Skip to content

Latest commit

 

History

History
106 lines (69 loc) · 8.07 KB

10-05.md

File metadata and controls

106 lines (69 loc) · 8.07 KB
Raw

Домашнее задание к занятию "Интеграция голосовых сервисов в сеть передачи данных. Качество обслуживания и безопасность"

Цель задания

В результате выполнения задания вы научитесь:

  1. Выполнять настройки для решения проблем c прохождением RTP через NAT
  2. Находить вызовы в cdr-csv
  3. Выполнять основные настройки безопасности Asterisk
  4. Выполнять базовые настройки IPTables для VoIP систем

Инструкция к выполнению домашнего задания

  1. Скачайте Шаблон для домашнего задания на своё устройство.
  2. Откройте скачанный файл на личном диске в Google.
  3. В названии файла введите корректное название лекции и ваши фамилию и имя.
  4. Зайдите в «Настройки доступа» и выберите доступ «Просматривать могут все в интернете, у кого есть ссылка». Инструкция «Как предоставить доступ к файлам и папкам на Google Диске» по ссылке.
  5. Скопируйте текст задания в свой документ.
  6. Выполните задание, запишите ответы и приложите необходимые скриншоты в свой Google-документ.
  7. Для проверки домашнего задания отправьте ссылку на ваш Google-документ в личном кабинете.
  8. Любые вопросы по решению задач можно задать в чате учебной группы, в чате поддержки или в разделе «Вопросы по заданию» в личном кабинете.
  9. Подробнее о работе с Google-документами и загрузке решения на проверку можно найти в «Руководстве по работе с материалами для обучения»

Задание 1.

  1. Пропишите глобальные параметры Asterisk для решения проблем со слышимостью: Файл sip.conf
    [general]
    localnet=ваша локальная сеть/сетевая маска
    externip= Адрес внешнего интерфейса (в случаи если сеть бриджованная!)

Для sip клиентов
nat=force_rport,comedia
canreinvite=no qualify=300

Изменить диапозон RTP портов используемых в Asterisk на 16384-32768. 2. Сохраните внесенные изменения.

  1. Для проверки зарегистрируйте учетные записи 1001 и 1002 на разных устройствах (устройства должны быть в разных сетях) и совершите тестовый вызов. Во время вызова выполните в консоли Asterisk команду Asterisk -rx 'rtp set debug on' и сделайте скриншот.

В качестве ответа приложите полученный во время вызова скриншот

Задание 2.

  1. Зарегистрируйте номер 1001 и позвоните на 1002
  2. Найдите данный вызов в cdr-csv.

В качестве ответа пришлите строку Master.csv с записью о данном вызове

Задание 3.

  1. Выполните основые настройки безопасности Asterisk
  • Файл sip.conf
    [general]
    alwaysauthreject=? allowguest=? Настройте данные параметры так чтобы отключить гостевые звонки и неотвечать '401 unauthorized' при неверном вводе логина-парола
  1. Сохраните изменения и выполните Asterisk -rx 'sip reload'

В качестве проверки пришлите скрин вывода команды asterisk -rx 'sip show settings'

Задание 4.

  1. Выполните настройки IPTables. Необходимо защитить ваш Asterisk от аттак злоумышлеников. Для этого мы закроем доступ извне на порт 5060 (необходимо указать tcp и udp) для всех и откроем только для доверенных сетей (добавляем сеть, из которой будет REGISTER). Для удобства рекомендую пользоваться утилитой iptables-persistent (есть в репозиториях debian).

    iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP
    iptables -I INPUT -p udp --dport 5060 -m string --string "sip-scan" --algo bm -j DROP
    iptables -I INPUT -p udp --dport 5060 -m string --string "sundayddr" --algo bm -j DROP
    iptables -I INPUT -p udp --dport 5060 -m string --string "iWar" --algo bm -j DROP
    iptables -I INPUT -p udp --dport 5060 -m string --string "sipsak" --algo bm -j DROP
    iptables -I INPUT -p udp --dport 5060 -m string --string "sipvicious" --algo bm -j DROP

На основе этих правил заблокируйте злоумышленника, который шлёт пакеты REGISTER от UAC 'Cisco3526326'.

  1. После чего выполните команду iptable-save.

Установите на сервер Fail2ban, настройте собственные правила в файле jail.local и включите правила для asterisk из filter.d

В ignoreip должен быть включен localhost в формате ipv4, ipv6, ваш внешний адрес, а в jail.local добавленно правило 'sshd' и 'asterisk '

Правила приема домашнего задания

В личном кабинете отправлены:

  • ссылка на документ (Google Doc) с выполненным заданием. В документе настроены права доступа “Просматривать могут все в Интернете, у кого есть ссылка”;
  • К документу должны приложены конфигурационные файлы, написанные целиком самостоятельно (полученные путем make samples не принимаются). В задании про iptables пришлите вывод команды 'iptables -L -v -n'.

Критерии оценки

Зачет - выполнены все задания, ответы даны в развернутой форме, приложены соответствующие скриншоты и файлы проекта, в выполненных заданиях нет противоречий и нарушения логики.

На доработку - задание выполнено частично или не выполнено, в логике выполнения заданий есть противоречия, существенные недостатки.