несанкционированного доступа.
К счастью, все эти уязвимости можно устранить и причём совершенно бесплатно.
Простые шаги к повышению безопасности
Первое правило, которое необходимо соблюдать – это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС.
Второе и самое очевидное – не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать – “1234”, “admin”, “password”, название компании и так далее.
Одной из самых распространённых ошибок, является создание внутренних номеров (Extension), у которых и номер и пароль совпадают. В sip.conf это выглядит примерно так:
sip.conf
[101]
username=101
secret=101
host=dynamic
Допускать такого, категорически нельзя. Тем более что при создании внутреннего номера через интерфейс FreePBX 13, автоматически генерируется 32-значный надёжный пароль.
При настройке внутренних номеров также следует ограничивать IP-адреса, которые могут быть на них зарегистрированы вплоть до пула адресов локальной подсети. IP-АТС Asterisk имеет встроенные ACL (Access Control List), в настройке sip.conf. При помощи команд permit/deny можно разрешить лишь опредёленное количество IP-адресов для регистрации.
Другой важной мерой по усилению безопасности, является ограничение удалённого доступа к IP-АТС при помощи firewall. Будьте внимательны, так как в данном случае, главное грамотно настроить правила, по которым будет отрабатывать firewall. Убедитесь, что настройка не блокирует порты, которые использует ваша IP-АТС и не позволяет анонимно посылать ICMP запросы из публичной сети. Если вы планируете предоставлять удалённый доступ для авторизованных сотрудников, лучше всего организовать его при помощи VPN сервера (например, Open VPN).
Если это возможно, то желательно использовать NAT (Network Address Translation). При помощи NAT’а, можно присвоить IP-АТС приватный IP-адрес и существенно усложнить доступ к ней из Интернета.
Ещё одним очень важным фактором, является разделение входящих и исходящих маршрутов (Inbound Routes и Outbound Routes). Необходимо, чтобы каждый маршрут принадлежал собственному контексту обработки вызова.
Отключите каналы и сервисы, которые не используются. Например, если вы не используете протокол MGCP или skinny. Отключить эти модули можно в /etc/modules.conf как показано ниже:
noload => chan_mgcp.so
noload => chan_skinny.so
noload => chan_oss.so
Чтобы усложнить работу всевозможным SIP-сканнерам, необходимо в настройках sip.conf выставить следующее условие - alwaysauthreject=yes. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС.
Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN – кодом, который могут знать только сотрудники вашей организации.
Как видите, защитить IP-АТС от внешних вторжений не так уж трудно, следуя предложенным советам, можно достаточно серьёзно повысить безопасность и надёжность системы.
В Cisco Unified Communications Manager (CUCM) существует разделение по интерфейсам администратора – каждый из них отвечает за свою область настроек.
В CUCM есть следующие интерфейсы:
Cisco Unified CM Administration (https://[IP_сервера]/ccmadmin);
Cisco Unified Serviceability (https://[IP_сервера]/ccmservice);
Cisco Unified OS Administration (https://[IP_сервера]/cmplatform);
Cisco Unified Reporting (https://[IP_сервера]/ccmservice);
Cisco Unified IM and Presence Reporting (https://[IP_сервера]/cucreports);
Disaster Recovery System (https://[IP_сервера]/drf);
Command Line Interface (CLI);
К каждому из них можно подключиться только по HTTPS (кроме интерфейса командной строки CLI, для него используется SSH), а переключаться между интерфейсами можно через выпадающее меню в правой верхней части экрана.
Логин и пароль администратора платформы, которые задаются при установке (administrator id) используется для доступа в DRS и OS Administration. Также при установке задаются логин и пароль (application user) для входа в CM Administration, Serviceability и Cisco Unified Reporting.
Рассмотрим подробнее эти интерфейсы и что в них включено. Стоит заметить что наличие того или иного пункта в меню зависит от версии CUCM.
Интерфейс Cisco Unified Communications Manager Administration
Меню System: включает в себя конфигурирование групп CM, Presence и Device Mobility, настройку Device Pool, Region, Locations, Survivable Site Telephony (SRST), DHCP, LDAP, сервисных параметров, а также лицензирование;
Меню Call Routing: здесь находятся разделы, отвечающие за маршрутизацию звонков, паттерны, интерком, Dial Rules, меню Class of Control, включающее Calling Search Space и Partitions, а также такие функции как Call Pickup, Call Park и другие;
Меню Media Resources: в этом меню расположены настройки таких ресурсов, как Music on Hold (MOH), Annunciator, Transcoder, Media Termination Point (MTP), а также файловый менеджер MOH;
Меню Advanced Features: тут можно найти настройки Voicemail интеграций, Inter-Company Media Engine Configuration и VPN;
Меню Device: настройка IP-телефонов, шлюзов, гейткиперов, транков, профилей телефонов, функциональных кнопок и многое другое;
Меню Application: содержит мастер конфигурации CUCM и меню настройки плагинов;
Меню User Management: настройка пользователей End User, Application User, User Group и ролей;
Меню Bulk Administration: предоставляет множество возможностей для выполнения повторяющихся задач настройки (например, добавления большого числа пользователей или телефонов) автоматическим способом;
Меню Help: тут собранны полезные статьи о работе в CUCM;
Интерфейс Cisco Unified Serviceability Administration
Меню Alarm: тут находятся конфигурационные опции для системных предупреждений для мониторинга производительности и общего состояния системы;
Меню Trace: настройки трекинга для мониторинга системы и поиска проблем;
Меню Tools: здесь в подменю CDR Analysis and Reporting предоставляет интерфейс для сбора журналов вызовов и отчетов о вызовах, выполненных с использованием системы. Раздел Service Activation предоставляет интерфейс для активации сервисов, установленных в первый раз. Используя этот интерфейс, администраторы могут останавливать, запускать или перезапускать активированные службы. Архив отчетов Serviceability Reports обеспечивает доступ к интерфейсу отчетов для анализа системы. Интерфейс управления CDR позволяет администраторам настраивать и проверять использование дискового пространства для Call Detail Report (CDR). Страница Audit Log Configuration содержит параметры для того, что будет включено в журналы аудита;
Меню SNMP: тут расположены подменю (V1/V2c, V3 и SystemGroup) конфигурации протокола Simple Network Management Protocol (SNMP);
Меню Help: здесь также расположены материалы о CUCM;
Интерфейс Cisco Unified Operating System Administration
Этот интерфейс позволяет администратору следить и взаимодействовать с платформой операционной системы на базе Linux. Административные задачи, которые могут быть выполнены здесь, включают в себя:
Мониторинг использования аппаратного ресурса (центральный процессор, дисковое пространство);
Проверка и обновление версий программного обеспечения;
Проверка и изменение информации об IP-адресе;
Управление IP адресом протокола Network Time Protocol (NTP);
Управление безопасностью сервера, включая IPsec и цифровые сертификаты;
Создание учетной записи удаленной помощи TAC;
Ping других IP-устройств;
Интерфейс Disaster Recovery System
Система аварийного восстановления (DRS) обеспечивает резервное копирование (с планировщиком) и возможность восстановления. Доступ к этому интерфейсу использует учетная запись администрирования платформы, определенная при установке (также как и интерфейс Cisco Unified Operating System Administration). Дополнительные учетные записи могут быть созданы для доступа других лиц.
Резервные копии должны быть записаны на сетевой SFTP-сервер. Планировщик предоставляется для автоматического резервного копирования или может быть выбран немедленный запуск копирования. Также может выполняться резервное копирование отдельного сервера или полного кластера.
Интерфейс Cisco Unified Reporting
Cisco Unified Reporting предоставляет упрощенный метод доступа к системным отчетам. Эти отчеты собирают информацию из существующих журналов и форматируют данные в простые, полезные отчеты с одним щелчком мыши. Данные собираются из журналов через кластер (Publisher и Subscribers), чтобы предоставить обобщенную информацию и выделить проблемы или нарушения, которые могут повлиять на работу кластера. Интерфейс также предупреждает, что запуск конкретного отчета может неблагоприятно повлиять на работу сервера и повлиять на производительность или занять много времени.
Command Line Interface
К CLI обычно получают доступ с использованием SSH, хотя можно напрямую подключить клавиатуру и монитор. Изначально единственной учетной записью, которая может войти в систему с использованием CLI, является учетная запись администрирования платформы, определенная во время установки, хотя для доступа можно создать дополнительные учетные записи.
Команды и функциональные возможности CLI включают все те, которые находятся в интерфейсе OS Administration, плюс следующие (но это далеко не полный список):
Выключение или перезагрузка системы;
Изменение версий после обновления;
Запуск, остановка и перезапуск служб;
Изменение сетевых настроек (IP-адрес, маска, шлюз и так далее.);
Использование сетевых инструментов, таких как ping, traceroute и захват пакетов;
Использование DRS (резервное копирование и восстановление);
Добавление и изменение учетных записей администратора;
Отображение нагрузки на сервер и информации о процессах;
Проверка состояния сервера, включая версии программного обеспечения, процессор, память и использование диска, аппаратную платформу, серийные номера и так далее;
Cisco Packet Tracer - это программное обеспечение для моделирования сетей, предназначенное для моделирования сетевых устройств Cisco. Вы можете использовать Cisco Packet Tracer для проектирования простых и довольно сложных сетевых топологий. Вы также можете настроить виртуальные машины, маршрутизаторы, коммутаторы и другие устройства в Packet Tracer для проверки топологии сети.
Cisco Packet Tracer также можно использовать для моделирования беспроводных сетей, сетей IP-телефонии (VoIP) и многих других.
Если вы стремитесь к сертификации Cisco, такой как CCENT, CCNA и другие, то вы можете использовать Cisco Packet Tracer для настройки сетевых устройств Cisco, таких как коммутаторы и маршрутизаторы, с помощью команд Cisco IOS.
Скачать и установить Cisco Packet Tracer
Вы можете официально скачать и использовать Cisco Packet Tracer бесплатно. Вам нужна учетная запись Cisco Network Academy для загрузки и использования Cisco Packet Tracer. Вы можете создать учетную запись Cisco Network Academy бесплатно.
В Packet Tracer 7 добавлена функция аутентификации пользователей. Пользователь Сетевой академии должен выполнить вход при первом запуске Packet Tracer.
Пользователи без учетной записи Сетевой академии смогут сохранять топологии не более трех раз.
Пользователь без учетной записи Сетевой академии может нажать кнопку гостевого входа, чтобы записаться на бесплатный курс для самостоятельного изучения «Введение в Packet Tracer» и получить учетную запись netacad.com для полного доступа к Packet Tracer. Курс «Введение в Packet Tracer» поможет вам ознакомиться с основными функциями Packet Tracer.
Чтобы создать учетную запись Cisco Network Academy, перейдите на страницу https://www.netacad.com/ru/courses/packet-tracer/introduction-packet-tracer из любого веб-браузера по вашему выбору, и вы должны увидеть следующую страницу. Теперь нажмите Зарегистрируйтесь уже сегодня!, чтобы загрузить Packet Tracer.
В выпадающем меню нужно нажать кнопку English. Должна открыться страница регистрации. Заполните данные и нажмите Отправить, как показано на скриншоте ниже.
После того как вы зарегистрировались и подтвердили свою учетную запись, перейдите по адресу https://www.netacad.com/, и вы должны увидеть следующую страницу. Нажмите Log In -> Login, как видно на скриншоте ниже.
После того как вы зашли, нужно нажать в верхнем меню Resource -> Download Packet Tracer.
На этой странице в разделе Downloads нужно выбрать и скачать необходимую версию - для Windows, Linux, MacOS, Android или iOS.
Устанавливаем и запускаем. При первом запуске мы увидим окно где нужно еще раз залогиниться под учетной записью netacad. Чтобы войти без учетной записи нужно нажать кнопку Guest Login в правом нижнем углу и подождать окончания таймера, после чего нажать кнопку Confirm Guest.
Готово! Теперь можно начинать работать!