По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Привет! Сегодня мы хотим рассказать о том, как снимать пакеты (packet capture) на телефонах Cisco, подключенных к Cisco Unified Communications Manager (CUCM) .
Захват пакетов используется при траблшутинге, и в этой статье мы рассматриваем как это сделать, подключив телефон к ПК, используя встроенный PC порт. В этом случае на PC порт будет поступать копия трафика, приходящего на SWITCH порт телефона (иногда это называют зеркалированием - mirroring). И отсюда пакеты уже можно будет вытащить, используя специальные программы захвата трафика (снифферы).
Подключение и настройка Cisco IP Phone
Для начала подключим наш IP телефон Cisco. На задней панели телефона есть несколько портов и к порту, на котором написано SWICTH подключаем соответственно кабель, приходящий от коммутатора, а порт, на котором написано PC подключаем к сетевой карте нашего компьютера.
После этого заходим на наш CUCM, переходим во вкладку Device → Phone, и находим наш телефон. Тут в поле Product Specific Configuration Layout находим сточку PC Port и выбираем Enabled. Ниже находим строчку Span to PC Port и в ней тоже ставим Enabled. Стоит заметить, что у некоторых телефонов может отсутствовать пункт Span to PC Port, и в таком случае все данные автоматически пересылаются на PC порт.
Ну и наконец после этого открываем нашу программу сниффер (например WireShark), выбираем наш сетевой интерфейс, к которому подключен телефон и нажимаем Start.
Готово! После этого мы начать анализировать пакеты.
Команда ping - это сетевой инструмент для проверки работоспособности удаленной системы. Другими словами, команда определяет, доступен ли определенный IP-адрес или хост. Ping использует протокол сетевого уровня, называемый Internet Control Message Protocol (ICMP), и доступен во всех операционных системах.
С другой стороны, номера портов принадлежат протоколам транспортного уровня, таким как TCP и UDP. Номера портов помогают определить, куда пересылается Интернет или другое сетевое сообщение, когда оно приходит.
В этом руководстве вы узнаете, как проверить связь с портом в Windows и Linux с помощью различных инструментов.
Можно ли пропинговать конкретный порт?
Сетевые устройства используют протокол ICMP для отправки сообщений об ошибках и информации о том, успешна ли связь с IP-адресом. ICMP отличается от транспортных протоколов, поскольку ICMP не используется для обмена данными между системами.
Ping использует пакеты ICMP, а ICMP не использует номера портов, что означает, что порт не может быть опрошен. Однако мы можем использовать ping с аналогичным намерением - чтобы проверить, открыт порт или нет.
Некоторые сетевые инструменты и утилиты могут имитировать попытку установить соединение с определенным портом и ждать ответа от целевого хоста. Если есть ответ, целевой порт открыт. В противном случае целевой порт закрывается или хост не может принять соединение, потому что нет службы, настроенной для прослушивания подключений на этом порту.
Как пропинговать определенный порт в Linux?
Вы можете использовать три инструмента для проверки связи порта в Linux:
Telnet
Netcat (NC)
Network Mapper (nmap)
Пинг определенного порта с помощью Telnet
Telnet - это протокол, используемый для интерактивной связи с целевым хостом через соединение виртуального терминала.
1. Чтобы проверить, установлен ли уже telnet, откройте окно терминала и введите:
telnet
2. Если telnet не установлен, установите его с помощью следующей команды
Для CentOS/Fedora: yum -y install telnet
Для Ubuntu: sudo apt install telnet
3. Чтобы пропинговать порт с помощью telnet, введите в терминале следующую команду:
telnet [address] [port_number]
Где [address] - это домен или IP-адрес хоста, а [port_number] - это порт, который вы хотите проверить.
telnet google.com 443
Если порт открыт, telnet устанавливает соединение. В противном случае он указывает на сбой.
4. Чтобы выйти из telnet, нажмите Ctrl +] и введите q.
Пинг определенного порта с помощью Netcat
Netcat (nc) позволяет устанавливать соединения TCP и UDP, принимать оттуда данные и передавать их. Этот инструмент командной строки может выполнять множество сетевых операций.
1. Чтобы проверить, установлен ли netcat:
Для Debian, Ubuntu и Mint: введите netcat -h
Для Fedora, Red Hat Enterprise Linux и CentOS: ncat -h
2. Если netcat не установлен, выполните в терминале следующую команду:
sudo apt install netcat
3. Чтобы пропинговать порт с помощью netcat, введите следующее:
nc -vz [address] [port_number]
Выходные данные информируют пользователя об успешном подключении к указанному порту. В случае успеха - порт открыт.
Пинг определенного порта с помощью Nmap
Nmap - это сетевой инструмент, используемый для сканирования уязвимостей и обнаружения сети. Утилита также полезна для поиска открытых портов и обнаружения угроз безопасности.
1. Убедитесь, что у вас установлен Nmap, введя nmap -version в терминал.
Если Nmap установлен, вывод информирует пользователя о версии приложения и платформе, на которой он работает.
2. Если в вашей системе нет Nmap, введите следующую команду:
Для CentOS или RHEL Linux: sudo yum install nmap
Для Ubuntu или Debian Linux: sudo apt install nmap
3. После установки Nmap в системе используйте следующую команду для проверки связи определенного порта:
nmap -p [port_number] [address]
Выходные данные информируют пользователя о состоянии порта и типе службы, задержке и времени, прошедшем до завершения задачи.
4. Чтобы проверить связь с более чем одним портом, введите nmap -p [number-range] [address].
Синтаксис [number-range]- это диапазон номеров портов, которые вы хотите пропинговать, разделенные дефисом. Например:
nmap -p 88-93 google.com
Как пропинговать определенный порт в Windows?
Проверить связь с портом в Windows можно двумя способами:
Telnet
PowerShell
Пинг определенного порта с помощью Telnet
Перед использованием telnet убедитесь, что он активирован:
Откройте панель управления.
Щелкните «Программы», а затем «Программы и компоненты».
Выберите «Включение или отключение компонентов Windows».
Найдите клиент Telnet и установите флажок. Щелкните ОК.
Готово! Вы активировали клиент Telnet в системе.
После завершения активации можно пропинговать порт с помощью telnet. Для этого:
1. Введите cmd в поиске в меню «Пуск». Щелкните на приложение Командная строка.
2. В окне командной строки введите
telnet [address] [port_number]
Где [address] - это домен или IP-адрес хоста, а [port_number] - это порт, который вы хотите проверить.
Выходные данные позволяют узнать, открыт ли порт и доступен ли он, иначе отображается сообщение об ошибке подключения.
Пинг определенного порта с помощью PowerShell
PowerShell - это текстовая оболочка, которая по умолчанию поставляется с Windows.
Чтобы проверить связь с портом с помощью PowerShell, выполните следующие действия:
1. Введите PowerShell в поиске в меню «Пуск». Щелкните приложение Windows PowerShell.
2. В окне командной строке PowerShell введите:
Test-NetConnection [address] -p [port_number]
Если порт открыт и соединение прошло успешно, проверка TCP прошла успешно. В противном случае появится предупреждающее сообщение о том, что TCP-соединение не удалось.
Заключение
Теперь вы знаете, как выполнить эхо-запрос и проверить, открыт ли порт, с помощью нескольких сетевых инструментов и утилит в Linux и Windows.
В сегодняшней статье рассмотрим модуль, который стал доступен во FreePBX только с версии 13 и который позволяет создать первичную низкоуровневую защиту нашей IP-АТС - Firewall. Нужно отметить, что попытки создать нечто подобное на ранних версиях FreePBX всё-таки были, но все они не увенчались успехом и заставляли пользователей так или иначе идти на компромиссы для сохранения доступности функционала IP-АТС. Модуль Firewall был разработан с глубоким пониманием существующих проблем и его основной целью является защита “средней”, или другими словами, типовой инсталляции при обязательном сохранении VoIP сервисов.
/p>
Данный модуль отслеживает и блокирует атаки, пропуская при этом разрешенный трафик, а также непрерывно контролирует конфигурацию системы, автоматически открывая и закрывая порты для необходимых транков.
Настройка модуля Firewall
Перейдём к настройке. Для того, чтобы попасть в модуль, нужно перейти по следующему пути: Connectivity -> Firewall, откроется следующее окно:
Чтобы включить модуль, нажмите кнопку Enable Firewall. Обратите внимание, после включения модуля никакие правила ещё не задействованы, их нужно настроить.
Первое о чём сообщает модуль, это то, что IP-адрес, под которым мы зашли на IP-АТС не является членом “зоны доверия” (Trusted Zone) и предлагает добавить его для исключения возможных блокировок:
Для наибольшего понимания, давайте разберёмся с понятием зоны (Zone), которым оперирует модуль Firewall.
Все сетевые соединения, поступающие на VoIP-сервер считаются частью зоны. Каждый сетевой интерфейс и данные, поступающие на него принадлежат к определенной зоне. Стандартные зоны делятся на следующие:
Reject - Все соединения, относящиеся к данной зоне, запрещены. Обратите внимание, что эта зона по-прежнему принимает RTP трафик, но никакие другие порты по умолчанию не прослушиваются. Трафик данной зоны может быть обработан с помощью Responsive Firewall, о котором будет сказано далее.
External - Позволяет только https соединения для доступа к интерфейсу управления и UCP порту, если они определены. Трафик данной зоны может также быть обработан с помощью Responsive Firewall
Other - Используется на доверенных внешних сетях, или других хорошо известных сетях. По умолчанию, позволяет получить доступ к UCP, а также обеспечивает нефильтрованный SIP и IAX.
Internal - Используется на внутренних локальных сетях, по умолчанию позволяет получить доступ ко всем сервисам IP-АТС.
Trusted - Все сетевые соединения данной зоны разрешены. Пропускается весь трафик от доверенной зоны. Именно сюда нам предложат добавить наш IP-адрес при первом включении модуля.
Итак, чтобы добавить наш IP-адрес в список доверенных, нужно нажать You can add the host automatically here.
Мы попадём во вкладку Preconfigured. Предлагается два варианта, это добавление адреса хоста и добавление подсети Add Host и Add Network соответственно:
Проверить, что адрес (или сеть) добавлены в список доверенных можно во вкладке Zones в разделе Networks.
В модуле Firewall есть также дополнительный элемент, который отслеживает сигнализационные запросы определённых сервисов и блокирует возможные атаки - Responsive Firewall. Такими запросами могут быть запросы протоколов сигнализации SIP или IAX, например, запросы авторизации или вызова. Когда Responsive включен, то любой сигнализационный пакет исходящий от хоста проходит через Firewall, если после некоторого количества таких пакетов, хост отправлявший их не прошёл успешную регистрацию, то весь трафик от этого хоста сбрасывается на короткий промежуток времени (60 сек). Если после данной блокировки хост продолжает слать пакеты с запросом регистрации и безуспешно пытается зарегистрироваться, то блокируется уже его IP-адрес на 24 часа. Кроме того, если на сервере настроен fail2ban, то система ещё и письмо отправит о данном событии.
Чтобы включить данный функционал, на вкладке Responsive нужно нажать на кнопку Enable:
Далее необходимо указать, для каких протоколов должен работать данный функционал:
Известные IP-адреса или даже целые подсети, которые проявляли подозрительную активность и которые не должны иметь доступа к IP-АТС можно заблокировать во вкладке Zones -> Blacklists.
И последний по счёту, но не по значимости, функционал модуля Firewall, о котором хотелось бы рассказать - Safe Mode. Данный функционал позволяет получить доступ к IP-АТС если случайно была применена неправильная конфигурация, которая привела к потере доступа, а доступа к консоли у вас нет.
При включении модуля Firewall, Safe Mode уже доступен, но чтобы его активировать, необходимо дважды перезапустить систему. Сначала необходимо выполнить перезапуск один раз, дождаться, пока сервер полностью загрузится, а затем произвести вторую перезагрузку. После чего, система отложит загрузку правил Firewall’а, а вы сможете спокойно убрать ту конфигурацию, из-за которой потеряли доступ.
О том, что система находится в Safe Mode, будет говорить огромное уведомление в самом верху страницы, которое исчезнет через пять минут, тогда же запустятся правила Firewall.