По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Всем привет! В данной статье хотелось бы познакомить вас с очередным модулем FreePBX 13, который, как нам кажется, будет весьма полезен администраторам IP-АТС в процессе наладки и тестирования новых конфигураций. Итак, встречайте – модуль Misc Applications.
Обзор
С помощью модуля Misc Applications можно настроить специальные внутренние номера или же feature code (фича коды), которые можно будет набрать с внутренних телефонных аппаратов (или софтфонов) и получить доступ к любому направлению, настроенному на FreePBX. Не стоит путать этот модуль с другим - Misc Destinations, который позволяет создать различные направления, которые затем могут использоваться в других модулях, как правило, для входящей маршрутизации.
Модуль Misc Applications работает совместно с любым модулем, который может являться направлением, позволяя пользователям получить доступ к данному направлению, даже если у него нет назначенного номера. Именно поэтому данный модуль – это отличный инструмент для администратора FreePBX, ведь с помощью него мы можем, например, протестировать функционал только что настроенного IVR, DISA, Time Conditions и многих других, без необходимости звонить “снаружи”.
Настройка
Итак, давайте перейдём к настройке. Открываем FreePBX, далее Applications → Misc Applications, и в появившемся окне нажимаем + Add Misc Application
Перед нами открываются доступные функции данного модуля:
Enable - включает и выключает работу данной настройки;
Description - описание, позволяющее идентифицировать цель данной настройки;
Feature Code - внутренний номер или feature code (фича код), который нужно набрать, чтобы получить доступ к направлению;
Destination - направление, по которому попадут пользователи, набравшие feature code или номер;
На примере ниже, мы создали простейшую настройку Dial_into_IVR, которая позволит внутренним абонентам попасть в IVR под названием 2nd_Stage_IVR, после того как они наберут внутренний номер 1510
Помимо этого, модуль Misc Applications можно использовать как инструмент для блокировки набора определённых номеров. Например, если вы не хотите, чтобы внутренние абоненты вашей IP-АТС Asterisk имели возможность звонить по телефонному номеру 1234567890, то вы можете прописать его в данном модуле и выставить направление - Terminate Call (завершить вызов) или Announcement, голосовое сообщение, которое сообщит пользователю о том, что звонки по данному направлению недоступны.
Если вы только думаете о том, чтобы заняться информационной безопасностью, вам не помешает знать эти аббревиатуры. Мы также поговорим о том что это, каковы их задачи и в чем их отличия.
Отличия IPS от IDS
IPS – Intrusion Prevention System, а IDS – Intrusion Detection System. То есть, первый помогает предотвращать вторжения, а второй помогает их обнаруживать. Но что интересно – они используют ну очень похожие технологии.
При всей похожести названий и технологий, это два абсолютно разных инструмента, которые используются в очень разных местах, разными людьми и выполняют очень разные задачи. /
Когда мы говорим про IPS/, то первое что приходит на ум – функционал фаервола, или межсетевого экрана – в нем всегда есть определенное количество правил: десятки, сотни, тысячи и иже с ними – в зависимости от требований. Большинство этих правил – разрешающие, т.е разрешить такой-то трафик туда-то, а в конце правила – все остальное запретить. Как вы наверное догадались, такой функционал реализуется с помощью ACL (листов контроля доступа).То есть, если трафик или его источник неизвестен – МСЭ его просто дропнет и все.
IPS в свою очередь повторяет историю про определенное количество правил – только эти правила в основном запрещающие: заблокировать такую-то проблему безопасности и т.д. Так что когда появляется пакет, IPS рассматривает свои правила свеху вниз, пытаясь найти причины дропнуть этот пакет. В конце каждого списка правил стоит скрытое «пропускать все остальное, что не попадает под критерии выше». Таким образом, в отсутствие повода или известной сигнатуры атаки, IPS просто пропустит трафик.
То есть МСЭ и IPS – устройства контроля. Они обычно находятся на периметре сети и следятпропускают только то, что соответствует политикам безопасности. И самой логичной причиной использования IPS является наличие огромного количества известных атак в сети Интернет – и каждое IPS устройство обладает набором сигнатур (типичных признаков атак), которые должны непрерывно обновляться, чтобы вас не могли взломать с помощью новомодного, но уже известного производителям ИБ средства.
Что такое UTM?
Очевидная мысль о том, что неплохо было бы оба этих устройства поместить в одну железку, породили нечто, называемое UTM – Unified Threat Management, где IPS уже встроен в МСЭ. Более того, сейчас в одно устройство очень часто помещается гигантское количество функций для обеспечения безопасности – IPS/IDS, защита DNS, защита от угроз нулевого дня (с облачной песочницей), возможность осуществления URL фильтрации и многое другое. В случае Cisco и их МСЭ ASA/FirePOWER, к примеру, если вы купите просто железку, без подписок – вы получите только функционал stateful firewall-а и возможность смотреть в приложения, то есть распаковывать пакет до 7 уровня. А дополнительные возможности, вроде описанных выше – становятся доступными только после покупки подписок.
Опять же, какой бы сладкой не казалась мысль об унифицированной чудо-коробке, которая защитит вас от хакеров, нужно признать, что такой дизайн подходит далеко не всем.Очень часто из-за высокой нагрузки или специфической задачи данные решения требуется разносить по отдельным устройствам. Опять же – если у вас на периметре будет стоять только одно UTM – устройство, то это будет самым слабым местом вашей сети, так что всегда нужно думать о резервировании подобных вещей.
Что такое IDS?
Если IPS – это определенно средство контроля, то IDS это средство для повышения видимости в вашей сети. IDS мониторит трафик в различных точках вашей сети и дает понимание того, насколько хорошо обстоят дела с точки зрения защищенности. Можно сравнить IDS с анализатором протоколов (всем известный Wireshark) – только в этом случае анализ направлен на оценку состояния безопасности.
В руках аналитика по ИБ в не очень большой и серьезной организации, IDS обычно служит как бы окном в сеть и может показать следующие вещи:
Нарушения политик безопасности – например системы или пользователи, которые запускают приложения, запрещенные политиками компании
Признаки заражения систем вирусами или троянами, которые начинают пытаться захватить полный или частичный контроль для дальнейшего заражения и атак
Работающее шпионское ПО или кейлоггеры, «сливающие» информацию без уведомления пользователя
Некорректно работающие фаерволы или их политики, некорректные настройки и т.д – все, что может повлиять на производительность и целостность сети
Работающие сканеры портов, «левые» службы DNS и DHCP, внезапные средства для подключения к удаленному рабочему столу и пр.
Итак:
IDS и IPS смогут замечать и предотвращать как автоматизированные вторжения, так и преднамеренные – но вместе они дают вам большую ценность, а именно – большую видимость и
Что же купить?
Если вы небольшая организация, мы бы посоветовали смотреть в сторону наборов «все-в-одном», а именно UTM решений. Опять же, многие вендоры сейчас выпускают гибридные продукты, которые совмещают в себе видимость IDS с возможностями контроля IPS. /
На всякий случай – IPS это не то, что один раз настроил и забыл. IPS систему нужно постоянно тюнинговать, чтобы она была заточена под именно вашу организацию и сеть. Если же этого не сделать, то возможно большое количество ложно-положительных и ложно-отрицательных срабатываний – то есть или пострадают какие-нибудь ваши сервисы, или вы пропустите много атак.
А если говорить про IDS, то важна не «крутость» и объем собираемых данных, а вид и удобство пользования системой конечным пользователем (скорость навигации через предоставленную IDS ценную информацию быстро и легко) – будь то системный администратор или аналитик.
Мы написали эту статью исключительно с целью общего понимания что такое IDS, IPS и UTM – конечно, есть огромное количество разнообразных типов этих систем и механизмов работы, но мы решили рассказать для начала очень кратко – чтобы дальше можно было уже глубже погружаться в подобные материи. И не забывайте, что существует огромное количество бесплатных IPS/IDS решений – каждый при должном желании и старании может попробовать скачать, установить и настроить подобное решение для более глубого понимания механизмов работы.
Всем привет! Сейчас мы расскажем об основных правилах, которые следует соблюдать при удаленном подключении телефона к IP-АТС. Актуально не только для Asterisk, но и для вообще любых IP-АТС.
Основные проблемы возникают из-за 3 факторов: Недостаточная пропускная способность сети, конфигурация межсетевых экранов и функционал инспектирования SIP-трафика. Но обо всём по порядку.
Пропускная способность (Bandwidth)
Давайте посчитаем, какая нам потребуется пропускная способность для одного звонка с использованием кодека G.711. При условии, что мы передаём голос в стандартной Ethernet – сети и будет задействован стек протоколов – IP/UDP/RTP :
По умолчанию, кодек G.711 формирует два голосовых семпла общей длительностью 20 мс, размер которых = 160 байт. Скорость потока, создаваемого G.711 = 64 Кбит/c
Заголовки канального уровня (Layer 2) потребуют ещё 18 байт
Заголовки сетевого уровня (IP - Layer 3) добавят ещё 20 байт
Далее заголовки UDP – ещё 8 байт
Наконец, RTP потребует 12 байт
Таким образом, общий размер пакета, в котором будет передаваться 20 мс голоса составит: 160 + 18 + 20 + 8 + 12 = 218 байт
Количество пакетов в секунду, формируемых G.711 = скорость потока кодека / размер голосовой нагрузки (сэмплов) = 64000 бит/c / (160 байт * 8 бит на байт) = 50 пакетов в секунду
Теперь мы можем посчитать полосу пропускания, необходимую для передачи 50 пакетов, содержащих 20 мс голоса, которые будут передаваться по сети. Полоса пропускания = 218 байт * 8 бит на байт * 50 = 87200 бит/с = 87.2 Кбит/c.
Рекомендуется ещё закладывать 5% в качестве защитного интервала: 87.2 * 1.05 = 91.56 Кбит/с
Вот примерно такой должна быть полоса пропускания интернет соединения со стороны подключения удалённого телефона, и на стороне IP-АТС. Если у одной из сторон будет медленное соединение, то качество голоса будет неудовлетворительным.
Зная параметры VoIP сети и используемого кодека, Вы без проблем сможете вычислить необходимую Вам полосу пропускания. Чтобы больше узнать про кодеки, рекомендуем почитать нашу статью.
Телефонный звонок – это симметричное соединение. Поэтому необходимо иметь минимум 91.56 Кбит/с как для входящего трафика (download speed), так и для исходящего (upload speed). Если удалённый пользователь имеет 10 Мб на скорость скачивания (download), то это ещё не значит, что он имеет сколько же на upload.
Но даже если наш удалённый пользователь будет иметь 10 Мб на скачивание и 512 Кбит на загрузку, это ещё не гарантирует нормальное VoIP соединение. Потому что полоса пропускания будет делиться между всеми активностями, которые пользователь совершает в Интернете. Догадайтесь - что будет, если наш пользователь находится в телефонном звонке, а кто-то в его сети начнёт скачивать тяжёлый файл или смотреть онлайн видео? При скачивании файлов задержка или потеря пакета может быть даже не заметна. А вот VoIP трафик передаётся в реальном времени и он очень чувствителен к задержкам и потерям пакетов. Любой из этих факторов может привести к срыву звонка.
Если Вы столкнулись с такой проблемой, рекомендуем настроить Quality of Service или Traffic Shaping. Данный функционал позволяет раздать приоритеты разным видам трафика на маршрутизаторе. Более подробно о механизме QoS можно почитать в нашей статье. А здесь примеры настройки на маршрутизаторе Mikrotik.
Межсетевой экран (Firewall)
Необходимо точно понимать, что удалённый телефон – это телефон, который подключается к Вашей IP-АТС не напрямую. Он не находится в Вашей локальной сети (LAN) и, что ещё важнее, он не находится в Вашей виртуальной локальной сети (VPN). Поэтому, для его корректной работы, нужно будет открыть кое какие порты на роутере или межсетевом экране.
5060 - По стандарту именно этот UDP порт используется протоколом SIP для обмена сигнальной информацией.
10000 – 20000 - (В большей степени актуально для Asterisk). UDP порты используются протоколом RTP и RTCP для передачи исходящего и приема входящего аудио трафика. Если вы столкнулись с проблемой односторонней слышимости или полным её отсутствием (при условии наличия сигнализации SIP) – скорее всего, дело в RTP портах на одной из сторон соединения.
69 TFTP / 21 FTP - Порты для обмена файлами. В IP-АТС используются для автоматической настройки и обновления телефонных аппаратов при помощи функции auto-provision.
Отнеситесь данному пункту очень серьёзно. Нельзя просто открывать эти порты всему миру. Необходимо также настроить правила, чтобы доступ к этим портам могли получить только доверенные устройства.
Если Вы используете Asterisk/FreePBX, то рекомендуем более подробно узнать какие ещё порты может понадобиться открыть вот тут.
Функционал испектирования SIP
SIP ALG (Application Layer Gateway) – это функционал, который испектирует SIP трафик, который проходит через маршрутизатор и позволяет модифицировать его так, чтобы не нужно было делать проброс портов для SIP и RTP.
Зачастую, администраторы, которые настраивают удалённый телефон для подключения к IP-АТС, сталкиваются именно с проблемами включенного на маршрутизаторе SIP ALG. Дело в том, что SIP ALG может изменить сигнальные пакеты так, что АТС не сможет их распознать и телефон не сможет нормально зарегистрироваться. Поэтому если Вы столкнулись с проблемой подключения телефона, рекомендуем также обратить внимание на функционал SIP ALG Вашего маршрутизатора.
Многие производители включают его по умолчанию. Мы же рекомендуем либо правильно настроить его в соответствии с инструкцией от производителя, либо, если никаких других вариантов не осталось – отключить его.
Вот примеры названий данного функционала у разных производителей, но все они значат одно и то же:
SIP ALG
SIP Helper
SIP Fixup
SIP Markup
SIP Translation
Например на роутерах Mikrotik, чтобы отключить данный функционал нужно зайти в IP → Firewall → Service Ports и убедиться, что сервис SIP выключен.
Либо отключить его используя CMD Mikrotik: /ip firewall service-port disable sip
Проблемы при подключении более 1 телефонного аппарата из одной и той же удаленной точки
Представьте, что Вы пытаетесь зарегистрировать два удалённых телефона на своей IP-АТС. Пусть их внутренние номера будут 100 и 101. Когда эти телефоны будут отправлять запрос регистрации, то Ваша IP-АТС получит его от удалённого роутера, за которым находятся эти телефоны и запрос этот будет от одного и того же IP адреса. Может быть эти телефоны и зарегистрируются на АТС, но когда на один из этих номеров будет поступать вызов, то удалённый маршрутизатор не сможет разобраться на какой из телефонов его отправлять 100 или 101.
Лучшим решением данной проблемы – будет организация виртуальной локальной сети (VPN) между удалёнными точками и IP-АТС. Тогда телефоны, находящиеся в удалённых офисах смогут регистрироваться на IP-АТС как если бы они находились в одной локальной сети.