По проглатыванию начала разговора в Jabber'е - таки баг CSCut67334
» Cisco Unified Communications
а читать дальше по этой баге - там же написано что фиксед
root0
Может я чего не понимаю, но в упор не вижу каким образом это fixed и как этот фикс применить у себя, или у меня просто доступа нет? Если нужно обновиться то куда если в known fixed releases пусто?
Может я чего не понимаю, но в упор не вижу каким образом это fixed и как этот фикс применить у себя, или у меня просто доступа нет? Если нужно обновиться то куда если в known fixed releases пусто?
для начала нужно понимать какие версии софта 10.5 10.6 и т.д. ( версии софта серверная и клиентская часть )
UCM 11.0.1.20000-2, Expressway 8.6, Jabber обычный задний 11.1.1.223653, он же из апстора самостоятельно обновляется. А вообще какой план действий предполагается, а то я никак понять не могу куда смотреть?
пробуй накатить или это - UCSInstall_UCOS_11.0.1.21900-11.sgn.iso
или отдельный патчиг - cmterm-iphone-install-151020.k3.cop.sgn.zip
cmterm-jabbertablet-install-151020.k3.cop.sgn
P.S. перезагрузка в любом случ нужна.
или отдельный патчиг - cmterm-iphone-install-151020.k3.cop.sgn.zip
cmterm-jabbertablet-install-151020.k3.cop.sgn
P.S. перезагрузка в любом случ нужна.
root0
Спасибо, обновлюсь, но мне важнее понять как это все искать, где написано что исправлено. Расскажешь алгоритм?
Спасибо, обновлюсь, но мне важнее понять как это все искать, где написано что исправлено. Расскажешь алгоритм?
на баг трекере - все ж расписано - статус фиксед и ссылка на софт
root0
Может мы по разному этот баг трекер видим? У меня known fixed releases 0 и ссылка на общий цыцкин donload. Вот так у меня
Может мы по разному этот баг трекер видим? У меня known fixed releases 0 и ссылка на общий цыцкин donload. Вот так у меня
Сударь перловкой не брезгует ? 
Angels
Есть такое дело. Ну а на чем еще скрипты писать, sh я почему-то с детства недолюбливаю.
Есть такое дело. Ну а на чем еще скрипты писать, sh я почему-то с детства недолюбливаю.
kbessmertniy
Резонно.
К сожалению битовые упражнения на нем тяжко делать, приходицца на C ваять.
Резонно.
К сожалению битовые упражнения на нем тяжко делать, приходицца на C ваять.
Angels
Ну для разных задач хорош свой инструментарий. Я вот к примеру на перле рисую парсер CDR'ов для сверок, на C я бы его делал в 10 раз дольше, хотя и работал бы он во сколько же раз быстрее. А что с битовыми операциями в перле не так кроме скорости?
Ну для разных задач хорош свой инструментарий. Я вот к примеру на перле рисую парсер CDR'ов для сверок, на C я бы его делал в 10 раз дольше, хотя и работал бы он во сколько же раз быстрее. А что с битовыми операциями в перле не так кроме скорости?
kbessmertniy
Отсутствие в явном виде типов интов, как в С. Для эмуляции упражнений с uint32_t/uint64_t, считающихся на x86 на регистрах нужно использовать дополнительное колдунство. Или модуль в CPAN искать, что мне например лень и проще сделать на С. Но это достаточно узкий пласт задач.
А так http://search.cpan.org/~dconway/Lingua-Romana-Perligata-0.50/lib/Lingua/Romana/Perligata.pm можно даже так извернуться.
Вообще инструмент хорош для задачи, и в части обработки текстов перлу нет равных. На винде в связке с Word/Excel через OLE так вообще огонь.
Отсутствие в явном виде типов интов, как в С. Для эмуляции упражнений с uint32_t/uint64_t, считающихся на x86 на регистрах нужно использовать дополнительное колдунство. Или модуль в CPAN искать, что мне например лень и проще сделать на С. Но это достаточно узкий пласт задач.
А так http://search.cpan.org/~dconway/Lingua-Romana-Perligata-0.50/lib/Lingua/Romana/Perligata.pm можно даже так извернуться.
Вообще инструмент хорош для задачи, и в части обработки текстов перлу нет равных. На винде в связке с Word/Excel через OLE так вообще огонь.
Коллеги,
3-Port FW DMZ with Single VCS Expressway LAN Interface
http://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/118992-configure-nat-00.html
Это миф или реальность? Кто-нибудь пробовал собирать?
3-Port FW DMZ with Single VCS Expressway LAN Interface
http://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/118992-configure-nat-00.html
Это миф или реальность? Кто-нибудь пробовал собирать?
bsl2k
Это плохая идея, слишком много проблем можно огрести по пути. Сама цыцка тянет с -E в сторону 2 интерфейсов, типо это самая правильная схема, и явно об этом говорит в release notes на X8.7
Вообще, как показывает практика и настройки -E с 2 интерфейсами, интерфейс в сторону Internet можно высовывать напрямую, не фильтруя, средств защиты на -E вполне достаточно. Остатется только NAT между -E и -С
Это плохая идея, слишком много проблем можно огрести по пути. Сама цыцка тянет с -E в сторону 2 интерфейсов, типо это самая правильная схема, и явно об этом говорит в release notes на X8.7
Вообще, как показывает практика и настройки -E с 2 интерфейсами, интерфейс в сторону Internet можно высовывать напрямую, не фильтруя, средств защиты на -E вполне достаточно. Остатется только NAT между -E и -С
Angels
Да хотелось на стенде у себя покрутить, а тут только один публичный интерфейс. Причем в качестве пограничной железки раутер с натом, который не умеет nat reflection.
Можно конечно попробовать внутри поднять ASAv, для интервлан роутинга между VCS-E/VCS-C, но стоит ли оно того?
upd.
Попробую затерминить LAN2 VCS-E и VCS-C на ASAv, посмотрим что из этого выйдет
Да хотелось на стенде у себя покрутить, а тут только один публичный интерфейс. Причем в качестве пограничной железки раутер с натом, который не умеет nat reflection.
Можно конечно попробовать внутри поднять ASAv, для интервлан роутинга между VCS-E/VCS-C, но стоит ли оно того?
upd.
Попробую затерминить LAN2 VCS-E и VCS-C на ASAv, посмотрим что из этого выйдет
bsl2k
В смысле - у вас там всего один адрес белый, не подсеть ?
В смысле - у вас там всего один адрес белый, не подсеть ?
Angels
Да. На VCS-E есть возможность прокинуть только порты снаружи.
Да. На VCS-E есть возможность прокинуть только порты снаружи.
bsl2k
Это поражение.
Не факт что удастся заставить вообще такую схему работать.
Это поражение.
Не факт что удастся заставить вообще такую схему работать.
Angels
Почему нет?
Снаружи жаббер регистрируется, но отсутствует RTP межуд VCS-C/-E, по идее для решения этого и нужен nat reflection, насколько я понял.
Почему нет?
Снаружи жаббер регистрируется, но отсутствует RTP межуд VCS-C/-E, по идее для решения этого и нужен nat reflection, насколько я понял.
Цитата:
Снаружи жаббер регистрируется, но отсутствует RTP межуд VCS-C/-E,
Так и будет. В описании сказано нат 1:1
ameno2
У меня PAT, значит нужен второй адрес.
nat reflection при этом действительно нужен?
У меня PAT, значит нужен второй адрес.
nat reflection при этом действительно нужен?
bsl2k
nat reflection нужен везде где есть nat в случае VCS-C/-E
если у вас есть второй белый адрес для VCS-E, назначаемый напрямую на VCS-E, то нужен reflection между VCS-C и VCS-E. если белый адрес назначается на внешнем МСЭ, то нужен nat reflection между внешним МСЭ и VCS-E, а также на МСЭ между VCS-C и VCS-E
nat reflection нужен везде где есть nat в случае VCS-C/-E
если у вас есть второй белый адрес для VCS-E, назначаемый напрямую на VCS-E, то нужен reflection между VCS-C и VCS-E. если белый адрес назначается на внешнем МСЭ, то нужен nat reflection между внешним МСЭ и VCS-E, а также на МСЭ между VCS-C и VCS-E
Angels
ameno2
Как оказалось все работает за PAT, по крайней мере для Windows Jabber.
С Android / Iphone пока не потестил.
помог Nat reflection между VCS-C/-E.
На VCS-E один интерфейс в инсайде, с описанием NAT.
upd.
Убрал nat reflection, добавил 2ой интерфейс на VCS-E, в том же сегменте что и VCS-C / UCM, все заработало.
Мэджик.
ameno2
Как оказалось все работает за PAT, по крайней мере для Windows Jabber.
С Android / Iphone пока не потестил.
помог Nat reflection между VCS-C/-E.
На VCS-E один интерфейс в инсайде, с описанием NAT.
upd.
Убрал nat reflection, добавил 2ой интерфейс на VCS-E, в том же сегменте что и VCS-C / UCM, все заработало.
Мэджик.
bsl2k
Атакуют VCS-E - атакуют VCS-C и UCM с такой схемой.
Атакуют VCS-E - атакуют VCS-C и UCM с такой схемой.
Angels
Это в теории или есть известные прецеденты?
Каким атакам подвержены сервисы на VCS-E ? Через него тоже можно перенаправлять сигнализацию?
Это в теории или есть известные прецеденты?
Каким атакам подвержены сервисы на VCS-E ? Через него тоже можно перенаправлять сигнализацию?
bsl2k
Подбор рута например.
Любая свежая дыра в линупсе. Там selinux внутри нет.
Проблема в другом - в Вашей схеме успешно атакуя VCE-E вы получаете шелл в голосовой сети.
В схеме из деплоймент гайда вы не получаете ничего - vcs-e работает в режиме traversal server, vcs-c - в режиме traversal client (vcs-c коннектится к vcs-e, наоборот невозможно)
Смысл в минимизации рисков, в том числе и в защите (минимизации) рисков еще не обнаруженных уязвимостей.
Подбор рута например.
Любая свежая дыра в линупсе. Там selinux внутри нет.
Проблема в другом - в Вашей схеме успешно атакуя VCE-E вы получаете шелл в голосовой сети.
В схеме из деплоймент гайда вы не получаете ничего - vcs-e работает в режиме traversal server, vcs-c - в режиме traversal client (vcs-c коннектится к vcs-e, наоборот невозможно)
Смысл в минимизации рисков, в том числе и в защите (минимизации) рисков еще не обнаруженных уязвимостей.
Angels
Согласен, минусы есть.
Но в моем случае это стенд для обработки технологий.
А вообще сам VCS-E насколько сильно подвергается опастности выставляю наружу порты 5060/5222/8443 ?
Как-то посканить это порты получится?
Мб есть рекомендации по защите? Какие-то базовые шаблоны CPL?
В гайде к 8.6 видел ACL для авторизации, у себя на 8.5 не смог найти, пока в release note не смотрел.
Согласен, минусы есть.
Но в моем случае это стенд для обработки технологий.
А вообще сам VCS-E насколько сильно подвергается опастности выставляю наружу порты 5060/5222/8443 ?
Как-то посканить это порты получится?
Мб есть рекомендации по защите? Какие-то базовые шаблоны CPL?
В гайде к 8.6 видел ACL для авторизации, у себя на 8.5 не смог найти, пока в release note не смотрел.
bsl2k
Если стенд - то ок.
Порты - фильтровать в соответствии с гайдом.
Основные службы типа SIP и иже с ними (по-моему даже web) писаны на эрланге, там сорвать или переполнить что-либо сложно, actor дохнет и все.
ssh снаружи можно закрыть, для защиты от подбора паролей включить rate limiting для аутентификации (крутилка там есть).
Сканирование покажет открытые порты - дальше только атака на сервисы.
Запретить http и так далее.
Если стенд - то ок.
Порты - фильтровать в соответствии с гайдом.
Основные службы типа SIP и иже с ними (по-моему даже web) писаны на эрланге, там сорвать или переполнить что-либо сложно, actor дохнет и все.
ssh снаружи можно закрыть, для защиты от подбора паролей включить rate limiting для аутентификации (крутилка там есть).
Сканирование покажет открытые порты - дальше только атака на сервисы.
Запретить http и так далее.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738
Предыдущая тема: Какой офисный пакет у Вас установлен?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.