По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Объем киберпреступности стремительно растет. Противостоять такому натиску становится все сложнее: в сочетании с нехваткой времени и персонала многие организации просто не могут справиться с объемом работ по обеспечению безопасности. Выход очевиден - автоматизация процессов управления рисками с помощью автоматизации.
Однако, как выяснил опрос профессионалов в области кибербезопасности, многие относятся с опаской к приходу "умных"технологий.
Разный взгляд на автоматизацию
Опрос проводила американская ИТ-компания Exabeam, ежегодно исследующая факторы, влияющие на эффективность работы специалистов по информационной безопасности.
Несмотря на то, что 88% профессионалов в области кибербезопасности считают, что автоматизация облегчит их работу, молодые сотрудники обеспокоены тем, что технологии их заменят.
53% респондентов в возрасте до 45 лет "согласны или полностью согласны с тем, что ИИ и машинное обучение - угроза их занятости", указывается в отчете компании.
В то же время только четверть профессионалов в области кибербезопасности старше 45 лет проявляет такое же беспокойство, отмечается в отчете.
"Есть свидетельства того, что автоматизация, искусственный интеллект и машинное обучение становятся все более популярными, но опрос этого года выявил поразительные различия между поколениями, когда дело доходит до профессиональной открытости и использования всех доступных инструментов для выполнения своей работы", - сказал Фил Рутли, старший менеджер Exabeam.
Тревога потерять работу
В опросе Exabeam 2020 участвовали более 350 профессионалов в области кибербезопасности из разных стран мира, ответившие на самые разные вопросы. Вряд ли можно делать всеобъемлющие выводы по столь небольшой выборке, однако некоторые тенденции все же можно отметить.
Неожиданным "открытием" опроса оказалась тревога молодых по поводу своей карьеры, опасения потерять свое место с приходом машин.
"Отношение к автоматизации среди молодых специалистов в области кибербезопасности было для нас удивительным. Возможно, такое отношение связано с отсутствием обучения технологиям автоматизации", - говорится в пресс-релизе Exabeam.
Аналитики компании отмечают, что отсутствие понимания важности автоматизации и нехватка знаний и навыков могут повлиять на безопасность работы компаний.
Согласно данным исследования Cybersecurity Workforce 2019 года, в сфере кибербезопасности работают 2,8 миллиона человек, а требуется еще 4 млн. На фоне такой нехватки кадров обеспокоенность молодежи заставляет задуматься.
Вероятнее всего, главная причина подобных "страхов" - непонимание, в какой степени машины могут участвовать в работе, и будут ли они отрицать потребность в человеческом персонале.
Мы продолжим рассмотрение вопроса об устранении неполадок в объявлениях о маршрутах BGP. Все маршрутизаторы будут иметь рабочие соседние узлы BGP.
Рекомендуем также почитать первую часть статьи по траблшутингу протокола BGP.
Видео: Основы BGP за 7 минут
Урок 1
Новый сценарий. R1 и R2 находятся в разных автономных системах. Мы пытаемся объявить сеть 1.1.1.0 / 24 от R1 до R2, но она не отображается на R2. Вот конфигурации:
На первый взгляд, здесь все в порядке.
Однако R2 не узнал никаких префиксов от R1
Может быть, используется distribute-list. Но нет, это не тот случай. Это означает, что нам придется проверять наши все команды network.
Проблема заключается в команде network. Она настраивается по-разному для BGP и нашего IGP. Если мы применяем команду network для BGP, она должна быть полной. В этом случае забыли добавить маску подсети
R1(config)#router bgp 1
R1(config-router)#network 1.1.1.0 mask 255.255.255.0
Мы должны убедиться, что ввели правильную маску подсети.
Итак, видно, что мы узнали префикс, и R2 устанавливает его в таблицу маршрутизации ... проблема решена!
Итог урока: введите правильную маску подсети ... BGP требователен!
Урок 2
Давайте перейдем к следующей проблеме. Системный администратор из AS1 хочет объявить summary в AS 2. Системный администратор из AS 2 жалуется, однако, что он ничего не получает..., давайте, выясним, что происходит не так!
Вот конфигурация. Вы можете увидеть команду aggregate-address на R1 для сети 172.16.0.0 / 16.
Жаль ... префиксы не были получены R2. Здесь мы можем проверить две вещи:
Проверьте, не блокирует ли distribute-list префиксы, как это мы сделали в предыдущем занятии.
Посмотрите, что R1 имеет в своей таблице маршрутизации (Правило: "не могу объявлять то, чего у меня нет!").
Давайте начнем с таблицы маршрутизации R1. Из предыдущих уроков вы знаете, как выглядит distribute-list.
Здесь нет ничего, что выглядело бы даже близко к 172.16.0.0 /16. Если мы хотим объявить summary, мы должны сначала поместить что-то в таблицу маршрутизации R1. Рассмотрим различные варианты:
R1(config)#interface loopback 0
R1(config-if)#ip address 172.16.0.1 255.255.255.0
R1(config-if)#exit
R1(config)#router bgp 1
R1(config-router)#network 172.16.0.0 mask 255.255.255.0
Это вариант 1. Создам интерфейс loopback0 и настроим IP-адрес, который попадает в диапазон команды aggregate-address.
Теперь мы видим summary в таблице маршрутизации R2. По умолчанию он все равно будет объявлять другие префиксы. Если вы не хотите этого, вам нужно использовать команду aggregate-address summaryonly!
Второй вариант объявления summary:
R1(config)#ip route 172.16.0.0 255.255.0.0 null 0
R1(config)#router bgp 1
R1(config-router)#network 172.16.0.0 mask 255.255.0.0
Сначала мы поместим сеть 172.16.0.0 / 16 в таблицу маршрутизации, создав статический маршрут и указав его на интерфейсе null0. Во-вторых, будем использовать команду network для BGP для объявления этой сети.
Итог урока: Вы не можете объявлять то, чего у вас нет. Создайте статический маршрут и укажите его на интерфейсе null0, чтобы создать loopback интерфейс с префиксом, который попадает в диапазон суммарных адресов.
Урок 3
Следующая проблема. Вы работаете системным администратором в AS 1, и однажды получаете телефонный звонок от системного администратора AS 2, который интересуется у вас, почему вы публикуете сводку для 1.0.0.0 / 8. Вы понятия не имеете, о чем, он говорит, поэтому решаете проверить свой роутер.
Это то, что видит системный администратор на R2.
Мы видим, что у нас есть сеть 1.0.0.0 / 8 в таблице BGP на R1. Давайте проверим его таблицу маршрутизации.
Сеть 1.1.1.0 / 24 настроена на loopback интерфейс, но она находится в таблице BGP как 1.0.0.0 / 8. Это может означать только одну вещь ... суммирование.
Беглый взгляд на выводы команды show ip protocols показывает, что автоматическое суммирование включено. Отключим это:
R1(config)#router bgp 1
R1(config-router)#no auto-summary
Мы отключим его на R1.
Теперь мы видим 1.1.1.0 / 24 на R2 ... проблема решена!
Итог урока: если вы видите classful сети в своей таблице BGP, возможно, вы включили автоматическое суммирование.
Некоторые из проблем, которые были рассмотрены, можно легко решить, просто посмотрев и/или сравнив результаты команды "show run". И это правда, но имейте в виду, что у вас не всегда есть доступ ко ВСЕМ маршрутизаторам в сети, поэтому, возможно, нет способа сравнить конфигурации. Между устройствами, на которых вы пытаетесь устранить неисправности или которые вызывают проблемы, может быть коммутатор или другой маршрутизатор. Использование соответствующих команд show и debug покажет вам, что именно делает ваш маршрутизатор и что он сообщает другим маршрутизаторам.
Урок 4
Та же топология, другая проблема. Персонал из AS 2 жалуются, что они ничего не получают от AS 1. Для усложнения проблемы, конфигурация не будет показана.
Для начала, мы видим, что R2 не получает никаких префиксов.
Так же можем убедиться, что R1 не имеет каких-либо distribute-lists.
Мы видим, что R1 действительно имеет сеть 1.1.1.0 /24 в своей таблице маршрутизации, так почему же он не объявляет ее в R2?
Давайте посмотрим, может на R1 есть какие-то особенные настройки для своего соседа R2:
Будем использовать команду show ip bgp neighbors, чтобы увидеть подробную информацию о R2. Мы видим, что route-map была применена к R2 и называется "NEIGHBORS". Имейте в виду, что помимо distribute-lists мы можем использовать также route-map для фильтрации BGP.
Существует только оператор соответствия для prefix-list "PREFIXES".
Вот наш нарушитель спокойствия ... он запрещает сеть 1.1.1.0 / 24!
R1(config)#router bgp 1
R1(config-router)#no neighbor 192.168.12.2 route-map NEIGHBORS out
Удалим route-map
И наконец R2 узнал об этом префиксе ... проблема решена!
Итог урока: убедитесь, что нет route-map, блокирующих объявление префиксов.
BGP иногда может быть очень медленным, особенно когда вы ждете результатов, когда вы работаете на тестовом или лабораторном оборудовании. "Clear ip bgp *" - это хороший способ ускорить его ... просто не делайте этого на маршрутизаторах в производственной сети)
Урок 5
Наконец, третий участник выходит на арену, чтобы продемонстрировать новую проблему. R1-это объявляемая сеть 1.1.1.0 / 24, но R3 не изучает эту сеть. Здесь представлены конфигураций:
Соседство настроено, R1 - объявляемая сеть 1.1.1.0 / 24.
R3#show ip route bgp
Мы можем видеть сеть 1.1.1.0 / 24 в таблице маршрутизации R2, но она не отображается на R3.
Технически проблем нет. Если вы внимательно посмотрите на конфигурацию BGP всех трех маршрутизаторов, то увидите, что существует только соседство BGP между R1 и R2 и между R2 и R3. Из-за split horizon IBGP R2 не пересылает сеть 1.1.1.0 / 24 в направлении R3. Чтобы это исправить, нам нужно настроить R1 и R3, чтобы они стали соседями.
R1(config)#ip route 192.168.23.3 255.255.255.255 192.168.12.2
R3(config)#ip route 192.168.12.1 255.255.255.255 192.168.23.2
Если мы собираемся настроить соседство BGP между R1 и R3, нам нужно убедиться, что они могут достигать друг друга. Мы можем использовать статическую маршрутизацию или IGP ... чтобы упростить задачу, на этот раз мы будем использовать статический маршрут.
R1(config)#router bgp 1
R1(config-router)#neighbor 192.168.23.3 remote-as 1
R3(config)#router bgp 1
R3(config-router)#neighbor 192.168.12.1 remote-as 1
Примените правильные настройки команды neighbor BGP.
И R3 имеет доступ к сети 1.1.1.0 / 24!
Итог урока: соседство по IBGP должно быть полным циклом! Другим решением было бы использование route-reflector или confederation.
Урок 6
Очередная проблема. R3 является объявляемой сетью 3.3.3.0 / 24 через EBGP, а R2 устанавливает ее в таблицу маршрутизации. R1, однако, не имеет этой сети в своей таблице маршрутизации. Вот конфигурации:
Вот конфигурации. Для простоты мы используем IP-адреса физического интерфейса для настройки соседей BGP.
Мы можем проверить, что сеть 3.3.3.0 / 24 находится в таблице маршрутизации R2.
R1#show ip route bgp
Однако в таблице маршрутизации R1 ничего нет. Первое, что мы должны проверить - это таблицу BGP.
Мы видим, что он находится в таблице BGP, и * указывает, что это допустимый маршрут. Однако мы не видим символа >, который указывает лучший путь. По какой-то причине BGP не может установить эту запись в таблице маршрутизации. Внимательно посмотрите на следующий IP-адрес прыжка (192.168.23.3). Доступен ли этот IP-адрес?
R1 понятия не имеет, как достичь 192.168.23.3, поэтому наш следующий прыжок недостижим. Есть два способа, как мы можем справиться с этой проблемой:
Используйте статический маршрут или IGP, чтобы сделать этот next hop IP-адрес доступным.
Измените next hop IP-адрес.
Мы изменим IP-адрес следующего прыжка, так как мы достаточно изучили применение статических маршрутов и IGPs.
R2(config)#router bgp 1
R2(config-router)#neighbor 192.168.12.1 next-hop-self
Эта команда изменит IP-адрес следующего перехода на IP-адрес R2.
Теперь мы видим символ >, который указывает, что этот путь был выбран как лучший. IP-адрес следующего перехода теперь 192.168.12.2.
Ура! Теперь он есть в таблице маршрутизации. Мы уже закончили? Если наша цель состояла в том, чтобы она отобразилась в таблице маршрутизации, то мы закончили...однако есть еще одна проблема.
Наш пинг не удался. R1 и R2 оба имеют сеть 3.3.3.0 / 24 в своей таблице маршрутизации, поэтому мы знаем, что они знают, куда пересылать IP-пакеты.
Давайте взглянем на R3:
R3 получит IP-пакет с пунктом назначения 3.3.3.3 и источником 192.168.12.1. Из таблицы маршрутизации видно, что она не знает, куда отправлять IP-пакеты, предназначенные для 192.168.12.1. Исправим это:
R2(config)#router bgp 1
R2(config-router)#network 192.168.12.0 mask 255.255.255.0
Мы будем объявлять сеть 192.168.12.0 / 24 на R2.
Теперь R3 знает, куда отправлять трафик для 192.168.12.0 / 24.
Проблема устранена!
Итог урока: убедитесь, что IP-адрес следующего перехода доступен, чтобы маршруты могли быть установлены в таблице маршрутизации, и чтобы все необходимые сети были достижимы.
Желание использовать данные с внешних сервисов это вполне обычная практика. Так как многие из этих сервисов доступны по HTTP(S) (REST API, например), то в этой статье мы хотим показать простой способ обращения к этим сервисам по cURL и обработку данных в случае, если сервер вернет JSON. Все взаимодействия будут выполняться из диалплана.
Простой cURL запрос
В диалплане Asterisk существует функция CURL, которая позволяет получить содержимое WEB или FTP страницы. Синтаксис запроса следующий:
CURL(url,post-data)
url - URL, к которому мы будем выполнять обращение;
post-data - по умолчанию будет выполнен GET – запрос. Если в данном параметре будут указаны различные значения, то будет выполнен POST запрос с указанными в переменной данными;
Например:
exten => _X.,1,Set(C_RESULT=${CURL(//merionet.ru/rest?num=84991234567)})
Здесь мы выполним GET запрос по указанному URL, а результат сохраним в переменной C_RESULT.
Использование HTTPS в запросах
Иногда, HTTPS запросы могут не срабатывать, так как удаленная сторона будет проверять наш SSL – сертификат. Если поставить параметр ssl_verifypeer=0, то такой проверки не будет:
same => n,Set(CURLOPT(ssl_verifypeer)=0)
Как воспользоваться этим в диалплане?
Легко. С помощью функции GotoIf мы можем определить действие, которое отработает на базе результата cURL:
exten => _X.,1,Set(C_RESULT=${CURL(//merionet.ru/rest?num=84991234567)})
same => n,GotoIf($["${C_RESULT}" = "1"]?res1:res2)
same => n(res1),Verbose(CURL Result = 1)
same => n,Hangup
same => n(res2),Verbose(CURL Result != 1)
same => n,Hangup
Указанный код отправит GET - запрос на rest, в котором в параметре num передаст номер звонящего (можно указать соответствующую переменную диалплана Asterisk). В случае, если результатом выполнения запроса будет 1, то мы перейдем к выполнению шага res1, а противоположном случае, res2.
res_json для обработки JSON ответов
На самом деле, для API, является обычной практикой возврат ответа в виде JSON. Поэтому, нам следует преобразовать эти данные перед обработкой их. Для этого мы воспользуемся модулем res_json из JSON библиотеки, который создан для расширения базовых возможностей диалплана с точки зрения обработки JSON.
Почитайте материал об установке данного модуля по этой ссылке.
exten => _X.,1,Set(C_RESULT=${CURL(//merionet.ru/rest.json)})
same => n,Set(result=${JSONELEMENT(C_RESULT, result/somefield)})
same => n,GotoIf($["${result}" = "1"]?res1:res2)
same => n(res1),Verbose(CURL Result = 1)
same => n,Hangup
same => n(res2),Verbose(CURL Result != 1)
same => n,Hangup
Для теста, создайте у себя на web – сервере файл rest.json со следующим содержанием:
{
"result": {
"somefield": 1
}
}