По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В данной статье мы расскажем вам как заблокировать к определенным вебсайтам (к их доменам) с самым обычным межсетевым экраном Cisco ASA. Данный метод работает как на старых 5500 моделях, так и на новых 5500-X. Единственное требование – наличие версии ПО старше 8.4(2) Кроме того, вам не требуется никаких фич, присущих МСЭ следующего поколения или дополнительных подписок.
Важный момент – даже если данное решение по блокировке вебсайтов выглядит довольно простым, оно не является заменой полноценному веб-прокси серверу. В случае Cisco, таким решением является Cisco WSA – Web Security Appliance, или же данный функционал можно активировать с помощью покупки подписки на URL фильтрацию для вашего МСЭ следующего поколения.
Используемые методы
Всего существует несколько способов блокировки страниц в интернете:
Регулярные выражения с MPF (Modular Policy Framework);
Блокировка по сетевому адресу с помощью листов контроля доступа (ACL);
Используя FQDN (Fully Qualified Domain Name) в листе контроля доступа (ACL);
Первый метод работает довольно хорошо с HTTP сайтами, но он не будет работать от слова совсем с HTTPS сайтами. Второй метод будет работать только для простых сайтов, у которых статический IP – адрес, то есть будет очень трудоемко настроить его для работы с такими сайтами как Facebook, VK, Twitter и т.д. Поэтому, в данной статье мы опишем третий метод.
Описание настройки
При использовании версии ПО выше или равной 8.4(2), появилась возможность добавлять в ACL такие объекты как FQDN (полные доменные имена). Таким образом, вы можете разрешить или запретить доступ к хостам используя их доменные имена вместо IP – адресов. То есть можно будет запретить доступ к Фейсбуку просто запретив доступ к FQDN объекту «www.facebook.com» внутри ACL.
Важное преимущество данного метода состоит в том, что это не скажется на производительности вашего МСЭ – т.к DNS лукап будет совершен до этого и все ассоциированные с этим FQDN будут храниться в памяти устройства. В зависимости от TTL на DNS лукапе, МСЭ может продолжать совершать DNS запросы для определенного доменного имени (каждые несколько часов, к примеру) и обновлять IP – адреса в памяти.
На примере сети ниже, мы хотим заблокировать доступ к www.website.com, который имеет IP-адрес 3.3.3.3. Наша ASA будет использовать внутренний DNS - сервер (или любой другой DNS – сервер) для получения адреса и запрета доступа к нему во входящем ACL на внутреннем интерфейсе.
Команды
Теперь настало время написать сам конфиг (точнее только его часть, которая касается блокировки страниц). Он указан ниже, с комментариями:
domain-name merionet.ru
interface GigabitEthernet0
nameif outside
security-level 0
ip address 1.2.3.0 255.255.255.0
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.1.1
!другие команды настройки интерфейса скрыты
!Указываем, какой DNS сервер использовать для определения IP – адресов
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.2
domain-name mycompany.com
!Создаем FQDN объекты для тех сайтов, которые хотим заблокировать. Указываем как с www так и без
object network obj-www.website.com
fqdn www.website.com
object network obj-website.com
fqdn website.com
!Добавляем FQDN объекты во входящий ACL на внутреннем интерфейсе
access-list INSIDE-IN extended deny ip any object obj-www.website.com
access-list INSIDE-IN extended deny ip any object obj-website.com
access-list INSIDE-IN extended permit ip any any
!Применяем ACL выше для внутреннего интерфейса
access-group INSIDE-IN in interface inside
В этой статье рассмотрим, как управлять учетными записями пользователей и групп в Linux. Также посмотрим различные базы данных, в которых хранится информация о пользователях и группах и что такое теневые пароли.
Изначально в Linux было 2 файла /etc/password и /etc/group. В первом файле хранилось:
Имя_пользователя : пароль : uid : gid : сведения (поле предназначено для персональных данных) : домашняя_папка : командная оболочк(которая запускается при входе пользователя в систему)
Во втором файле хранилось:
имя_группы : пароль : gid : члены_группы
У группы может быть пароль, но данную функцию очень редко, кто использует, в таком случае пароль будет запрашиваться при смене членства в группе. Данные файлы плохи тем, что у всех пользователей системы, по умолчанию, есть права на чтение. Такие права необходимы потому, что разные пользователи, разные демоны и сервисы обращаются к данным файлам, чтобы брать оттуда информацию. Соответственно в этих файлах хранился пароль пользователя, хотя и в зашифрованном виде, но с помощью различных методов криптографии подбора можно было воспользоваться данным паролем, потому что у всех пользователей был на эти файлы доступ.
Поэтому был создан механизм теневых паролей. Были созданы вот такие 2 файла: /etc/shadow и /etc/gshadow. И к этим двум файлам имеет полный доступ только пользователь root. Следовательно, теперь в файлах passwd и group указываются не пароли, а специальные символы, говорящие что пароли были перенесены в файлы shadow и gshadow.
В новом файле shadow хранится побольше информации о пароле пользователя. Это:
Логин
Пароль
Время после смены пароля – это если пароль сбрасывался после времени установки системы
Минимальный срок действия пароля - как часто можно менять пароль, если, например, стоит 5 дней, то пароль можно менять не чаще, чем раз в 5 дней.
Максимальный срок действия пароля – максимальное количество дней, по прошествии которых обязательно необходимо сменить пароль.
Срок предупреждения – за сколько дней до истечения пароля система предупредит о том, что необходимо сменить пароль.
Время работы с истекшим паролем – это параметр позволяет указанное число дней работать с истекшим паролем.
Срок для блокировки пароля – данный параметр отвечает за время жизни самого пароля, например, пароль будет работать 100 дней, после этого заблокируется.
Соответственно данные параметры можно при необходимости задавать при создании учетной записи пользователя и паролей. Если провести аналогию с операционной системой Windows, то подобные параметры в Windows мы можем задавать через GPO (Group Policy Object - набор правил или настроек, в соответствии с которыми производится настройка рабочей среды в операционных системах Windows). Отличие заключается в том, что в Windows эти параметры выставляются в абсолютных величинах числом, а в операционной системе Linux, относительно даты 1 января 1970 года.
Ну и соответственно gshadow имеет следующую структуру, разделенную символом :.
Имя группы
Пароль зашифрованный
Администраторы, те учетные записи, которые могут менять пароль группы или добавлять другие аккаунты
Члены групп
Следовательно, пароли могут хранится и в тех, и в тех файлах, отличие в том, что у пользователей есть доступ на чтение к файлам passwd и group, а к shadow и gshadow только у пользователя root. Данный механизм называется механизмом теневых паролей, и он присутствует во всех современных Linux системах.
Теперь, посмотрим, как это выглядит в операционной системе.
Заходим в файл passwd любым текстовым редактором, например, nano, без повышения привилегий.
Возьмем пользователя:
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
Логин - list, значок X говорит о том, что пароль хранится в теневом файле. Далее 38 – id пользователя, 38 - gid, прочая информация - Mailing List Manager, домашняя папка пользователя - /var/list и оболочка которая используется при входе - /usr/sbin/nologin.
Можно увидеть, что вместо оболочки у пользователя указан nologin – это означает, что пользователь не может войти, используя стандартный экран входа, используя стандартные средства. На картинке можно найти пользователя siadmin. Можно также увидеть все остальные параметры этого пользователя. У него совпадает uid и gid, это связанно с тем , что при создании пользователя создается одноименная группа. Можно, конечно, при создании указать, что пользователь будет входить в другую группу и не создавать одноименную, но по умолчанию она создается. В конце строчки мы можем увидеть /bin/bash, которая запускается при входе в систему. Можно обратить внимания на uid и gid все реальные пользователи их имеют числом выше 1000. Все пользователи, у которых число ниже – это служебные пользователи или созданные автоматически. В некоторых дистрибутивах Linux нумерация реальных пользователей начинается с 500.
Посмотрим файл с группами, вводим команду nano /etc/group
Данная база очень простая. Указано наименование группы, знак X говорит, о том, что пароль хранится в теневой базе, идентификатор группы и список пользователей в данной группе. Единственный нюанс - если пользователь входит в свою же группу, то после знака двоеточие пользователь не отображается.
Далее файлы /etc/shadow и /etc/gshadow, данные файлы не редактируются с помощью текстовых редакторов, а через специальные команды. Данные файлы — это просто хранилище информации. Эти утилиты будут рассмотрены в следующем уроке.
Зайти в эти файлы могут только пользователи имеющие права root или с помощью команды повышающей привилегии sudo.
sudo nano /etc/shadow
Теперь мы видим в данном файле через двоеточие:
Имя пользователя
* или зашифрованный пароль
Срок с последнего изменения пароля в днях
Минимальный срок изменения пароля, если 0, то сменить пароль можно сразу
99999 - срок действия пароля, 7 - количество дней за которое до истечения пароля придет предупреждение
Символ * говорит о том, что под данным пользователем нельзя зайти стандартным способом, обычно это применяется для служебных аккаунтов, т.е вход вообще заблокирован под данным аккаунтом.
Вот так вот реализуется механизм теневых паролей.
При развертывании IP-АТС одним из важнейших факторов является выбор телефонных аппаратов, поэтому в сегодняшней статье мы расскажем про 5 самых известных и надёжных брендах и моделях SIP- телефонов, которые не раз устанавливали в своих инсталляциях.
Немного теории
SIP-телефон – это телефон, который устанавливается в локальную сеть через порт RJ-45, вместо стандартного RJ-11. В отличие от аналоговых телефонов, которые используют выделенную телефонную сеть, SIP-телефоны используют компьютерную сеть для передачи голосовых данных. Если вы хотите использовать IP-телефоны, то для управления, координирования и взаимодействия с различными компонентами телефонии, в сети должна присутствовать IP-АТС.
Большинство телефонов указанных ниже поддерживают SIP, но перед тем как заказывать один из них, рекомендуем ещё раз ознакомиться с их спецификацией. Кроме того, не все ниже упомянутые телефоны поставляются с блоком питания. Если вы собираетесь использовать POE выключатели/POE адаптеры, блок питания может не потребоваться. Если блок питания не входит в стандартную поставку, обычно его можно докупить отдельно
Телефоны Cisco
1. Cisco SPA 504G 4-Line IP Phone
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
4 линии, 4 SIP аккаунта, поддержка SIP и SCCP
Монохромный 128 × 64 ЖК-дисплей с подсветкой
Встроенный 2-портовый коммутатор, Поддержка POE
4 программируемые кнопки
Встроенная громкая связь, порт для гарнитуры
2. Cisco SPA 303 3-Line IP Phone
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
3 линии, поддержка SIP и SCCP
Монохромный 128 × 64 ЖК-дисплей с подсветкой
Встроенный 2-портовый коммутатор
Стандартный 12 - кнопочный диалпад, кнопки для голосовой почты и удержания
Встроенная громкая связь, порт для гарнитуры
3. Cisco SPA525G2 5-Line IP Phone
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
5 линий, поддержка SIP и SCCP
Графический 3,2-дюймовый цветной 320 х 240 дисплей
Встроенный 2-портовый коммутатор c поддержкой POE, поддержка соединения по WiFi
5 программируемых линейных кнопок
Интеграция с Bluetooth, Встроенная громкая связь, порт для гарнитуры, USB порт
Телефоны Polycom
1. Soundpoint IP 335
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
3 линии, поддержка SIP
Монохромный 102 × 33 ЖК-дисплей с подсветкой
Встроенный 2-портовый коммутатор, Поддержка POE
3 программируемые кнопки (контекстно-зависимые)
Порт для гарнитуры
2. Soundpoint IP 550
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
4 линии, поддержка SIP
Монохромный 320 × 160 ЖК-дисплей с подсветкой
Встроенный 2-портовый коммутатор, Поддержка POE
4 программируемые кнопки (контекстно-зависимые)
Поддержка XHTML
3. Soundpoint IP 650
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
6 линии, поддержка SIP
Монохромный 320 × 160 ЖК-дисплей с подсветкой
Поддержка POE, USB порт
4 программируемые кнопки (контекстно-зависимые)
Возможность расширения до 12 линий с модулем расширения Polycom, Поддержка XHTML
Grandstream
1. GXP1405
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
2 линии, 2 SIP аккаунта
Монохромный 128 × 40 ЖК-дисплей
Встроенный 2-портовый коммутатор, Поддержка POE
3 XML - программируемые контекстно-зависимые программируемые клавиши
Загружаемая телефонная книга XML, LDAP, XML настройка экрана
2. GXP 280
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
1 линия, 1 SIP аккаунт
Монохромный 128 × 32 ЖК-дисплей
Встроенный 2-портовый коммутатор
3 программируемые XML клавиши
Поддержка XHTML, Встроенная громкая связь, порт для гарнитуры
3. GXP 2124
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
4 линии, поддержка 4 SIP аккаунтов
Монохромный 240 × 120 графический
2-портовый гигабитный коммутатор с поддержкой POE
24 + 4 Контекстно программируемые клавиши быстрого набора BLF
Встроенный сервис приложений
Yealink
1. SIP-T22P
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
3 линии, поддержка SIP
Графический 132 × 64 ЖК-дисплей
Встроенный 2-портовый коммутатор, Поддержка POE
3 программируемых функциональных клавиш, 4 программируемые клавиши, Возможность крепления к стене
Отправка SIP SMS, голосовая почта
2. SIP-T28P
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
3 линии, поддержка SIP
Графический 320 × 160 ЖК-дисплей
Встроенный 2-портовый коммутатор с поддержкой POE
16 программируемых клавиш
Встроенная громкая связь, порт для гарнитуры
3. SIP-T38G
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
Поддержка SIP, 6 VoIP аккаунтов
Графический 4,3 цветной ,ЖК-дисплей 480 х 272 пикселей
Встроенный 2-портовый гигабит коммутатор с поддержкой POEE
16 BLF программируемых кнопок, Поддержка до 6 модулей расширения с программируемыми кнопками
Встроенная громкая связь, порт для гарнитуры
Snom
1. Snom 300 IP
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
Поддержка 4 SIP аккаунтов
ЖК-дисплей линейный (2 х 16 символов)
2-портовый коммутатор
6 программируемых функциональных клавиш
Громкая связь
2. Snom 320 IP
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
Поддержка 4 SIP аккаунтов
ЖК-дисплей линейный (2 х 16 символов
2-портовый коммутатор с поддержкой POE
12 программируемых функциональных клавиш
Встроенная громкая связь, порт для гарнитуры
$dbName_ecom = "to-www_ecom";
$GoodID = "7111349514";
mysql_connect($hostname,$username,$password) OR DIE("Не могу создать соединение ");
mysql_select_db($dbName_ecom) or die(mysql_error());
$query_ecom = "SELECT `model`, `itemimage1`, `price`, `discount`, `url`, `preview115`, `vendor`, `vendorCode` FROM `items` WHERE itemid = '$GoodID';";
$res_ecom=mysql_query($query_ecom) or die(mysql_error());
$row_ecom = mysql_fetch_array($res_ecom);
echo 'Кстати, купить '.$row_ecom['vendor'].' '.$row_ecom['vendorCode'].' можно в нашем магазине Merion Shop по ссылке ниже. С настройкой поможем 🔧
Купить '.$row_ecom['model'].''.number_format(intval($row_ecom['price']) * (1 - (intval($row_ecom['discount'])) / 100), 0, ',', ' ').' ₽';
$dbName = "to-www_02";
mysql_connect($hostname,$username,$password) OR DIE("Не могу создать соединение ");
mysql_select_db($dbName) or die(mysql_error());
3. Snom 370 IP
Количество линий
Дисплей
Интерфейсы
Кнопки
Фичи
Поддержка 12 SIP линий
Наклонный 240 х 158 Графический дисплей
SIP, 2-портовый коммутатор с поддержкой POE
12+42 программируемых функциональных клавиш
Встроенная громкая связь