По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Временные списки доступа ACL (Time Based Access-List) – это такие ACL, которые позволяют ограничивать или разрешать доступ до ресурсов в зависимости от времени. Например, запретить выход в интернет для компьютеров в нерабочее время.
Настройка на оборудовании Cisco
Про настройку стандартных ACL можно прочесть тут;
Про настройку расширенных ACL можно прочесть здесь;
Для реализации списков доступа, основанных на времени, существует несколько простых шагов:
Определить временной диапазон когда должен действовать ACL
Определить что должен ограничивать и разрешать ACL и применить к нему временной диапазон
Применить ACL к нужному интерфейсу
Сначала на маршрутизаторе создадим временной диапазон, используя команду time-range [имя_диапазона] . Затем определяем, будет он периодическим (задаем периоды работы) или абсолютным (задаем начало и конец). Если он будет периодическим, то мы используем команду periodic [день_недели][час:минуты]to[день_недели][час:минуты] (также можно использовать аргументы weekend - Суббота и Воскресенье, weekdays - с Понедельника по Пятницу, и daily - Каждый день), а если абсолютным, то используем команду absolute [дата_начала] [дата_конца] .
Пример создания периодического временного диапазона:
Router#conf t
Router(config)#time-range weekends
Router(config)#periodic weekend 08:00 to 22:00
Либо можно указать отдельные дни:
Router#conf t
Router(config)#time-range mwf
Router(config)#periodic Monday Wendsday Friday 08:00 to 16:00
Пример создания абсолютного временного диапазона:
Router#conf t
Router(config)#time-range cisco
Router(config)#absolute start 00:00 1 May 2018 end 00:00 1 April 2019
Далее создаем ACL и указываем в нем созданный диапазон при помощи аргумента time-range [название]
Router(config)#ip access-list extended deny-weekends
Router(config)#deny tcp any any eq 80 time-range weekens
И после этого применим этот лист на интерфейсах:
Router(config)#interface fa0/1
Router(config)#ip access-group deny-weekends out
После этого лист контроля доступа будет применяться в зависимости от времени, выставленном на маршрутизаторе, поэтому очень важно, чтобы оно было выставлено верно. Посмотреть созданные временные диапазоны можно при помощи команды show time-range.
Зачастую взлом инфраструктуры происходит не с помощью сверхсекретных разработок или специально созданных "организмов" ("вирусов", "червей", "пауков", "дятлов" - нужное подчеркнуть), а из-за стандартных ошибок в настройках и дизайне. Ликвидировать эти недочёты - проще простого, но с такой же простотой они и создают огромные возможности для хакерских атак. Как отмечают специалисты по безопасности, появления подобных упущений в системе встречается настолько часто, что создаётся впечатление, что для таких ошибок существуют спецкурсы. Поэтому задачей данной статьи не является рассказ о самых современных методах защиты - мы просто постараемся заставить читателей задаться вопросом: "А всё ли хорошо в нашей системе безопасности и всё ли мы предусмотрели для того, чтобы конкуренты не смогли воспользоваться нашими данными и разработками и как устранить неполадки в нашей системе?".
Локальная учётная запись? Забудьте об этом.
Уж сколько раз твердили миру... Слова дедушки Крылова как нельзя лучше характеризуют данную ситуацию - она постоянно возникает и о ней всё время напоминают. Не надо (совсем нельзя) создавать доменной групповой политикой локальные учетные записи на хостах в вашем домене. Говоря военными терминами - уровень опасности красный.
Причина самая банальная - данные по записи (в том числе и пароль) хранится в открытом доступе и по умолчанию доступен всем участникам группы. Если кому интересно, то он находится в файле groups.xml, в ресурсе sysvol контроллера домена, но при этом ключ один на всех. Таким образом, любой желающий может скачать файл и путём нехитрых телодвижений стать администратором группы. Думаю о последствиях говорить не надо.
Чтобы не получилось подобных конфузов надо просто добавлять только доменные учетные записи в локальные группы на хостах.
Права юзеров - на необходимый минимум.
Каждая учётная запись имеет свои права для работы в системе и создана для работы конкретной направленности. Поэтому необходимо минимизировать права каждого пользователя системы, так чтобы они подходили под зону его ответственности. Таким образом, снизится риск утраты контроля над записью, и каждый будет знать только свою, необходимую ему информацию.
UAC - на максимум!
Поставьте на максимум User Account Control (UAC). Его, конечно, можно обойти, но он создаст лишнюю нагрузку для атаки, а время в таких вопросах - играет Вам на руку.
Никакого доступа к учетным данным и хэшам
MIMIKATZ - это утилита, которая очищает память процесса, ответственного за проверку подлинности Windows (LSASS). Затем она и выдает пароли в виде открытого текста и хеш-коды NTLM, которые злоумышленник может использовать для перемещения по сети. Чтобы защититься от неё, надо соблюдать несколько простых правил:
Обновите ваш Active Directory как минимум до 2012 R2;
Следите за обновлениями Windows и постоянно их устанавливайте;
Помещайте важные учетные записи в группу защищенных пользователей и установите параметр реестра;
Не предоставляйте учетной записи больше прав администратора, чем им нужно;
Продолжим тему NTLM, поднятую в предыдущем пункте. Его нужно запретить - от слова совсем. Есть такая замечательная штука, как pass-the-hash. Она, как это можно понять из названия, передаёт хеш NTLM на абсолютно любой хостинг, где разрешён NTLM и атакующий всё про вас узнает. Более того, его также можно передавать вместо учетной записи и ее пароля при атаках.
Навешайте ярлыков на рабочий стол
В прямом смысле - поставьте ярлыки на рабочий стол, которые будут связывать с общими файловыми ресурсами. Тем самым Вы уйдёте от сетевых дисков, а malware почти никогда не воспримет их как сетевые ресурсы. Причина, как всегда, банальная - malware путём перебора букв ищет названия дисков. Конечно, данный совет подходит не всем компаниям, но если возможность подобного похода существует - попробуйте.
Отключите скрытые файловые ресурсы!
И вновь из-за банальной причины. Они - первоочередная цель действия malware и злоумышленников. Конечно, это не все инструменты защиты инфраструктуры, но каждый случай нужно рассматривать отдельно, как и индивидуальные настройки для каждой инфраструктуры.
Мы уже писали статьи о том, как зарегистрировать транки от таких провайдеров VoIP услуг как : МТТ, Телфин, SIPNET и другие. А сегодня расскажем как подключиться к SIP-сервису от оператора МегаФон - МультиФон на примере FreePBX 14.
Почему то, именно с данным сервисом у многих возникают проблемы. Поэтому, дабы помочь нашим дорогим читателям и снять нагрузку с технической поддержки МегаФона, мы решили написать эту статью :)
Предыстория
МультиФон – это SIP-сервис от оператора мобильной связи МегаФон, с которым они вышли на рынок в 2010 году. Идея проста – связать сервисы сотовой связи оператора и VoIP. То есть организовать возможность приёма и совершения вызовов не только через сеть GSM, но и через Интернет. При этом средства списываются с мобильного номера. Помимо этого можно также совершать видео-звонки, а также отправлять SMS и MMS сообщения.
Подключение и настройка
Подключить МультиФон может любой обладатель мегафоновской SIM-карты. Для этого достаточно просто набрать комбинацию *137# и выбрать опцию “Подключить”. Через какое-то время Вам прилетит SMS с именем пользователя и паролем. Имя пользователя будет совпадать с номером мобильного, закреплённого за Вашей SIM-картой.
После этого, логинимся во FreePBX и начинаем настраивать транк. Переходим в раздел Connectivity → Trunks. Далее нажимаем Add Trunk → Add Chan_sip trunk.
Перед нами откроются параметры добавления нового транка.
На вкладке General указываем желаемое название транка (Trunk Name) и Outbound CallerID - номер, который увидят абоненты, вызываемые через этот транк.
Далее переходим сразу на вкладку sip Settings и настраиваем вкладку Outgoing, т.е параметры, которые мы будем отправлять на сервера МультиФона.
В поле Trunk Name повторно введите название транка. А в поле PEER Details необходимо указать следующее:
username=79261234567
type=peer
secret=<SUPER_SECURE_PASS.>
host=sbc.megafon.ru
fromuser=79261234567
fromdomain=multifon.ru
port=5060
qualify=yes
insecure=invite,port
canreinvite=no
Где:
username- имя пользователя, которые пришло Вам в SMS, которое совпадает с номером телефона;
type - тип линии, которая будет обрабатывать входящие и исходящие вызовы, проходящие через Asterisk. Авторизация при входящих будет осуществляться по средствам сопоставления IP и порта;
secret - пароль, который Вы получили по SMS;
host - адрес сервера регистрации;
fromuser - имя пользователя в поле FROM заголовка SIP;
fromdomain - адрес домена для поля FROM заголовка SIP;
port - порт, на котором сервер регистрации слушает протокол SIP;
qualify - параметр, отвечающий за проверку доступности хоста;
insecure - отвечает за проверку параметров при аутентификации. port, invite – означает, что аутентификация будет осуществляться без проверки номера порта и входящих сообщений INVITE;
canreinvite - параметр, запрещающий повторную отправку сообщений INVITE, когда соединение уже установлено;
Далее переходим на вкладку Incoming и прописываем такую строчку в поле Register String:
79261234567@multifon.ru:<SUPER_SECURE_PASS.>:79261234567@193.201.229.35:5060/79261234567
После чего нажимаем Submit и Apply Config.
Далее необходимо перейти в модуль Settings → Asterisk SIP Settings → Chan SIP Settings и найди параметр Enable SRV Lookup, его нужно поставить в Yes
После всех выполненных действий, Вы должны будете увидеть в Registries две регистрации – одну на multifon.ru, а другую на прокси сервере – sbc.megafon.ru.
Можно также убедиться в том, что транк успешно зарегистрирован на вкладке Peers:
Кстати, интересная особенность, которую можно увидеть с помощью утилиты sngrep, в том, что МультиФон использует отдельные сервера для сигнализации и RTP-трафика. А также, отправляет пакеты 407 Proxy Authentication Required, сообщающие о том, что для совершения вызова необходима аутентификация на прокси сервере. Вот посмотрите: