По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Возможно немногие знают, но у роутеров MikroTik есть графическая составляющая, которая позволяет визуализировать много полезной информации. Инструмент Graphing позволяет отслеживать показатели производительности роутера MikroTik и выводить их в наглядные графики.
Можно строить графики для:
Текущих показаний напряжения и температуры роутера;
Показателей производительности (загрузка памяти, CPU, использование дискового пространства);
Трафика, проходящего через интерфейсы.
Трафика, ограниченной скорости (Simple Queues).
Инструмент Graphings состоит из двух частей - первая его часть отвечает за сбор необходимой информации, а вторая - за её отображение в графическом виде через web-интерфейс или WinBox.
Графики будут доступны, если набрать в браузере http://*IP_адрес_роутера/graphs/ или же выбрать Graphs на станице авторизации.
Для того, чтобы была возможность просматривать графики в web-интерфейсе, необходимо, чтобы в IP → Services был включен сервис www (порт 80), только не надо убедитесь, что доступ к этому порту был только у тех, кому это необходимо. Правильно настройке Firewall!
Также, после настройки графики можно будет посмотреть в WinBox в разделе Tools → Graphing
С помощью инструмента можно настроить какая именно информация должна отображаться на графиках.
Через терминал конфигурация осуществляется с помощью команды:
/tools graphings
Здесь можно настроить параметры:
store-every - как часто записывать собранную информацию;
page-refresh - как часто обновлять web-страничку с графиками.
Чтобы настроить на каком интерфейсе нужно собирать информацию о пропускной способности для построения графиков, нужно ввести команду:
/tool graphing interface
Можно задать следующие параметры:
allow-address - диапазон IP адресов, с которых разрешено просматривать данные графики (по умолчанию – 0.0.0.0/24, то есть ограничений нет);
comment - описание;
disabled - активация отображения графиков с информацией о пропускной способности интерфейсов (no – включена, yes - выключена);
interface - указывает с каких интерфейсов собирать информацию для построения графиков (по умолчанию – all, то есть со всех интерфейсов);
store-on-disk - указывает хранить ли собранную информацию на системном диске.
Для того, чтобы настроить отображение об работающих ограничениях скорости (Simple Queues) введите команду:
/tool graphing queue
Здесь для настройки доступны следующие параметры:
allow-address - диапазон IP адресов, с которых разрешено просматривать данные графики (по умолчанию – 0.0.0.0/24, то есть ограничений нет);
allow-target - указывает открывать ли доступ к просмотру графика адресов указанных в Simple Queue;
comment - описание;
disabled - активация отображения графиков с информацией о пропускной способности интерфейсов (no – включена, yes - выключена);
simple-queue - указывает какие настройки ограничения скорости (Simple Queues) мониторить (по умолчанию – all, то есть все);
store-on-disk - указывает хранить ли собранную информацию на системном диске.
Наконец, для настройки отображения желаемой информации о показателях производительности роутера, используем команду:
/tool graphing resource
Здесь для настройки доступны следующие параметры:
allow-address - диапазон IP адресов, с которых разрешено просматривать данные графики (по умолчанию – 0.0.0.0/24, то есть ограничений нет);
comment - описание;
disabled - активация отображения графиков с информацией о пропускной способности интерфейсов (no – включена, yes - выключена);
store-on-disk - указывает хранить ли собранную информацию на системном диске.
Теперь давайте рассмотрим пример настройки в WinBox. Для этого откроем Tools → Graphing и настроим отображение графиков использования интерфейсов и графиков показателей производительности роутера:
Теперь графики будут доступны во вкладке Interface Graphs и Resource Graphs
Ну и конечно же теперь эти же графики доступны в более развернутом виде через web-интерфейс:
Маленькая, но полезная заметка. Однажда, в один прекрасный день у нас перестала работать подмапленная в web - доступ директория (смонтирована она была через /etc/fstab). Браузер возвращал 403 Forbidden Error. Не долго думая, смотрим, что происходит в логах при обращении к web. В режиме реального времени можно посмотреть командой:
tail -f /var/log/httpd/error_log
Итак, у нас там было следующее:
AH01276: Cannot serve directory /var/www/html/merion_directory/: No matching DirectoryIndex (index.html,index.php) found, and server-generated directory index forbidden by Options directive
Хм. Дело в том, что у нас там просто выводится список папок, по файлам. Следовательно, сервак просто не может отрисовать эту структуру. Погнали исправлять
Воркэраунд
Лезем в конфигурационный файл нашего Apache:
vim /etc/httpd/conf/httpd.conf
И в общей области, где идут настройки директорий добавляем следующее:
<Directory "/var/www/html/merion_directory">
Options Indexes FollowSymLinks
</Directory>
Где merion_directory - ваша директория в корне веб - сервера /var/www/html/, при обращении к которой вы получаете 403. Конфигурация проста - мы просто говорим апачу, что у нас там каталог файлов и его нужно "отрисовать" даже несмотря на то, что у нас там нет никаких index.html или index.php. По окончанию настройки ребуетаем Apache:
service httpd restart
Или через systemctl. Ребутаем браузер (Ctrl + F5). Профит!
Так как технология VoIP базируется на технологии IP и использует Интернет, она так же наследует все её уязвимости. Последствия этих атак, умноженные на уязвимости, которые следуют из особенностей архитектуры сетей VoIP, заставляют задуматься о способах усиления защиты и тщательном анализе существующей сети IP . Более того, добавление любого нового сервиса, например, голосовой почты в недостаточно защищенную инфраструктуру может спровоцировать появление новых уязвимостей.
Риски и уязвимости, наследованные из IP сетей.
Плохой дизайн сети
Неправильно спроектированная сеть может повлечь за собой большое количество проблем, связанных с использованием и обеспечением необходимой степени информационной безопасности в VoIP сетях. Межсетевые экраны, к примеру, являются уязвимым местом в сети, по причине того, что для правильного функционирования VoIP сети необходимо открывать дополнительные порты, и межсетевые экраны, не поддерживающие технологию VoIP, способны просто оставлять открытыми ранее используемые порты даже после завершения вызовов.
Уязвимые IP АТС и шлюзы
Если злоумышленник получает доступ к шлюзу или АТС, он так же получает доступ к захвату целых сессий (по сути – возможность прослушать вызов), узнать параметры вызова и сети. Таким образом, на безопасность АТС необходимо обратить наибольшее внимание. Убытки от таких вторжений могут достигать значительных сумм.
Атаки с повторением пакетов
Атака с повторением пакета может быть произведена в VoIP сети путем повторной передачи серии корректных пакетов, с целью того, что бы приёмное устройство произвело повторную обработку информации и передачу ответных пакетов, которые можно проанализировать для подмены пакетов (спуфинга) и получения доступа в сеть. К примеру, даже при условии зашифрованных данных, существует возможность повторения пакета с логином и паролем пользователем пользователя, и, таким образом, получения доступа в сеть.
Риски и уязвимости, характерные для VoIP сетей
Подмена и маскировка пакетов
Использование подменных пакетов с неправильным IP-адресом источника могут использоваться для следующих целей:
Перенаправление пакетов в другую сеть или систему
Перехват трафика и атака «man-in-the-middle» (рисунок ниже)
Маскировка под доверенное устройство - «Перенос ответственности» за атаку на другое устройство
Фаззинг(Fuzzing) - Нагрузка системы пакетами с не полностью корректной информацией , что вызывает ошибки в работе системы при их обработке, например такие как задержки при работе, утечки информации и полный отказ системы
Сканирование на предмет возможных уязвимостей - Сканирование портов может дать злоумышленнику начальные данные для проведения полноценной атаки, такие как модели операционных систем, типы используемых сервисов и приложений. При нахождении уязвимого сервиса злоумышленник может получить доступ к управлению всей сетью, и, как следствию, к возможности причинить большой ущерб.
Низкая надежность по сравнению с традиционными сетям - Для достижения качественной связи, пакетам, содержащим голосовую и видео нагрузку присваивается высокий приоритет в механизмах качества обслуживания QoS (качества обслуживания). Однако, надежность VoIP и сетей передачи данных стремится к 99,9%, что ниже чем степени надежности в традиционных телефонных сетях, у которых данный параметр стремится к 99,999%. Конечно, разница не столь велика, однако за год эта разница выливается в дополнительные 8.7 часа, во время которых система не работает. Но необходимо понимать, что далеко не каждому предприятию это может повредить.
Атаки DDoS(Distributed Denial of Service) - Атаки DoS и DDoS происходят когда злоумышленник посылает крайне большие объемы случайных сообщений на одно или несколько VoIP устройств из одного или нескольких мест (DoS и DDoS соответственно). Атака из нескольких мест используется с помощью «зомби» - скомпрометированные сервера и рабочие станции, которые автоматически посылают вредоносные запросы в соответствии с потребностями злоумышленника. Успешной такая атака считается в момент, когда количество запросов превышает вычислительную мощность объекта, в следствие чего происходит отказ в обслуживании для конечных пользователей.
VoIP системы особенно уязвимы для таких атак, т.к они имеют высокий приоритет в технологии обеспечения качества обслуживания QoS, и для нарушения их работы требуется меньшее количество трафика нежели для обычных сетей передачи данных. Примером DoS атаки против именно VoIP сети может быть атака при множественной передачи сигналов отмены или установления вызова, которая так же имеет название SIP CANCEL DoS атака.
CID спуфинг - Один из типов атак с подменой пакетов построен на манипуляциях с идентификатором звонящего (Caller ID или CID), который используется для идентификации звонящего до ответа. Злоумышленник может подменить этот идентификатор текстовой строкой или телефонным номером и может использоваться для осуществления различных действий, вредящих сети или владельцу предприятия. Кроме того, в VoIP сетях нет возможности скрыть этот идентификатор, т.к телефонные номера включены в заголовках пакетов в протоколе SIP. Это позволяет злоумышленнику со сниффером пакетов, например tcpdump узнать телефонные номера даже если они имеют параметр «private» у сервисного провайдера.
Заключение - Использование IP-телефонии приносит огромное количество пользы для любой организации – решение на базе VoIP более масштабируемы, легко интегрируемы и их стоимость ниже классических решений. Однако, любая организация, внедрив VoIP решение должна быть в курсе возможных угроз и предпринимать всевозможные усилия для увеличения степени информационной безопасности в сети. Были перечислены лишь некоторые методы атак, но необходимо понимать, что часто используются комбинации атак и практически ежедневно разрабатываются новые атаки. Но понятно уже сейчас, что за данной технологией будущее и она вряд ли уступит пальму первенства другой технологии в обозримом будущем.