По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Поговорим про голосовой трафик в классических корпоративных сетях, а именно про его сегрегацию от обычного дата трафика и про включение телефонов в саму КСПД.
Обычно, телефоны находятся на столе рядом с компьютером на рабочем стол, подключаются такой же витой парой (UTP), что и компьютер, и тоже используют протокол Ethernet. Для подключения телефона к коммутатору существует две опции – подключение оборудования к свитчу «параллельно», используя два кабеля или же подключив телефон и компьютер «последовательно»:
Первый «параллельный» сценарий заработает, но есть несколько больших недостатков – дополнительный кабель и занятый порт на коммутаторе.
По этой причине в данный момент большинство IP – телефонов, включая Cisco, имеют маленький коммутатор на 3 порта внутри IP – телефона:
Первый порт подключается к коммутатору;
Второй порт подключается к компьютеру;
Внутренний порт подключает сам телефон;
Теперь поговорим о вопросе разделения голосового трафика от любого другого – и мы можем выполнить данную задачу с помощью голосового VLANа.
Голосовой VLAN также иногда обозначается как AUX VLAN
Посмотрите на схему ниже – это то, как будет выглядеть наше подключение – все компьютеры и обычный трафик будут находиться в VLAN 10, а голосовой трафик мы поместим в VLAN 11.
Как это все работает? Между коммутатором и телефоном у нас есть так называемый "транк". Порт на телефоне, который подключается к компьютеру, является портом доступа. Телефона передает весь трафик с компьютера на коммутатор без каких - либо меток, непомеченным. Трафик с самого телефона всегда будет помечаться, и в транке будут разрешены только два вышеупомянутых VLANа.
Настройка
Если вы уже знакомы с настройкой VLANов, то создание голосового VLANа не составит для вас вообще никакого труда. Давайте настроим порт на коммутаторе, где мы будем использовать VLANы 10 и 11.
Сначала мы создаем данные VLANы:
MERION-SW1(config)#vlan 10
MERION-SW1(config-vlan)#name DATA
MERION-SW1(config-vlan)#exit
MERION-SW1(config)#vlan 11
MERION-SW1(config-vlan)#name VOICE
MERION-SW1(config-vlan)#exit
Теперь настроим интерфейс:
MERION-SW1(config)#interface GigabitEthernet 0/1
MERION-SW1(config-if)#switchport mode access
MERION-SW1(config-if)#switchport access vlan 10
MERION-SW1(config-if)#switchport voice vlan 11
MERION-SW1(config-if)#exit
Мы переключили данный порт в режим доступа и настраиваем его для VLAN 10. Команда switchport voice vlan сообщает коммутатору, чтобы он использовал VLAN 11 как голосовой VLAN.
Для того, чтобы телефон понял, какой VLAN нужно использовать, используются два протокола – Cisco Discovery Protocol (CDP) для телефонов Cisco и Link Layer Discovery Protocol (LLDP) для телефонов от других вендоров
Проверка работоспособности
Для проверки корректности настройки, мы будем использовать команду show interfaces
MERION-SW1#show interfaces GigabitEthernet 0/1 switchport
Name: Gi0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (DATA)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: 11 (VOICE)
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Как видно из вывода выше, VLANы настроились корректно. И теперь посмотрим на статус транка. Вывод скажет нам, что порт не является транком, он покажет какие VLANы в нем используются (то есть, которые мы настроили). Несмотря на то, что он показан как нетранковый, в реальности он все - таки является транком.
MERION-SW1#show interfaces GigabitEthernet 0/1 trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 off negotiate not-trunking 1
Port Vlans allowed on trunk
Gi0/1 10-11
Port Vlans allowed and active in management domain
Gi0/1 10-11
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 10-11
На этом настройка завершена – для остальных рабочих станций и телефонов данный шаг нужно выполнить точно также, но на других портах коммутатора. Голосовой трафик будет идти в приоритете перед остальным трафиком и это скажется в лучшую сторону на качестве связи.
В последние несколько лет всё чаще появляется информация об очередных хакерских атаках, направленных на сетевое оборудование различных производителей. И если оборудование класса Enterprise, такое как Cisco, Juniper, Extreme, HP и так далее, обычно обслуживается армией высококвалифицированных специалистов, которые постоянно проводят обновления и закрывают “дыры”, то с оборудованием класса SOHO (MikroTik, Netgear, TP-Link, Lynksys) дела, зачастую, обстоят совсем иначе. А ведь недостаточное внимание, уделяемое сетевому оборудованию, может нанести вред любому бизнесу.
В данной статье мы хотим рассказать о ещё одном крайне действенном способе защиты оборудования MikroTik, которое не потребует о вас больших усилий в настройке и будет само автоматически обновлять свою конфигурацию без вашего вмешательства.
Предыстория
В конце марта 2018 года появилась информация о хакерской активности, которая как раз направлена на SOHO сегмент. В частности – на роутеры MikroTik под управлением RouterOS ниже версии v6.38.5. Суть заключалась в том, что некий хакерский ботнет сканировал множество публичных IP-адресов на предмет открытых портов 80 (www) и 8291 (WinBox), чтобы по ответам оборудования определить, что это RouterOS, а также выяснить его версию. Тогда производитель заявил, что уязвимость реализации протокола www (80), которую можно было бы использовать, была закрыта ещё в марте 2017 версией v6.38.5 и рекомендовал всем обновиться, а также отключить небезопасный сервис www. Нужно отметить, что ботнет только собирал информацию, никаких атак не предпринималось.
Внимание! Если на вашем роутере MikroTik установлена версия прошивки ниже v6.38.5, мы рекомендуем незамедлительно произвести обновление до последней актуальной версии. Как это сделать, вы можете почитать в нашей статье. Также, рекомендуем закрыть сервис www и настроить доступ к WinBox только с доверенных IP-адресов более подробно о том как это сделать читайте здесь.
А совсем недавно на сайте подразделения Cisco, которое занимается кибербезопасностью - Talos, появилась информация о вредоносном программном обеспечении, которое использует ту самую уязвимость. Оно получило название VPNFilter, хоть и не имеет ничего общего с VPN туннелями. Вероятно потому, что после заражения оно создаёт директории /var/run/vpnfilterw и /var/run/vpnfilterm для дальнейшей работы.
По самым поверхностным оценкам, вредонос способен красть пользовательские данные и данные вэб-приложений, устанавливать без ведома пользователя модули, которые взаимодействуют с серверами в сети Tor, а также полностью выводить оборудования из строя посредством изменения критически важных файлов прошивки. До конца вредонос ещё не изучен и актуальные данные по нему всё ещё поступают. Пока известно о том, что уязвимости подвержено всего 3 модели оборудования MikroTik -1016, 1036 и 1072, но защитить другие модели будет не лишним.
Настройка
Итак, перейдём собственно к тому самому универсальному методу защиты, о котором мы упомянули вначале. Данный метод основан на простом блокировании заведомо вредоносных IP-адресов, которые были замечены в подозрительной активности (сканнирование, брутфорс, неудачные попытки доступа к различным сервисам) но только не вручную, а в автоматическом режиме. Существует много открытых ресурсов, которые собирают информацию о таких “чёрных” IP-адресах и генерируют актуальные списки, которые мы можем просто загружать на наш роутер с помощью нехитрого скрипта.
К таким ресурсам относятся:
Blocklist.DE - бесплатный открытый ресурс, созданный специалистами, чьи сервера часто подвергаются различного рода атакам, таким как атаки ssh, почтовых и файловых сервисов, вэб-серверов и другое. IP-адреса атакующих заносятся в список и выкладываются в общий доступ;
dshield.org - генерирует списки из топ-20 подсетей, из которых за последние 3-е суток совершалось наибольшее число атак;
Spamhaus - генерирует списки IP-адресов, замеченных в “спаммерской” активности, а также “угнанных” устройств, с помощью которых также осуществляется вредоносная деятельность;
Итак, чтобы нам заблокировать адреса из этих списков, нужно сначала создать блокирующее правило на нашем роутере. Для этого подключаемся к нашему MikroTik и даём в консоль следующие команды:
ip firewall raw add chain=prerouting src-address-list="sbl dshield" action=drop comment="sbl dshield"
ip firewall raw add chain=prerouting src-address-list="sbl spamhaus" action=drop comment="sbl spamhaus"
ip firewall raw add chain=prerouting src-address-list="sbl blocklist.de" action=drop comment="sbl blocklist.de"
Тем самым, мы создали 3 правила, которые будут блокировать подключения к нашему роутеру из списков каждого ресурса соответственно – dshield, spamhaus и blocklist.de.
Теперь нужно настроить автоматический загрузчик, который будет обращаться на данные ресурсы за актуальными списками и загружать их в конфигурацию роутера. Для этого через WinBox откроем вкладку System → Sheduler → +
И создадим задачу на проверку обновления списков вредоносных ресурсов начиная с полуночи следующего числа каждые 12 часов. Обращение будет происходить посредством простого http запроса к ресурсу www.squidblacklist.org/downloads/drop.malicious.rsc. Для этого в поле On Event напишем простой скрипт:
/tool fetch address=www.squidblacklist.org host=www.squidblacklist.org mode=http src-path=/downloads/drop.malicious.rsc
Мы будем обращаться к ресурсу www.squidblacklist.org, потому что его специалисты любезно скомпоновали списки с dshield, spamhaus и blocklist.de в одном месте и нам не придётся писать скрипт обращения для каждого ресурса.
Должно получиться как то так:
Теперь создадим ещё одну задачу на импорт списка в конфигурацию роутера, спустя минуту после того, как отработает проверка актуальности списков из первой задачи. На этот раз в поле On Event напишем:
:log warning "Disabling system Logging";
import drop.malicious.rsc
/system logging enable 0
Теперь наш роутер будет автоматически запрашивать актуальные списки вредоносных IP-адресов и добавлять их в блок. Вы так же можете использовать другие открытые ресурсы, на которых публикуются списки опасных IP-адресов.
Автоматизировать свою IP – АТС Asterisk с каждым днем всё больше и больше нам приносит невероятное удовольствие. Поэтому, сегодня хотим вам поведать о том, как сократить расходы на звонки сотрудников в командировках, или просто находящихся вне офиса с помощью модуля FreePBX - DISA
/p>
Что такое DISA?
Представьте – выходной день, вы находитесь у себя на даче и спокойно поливаете свои любимые бархатцы на клумбе. Вдруг на телефон приходит смс – сообщение, о том, что один из самых прибыльных ваших клиентов из города Владивосток звонил, и не смог дозвониться. Что – то срочное, подумали вы, надо бы перезвонить. Но сколько будет стоить звонок в столицу приморского края? Интернета нет на ближайшие 20 километров, и позвонить через софтфон не получится. Тут на помощь приходит модуль DISA.
Взяв руки свой мобильный телефон, вы набираете номер вашей офисной IP – АТС Asterisk. Из голосового меню, нажимаете спасительные цифры 0897 и попадаете в сам модуль. Приятный голос спрашивает, не могли бы вы ввести пин – код, и, конечно, вы набираете на клавиатуре 384701. Гудок. Вы набираете номер клиента во Владивостоке. Через несколько секунд на том конце трубке раздается голос вызываемого абонента.
Скажем прямо, клиент был приятно удивлен, что в выходной день вы позвонили ему из офиса (у него определился номер вашей офисной IP – АТС Asterisk). Вы быстро решили все вопросы и вернулись.
Хотите такой же функционал? Сейчас расскажем как его настроить.
Настройка модуля DISA
Переходим к настройке модуля. Перейдите во вкладку Applications -> DISA. Нажмите на кнопку + Add DISA
Перед нами откроется форма настройки. Разберемся конкретно по каждому из пунктов:
DISA Name - название DISA. Создавайте названия, которые помогут вам проще понимать для чего создавалась конкретная опция, чтобы избежать путаницы в будущем.
PIN - при попадании на DISA, у пользователя будет запрошено ввести пароль, указанный в данном поле.
Обязательно создавайте PIN на DISA.Потенциально, злоумышленник, который получит доступ к этому модулю, сможет совершать звонки с телефона вашей компании. Это могут быть как финансовые, так и репутационные риски.
Response Timeout - если вы укажите номер, который не будет подходить по формату, то система будет ожидать время, указанное в данном поле, а после, разорвет соединение. По умолчанию 10 секунд. .
Digit Timeout - время, которое система отводит на ввод 1 цифры вызываемого номера. Например, когда номер будет полностью набран, лишь через 5 секунд DISA совершит на него звонок.
Call Recording - записывать ли звонки, совершаемые через модуль DISA.
Require Confirmation - запрашивать ли подтверждение о начале работы с модулем до того, как запрашивать пароль.
Caller ID -не обязательное поле. При совершении вызовов, система может подставлять определенный CallerID. Например, это может пригодиться для сбора статистики. Формат вода таков: "Имя" <123456789>
Context - в этом поле, вы можете указать контекст обработки исходящего от АТС вызова. Советуем оставить это поле по умолчанию – "from – internal"
Allow Hangup - позволяет завершить новый вызов с помощью нажатий сервисного кода (**)
По окончанию настроек, нажмите Submit и затем Apply Config. В списке настроек модуля появится наш новый DISA:
Настройка доступа к DISA из IVR
Перейдем к настройке доступа к DISA из IVR. Как мы сказали ранее, для доступа к модулю мы будем звонит на голосовое меню и набирать 0897. Итак, переходим в вкладку Applications -> IVR и начинаем редактировать наше существующее IVR – меню. Листаем в самый низ,до пункта IVR Entries и делаем настройку, как указано ниже:
Сохраняем конфигурацию. Готово, теперь мы будем экономить на звонках даже находясь в командировка, или на отдыхе.