пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ
По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье поговорим о том, как защитить IP-АТС от несанкционированного доступа и дадим несколько простых советов, следуя которым, можно существенно повысить безопасность вашей телефонной станции. Примеры, которые будут приведены в данной статье, относятся к IP-АТС на базе Asterisk, однако многие из них распространяются на все без исключения VoIP-АТС.
Для начала, давайте разберёмся, чем же грозят “дыры” в безопасности и какие последствия грозят бизнесу, если злоумышленник получит доступ к IP-АТС.
Угроза взлома
В отличие от взлома персонального компьютера или почты, взлом АТС – это бесплатные для взломщика звонки, за которые придется заплатить владельцу АТС. Известно немало случаев, когда хакеры тратили колоссальные суммы, проведя на взломанной АТС всего несколько часов.
Как правило, целями злоумышленников становятся IP-АТС, которые доступны из публичной сети. Используя различные SIP-сканнеры и исследуя системные уязвимости, они выбирают места для атаки. Дефолтные (default) пароли, открытые SIP-порты, неправильно управляемый firewall или его отсутствие - всё это может стать причиной несанкционированного доступа.
К счастью, все эти уязвимости можно устранить и причём совершенно бесплатно.
Простые шаги к повышению безопасности
Первое правило, которое необходимо соблюдать – это не афишировать адрес своей IP-АТС и следить за тем, чтобы доступ к сети имели только авторизованные пользователи. Разумеется, это правило распространяется и на физический доступ к серверу, на котором установлена IP-АТС.
Второе и самое очевидное – не использовать дефолтные (default) пароли, которые будет легко подобрать или угадать – “1234”, “admin”, “password”, название компании и так далее.
Одной из самых распространённых ошибок, является создание внутренних номеров (Extension), у которых и номер и пароль совпадают. В sip.conf это выглядит примерно так:
sip.conf
[101]
username=101
secret=101
host=dynamic
Допускать такого, категорически нельзя. Тем более что при создании внутреннего номера через интерфейс FreePBX 13, автоматически генерируется 32-значный надёжный пароль.
При настройке внутренних номеров также следует ограничивать IP-адреса, которые могут быть на них зарегистрированы вплоть до пула адресов локальной подсети. IP-АТС Asterisk имеет встроенные ACL (Access Control List), в настройке sip.conf. При помощи команд permit/deny можно разрешить лишь опредёленное количество IP-адресов для регистрации.
Другой важной мерой по усилению безопасности, является ограничение удалённого доступа к IP-АТС при помощи firewall. Будьте внимательны, так как в данном случае, главное грамотно настроить правила, по которым будет отрабатывать firewall. Убедитесь, что настройка не блокирует порты, которые использует ваша IP-АТС и не позволяет анонимно посылать ICMP запросы из публичной сети. Если вы планируете предоставлять удалённый доступ для авторизованных сотрудников, лучше всего организовать его при помощи VPN сервера (например, Open VPN).
Если это возможно, то желательно использовать NAT (Network Address Translation). При помощи NAT’а, можно присвоить IP-АТС приватный IP-адрес и существенно усложнить доступ к ней из Интернета.
Ещё одним очень важным фактором, является разделение входящих и исходящих маршрутов (Inbound Routes и Outbound Routes). Необходимо, чтобы каждый маршрут принадлежал собственному контексту обработки вызова.
Отключите каналы и сервисы, которые не используются. Например, если вы не используете протокол MGCP или skinny. Отключить эти модули можно в /etc/modules.conf как показано ниже:
noload => chan_mgcp.so
noload => chan_skinny.so
noload => chan_oss.so
Чтобы усложнить работу всевозможным SIP-сканнерам, необходимо в настройках sip.conf выставить следующее условие - alwaysauthreject=yes. Это будет препятствовать получению информации об использующихся внутренних номерах на вашей IP-АТС.
Рекомендуем создавать отдельные маршруты на звонки за рубеж (по сути, международное направление 810). Ставьте ограничения на звонки в таких маршрутах или закрывайте их PIN – кодом, который могут знать только сотрудники вашей организации.
Как видите, защитить IP-АТС от внешних вторжений не так уж трудно, следуя предложенным советам, можно достаточно серьёзно повысить безопасность и надёжность системы.
Всем привет! В этой статье мы хотим рассказать про то, что такое Extension Mobility в Cisco Unified Communications Manager (CUCM) , и про то, как его настроить.
Cisco Extension Mobility позволяет пользователю залогиниться на любой телефон, подключенный к CUCM. Это может использоваться, когда пользователи часто перемещаются с одного рабочего места на другое. Все персональные настройки, такие как номер телефона (Directory Number) и быстрый набор (user-specific parameters) могут быть динамически настроены на телефоне, который будет использоваться, что позволит пользователю не теряя времени начать работу.
Стоит отличать Extension Mobility от Device Mobility, который позволяет перенастраивать телефоны в зависимости от их местонахождения.
Extension Mobility работает как сервис, и после того как телефон будет на него подписан, у пользователя появится возможность выбрать этот сервис и ввести свой User ID и PIN. После этого CUCM применит Device Profile и перезагрузит телефон.
Если пользователь будет пытаться залогиниться на нескольких телефонах одновременно, то есть несколько вариантов:
Allow Multiple Logins – Пользователь может войти на несколько телефонов сразу, при этом все телефоны звонят одновременно
Deny Login – Пользователь может быть залогиненным только на одном устройстве. Если он попытается войти на другое, то будет выдаваться сообщение об ошибки, до тех пор, пока он не выйдет из первого устройства.
Auto-logout - Пользователь также может быть залогиненным только на одном устройстве, но когда он вводит свой данные на втором устройстве, система отключит его на первом.
Настройка Extension Mobility
Шаг 1. Активация сервиса Cisco Extension Mobility
Первым делом нам нужно перейти в раздел Cisco Unified Serviceability и перейти во вкладку Tools – Service Activation. Тут выбираем наш сервер и ставим галочку напротив пункта Cisco Extension Mobility.
Шаг 2. Настройка EM Service параметров
Возвращаемся в раздел CM Administration и переходим во вкладку System – Service Parameters. Здесь выбираем наш сервер, и из выпадающего меню Service выбираем Cisco Extension Mobility. Ниже в разделе Clusterwide Parameters. Тут можно настроить параметры входа, такие как время работы, возможность множественного входа и другие.
Шаг 3. Добавление EM Service.
Переходим во вкладку Device – Device Settings – Phone Services и нажимаем Add New. В поле Service Name указываем желаемое имя сервиса. В поле Service URL нужно указать следующую строчку:
http://[IP_адрес_CUCM_Publisher]:8080/emapp/EMAppServlet?device=#DEVICENAME#
Перед сохранением нужно удостовериться, что галочка в пункте Enable стоит. Также можно активировать пункт Enterprise Subscription, для того чтобы все телефоны подписались на Extension Mobility Service автоматически.
Шаг 4. Создание Default Device Profile
Default Device Profile со стандартными параметрами используется если модель телефона не совпадает с моделью в Profile. Для настройки переходим во вкладку Device – Device Settings – Default Device Profile и нажимаем Add New. В строке Product Type выбираем модель телефона, которая будет использоваться, а в строке Device Protocol указываем протокол, по которому работает телефон - SCCP или SIP. Доступные настройки зависят от выбранного телефона и протокола. Здесь можно задать настройки Music on Hold, Locale, Phone Button и Softkey Template и другие, которые будут использованы в профиле.
Шаг 5. Создание Device Profile
Создадим Device Profile, который будет использоваться на телефоне, после того, как пользователь залогинится. Переходим во вкладку Device – Device Settings – Device Profile и в новом окне нажимаем Add New. Так же как и в предыдущем пункте выбираем модель телефона, протокол и задаем параметры профиля (user-specific settings). Затем нажимаем Save.
После этого в открывшемся окне в меню Association Info нажимаем на Line [1] – Add a new DN и указываем номер телефона в стоке Directory Number. При необходимости заполняем остальные поля и нажимаем Save и возвращаемся в предыдущее меню.
Шаг 6. Подписка Device Profile на EM Service
Из меню Device Profile в выпадающем меню Related Links справа сверху выбираем Subscribe/Unsubscribe Services и нажимаем Go.
В открывшемся окне в стоке Select a Service выбираем созданный нами сервис и нажимаем Next. Далее указываем имя сервиса и нажимаем Subscribe, а затем Save.
Шаг 7. Ассоциируем пользователей End User с Device Profile.
Сначала нужно создать учетную запись пользователя. Для этого идем во вкладку User Management – End User и нажимаем Add New. Здесь нужно заполнить поля User ID, Password, PIN, Last Name и остальные, если необходимо.
Затем заходим в настройки созданного пользователя и в разделе Extension Mobility из поля Available Profiles переносим созданный нами профиль в поле Controlled Profiles, путем нажатия на кнопку “вниз”. Ниже в поле Device Profile выбираем профиль для пользователя.
Шаг 8. Включение EM на телефонах
Переходим во вкладку Device – Phone и выбираем телефон, на котором хотим настроить Extension Mobility. Находим раздел Extension Mobility и ставим галочку в пункте Enable Extension Mobility.
Далее нужно подписать телефон на сервис. Как и ранее сверху справа находим меню Related Links и выбираем Subscribe/Unsubscribe Services. (этот пункт не обязателен, если при создании сервиса мы поставили галочку в пункте Enterprise Subscription). Тут снова указываем созданный нами сервис и его имя и нажимаем Save.
Шаг 9. Тестирование
После всех настроек на телефоне, на котором мы настроили EM service. Для этого на телефоне нажимаем кнопку Services.
Здесь выбираем наш сервис и вводим Used ID и PIN.
После этого телефон перезагрузится и загрузится с новым профилем и номером. Выйти из профиля можно также нажатием кнопки Services.
Мы категорически против нарушения закона и поиска пользовательских данных в противоправных целях. Статья направлена только на обзор подобных способов и создана для предупреждения пользователей сети, а не освещение способа доступа к пользовательским данным. Рекомендуем использовать данные методы только для решения задач в рамках действующего законодательства.
Google может найти практически любую интересующую Вас информацию в интернете. Каждый день, пользователи интернета ищут что-либо через поисковые системы. А также, пользуются техникой, системами видеонаблюдения, радионянями и видеорегистраторами в своих автомобилях. На сегодняшний день, практически вся эта техника имеет возможность подключения к интернету. Даже чайник можно подключить к всемирной паутине, что уж говорить про остальные устройства. После прочтения этой статьи, Вы скорее всего начнете по-другому смотреть на «умную» технику, которая заполонила наши квартиры и дома.
При чем же тут поисковик под названием Shodan, возможно спросите Вы? А при том, что с помощью этого поисковика можно находить и подключаться к технологичным устройствам. Например, можно удаленно подключиться к веб-камере, установленной в Вашем дворе и следить за жильцами дома. Можно даже управлять подключенным устройством. Поисковик Shodan может помочь заглянуть в скрытый от посторонних глаз мир. Мир интернета вещей.
Поисковик Shodan
Создателем поисковика Shodan является швейцарский программист Джон Мэтэрли. Поисковик получил свое название в честь одного из персонажей игры System Shock. Этот поисковик имеет возможность оценивать уровень распространения по миру тех или иных устройств и операционных систем. Функционал поисковика постоянно обновляется и расширяется, становясь сюрпризом даже для своего создателя.
Поисковый робот Shodan получает и хранит в своей памяти данные обо всех устройствах, которые подключены к интернету и ответили хотя бы на один запрос. ПК и смартфоны обычно уязвимы менее всего, за счет установленных на них антивирусов и фаерволов. А вот остальные сетевые гаджеты неминуемо попадают в поле зрения поисковика, формируя таким образом «интернет вещей».
Если еще совсем недавно в зоне риска были лишь wi-fi роутеры, IP-видеокамеры и сетевые принтеры, то теперь к сети подключаются различные системы управления, бытовую технику, веб-камеры, а также радионяни и умные игрушки для детей. В 2016 году, в США был зафиксирован случай, когда к радионяне подключался злоумышленник и пугал по ночам ребенка.
Как можно удаленно управлять сетевыми устройствами с помощью Shodan?
В большинстве случаев, многими гаджетами, которые подключаются к интернету можно управлять удаленно. Как правило, они не предусматривают ограничения на права доступа, поэтому подключиться к ним может практически любой человек. Это можно осуществить с помощью протоколов SSH, SNMP и даже HTTP. В случае использования стандартных логинов и паролей, подключиться к таким устройствам не составляет никакого труда. Продвинутый хакер подберет пароль за считанные минуты, к тому же, стандартные пароли от производителей техники легко можно найти в сети.
Довольно часто, пользователи думают, что установив у себя дома веб-камеру, только у них будет доступ к просмотру ее содержимого. По этой причине они не меняют пароль, установленный производителем по умолчанию. Давайте рассмотрим пример, как можно запросто подключиться к веб-камере Hikvision:
Вводим в поисковике Shodan запрос «webcamxp» и ищем камеры Hikvision. Ищем в Google пароль по умолчанию для данной камеры. Как правило, по умолчанию установлен логин «admin», а пароль – 12345. Вводим эти данные в окошко авторизации веб-камеры, и получаем примерно такой результат:
Страшно? Очень!
При помощи поиска Google можно отыскать описание любой из систем управления. А с помощью Shodan, можно управлять практически каждой из этих систем. Сегодня совсем не обязательно быть хакером, чтобы совершать подобные действия. Ведь зарегистрироваться в Shodan сможет даже школьник.
Возможности поисковика Shodan могут, пожалуй, повергнуть в шок любого человека. Ведь получается так, что мы с Вами совершенно не защищены и в наше личное пространство может с легкостью вторгнуться посторонний человек. И мы, возможно, даже не узнаем об этом.