По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Атака MITM обычно выполняется во внутренней корпоративной сети. Злоумышленник использует этот тип атаки с целью перехвата конфиденциальной информации, которая передается между устройствами. Как вы понимаете, «человек посередине» (Man-in-the-middle) — это просто указание на то, где находится злоумышленник. Он располагается между устройством (устройствами) жертвы и получателем. Машина злоумышленника используется для перехвата всех сообщений между жертвой получателем.
Большинство пользователей не знают о незащищенных сетевых протоколах, которые используются для передачи их сообщений от источника к получателю. Эти незащищенные протоколы передают сообщения в виде обычного текста, позволяя злоумышленнику перехватить и просмотреть фактические данные.
Чтобы лучше понять, как работает MITM-атака, давайте посмотрим на следующий рисунок:
Как показано на предыдущем рисунке, если PC1 захочет отправить какие-либо данные через Интернет, они отправляются на шлюз по умолчанию, которым является R1. Кроме того, для всех коммуникаций, которые происходят в локальной сети, устройства пересылают сообщения, используя MAC-адрес назначения, найденный в кадре, а не IP-адрес назначения. IP-адрес назначения важен только тогда, когда сообщение должно быть переадресовано за пределы локальной сети, например, в другую подсеть или удаленную сеть. Следовательно, когда PC1 захочет отправить сообщение через Интернет, он пересылает сообщение на MAC-адрес назначения, известный как BBBB.BBBB.BBBB, который принадлежит R1. Когда R1 должен пересылать какие-либо сообщения (пакеты) на PC1, он будет использовать MAC-адрес назначения AAAA.AAAA.AAAA. Таким образом, изначально сообщения на машину злоумышленника не отправляются.
Злоумышленник может использовать уязвимость в протоколе разрешения адресов (Address Resolution Protocol - ARP), чтобы гарантировать, что все сообщения, которыми обмениваются между PC1 и R1, отправляются через его машину, как показано на следующем рисунке:
Протокол ARP работает между уровнем 2 (канальный уровень) и уровнем 3 (уровень Интернета) стека протоколов TCP/IP. Он предназначен для преобразования IP-адреса в MAC-адрес потому, что коммутаторы не могут считывать адресацию уровня 3, например IP-адресацию внутри пакета. Коммутаторы могут только читать MAC-адреса и пересылать кадры на основе MAC-адреса назначения, найденного в заголовке кадра уровня 2. По этой причине ARP необходим в любой сети.
Когда устройство, такое как PC1, не знает MAC-адрес целевого хоста, такого как R1, оно будет отправлять ARP-запрос в сеть, спрашивая, у кого есть MAC-адрес для конкретного пункта назначения, как показано на следующем рисунке:
Запрос ARP отправляется на все устройства. Только устройство, имеющее IP-адрес назначения, ответит ARP-ответом, содержащим его MAC-адрес, как показано на следующем рисунке:
Затем MAC-адрес временно сохраняется в кэше ARP исходного устройства, PC1. Исходное устройство затем вставляет MAC-адрес назначения в заголовок кадра уровня 2 перед размещением сообщения в сети. Коммутатор, который получает сообщение от PC1, проверяет MAC-адрес назначения, найденный в заголовке уровня 2, и пересылает сообщение на хост назначения.
Злоумышленник может обманом заставить PC1 поверить в то, что он — это R1, а также заставить R1 думать, что он — это PC1. Злоумышленник может притвориться PC1 для R1 и наоборот. С технической точки зрения злоумышленник выдает себя за другую машину в сети — это называется подменой MAC-адресов. Кроме того, злоумышленник отправит безвозмездное сообщение ARP, содержащее ложное сопоставление IP-адресов и MAC-адресов. Каждое сообщение создается специально для PC1 и R1. Безвозмездное сообщение ARP — это ответ, который не был инициирован запросом ARP.
Другими словами, это когда одно устройство отправляет обновление ARP без запроса. Это позволяет злоумышленнику выполнять атаку с подменой ARP и отправлять ложные сообщения ARP устройствам, заставляя их вставлять неверные сопоставления IP-адресов в MAC-адреса в их кэш ARP. Это известная уязвимость, обнаруженная в ARP и TCP/IP.
На следующем рисунке показано, как злоумышленник отправляет безвозмездное сообщения ARP на PC1 и R1:
Это приведет к тому, что весь трафик между PC1 и R1 будет отправлен на атакующую машину, что приведет к атаке MITM.
На следующем скриншоте показан пример инструмента тестирования на проникновение, известного как arpspoof, который используется для отправки бесплатных сообщений ARP на хост-устройства в сети для создания атак MITM:
Как показано на предыдущем скриншоте, инструмент постоянно заполняет компьютер жертвы (10.10.10.11) и шлюз по умолчанию (10.10.10.1) ложными сведениями о сопоставлении IP-адресов с MAC-адресами. На следующем рисунке показан захват Wireshark, отображающий ложные сообщения ARP, отправляемые по сети:
Обратите внимание, как Wireshark выделил сообщения желтым цветом как подозрительные для изучения. Существует множество функций безопасности уровня 2, которые уже предварительно загружены в коммутаторы Cisco IOS, и все они могут быть реализованы специалистом по безопасности. Вот некоторые из этих функций безопасности:
Port security: Port security используется для фильтрации неавторизованных MAC-адресов от входа в интерфейс коммутатора.
Dynamic ARP Inspection (DAI): DAI проверяет информацию об адресе IP-to-MAC, найденную в пакете, поступающем в коммутатор. Если будет найдено поддельное сообщение, коммутатор отклонит его, чтобы защитить сеть уровня 2.
IP Source Guard: это еще одна функция безопасности, которая позволяет устройствам Cisco разрешать в сети только IP-адреса доверенных источников, предотвращая атаки с подменой IP-адресов.
Привет всем! В сегодняшней статье хотим рассказать о том, как защитить исходящие маршруты во FreePBX списком паролей. Мы покажем, как создать множество PIN-кодов, которые необходимо будет набрать прежде чем открылась возможность совершения вызова через тот или иной исходящий маршрут.
Как можно догадаться, для этих целей во FreePBX существует специальный модуль - PIN Sets, о нём и поговорим.
Обзор
Модуль PIN Sets позволяет создавать группы и привязывать к ним список определённых паролей (нас самом деле - PIN-кодов). Затем, через модуль Outbound Route можно сократить пользование исходящим маршрутом только до определённой группы. Получается такое расширение функций поля Route Password в настройках исходящего маршрута только вместо одного PIN-кода мы теперь можем ввести много разных.
Например, мы можем создать группу ”Sales” (Продавцы) и задать в ней 3 PIN-кода, один для руководителя отдела продаж, и ещё два для менеджеров, а затем каждому сообщить свой PIN. Потом назначить данную группу на определённый маршрут и каждый раз, когда кто-то захочет сделать внешний вызов через этот маршрут, ему будет предложено сначала ввести PIN.
Настройка
Перейдём к настройке. Модуль PIN Sets располагается в разделе Settings:
Описание модуля говорит нам, что он используется для управления PIN-кодами для доступа к “запрещённым фичам” таким как Outbound Routes (исходящие маршруты). Но на самом деле, кроме как в модуле Outbound Route функционал PIN Sets больше нигде применить нельзя.
Существует коммерческая реализация данного модуля – PIN Sets Pro. Она позволяет создавать наборы PIN-кодов индивидуально для внутренних номеров, а также строит отчёты по использованию данных PINов.
Для того, чтобы создать новую группу кликаем Add Pinset:
Перед нами открывается окно с параметрами для добавления новой группы:
Описание каждого параметра модуля:
PIN Set Description - Описание для данной группы;
Record In CDR - Параметр, отвечающий за то, записывать ли PIN-коды данной группы в CDR;
PIN List - Собственно, сами PIN коды, которые можно будет набрать прежде чем звонить через маршрут. Можно вводить несколько PIN-кодов, записывая их в линию;
После создания новой группы нажимаем Submit и Apply Config. А затем отправляемся в модуль Outbound Route, выбираем из списка маршрут, который нужно защитить и открываем его настройки. Предварительно, необходимо убедиться, что на вкладке Route Settings в поле Route Password не стоит никакого пароля.
Переходим на вкладку Additional Settings и в поле PIN Sets выбираем только что созданную группу.
Теперь, чтобы можно было воспользоваться маршрутом 79012345678 и позвонить во вне, абоненту нужно будет набрать либо PIN-код 48151 либо 62342 как настроено в PIN Sets.
Каждому исходящему маршруту может быть назначена только одна группа PIN Set. Если Вы хотите разрешить ещё одной группе пользоваться тем же маршрутом, не внося пароли из неё в первую группу, просто продублируйте маршрут и назначьте ему новую группу PIN Set.
Всем привет! В этой статье мы хотим рассказать про то, что такое Extension Mobility в Cisco Unified Communications Manager (CUCM) , и про то, как его настроить.
Cisco Extension Mobility позволяет пользователю залогиниться на любой телефон, подключенный к CUCM. Это может использоваться, когда пользователи часто перемещаются с одного рабочего места на другое. Все персональные настройки, такие как номер телефона (Directory Number) и быстрый набор (user-specific parameters) могут быть динамически настроены на телефоне, который будет использоваться, что позволит пользователю не теряя времени начать работу.
Стоит отличать Extension Mobility от Device Mobility, который позволяет перенастраивать телефоны в зависимости от их местонахождения.
Extension Mobility работает как сервис, и после того как телефон будет на него подписан, у пользователя появится возможность выбрать этот сервис и ввести свой User ID и PIN. После этого CUCM применит Device Profile и перезагрузит телефон.
Если пользователь будет пытаться залогиниться на нескольких телефонах одновременно, то есть несколько вариантов:
Allow Multiple Logins – Пользователь может войти на несколько телефонов сразу, при этом все телефоны звонят одновременно
Deny Login – Пользователь может быть залогиненным только на одном устройстве. Если он попытается войти на другое, то будет выдаваться сообщение об ошибки, до тех пор, пока он не выйдет из первого устройства.
Auto-logout - Пользователь также может быть залогиненным только на одном устройстве, но когда он вводит свой данные на втором устройстве, система отключит его на первом.
Настройка Extension Mobility
Шаг 1. Активация сервиса Cisco Extension Mobility
Первым делом нам нужно перейти в раздел Cisco Unified Serviceability и перейти во вкладку Tools – Service Activation. Тут выбираем наш сервер и ставим галочку напротив пункта Cisco Extension Mobility.
Шаг 2. Настройка EM Service параметров
Возвращаемся в раздел CM Administration и переходим во вкладку System – Service Parameters. Здесь выбираем наш сервер, и из выпадающего меню Service выбираем Cisco Extension Mobility. Ниже в разделе Clusterwide Parameters. Тут можно настроить параметры входа, такие как время работы, возможность множественного входа и другие.
Шаг 3. Добавление EM Service.
Переходим во вкладку Device – Device Settings – Phone Services и нажимаем Add New. В поле Service Name указываем желаемое имя сервиса. В поле Service URL нужно указать следующую строчку:
http://[IP_адрес_CUCM_Publisher]:8080/emapp/EMAppServlet?device=#DEVICENAME#
Перед сохранением нужно удостовериться, что галочка в пункте Enable стоит. Также можно активировать пункт Enterprise Subscription, для того чтобы все телефоны подписались на Extension Mobility Service автоматически.
Шаг 4. Создание Default Device Profile
Default Device Profile со стандартными параметрами используется если модель телефона не совпадает с моделью в Profile. Для настройки переходим во вкладку Device – Device Settings – Default Device Profile и нажимаем Add New. В строке Product Type выбираем модель телефона, которая будет использоваться, а в строке Device Protocol указываем протокол, по которому работает телефон - SCCP или SIP. Доступные настройки зависят от выбранного телефона и протокола. Здесь можно задать настройки Music on Hold, Locale, Phone Button и Softkey Template и другие, которые будут использованы в профиле.
Шаг 5. Создание Device Profile
Создадим Device Profile, который будет использоваться на телефоне, после того, как пользователь залогинится. Переходим во вкладку Device – Device Settings – Device Profile и в новом окне нажимаем Add New. Так же как и в предыдущем пункте выбираем модель телефона, протокол и задаем параметры профиля (user-specific settings). Затем нажимаем Save.
После этого в открывшемся окне в меню Association Info нажимаем на Line [1] – Add a new DN и указываем номер телефона в стоке Directory Number. При необходимости заполняем остальные поля и нажимаем Save и возвращаемся в предыдущее меню.
Шаг 6. Подписка Device Profile на EM Service
Из меню Device Profile в выпадающем меню Related Links справа сверху выбираем Subscribe/Unsubscribe Services и нажимаем Go.
В открывшемся окне в стоке Select a Service выбираем созданный нами сервис и нажимаем Next. Далее указываем имя сервиса и нажимаем Subscribe, а затем Save.
Шаг 7. Ассоциируем пользователей End User с Device Profile.
Сначала нужно создать учетную запись пользователя. Для этого идем во вкладку User Management – End User и нажимаем Add New. Здесь нужно заполнить поля User ID, Password, PIN, Last Name и остальные, если необходимо.
Затем заходим в настройки созданного пользователя и в разделе Extension Mobility из поля Available Profiles переносим созданный нами профиль в поле Controlled Profiles, путем нажатия на кнопку “вниз”. Ниже в поле Device Profile выбираем профиль для пользователя.
Шаг 8. Включение EM на телефонах
Переходим во вкладку Device – Phone и выбираем телефон, на котором хотим настроить Extension Mobility. Находим раздел Extension Mobility и ставим галочку в пункте Enable Extension Mobility.
Далее нужно подписать телефон на сервис. Как и ранее сверху справа находим меню Related Links и выбираем Subscribe/Unsubscribe Services. (этот пункт не обязателен, если при создании сервиса мы поставили галочку в пункте Enterprise Subscription). Тут снова указываем созданный нами сервис и его имя и нажимаем Save.
Шаг 9. Тестирование
После всех настроек на телефоне, на котором мы настроили EM service. Для этого на телефоне нажимаем кнопку Services.
Здесь выбираем наш сервис и вводим Used ID и PIN.
После этого телефон перезагрузится и загрузится с новым профилем и номером. Выйти из профиля можно также нажатием кнопки Services.