Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Cisco Unified Communications

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82

Открыть новую тему     Написать ответ в эту тему

xktygfhnbb

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема создается исключительно для обсуждения вопросов, возникающих в процессе эксплуатации данного комплекса.
Все кроме ВАРЕЗА!

Всего записей: 1110 | Зарегистр. 08-04-2008 | Отправлено: 11:56 30-03-2011 | Исправлено: root0, 09:40 05-04-2018
kbessmertniy

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
Есть такое дело. Ну а на чем еще скрипты писать, sh я почему-то с детства недолюбливаю.

Всего записей: 614 | Зарегистр. 24-05-2011 | Отправлено: 18:28 09-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kbessmertniy
Резонно.
К сожалению битовые упражнения на нем тяжко делать, приходицца на C ваять.

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 20:18 09-12-2015
kbessmertniy

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
Ну для разных задач хорош свой инструментарий. Я вот к примеру на перле рисую парсер CDR'ов для сверок, на C я бы его делал в 10 раз дольше, хотя и работал бы он во сколько же раз быстрее. А что с битовыми операциями в перле не так кроме скорости?

Всего записей: 614 | Зарегистр. 24-05-2011 | Отправлено: 21:07 09-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kbessmertniy
Отсутствие в явном виде типов интов, как в С. Для эмуляции упражнений с uint32_t/uint64_t, считающихся на x86 на регистрах нужно использовать дополнительное колдунство. Или модуль в CPAN искать, что мне например лень и проще сделать на С. Но это достаточно узкий пласт задач.
А так http://search.cpan.org/~dconway/Lingua-Romana-Perligata-0.50/lib/Lingua/Romana/Perligata.pm можно даже так извернуться.
Вообще инструмент хорош для задачи, и в части обработки текстов перлу нет равных. На винде в связке с Word/Excel через OLE так вообще огонь.
 

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 23:10 09-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги,
 
3-Port FW DMZ with Single VCS Expressway LAN Interface  
 
http://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/118992-configure-nat-00.html
 
Это миф или реальность? Кто-нибудь пробовал собирать?

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 23:33 09-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k
Это плохая идея, слишком много проблем можно огрести по пути. Сама цыцка тянет с -E в сторону 2 интерфейсов, типо это самая правильная схема, и явно об этом говорит в release notes на X8.7
Вообще, как показывает практика и настройки -E с 2 интерфейсами, интерфейс в сторону Internet можно высовывать напрямую, не фильтруя, средств защиты на -E вполне достаточно. Остатется только NAT между -E и  -С

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 10:14 10-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
 
Да хотелось на стенде у себя покрутить, а тут только один публичный интерфейс. Причем в качестве пограничной железки раутер с натом, который не умеет nat reflection.  
Можно конечно попробовать внутри поднять ASAv, для интервлан роутинга между VCS-E/VCS-C, но стоит ли оно того?  
 
upd.  
 
Попробую затерминить LAN2 VCS-E и VCS-C на ASAv, посмотрим что из этого выйдет

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 10:24 10-12-2015 | Исправлено: bsl2k, 10:53 10-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k  
В смысле - у вас там всего один адрес белый, не подсеть ?
 

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 10:49 10-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
 
Да. На VCS-E есть возможность прокинуть только порты снаружи.  
 

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 10:54 10-12-2015 | Исправлено: bsl2k, 10:57 10-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k
Это поражение.
Не факт что удастся заставить вообще такую схему работать.

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 16:10 10-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
 
Почему нет?
 
Снаружи жаббер регистрируется, но отсутствует RTP межуд VCS-C/-E, по идее для решения этого и нужен nat reflection, насколько я понял.

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 10:21 11-12-2015
ameno2

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Снаружи жаббер регистрируется, но отсутствует RTP межуд VCS-C/-E,

Так и будет. В описании сказано нат 1:1

Всего записей: 401 | Зарегистр. 25-08-2005 | Отправлено: 11:16 11-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ameno2
У меня PAT, значит нужен второй адрес.
nat reflection при этом действительно нужен?

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 11:59 11-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k
nat reflection нужен везде где есть nat в случае VCS-C/-E
если у вас есть второй белый адрес для VCS-E, назначаемый напрямую на VCS-E, то нужен reflection между VCS-C и VCS-E. если белый адрес назначается на внешнем МСЭ, то нужен nat reflection между внешним МСЭ и VCS-E, а также на МСЭ между VCS-C и VCS-E

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 12:23 11-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
ameno2
 
Как оказалось все работает за PAT, по крайней мере для Windows Jabber.  
С Android / Iphone пока не потестил.  
 
помог Nat reflection между VCS-C/-E.
На VCS-E один интерфейс в инсайде, с описанием NAT.
 
upd.
 
Убрал nat reflection, добавил 2ой интерфейс на VCS-E, в том же сегменте что и VCS-C / UCM, все заработало.  
 
Мэджик.  

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 12:40 15-12-2015 | Исправлено: bsl2k, 15:55 15-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k
Атакуют VCS-E - атакуют VCS-C и UCM с такой схемой.

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 00:51 17-12-2015 | Исправлено: Angels, 01:43 17-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
 
Это в теории или есть известные прецеденты?
 
Каким атакам подвержены сервисы на VCS-E ? Через него тоже можно перенаправлять сигнализацию?

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 15:30 17-12-2015 | Исправлено: bsl2k, 15:47 17-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k
Подбор рута например.
Любая свежая дыра в линупсе. Там selinux внутри нет.
Проблема в другом - в Вашей схеме успешно атакуя VCE-E вы получаете шелл в голосовой сети.
В схеме из деплоймент гайда вы не получаете ничего - vcs-e работает в режиме traversal server,  vcs-c - в режиме  traversal client (vcs-c коннектится к vcs-e, наоборот невозможно)
Смысл в минимизации рисков, в том числе и в защите (минимизации) рисков еще не обнаруженных уязвимостей.

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 23:03 17-12-2015 | Исправлено: Angels, 23:04 17-12-2015
bsl2k



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Angels
 
Согласен, минусы есть.
Но в моем случае это стенд для обработки технологий.
А вообще сам VCS-E насколько сильно подвергается опастности выставляю наружу порты 5060/5222/8443 ?
Как-то посканить это порты получится?
Мб есть рекомендации по защите? Какие-то базовые шаблоны CPL?
В гайде к 8.6 видел ACL для авторизации, у себя на 8.5 не смог найти, пока в release note не смотрел.

Всего записей: 77 | Зарегистр. 29-06-2011 | Отправлено: 13:51 18-12-2015
Angels



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bsl2k
Если стенд - то ок.
Порты - фильтровать в соответствии с гайдом.
Основные службы типа SIP и иже с ними (по-моему даже web) писаны на эрланге, там сорвать или переполнить что-либо сложно, actor дохнет и все.
ssh снаружи можно закрыть, для защиты от подбора паролей включить rate limiting для аутентификации (крутилка там есть).
Сканирование покажет открытые порты - дальше только атака на сервисы.
Запретить http и так далее.

Всего записей: 273 | Зарегистр. 05-08-2001 | Отправлено: 15:43 18-12-2015
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82

Компьютерный форум Ru.Board » Компьютеры » Программы » Cisco Unified Communications


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru