Использую функцию Smart Install сетевой администратор может через Smart Install Client в удалённом режиме «залить» образ системы и настроить оборудование через порт TCP 4786. Так как перед выполнением этих действий не требуется дополнительная аутентификация, то возможностью «перезаписать» образ системы воспользовались хакеры.
Компания Cisco не согласна с тем, что наличие Smart Install в операционных системах CISCO IOS и IOS XE воспринимается как уязвимость. Несколько исследователей сообщили о возможности злонамеренного использования этой функции в процессе атаки, но в Cisco успокаивают пользователей, называя это «неправильное использование протокола Cisco Smart Install» – с таким заголовком было опубликовано сообщение компании в феврале 2017 года.
Функция Cisco Smart Install позволяет сетевому персоналу установить или переместить свитчи в режиме «zero-touch deployment»: разместить оборудование в запланированном месте, а «инсталляция» заключается в двух действиях – подключение к сетевой инфраструктуре и включение электропитания. Дальнейшая настройка реализована через удалённый доступ из центрального офиса (узла сети), где расположен «главный свитч», называемый integrated branch director (IBD).Иллюстрация для Cisco Smart Install
Все остальные маршрутизаторы являются «клиентами» (integrated branch clients (IBCs)). Компания Cisco поясняет, что не требуется непосредственного подключения «клиента» к «директору», но при этом «клиент» не должен находиться дальше семи «хопов».
«Директор» обнаруживает новое оборудование, включённое в сеть и определяет какой образ Cisco IOS и какой файл конфигурации потребуется для загрузки в память удалённо-подключенного оборудования. Поддержка Smart Install по умолчанию активирована на всех свитчах.
Для сканирования сетевого окружения и обнаружения активированного клиента Smart Install в феврале 2017 года Talos, исследовательская группа Cisco, предложила Talos Scanning Utility. На «картинке» с анонсом вы видели «251801» – это количество устройств Cisco с активным Smart Install Client в 2016 году, по последним данным таких устройств стало 168 тысяч.
Активность хакеров по сканированию адресов в расчёте на получение доступа к сетевому оборудованию возросла осенью 2017 года и сохраняется на высоком уровне (статистика в публикации от 5 апреля 2018 года в блоге Talos):Статистика активности по сканированию порта 4786
В США считают, что атаки, направленные в том числе на оборудование Cisco, организовали русские хакеры, но по сообщениям в форуме НАГ в числе пострадавших в апрельской «волне активности» отечественные операторы связи:Компания Solar Security сообщила об атаке и угрозе устройствам Catalyst 4500 Supervisor Engines, Catalyst 3850 Series, Catalyst 3750 Series, Catalyst 3650 Series, Catalyst 3560 Series, Catalyst 2960 Series, Catalyst 2975 Series, IE 2000, IE 3000, IE 3010, IE 4000, IE 4010, IE 5000, SM-ES2 SKUs, SM-ES3 SKUs, NME-16ES-1G-P, SM-X-ES3 SKUs.
«Лаборатория Касперского» в публикации от 6 апреля предположила, что для сканирования злоумышленники используют поисковик Shodan или утилиту Cisco. Защититься предлагается путём отключения Smart Install, для этого нужно применить команду «no vstack».
Нужно учесть, что «в некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды «no vstack».
На сегодня большая часть населения уже оценила преимущества разнообразных систем безопасности, которые стали неотъемлемой частью нашей жизни. Различные сигнализации устанавливают не только на коммерческих объектах, но также в квартирах и частных домах.
Наибольшее распространение в данной сфере получили охранные сигнализации и системы видеонаблюдения, которые могут с легкостью дополнять друг друга.
Охрана срабатывает в тот момент, когда кто-то нежелательный пытается проникнуть на территорию. Звуковая сирена или световой сигнал моментально предупредят службу безопасности о нестандартной ситуации.
Главное, что охранная сигнализация не потребует огромных затрат на установку, особенно если их сравнить с возможными потерями от кражи.
Преимущества системы защиты и видеонаблюдения сложно переоценить, это:
возможность оставлять свой дом или квартиру на время отпуска и не волноваться, что по приезду можно остаться без имущества;
спокойный сон, когда можно не бояться нападения незваных «гостей» среди ночи;
постоянное наблюдение в режиме онлайн за объектом, находящимся под охраной.
Установка охранной сигнализации производится специалистами. На месте они определяют важные места в помещении, изучают объект в целом и выбирают наиболее уязвимые точки, через которые могут проникнуть злоумышленники. В первую очередь датчики монтируют на двери и окна. Также сигнальные маячки ставят возле прочих возможных мест проникновения и сейфов.
Не стоит пытаться установить видеодомофон, охранную систему или же видеонаблюдение самостоятельно. Это довольно сложный и трудоёмкий процесс, требующий специальных навыков и знаний.
Современные виды охранных систем включают в свой арсенал лазерные датчики, которые способны реагировать на малейшее движение по периметру. Но такой способ подходит далеко не всем в связи с тем, что помещение нельзя сдать под охрану, если в нем есть хозяева или остаются животные.
К функциям охранных сигнализаций относятся такие:
сдача объекта под охрану;
фиксирование данных на всех датчиках;
передача тревожных сигналов на пульт охраны;
возможность транслировать голосовые сообщения на смартфон.
Монтаж видеокамер отлично дополняет охранную систему в целом и дает возможность наблюдать за отдаленными местами, такими как автостоянка, подъездные дороги, площадь за забором, а также пространство за входной дверью. В этом случае главное, на что следует обратить внимание – это выбор правильной камеры, которая будет передавать качественную картинку не только днем, но и ночью.
Установка охранной системы полностью оправдана в техническом плане, поскольку она обеспечивает безопасность недвижимости и имущества в ней.
Охранная сигнализация в Запорожье или в любом другом регионе должна быть установлена только профессионалами, только в этом случае можно забыть о любой опасности и спокойно покидать свой дом.
Wi-Fi Alliance готовит новый стандарт безопасности Wi-Fi-соединений WPA3. Третья версия должна будет прийти на смену уязвимому протоколу WPA2. Отраслевая группа, ответственная за стандартизацию беспроводных сетевых соединений – Wi-Fi Alliance – анонсировала выпуск нового протокола шифрования WPA3. Поводом для этого стала критическая уязвимость в протоколе WPA2, получившая название KRACK, и обнаруженная осенью прошлого года.
Уязвимость позволяет хакеру перехватывать трафик, проходящий между точкой доступа Wi-Fi и подключенными к ней устройствами. Брешь получила свое название от эксплуатирующей ее атаки – Key Rinstallation AttaCKs, «атаки переустановки ключей».
WPA3 решит ряд проблем, связанных с безопасностью. «Официальный черновик» WPA3 обещают представить ближе к середине 2018 г. Сейчас уже известно, что протокол будет насчитывать четыре новые защитные функции.
Первая позволит заблокировать попытки брутфорса: после нескольких неуспешных попыток залогиниться процесс аутентификации будет заблокирован. Беспроводные сети до сих пор такой защиты были лишены.
Вторая функция – возможность использования любого Wi-Fi-устройства в качестве панели настроек для других устройствах. С WPA3 любой смартфон можно будет использовать для того, чтобы настроить располагающиеся в пределах досягаемости IoT-устройства, лишенные собственных экранов, «умные» замки, осветительные приборы и так далее.
Третья функция – «персонализированное шифрование данных» – позволяет шифровать соединения между каждым устройством и роутером (или точкой доступа), в то время как четвертая – это новый криптографический стандарт с 192-битным ключом, аналогичный алгоритму из комплекта CNSA (Commercial National Security Algorithms – Коммерческих алгоритмов для защиты национальной безопасности).
WPA3 должен будет увидеть свет в ближайшие месяцы после принятия чернового варианта, однако, как всем очевидно, пройдет еще какое-то время прежде, чем пользователи смогут купить на открытом рынке устройства с поддержкой WPA3. И намного больше времени пройдет, прежде чем небезопасные устройства на базе WPA/WPA2 уйдут с рынка.
Самый распространенный ныне протокол WPA2, утвержденный в июне 2004 г., пришел на смену WPA. В нем присутствует протокол шифрования CCMP и шифрование AES, что повышает его безопасность по сравнению с WPA первого поколения. В марте 2006 г. поддержка WPA2 стала стандартом сертификации устройств Wi-Fi. И лишь спустя 11 лет в нем была найдена фундаментальная уязвимость, поставившая под угрозу беспроводные устройства во всем мире.
Отметим, что стандарты, положенные в основу WPA3, существуют уже длительное время и реализованы на аппаратном уровне, однако слишком редко используются на практике. Теперь, возможно, все изменится, поскольку производители Wi-Fi-устройств будут стремиться получить сертификат совместимости с WPA3 – из коммерческих соображений. Взято с channel4it.com
Если речь идет о безопасности в доме, офисе или производстве, то прежде всего в голову приходить сигнализация. Уже много лет подобное оборудование является образцом качественной защиты жилья и целых территорий от злоумышленников. Купить охранную сигнализацию для дома однозначно стоит если владелец беспокоится о целостности своего имущества.
При этом не стоит забывать, что моделей такого типа охранных систем огромное количество и каждая имеет свои особенности. Прежде чем, тратить все деньги на современный вариант сигнализации вам стоит задуматься о том, где она будет установлена и какие функции должна выполнять.
Что из себя представляет охранная сигнализация?
Такой способ является самым эффективным для защиты недвижимости от незваных гостей. Прежде всего, потому что датчики сигнализации не видны. Злоумышленники смогут проникнуть на территорию только если будут знать, что там есть сигнализация и смогут ее отключить.
С современными моделями это сделать не так уж и просто, а даже если получится, то устройство может отправить сигнал владельцу жилья. Новые сигнализации автономно посылают сигнал тревоги на мобильный телефон и одновременно физической охране, которая приезжает за считанные минуты. Кроме того, они способны:
Реагировать на малейшее движение;
Может дополняться пожарными датчиками;
Незаметно для злоумышленников отправлять сигнал на пульт охраны;
Блокировать определенные двери.
Функций достаточно много, потому что на деле это целая система. В нее может легко входить приемно-контрольный прибор, разнообразные датчики, световые или звуковые приспособления для оповещений, аппараты управления и модули передачи сигнала вроде смартфона, Ethernet и самого популярного на сегодняшний день GSM. Самой популярной и в тоже время дорогостоящей является беспроводная сигнализация. В магазине http://bezpeka.com.ua/ она есть и точно понравится в работе всем потенциальным покупателям.
Стоимость современной сигнализации
Каждая модель охранной системы на нашем сайте имеет свою определенную цену, и она формируется, учитывая несколько факторов. Прежде всего на стоимость влияет площадь объекта, количество элементов в системе, характеристики оборудования и наличие либо отсутствие проводов.
Рассказать про все особенности охранных систем смогут наши консультанты. Они же легко подберут клиенту достойный вариант сигнализации, помогут оперативно оформить заказ и вышлют бригаду мастеров для монтажа.
Сегодня к качеству интернет-соединения предъявляются высокие требования. Это связано с увеличением скорости и объемов передаваемой информации. Существует несколько технологий подключения к сети. В чем заключаются их отличия? Как выбрать способ подключения?
Распространенные технологии подключения к интернету
Современные провайдеры предоставляют пользователям массу услуг, связанных с подключением интернета и последующим обслуживанием. Узнать о них поможет ссылка на официальный сайт подобной компании. Касательно технологий подсоединения, то они классифицируются на следующие виды:
аналоговая связь (ADSL);
соединение посредством коаксиального кабеля (DOCSIS);
подключение посредством витой пары (FTTB);
оптоволоконное соединение (PON);
мобильный интернет.
Какую технологию предпочесть для подключения интернета?
Самой простой и популярной является аналоговая связь. Здесь для передачи сигналов применяется телефонный кабель. Востребованность технологии обуславливается широким покрытием. Но у нее есть существенные недостатки – низкое качество и ограниченная скорость передачи данных, помехи на телефонной линии.
Более совершенной сегодня является технология DOCSIS. Изначально она применялась только для подключения кабельного телевидения. Несколько этапов развития привели к возможности использования ее для решения комплексных задач. В современных домах при помощи этой технологии подключаются и телевидение, и интернет.
Подробнее об этом можно узнать на сайтах провайдеров, здесь описываются услуги и их стоимость. Скорость передачи информации в данном случае может достигать 100 Мбит/с. Качество при применении интернета и телевидения одновременно не снижается. Технология отлично подходит для квартир, особенно при небольшом количестве девайсов, работающих одновременно.
Начиная с 2010 года наиболее инновационным способом подключения интернета является методика PON. Она позволяет достигать огромных скоростей, обеспечивает высокое качество связи. Чаще всего предпочтение ей отдают при проведении связи в офисах и коммерческих учреждениях. Некоторые крупные провайдеры проводят оптоволоконные линии в многоквартирных домах за свой счет. Для снижения расходов непосредственно к квартирам интернет подводится посредством витой пары. Это ограничивает скоростные возможности до 100 Мбит/с.
Подключить беспроводной интернет можно при использовании любой технологии. Узнать об этом более детально можно, перейдя по ссылке на сайт компании, предоставляющей подобные услуги.
Для этих целей используется Wi-Fi роутер. Благодаря ему становится возможным одновременное подключение к сети ПК, ноутбуков, смартфонов, планшетов.
Особняком стоит мобильная связь. Она предоставляется операторами и не требует дополнительного подключения. Инновационные технологии 3G, 4G и прочие обеспечивают достаточно высокие показатели скорости и качества связи.
Цифровое телевидение давно стало для операторов не просто способом повышения ARPU и увеличения лояльности клиентов, а самой настоящей неотъемлемой частью Услуги, без которой и провайдер как бы уже не совсем полноценен. Доступа в интернет современному клиенту недостаточно и, некогда «дополнительная фишечка», требует все больше самых разных затрат. Отказаться от неё – фактически нельзя. Но можно попробовать оптимизировать затраты, в зависимости от условий, в которых оператор находится.
Тем, кто трудится в провайдинге, хорошо известно, как непросто организовать полноценное IPTV на своих сетях, сколько иногда неожиданных вложений нужно сделать, какие условия и чужие интересы соблюсти. Делать ли услугу самим от начала и до конца, брать ли её полностью готовой у других компаний или композировать некий гибрид – головная боль ТОП-менеджмента многих интернет-провайдеров. Попробуем разобраться в некоторых нюансах, которые следует иметь в виду при разработке планов организации IP-телевидения для своих клиентов.
Имеется немало операторов, которые по тем или иным причинам не хотят привлекать на свою сеть ОТТ-провайдеров, но хотят при этом получить на своей сети сервис, позволяющий им конкурировать с мегателекомами, без капитальных вложений, но с быстрым стартом, как это предлагают ОТТ-провайдеры. Чтобы упростить работу этим операторам, мы подготовили несколько типовых решений, показывающих как быстро, без капитальных затрат на платформу, и с минимальными затратами на абонентское оборудование, можно внедрить у себя на сети конкурентную услугу IPTV.
Небольшое отступление
Общеизвестно, что ОТТ-оператор предлагает готовую востребованную услугу с большим количеством каналов, в организацию которой провайдеру не надо вкладывать какие-то огромные ресурсы (что неизбежно при попытке построить её самостоятельно). Ситуация усугубляется тем, что владельцы контента не горят желанием сотрудничать с мелкими провайдерами, запросы которых выглядят скромно ввиду банальной нехватки числа клиентов, и, как следствие, объемов средств, которые контентодержатели хотели бы на этой сделке заработать. У агрегаторов контента, которыми, по факту, выступают ОТТ-операторы, такой проблемы нет.
Но и причины нежелания связывать свою деятельность с ОТТ-операторами вполне очевидны:
Бизнес не принадлежит интернет-провайдеру, а значит, неподконтролен ему: можно в любой момент остаться без услуги телевидения.
Пользователь никак к провайдеру услугой не привязан: приставка ОТТ-провайдера (если договор подразумевает использование только брендированных STB) может быть подключена к любому источнику интернета.
Сменить ОТТ-провайдера при необходимости будет крайне затруднительно — его брендированная приставка не годится больше ни для чего (этой проблемы нет, если ПО устанавливается на произвольное оборудование).
В большинстве случаев недоступно даже брендирование ПО. Продолжаем вкладываться в рекламу стороннего бренда.
Если не ОТТ, то что?
Итак, зачастую, операторы имеют представление, где они будут брать контент, многие из них имеют даже договоры с телеканалами (например, КТВ-операторы), а значит, им нужна только платформа, способная обеспечить необходимый функционал. И первым делом следует поговорить про абонентские устройства: в современных реалиях отход от капитальных затрат это основная затратная статья в бюджете платформы.
Есть огромное количество всевозможных платформ, предоставляющих самый разный уровень сервиса для клиентов. Наиболее развитые платформы, предоставляющие максимально возможный функционал и «дополнительные фишечки», позволяют поднять ARPU, насколько это вообще возможно в текущих условиях.
Рассмотрим ситуацию на примере конкретной платформы с максимальным функционалом, от IPTVPORTAL, позволяющей получить оператору системы Middleware и CAS как локально, так и из облака, а в качестве абонентского устройства — семейство цифровых приставок Vermax UHD, полностью совместимых с платформой IPTVPORTAL, включая сертифицированную систему условного доступа IPTVPORTAL CAS.
Согласно требованиям российского законодательства, системы условного доступа, используемые в цифровом телевидении, обязательно должны пройти процедуру сертификации. Судя по устоявшейся тенденции «закручивания болтов», это станет актуальным вопросом в ближайшее время.
Рассмотрим несколько типичных схем использования, включая использование облачных технологий. А самое главное — взаимодействие с владельцами контента.
Схема 1: Работа с агрегатором контента через сетьСуть: Нет своей головной станции, нет своего сервера MW, приставки – свои.
Это типовой вариант для начинающих. Не требует от оператора получения лицензии на кабельное телевидение и заключение договоров с каналами, не требует вложений в инфраструктуру головной станции. Все эти функции на себя берет агрегатор контента. Оператор выступает в роли агента.
В отличие от работы с OTT-компаниями, оператор позиционирует услугу как свою (и полностью управляет и контролирует передачу сигнала на своей территории), то есть продвигает свой продукт. В случае роста абонентской базы и желания сменить поставщика услуги или развернуть собственный проект, сделать это получится без особых проблем.
Минусы:
. Часть пути доставки трафика вне зоны контроля провайдера, соответственно, имеется зависимость от других компаний.
В наличии все минусы и риски аутсорсинга.
Предложение по пакетированию каналов определяется агрегатором контента (и это основной недостаток).
Плюсы:
Сервис по обслуживанию головной станции лежит на агрегаторе контента.
Минимальные телодвижения, т.к. всю договорную работу с каналами уже проделал агрегатор.
Минимальный платеж в сторону агрегатора контента значительно ниже, нежели минимальный платеж в сторону правообладателей, которые зачастую предлагают в обязательном порядке приобрести ещё какие-то каналы и навязывают минимальное число абонентов, за которых всё равно надо будет платить (обычно порог минимальных требований колеблется около значений 500 и 1000).
Нет нужды создавать собственную отказоустойчивую инфраструктуру для управления приставками,
Если есть нужда использовать CAS, его обслуживание обеспечивает другая компания, и при этом обходится такой сервис – недорого.
Схема 2: Работа напрямую с телеканалами или спутниковыми агрегаторами контента, развертывание головной станции
Эта схема почти всегда подразумевает строительство своей головной станции. А Middleware и CAS обеспечиваются из облака.Суть: головная станция своя, нет своего сервера MW.
Данная схема оптимальна для быстрого старта IPTV на сетях операторов, у которых уже есть головная станция и заключены договоры с телеканалами (например, КТВ-операторы).
Зачастую, современные головные станции уже имеют возможность сформировать IPTV-трафик даже без покупки дополнительного оборудования. Или, например, довольно просто можно сформировать IPTV из DVB-C.
Минусы:
Обслуживание головной станции ложится на оператора.
Довольно высокие (для начинающих операторов) уровни минимальной оплаты для абонентов, у каналов и спутниковых агрегаторов.
Плюсы:
Весь путь трафика в зоне контроля провайдера.
Нет нужды создавать собственную отказоустойчивую инфраструктуру для управления приставками.
Если есть нужда использовать CAS, его обслуживание обеспечивает другая компания, и при этом обходится такой сервис – недорого.
Схема 3: Своя головная станция, локальная установка Middleware и CAS
Важно: данная схема от схемы 2 отличается только тем, что устанавливаются локальные серверы Middleware и ключи кодирования CAS.
Суть: всё своё.
Плюсы:
полностью свой бизнес;
нет зависимости от каналов связи;
можно продать. 🙂
Минусы:
Нужен штат на обслуживание системы.
Схема 4: Получение технического сигнала от партнеров (без строительства своей головной станции)
Важно: схема 4 отличается от схемы 2 тем, что не нужно строить и обслуживать свою головную станцию. Скорее, это даже вариация схемы 1. Технический сигнал поступает от партнера, агрегатора технических сигналов.
Плюсы и минусы смотрите выше.
Следует, правда, понимать, что установка и настройка головной станции, это достаточно дорогой и сложный процесс. Прежде всего, из-за проблем с наличием квалифицированных кадров. А запуск головной станции — достаточно сложный процесс, изобилующий критически важными нюансами.
В общем, у оператора есть из чего выбрать, нужно только начать.
Статья не претендует на роль исчерпывающей, но, тем не менее, показывает, что возможно работать и без ОТТ-операторов, даже если нет желания вкладываться в CAPEX при построении своей сети. Тем не менее, вы развиваете своё телевидение. При этом не стоит отрицать и тот факт, что ОТТ-решения также имеют свои плюсы и оптимальную зону применимости.
Отдельным вопросом остается выбор клиентского оборудования в любой из этих схем. Суть в том, что для экономической безопасности оператора, следует выбирать то оборудование, которое не станет бесполезным в случае каких-либо проблем. Бесполезным вложением, если быть более точным.
Например, в случае ОТТ-провайдера закрытие данной компании (или лицензионные проблемы) делают возможным только один выход — замена поставщика ОТТ-контента или переход на вышеописанные схемы. В этом случае, устройство должно иметь возможность быть настроенным\иметь прошивку для поддержки другой системы.
Яркий пример в последнее время показала недоступность приставок Infomir для тех, кто плотно сидел аки на игле на системе STALKER, а теперь Ministra, которая поддерживала, по сути, только один тип приставок (родных).
В этом случае можно сделать вывод, что имеет смысл не только использовать приставки, поддерживающие различные, экономически целесообразные middleware, но и наоборот MW, поддерживающие различные приставки.
Все приведенные выше схемы предоставлены Николаем Михайловым из IPTVportal. Как раз той системой, которая может поддерживать далеко не одно устройство, одним из видов которых являются приставки собственной разработки — семейство цифровых приставок Vermax UHD (и в ближайшем будущем UHDX), которые, в свою очередь, поддерживают не только IPTVportal.
Отдельный момент, это поддержка системы CAS, и именно сертифицированных в России CAS-систем, но, по сути, это тема отдельной статьи про «закручивание гаек» и наших с вами перспективах. Взято с nag.ru
