По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
В сегодняшней статье поговорим о том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данной статье, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС. Для начала, давайте разберёмся, чем же грозят “дыры” в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС. Угроза взлома В отличие от взлома персонального компьютера или почты, взлом АТС – это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов. Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall или его отсутствие - всё это может стать причиной несанкционированного доступа. К счастью, все эти уязвимости можно устранить и причём совершенно бесплатно. Простые шаги к повышению безопасности Первое правило, которое необходимо соблюдать – это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС. Второе и самое очевидное – не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать – “1234”, “admin”, “password”, название компании и так далее. Одной из самых распространённых ошибок, является создание внутренних номеров (Extension), у которых и номер и пароль совпадают. В sip.conf это выглядит примерно так: sip.conf [101] username=101 secret=101 host=dynamic Допускать такого, категорически нельзя. Тем более что при создании внутреннего номера через интерфейс FreePBX 13, автоматически генерируется 32-значный надёжный пароль. При настройке внутренних номеров также следует ограничивать IP-адреса, которые могут быть на них зарегистрированы вплоть до пула адресов локальной подсети. IP-АТС Asterisk имеет встроенные ACL (Access Control List), в настройке sip.conf. При помощи команд permit/deny можно разрешить лишь опредёленное количество IP-адресов для регистрации. Другой важной мерой по усилению безопасности, является ограничение удалённого доступа к IP-АТС при помощи firewall. Будьте внимательны, так как в данном случае, главное грамотно настроить правила, по которым будет отрабатывать firewall. Убедитесь, что настройка не блокирует порты, которые использует ваша IP-АТС и не позволяет анонимно посылать ICMP запросы из публичной сети. Если вы планируете предоставлять удалённый доступ для авторизованных сотрудников, лучше всего организовать его при помощи VPN сервера (например, Open VPN). Если это возможно, то желательно использовать NAT (Network Address Translation). При помощи NAT’а, можно присвоить IP-АТС приватный IP-адрес и существенно усложнить доступ к ней из Интернета. Ещё одним очень важным фактором, является разделение входящих и исходящих маршрутов (Inbound Routes и Outbound Routes). Необходимо, чтобы каждый маршрут принадлежал собственному контексту обработки вызова. Отключите каналы и сервисы, которые не используются. Например, если вы не используете протокол MGCP или skinny. Отключить эти модули можно в /etc/modules.conf как показано ниже: noload => chan_mgcp.so noload => chan_skinny.so noload => chan_oss.so Чтобы усложнить работу всевозможным SIP-сканнерам, необходимо в настройках sip.conf выставить следующее условие - alwaysauthreject=yes. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС. Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN – кодом, который могут знать только сотрудники вашей организации. Как видите, защитить IP-АТС от внешних вторжений не так уж трудно, следуя предложенным советам, можно достаточно серьёзно повысить безопасность и надёжность системы.
img
Интересная проблема, упомянутая как в RFC 2597, так и в RFC 3246, - это проблема сохранения метки при туннелировании помеченного пакета. Когда пакет туннелируется, исходный пакет оборачивается-или инкапсулируется-внутри нового IP-пакета. Значение байта ToS находится внутри IP-заголовка теперь инкапсулированного пакета. Ой-ой. Что только что произошло с тщательно разработанной схемой классификации трафика? Ответ заключается в том, что сетевые устройства участвуют в отражении ToS при туннелировании. Когда пакет туннелируется, значение байта ToS в инкапсулированном пакете копируется (или отражается) в IP-заголовке туннельного пакета. Это сохраняет классификацию трафика туннелированного приложения. Аналогичная проблема возникает при отправке маркированного трафика из сетевого домена, который вы контролируете, в тот, который вам не принадлежит. Наиболее распространенный пример - отправка помеченного трафика из вашей локальной сети в сеть вашего поставщика услуг, пересекая его глобальную сеть. Поставщики услуг, как часть контракта на обеспечение связи, также часто предоставляют дифференцированные уровни обслуживания. Однако, чтобы они могли предоставлять дифференцированные услуги, трафик должен быть помечен таким образом, чтобы они могли его распознать. Их схема маркировки вряд ли будет такой же, как ваша схема маркировки, учитывая огромное количество возможных возможных схем маркировки. Предлагается несколько решений этой дилеммы: Мутация DSCP: в этом сценарии сетевое устройство на границе между LAN и WAN переводит метку из исходного значения, назначенного в LAN, в новое значение, которое будет соблюдать SP. Перевод выполняется в соответствии с таблицей, настроенной сетевым инженером. Трансляция DSCP: для провайдеров SP нередко наблюдаются только первые три бита байта ToS, что восходит к временам IP Precedence, определенным еще в RFC791. Во втором решении сетевой инженер сталкивается с проблемой создания современной схемы маркировки DSCP с использованием шести битов, даже если поставщик услуг будет обращать внимание только на первые три. Задача состоит в том, чтобы поддерживать дифференциацию. Например, рассмотрим схему, показанную в таблице ниже. Эта схема не решит проблему. В этой таблице определены шесть уникальных значений DSCP для использования в локальной сети. Однако эти шесть уникальных значений уменьшаются до трех уникальных значений, если только первые три бита учитываются поставщиком услуг. Это означает, что некоторый трафик, который до попадания в сеть провайдера мог обрабатываться по-разному, теперь будет помещен в одну корзину. В этом примере EF и CS5, ранее уникальные, попадают в один и тот же класс, когда они покидают граничный маршрутизатор, поскольку оба начальных бита EF и CS5 равны 101. То же самое касается AF11, AF12 и AF13 - три ранее различных классы трафика, которые теперь будут обрабатываться одинаково при прохождении SP WAN, поскольку все они имеют одинаковое начальное значение 001 в начальных трех битах. Способ решить эту проблему - создать схему маркировки DSCP, которая будет поддерживать уникальность в первых трех битах, как показано в таблице. Однако для этого может потребоваться сокращение общего количества классов трафика. Ограничение схемы первыми тремя битами для определения классов уменьшит общее количество классов до шести. В таблице выше показана схема маркировки, использующая сочетание значений EF, AF и Class Selector, специально выбранных для сохранения уникальности первых трех битов.
img
В наше время компьютерные сети получили широчайшее распространение. Сложно представить работу любого учреждения, в котором не было бы доступа в интернет или же локальной компьютерной сети. В последние годы все большие обороты набирает беспроводной доступ в интернет, однако в этой статье речь пойдет о старых добрых проводных соединениях. В частности о витой паре. Это интересно - в профессиональной среде витую пару называют "патч - корд" Что такое витая пара? В народе так называют кабель связи, состоящий из пары (или нескольких пар) скрученных между собой проводов в единой оболочке. Чтобы связать устройства посредством этого кабеля, в большинстве современных устройств предусмотрены восьмиконтактные разъемы 8Р8С. В обиходе их часто называют RJ45, но это ошибочное именование, поскольку RJ45 это другой стандарт связи, со своим коннектором, не совместимым с 8Р8С, хотя и напоминающим последний внешним видом. Однако, просто обжать коннекторы на концах кабеля это еще не все. Многие администраторы сетей сталкивались с проблемой, когда сигнал не проходит по проводу. В данном случае приходится вынимать из разъемов оба конца витой пары, и сверять порядок проводов между собой. И хорошо, если кабель короткий 3-5 метра. А если он проведен в другое помещение? Для избежания таких ситуаций и были введены стандарты так называемой распиновки витой пары. Кабели витой пары имеют более десятка стандартов, однако на текущий момент ранние из них неактуальны по причине низкой скорости передачи данных. На текущий момент стандартная витая пара, используемая в большинстве сетевых устройств это 8 изолированных проводов, попарно свитых между собой и заключенных в общую оболочку. Для удобства распиновки каждый провод обозначается своим цветом (далее для иллюстрации схем распиновки используем сокращения): бело-оранжевый (БО) оранжевый (О); бело-зеленый (БЗ) зеленый (З); бело-синий (БС) синий (С); бело-коричневый (БК) коричневый (К;) Типы соединений посредством витой пары также разнятся. Это могут быть как прямые соединения (например, для соединения IP-камеры с сервером или коммутатором), так и кросс-соединения (для соединения однотипных устройств, к примеру, чтобы связать ноутбук и компьютер), или консольные соединения (используются для настройки маршрутизатора с ПК, в основном, в оборудовании Cisco). Для каждого типа соединения важно использовать свои стандарты распиновки. Типы соединений Для прямых соединений обычно используется два стандарта. По стандарту TIA/EIA-568A распиновка будет следующей: БЗ-З-БО-С-БС-О-БК-К Для стандарта TIA/EIA-568B, используемого чаще, применим такой вариант: БО-О-БЗ-С-БС-З-БК-К Чтобы создать перекрестное (кросс) соединение, на одном конце кабеля порядок проводов будет таким: БО-О-БЗ-С-БС-З-БК-К А на другом таким: БЗ-З-БО-С-БС-О-БК-К Отметим, однако, что большинство современных сетевых устройств автоматически определяют метод обжима кабеля и подстраиваются под него, поэтому кросс-соединение в настоящее время утратило актуальность в пользу прямого. Для консольного соединения необходимо обжимать провода в «зеркальном» порядке на обоих концах. Иными словами, на одном конце схема обжима будет выглядеть так: БО-О-БЗ-С-БС-З-БК-К А на другом так: К-БК-З-БС-С-БЗ-О-БО Несмотря на развитие в последние годы беспроводной передачи данных, проводные соединения обеспечивают более стабильную и быструю (в большинстве случаев) связь, что позволяет им быть актуальными до сих пор. Соблюдение стандартов распиновки позволит быстрее наладить соединение даже в крупных сетях, а также в будущем даст возможность быстрого устранения неполадок, связанных с выходом кабеля из строя, поскольку слабым местом витой пары обычно остаются соединения с коннекторами.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59