По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Свободное программное обеспечение
Свободным называется программное обеспечение, права на использование которого определены простой лицензией, разрешающей пользователю:
использовать программу для ЭВМ в любых, не запрещенных законом целях;
получать доступ к исходным текстам программы как в целях изучения и адаптации, так и в целях переработки программы для ЭВМ;
распространять программу бесплатно или за плату;
вносить изменения в программу для ЭВМ и распространять экземпляры измененной программы с учетом возможных требований наследования лицензии.
Программное обеспечение с открытыми исходными кодами (open source software) программное обеспечение, исходные коды которого свободно доступны. Одна лишь доступность кода, не даёт оснований считать его свободным, поскольку не влечет передачи права свободного распространения, модификации и права распространения модифицированного кода.
Основные положения в области создания, распространения и использования свободного программного обеспечения, в том числе для государственных и муниципальных нужд, отражены в ГОСТ Р 54593-2011 "Информационные технологии. Свободное программное обеспечение".
Свободное программное обеспечение защищено авторским правом при помощи свободных лицензий. Лицензия свободного ПО (free software licence)- это лицензия на программное обеспечение, которая предоставляет получателям права копировать, модифицировать и повторно распространять программу. В случае, так называемого "проприетарного ПО", эти действия, как правило, запрещены.
Существует несколько разновидностей свободных лицензий. В основном, они подразделяются на два вида: требующие распространения модифицированных версий ПО на тех же условиях, на которых были предоставлены права использования (лицензия GNU GPL), и разрешающие изменять права использования модифицированных версий (лицензия BSD).
Самым масштабным примером успешного использования свободного ПО является Интернет, который основан на стеке TCP/IP, веб-сервере Apache, серверах DNS - всё это СПО, базирующееся на открытых стандартах. Разработкой свободных программ занимается значительное число крупных фирм, из разработчиков дистрибутивов Linux: Американские Red Hat, и Novell, SuSE, Французско-Бразильская Mandriva, Южно-Африканская Ubuntu.
Среди систем, получивших в России государственную сертификацию много свободных: Atlix производства НПО "Атлас", ИВК-Кольчуга межсетевой экран на базе СПО, ОС Альт производства "Базальт СПО", ОС Astra Linux производства АО "НПО РусБИТех".
Для государства применение СПО дает возможность обеспечить высокий уровень информационной безопасности за счёт публичного доступа к исходному коду и его независимого аудита. Проприетарные приложения нередко содержат недокументированные функции, что является потенциальной угрозой.
СПО не требует лицензионных выплат за каждый установленный экземпляр программы.
Использование операционной системы Альт для построения межсетевого экрана
Компания "Базальт СПО" - отечественный разработчик программного обеспечения, на базе которого можно построить инфраструктуру любого масштаба. На базе репозитория Sisyphus (Сизиф), который разрабатывается компанией "Базальт СПО", выпускаются российские операционные системы для серверов и рабочих станций. В сентябре 2016 года в Единый реестр российских программ для электронных вычислительных машин и баз данных были включены основные базовые системы, такие как: Базальт Рабочая Станция (№1292), Альт Сервер (№1541) и Альт Образование (№1912).
Операционную систему Альт можно использовать для любых задач, начиная от простых потребностей обычного пользователя (редактирование документов, просмотр web-страниц интернета, воспроизведение мультимедиа) до профессиональных задач, включая защиту информации и структуру сети. Операционные системы Альт совместимы аппаратными платформами всех ведущих производителей, таких как Intel, AMD, Nvidia, Seagate, Genius и др.
ОС Альт имеет встроенный пакет прикладного программного обеспечения, а также большую базу ПО в репозитории Sisyphus, которая постоянно пополняется. Программный комплекс поддерживает ведение бухгалтерского и налогового учёта, с передачей электронной отчётности контролирующим органам непосредственно из программного обеспечения 1С.
В состав прикладного программного обеспечения ОС Альт входит Iptables. Это пользовательская консольная программа, предназначенная для управления межсетевым экраном Netfilter (Рисунок 1.1). Посредством Netfilter/iptables можно настроить межсетевой экран любой сложности, начиная от простого запрета доступа к FTP серверу, заканчивая ограничением доступа к участкам сети и распределением пропускной способности канала.
Использование технологии виртуализации Oracle Virtual Box
Для работы с операционной системой ОС Альт нужен отдельный компьютер или ОС Альт можно установить на компьютере c ОС Windows, для работы в режиме эмуляции, который может обеспечить использование программы Oracle VM VirtualBox
Oracle VM VirtualBox (VirtualBox) - программный продукт виртуализации для операционных систем Microsoft Windows, Linux, FreeBSD. Начиная с версии 4, выпущенной в декабре 2010 года, основная часть продукта распространяется бесплатно под лицензией GPL v2. Устанавливаемый поверх неё дополнительный пакет, обеспечивающий поддержку устройств USB 2.0 и 3.0, протокол удалённого рабочего стола (RDP).
Для использования операционной системы ОС Альт я установил VirtualBox на своем компьютере под управлением OC Windows 10.
Системные требования для развертывания одного экземпляра VirtualBox: оперативная память: от 1 Гб, жесткий диск: от 32 Гб, порт Ethernet, периферийное оборудование стандартное
При изучении межсетевого экранирования может потребоваться до четырех машин, то требования к оборудованию возрастают:
Оперативная память: от 1 Гб * 4 = от 4 Гб.
Жесткий диск: от 32 Гб * 4 = от 128 Гб.
Процесс установки VirtualBox и развертывания ОС Альт может быть выполнен по представленной ниже инструкции.
Установка виртуальной машины
Перейдя по ссылке в разделе VirtualBox 6.1.4 platform packages выбрать вашу операционную систему и скачать данный дистрибутив (Рисунок 1.2).
Установка ОС Альт и настройка виртуальных машин для работы.
Запускаем virtualbox и создаем виртуальную машину, для этого в верхней правой части выбрать Создать (Рисунок 1.3).
Задаем имя машины (ALT Linux), выбираем тип (Linux) и версию Other Linux (64-bit) если 64-х разрядное ПО, либо Other Linux (32-bit), если 32-х разрядное ПО. Указываем объем памяти от 1024 Мб и создаем новый виртуальный жёсткий диск, после нажимаем создать (Рисунок 1.4).
Далее выбираем размер (от 32 Гб), указываем тип VDI и формат хранения динамический виртуальный жёсткий диск. Данный формат занимает только фактический объем (если данных на компьютере 20 Гб, то используя данный формат будет занято 20 Гб, а при фиксированном 32 Гб), затем нажимаем создать (Рисунок 1.5).
Виртуальная машина создана, теперь надо настроить ее и установить ОС Альт. Приступаем к настройке сетевых интерфейсов (Рисунок 1.6).
Открываем вкладку носители, выбираем контроллер IDE, нажимаем на значок диск, выбрать файл с диска, указываем путь к дистрибутиву формата iso (Рисунок 1.7).
Открываем вкладку Сеть и настраиваем Адаптер 1. Выбираем тип подключения: сетевой мост и имя Qualcomm Atheros AR956x Wireless Network Adapter. Затем открываем вкладку Адаптер 2 и Адаптер 3, включаем их кликнув на пустой квадрат, должна появится галочка напротив, текста "Включить сетевой адаптер", далее выбираем тот же тип подключения и имя и нажимаем ОК (Рисунок 1.8).
.
После настройки Адаптер 1, Адаптер 2 и Адаптер 3 можно установить ОС Альт на виртуальную машину (Рисунок 1.9). Нажимаем запустить
Выбираем установка и нажимаем Еnter (Рисунок 1.10).
Выбираем язык: русский и сочетание клавиш для переключения между языками, которое вам удобно и нажимаем кнопку далее.
Сетевое оборудование вендора Mikrotik является весьма любопытным и привлекательным продуктом в сегменте SOHO (Small office/home office). Соотношение цены, качества, функционала и стабильности обеспечивает все большее распространение небольших белых коробочек в офисах небольших компаний.
Но спустя какое-то время беззаботного пользования, пользователи начинают жаловаться. Администратор, открыв Winbox, переходит в раздел System → Resources и видит, что загрузка процессора 100%:
Не стоит волноваться. У нас есть решение. Все настройки и «траблшутинг» будем осуществлять с помощью Winbox.
Настройка Firewall в Mikrotik
Первым делом давайте проверим службу, которая больше всего «отъедает» ресурсов процессор. Для этого, перейдем в раздел Tools → Profile:
Как видно из скриншота, львиную долю ресурсов нашего процессора занимает служба DNS. Давайте посмотрим, что происходит на уровне обмена пакетами на основном интерфейс ether1. Для этого воспользуемся утилитой Tools → Torch:
Мы видим большое количество пакетов с различных IP – адресов на 53 порт. Наш Mikrotik отвечает на каждый из таких запросов, тем самым, нерационально используя ресурсы процессора и повышая температуру.
Эту проблему надо решать. Судя по снятому дампу, пакеты приходят с частотой 10-20 секунд с одного IP – адреса. Добавим в наш Firewall два правила:
Все IP – адреса, пакеты с которых приходят на 53 порт нашего Микротика будут помещаться в специальный лист с названием dns spoofing на 1 час.
Каждый IP – адрес, с которого будет поступать запрос на 53 порт будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.
Переходим к настройке. В разделе IP → Firewall → Filter Rules создаем первое правило нажав на значок «+». Во кладке General указываем следующие параметры:
Chain = input - обрабатываем приходящие пакеты
Protocol = UDP - нас интересуют пакеты, у которых в качестве транспорта используется UDP
Dst. Port = 53 - портом назначения должен быть 53 порт, то есть DNS служба
In. Interface = ether1 - проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.
Переходим во вкладку Action:
Action = add src to address list - в качестве действия, мы будем добавлять IP – адрес источника в специальный лист
Address List = dns spoofing - указываем имя листа, в который добавляем IP
Timeout = 01:00:00 - добавляем на 1 час
Нажимаем Apply и OK. Настроим второе правило, так же нажав на «+»:
Как видно, настройки во вкладке General в данной вкладке идентичны первому правилу. Нажимаем на вкладку Advanced:
Src. Address List= dns spoofing - указываем Микротику, производить проверку приходящего пакета на предмет нахождения в указанном листе
Переходим во вкладку Action:
Action = drop - если IP – адрес пакета есть в указанном списке, то дропаем этот пакет.
После того, как оба правила стали активны переходи во вкладку IP → Firewall → Address Lists:
Как видно, адреса стали добавляться в список на 1 час. Теперь давайте проверим загрузку процессора:
Теперь загрузка процессора в пределах нормы. Проблема решена.
Введение
Однажды в организации, где я работаю, случился Asterisk
Случился не без моего участия, а если быть точным, то я и был главным виновником, и как следствие - главным исполнителем. Напасть была локальной, но достаточно быстро получила широкое распространение, хотя, в отдельных уголках приходилось нести прогресс в массы с применением тяжелой артиллерии и напалма. В итоге Asterisk`ом было охвачено порядка полутора тысяч абонентов.
Процесс настройки абонента изначально выглядел следующим образом:
Включил телефон, обновил прошивку. Пока он перезагружается, завел абонента на Asterisk (создал запись для регистрации SIP-клиента). Далее, самый очевидный способ настройки телефона - web-интерфейс; набрал в адресной строке браузера IP-адрес телефона, авторизовался, настроил два десятка параметров и готово. На всё ушло 2-3 минуты.
Следующий абонент - повторяем.
На втором десятке абонентов начало надоедать, появилось желание как-нибудь упростить процесс.
Заглянул в настройки: экспорт и импорт конфигурации присутствует; сохранил конфигурацию телефона в файл, заглянул в него - обычный текстовый файл, в котором перечислены параметры с их значениями.
Нашел параметры, значения которых менял в web-интерфейсе, причем большинство из этих параметров, хоть и отличается от дефолтных, но одинаково для всех настраиваемых в рамках данной организации телефонов. Таким образом, имея эталонный файл конфигурации и редактируя в нем всего 5-6 строк, я получал конфигурации для остальных телефонов, которые "заливал" в аппараты всё через тот же web-интерфейс.
Спустя какое-то время количество абонентов заметно выросло, компания продолжала развиваться, сотрудники мигрировали между подразделениями, увольнялись, появлялись новые, некоторые телефоны выходили из строя, и возня с файлами стала постепенно отнимать много времени и раздражала с каждым днем всё больше. Тут я вспомнил про пункт меню из web-интерфейса, в котором были написаны многообещающие слова "Auto Provision".
Обратимся за определением к производителям телефонов. У Dlink или Fanvil мы получим следующее:
Auto Provisioning используется для реализации удаленной/автоматической инсталляции, развертывания конфигурационных и некоторых других связанных файлов.
Snom дает нам практически такое же:
Auto Provisioning может использоваться для предоставления общих и специфических параметров конфигурации на телефоны и для актуализации прошивки.
Вроде бы всё устраивает, значит, будем для наших целей отталкиваться от этих определений.
Вариантов автоматической настройки предусмотрено несколько, и без долгих терзаний, как наиболее понятный и доступный был выбран следующий:
Развертывание конфигурации с tftp сервера, адрес которого телефон будет получать по DHCP в Option 66.
Разберемся вкратце, что есть что.
TFTP - простой протокол передачи файлов (Trivial File Transfer Protocol). В отличие от FTP основан на транспортном протоколе UDP и в нем отсутствует возможность аутентификации (однако, возможна фильтрация по IP-адресу). Одно из основных преимуществ TFTP - простота реализации клиента, поэтому он достаточно широко используется в частности для загрузки обновлений и конфигураций сетевых устройств.
DHCP - протокол динамической настройки узла (Dynamic Host Configuration Protocol); сетевой протокол, позволяющий сетевым устройствам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP.
Не вдаваясь глубоко в подробности, схема обмена сообщениями DHCP при получении параметров выглядит следующим образом:
DHCPDISCOVER: клиент (в нашем случае, телефон) передает это сообщение broadcast, и использует его для поиска DHCP-серверов в своей канальной среде.
В одном из полей этого пакета, в поле options, клиент передает список необходимых ему опций, наиболее распространенными из которых являются:
(1) - Subnet Mask
(3) - Router
(6) - Domain Name Server
(15) - Domain Name
именно в этом поле клиент сообщает о том, что ему нужен адрес tftp сервера для загрузки конфигурационного и/или других связанных файлов. Номер опции, которая его содержит - 66 (у cisco есть аналогичная опция 150, основное отличие которой в том, что она может содержать адреса нескольких tftp серверов).
DHCPOFFER: cервер отвечает на запрос клиента. Сервер может передать это сообщение как broadcast так и unicast (зависит от значений полей полученных от клиента). В этом сообщении сервер предлагает клиенту параметры, которые он может отдать в текущей конфигурации. Если в сегменте сети клиента несколько DHCP серверов, то получив запрос, они все отправляют OFFER-ы.
После того, как клиент выбрал, OFFER какого из DHCP серверов принять, он отправляет следующий пакет:
DHCPREQUEST: казалось бы, если клиент определился, какой DHCP сервер "пришелся ему по душе", можно передать unicast-запрос этому серверу; однако предается broadcast, чтобы уведомить остальные DHCP серверы о своём выборе (добавляется опция 54, указывающая адрес выбранного DHCP-сервера), и они могли освободить зарезервированные OFFER-ы.
DHCPACK: cервер отправляет подтверждение клиенту. После этого клиент настраивает свой сетевой интерфейс, используя предоставленные параметры и опции.
В различных ситуациях могут еще возникать DHCPDECLINE, DHCPNAK, DHCPRELEASE, DHCPINFORM, но их рассмотрение в рамки данной статьи не входит.
Для получения исчерпывающей информации о работе DHCP можно обратиться к RFC 2131:
https://tools.ietf.org/html/rfc2131
Про опции 66 и 150 можно почитать здесь:
https://wiki.merionet.ru/ip-telephoniya/67/dhcp-opciya-150-i-66/
https://blog.router-switch.com/2013/03/dhcp-option-150-dhcp-option-66/
Про настройку DHCP сервера и Option 66 на Mikrotik можно почитать здесь:
https://wiki.merionet.ru/seti/5/nastrojka-dhcp-servera-na-mikrotik/
Чтобы передать телефону адрес tftp сервера, с которого он может получить конфигурационный файл, на DHCP сервере в параметрах области задаем Option 66, в которой указываем hostname либо IP адрес нашего tftp сервера.
Настройки по-умолчанию в большинстве телефонов подразумевают получение IP-адреса по DHCP и запрос Option 66.
В итоге, телефон получает IP, получает адрес tftp сервера и пытается "стянуть" оттуда файл своей конфигурации.
Согласно документации Dlink, загрузка файла конфигурации происходит следующим образом:
Устанавливается соединение с сервером.
Проверяется наличие файла с соответствующим именем:
- в первую очередь проверяется файл с именем соответствующим аппаратной платформе;
- во вторую - соответствующий MAC адресу устройства;
- в третью - соответствующий ID устройства;
- файл с произвольным именем проверяется либо в последнюю очередь (DHCP option, UpnP) либо в первую, если он явно указан в конфигурации телефона.
Проверяется версия конфигурационного файла.
Если версия выше, чем текущая на телефоне, файл конфигурации применяется.
Как уже говорилось ранее, файл конфигурации представляет собой текстовый документ определенного вида:
Первая строка: <<VOIP CONFIG FILE>>Version:2.0002
Для того, чтобы конфигурация была применена, версия файла должна быть выше, нежели текущая на телефоне, инкрементировать требуется последний разряд версии. По-умолчанию версия конфигурации 2.0002
Пример:
Текущая версия конфигурации 2.0002 на одном телефоне и 2.0004 на еще двух. Для того чтобы конфигурация применилась только на один телефон в первой строке файла конфигурации ставим <<VOIP CONFIG FILE>>Version:2.0004
для того чтобы обновить конфигурацию на всех телефонах ставим в первой строке
<<VOIP CONFIG FILE>>Version:2.0005
Разделы:
<GLOBAL CONFIG MODULE - содержит данные о сетевых настройках, серверах DNS, SNTP...
<LAN CONFIG MODULE> - содержит данные о настройках LAN, режимах работы LAN
<TELE CONFIG MODULE> - настройки расширенных функций телефонной части (Call Feature)
<DSP CONFIG MODULE> - настройка кодеков
<SIP CONFIG MODULE> - настройки SIP, серверы, регистрация etc...
<PPPoE CONFIG MODULE> - настройки PPPoE
<MMI CONFIG MODUL>E - настройки доступа и WEB интерфейса
<QOS CONFIG MODULE> - qos и vlan
<DHCP CONFIG MODULE> - настройки внутреннего DHCP
<NAT CONFIG MODULE> - настройки NAT и ALG
<PHONE CONFIG MODULE> - настройки телефонной части, в этом же разделе настраивается remote phonebook и extension key.
<SCREEN KEY CONFIG MODULE> - настройка программных клавиш (для версии F3)
<AUTOUPDATE CONFIG MODULE> - настройки Autoprovision
<VPN CONFIG MODULE> - настройки VPN
<TR069 CONFIG MODULE> - настройки TR069
Заканчивается файл строкой <<END OF FILE>>
Для обновления какой-либо опции конфигурации телефона, чтобы файл конфигурации был принят телефоном достаточно наличие следующих полей:
<<VOIP CONFIG FILE>> Version:2.0002
<Название необходимого раздела>
Название опции: значение
<<END OF FILE>>
Например, для обновления имени хоста телефона необходимо создать следующий файл конфигурации:
<<VOIP CONFIG FILE>>Version:2.0003
<GLOBAL CONFIG MODULE>
Host Name :ReceptionPhone
<<END OF FILE>>
Все остальные элементы являются необязательными.
Итак, овал нарисован.
Остались сущие мелочи - реализовать инструмент для создания конфигураций и дальнейшего управления ими. Займемся этим в следующей публикации.