По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Мы продолжаем постигать основы важнейшего протокола, использующегося в IP телефонии и в сегодняшней статье рассмотрим основные сценарии установления соединения, а также работу основных компонентов протокола SIP. Протокол SIP имеет 3 стандартных сценария установления соединения, которые отличаются наличием и участием тех или и иных устройств.
Пример №1
Установление соединения между User Agent’ами, когда в сети отсутствуют всякого рода серверы. Простейшим примером является сеанс связи, в котором принимают участие только два пользователя. Терминальное оконечное оборудование называется UA (User Agent), когда одновременно совмещает в себе функции UAС (User Agent Client) - клиента и UAS (User Agent Server) - сервера. В данном случае сценарий установления соединения будет выглядеть так: .
Абонент A снимает телефонную трубку и набирает номер Абонента B, тем самым генерируя запрос INVITE , который содержит описание сеанса связи.
Устройство абонента B отвечает сообщением 100 Trying , которое означает, что запрос находится в обработке.
После обработки запроса устройство абонента B уведомляет его о входящем вызове, а в сторону абонента A отвечает сообщением 180 Ringing, что соответствует контролю посылки вызова.
Абонент B снимает телефонную трубку, отвечая сообщением 200 OK, означающее успешную обработку запроса.
Устройство абонента A прекращает прием контроля посылки вызова и посылает подтверждение ACK, означающее прием ответа на запрос INVITE.
Между абонентами устанавливается разговорная фаза. Происходит передача голосового трафика по протоколу RTP (Real-Time Transfer Protocol).
Важно отметить, что SIP не участвует в непосредственной передаче голоса, а лишь предоставляет условия и способы согласования открытия неких каналов обмена на основе других протоколов, в данном случае - RTP.
Абонент A кладет телефонную трубку, тем самым инициируя завершение передачи голосового потока. Устройство абонента A генерирует запрос Bye, в сторону устройства абонента B.
Устройство абонента B отвечает сообщением 200 OK, означающем успешную обработку запроса Bye.
Терминальное оконечное оборудование абонентов A и B возвращается в исходное состояние.
Однако, данный сценарий установления соединения является самым примитивным, можно даже сказать частным. Обычно в сети присутствует SIP прокси сервер, который принимает и обрабатывает запросы от пользователей и выполняет, соответствующие этим запросам, действия.
Пример №2
Рассмотрим сценарий установления соединения между двумя пользователями.
В данном случае задачу поиска и приглашения абонента выполняет Прокси сервер, вызывающему пользователю необходимо знать только постоянный номер вызываемого абонента. Отметим, что функции прокси сервера выполняет офисная телефонная станция
Как видно из рисунка, процесс установления и разъединения соединения происходит аналогично первому сценарию, только в качестве посредника при передаче сообщений протокола SIP выступает SIP Proxy.
Пример №3
Допустим, что в сети имеется множество пользователей, число которых постоянно пополняется. Они могут менять свое фактическое положение, ставить переадресацию (redirection) на другой номер, проводить конференц – звонки и др. Для предоставления подобных сервисов требуется наличие в сети соответствующих серверов, поддерживающих ту или иную функцию.
Сервер регистрации (Registration Server) для аутентификации и авторизации пользователей.
Сервер определения местоположения (Allocation Server) для определения реального местонахождения пользователей.
Сервер переадресации (Redirect Server) для перенаправления звонков на другие номера, в случае если пользователь настроил данную функцию.
Сервер регистрации это логический элемент и обычно его функции выполняет SIP Proxy, такие совмещенные сервера называют Registar. SIP Proxy может также выполнять функции серверов определения местоположения и переадресации, такое совмещение полезно в плане масштабируемости сети.
Приведем пример, когда сеть содержит некий комбинированный SIP Proxy, который поддерживает все функции, описанные выше. Допустим, что новый, еще не зарегистрированный пользователь A,вызывает пользователя B, который уже прошел процедуру авторизации.
Новый User Agent A посылает серверу сообщение REGISTER , которое инициирует процесс регистрации.
Т.к User Agent A ещё не зарегистрирован, то сервер Registar отвечает сообщением 401 Unauthorized
Тогда User Agent A посылает серверу сообщение REGISTER + login, содержащее логин и пароль.
Сервер Registar отвечает сообщением 200 OK, на этом процесс регистрации закончен. Теперь пользователь А авторизован на сервере и может совершать звонки.
User Agent A инициирует установление связи с пользователем B сообщением INVITE.
На данном этапе включаются функции серверов определения местоположения и переадресации, сервер отвечает сообщением 302 Moved Temporarily, означающее, что вызываемый абонент временно сменил местоположение и содержащее его новые данные для установления соединения.
User Agent A отвечает сообщением ACK, которое означает прием ответа от Redirect сервера на запрос INVITE.
Далее User Agent A инициирует новое установление соединения напрямую к пользователю B, в соответствии с полученными данными.
Как видно из рисунка дальнейший процесс соединения происходит аналогично сценарию 1.
В следующей статье мы подробно рассмотрим основные модификации протокола SIP для взаимодействия с традиционными телефонными сетями, использующими сигнализацию ОКС-7.
Средства безопасности, оркестровки, автоматизации и реагирования (SOAR - Security Orchestration, Automation and Response) - это программные продукты, которые позволяют ИТ-группам определять, стандартизировать и автоматизировать действия организации по реагированию на инциденты. Большинство организаций используют эти средства для автоматизации операций и процессов обеспечения безопасности, реагирования на инциденты и управления уязвимостями и угрозами.
Как правило, решения SOAR позволяют группам собирать ценные данные по безопасности, выявлять, анализировать и устранять существующие и потенциальные угрозы и уязвимости из различных источников. Следовательно, эти инструменты обеспечивают большую видимость, что позволяет организациям быстрее, эффективно и последовательно реагировать на инциденты, связанные с безопасностью.
Идеальный инструмент SOAR должен:
Прием и анализ информации и уведомлений из различных систем безопасности.
Возможность определять, создавать и автоматизировать рабочие процессы, необходимые группам для определения приоритетов, изучения и реагирования на предупреждения безопасности.
Управление и интеграция с широким спектром инструментов для улучшения операций.
Наличие возможностей экспертизы для проведения послеаварийного анализа и предоставления группам возможности совершенствовать свои процессы и предотвращать подобные проблемы.
Автоматизирует большинство операций по обеспечению безопасности, устраняя повторяющиеся задачи и позволяя командам экономить время и концентрироваться на более сложных задачах, требующих вмешательства человека
Такие инструменты работают на основе искусственного интеллекта, машинного обучения и других технологиях для автоматизации повторяющихся задач, таких как сбор информации, обогащение и корреляция данных и многое другое. Такой подход помогает командам быстрее и масштабно реагировать на широкий круг вопросов безопасности.
Кроме того, в большинстве решений SOAR имеются плейбуки, содержащие инструкции, основанные на проверенных практиках и процедурах. Использование плейбуков обеспечивает согласованность, соответствие нормативам, более быструю и надежную идентификацию и устранение инцидентов.
В настоящее время, на рынке много продуктов для обеспечения безопасности. В данном материале составили список лучших решений SOAR, чтобы помочь вам выбрать подходящее решение для удовлетворения ваших уникальных потребностей.
Давайте рассмотрим их.
1. Splunk Phantom
Splunk Phantom - это решение SOAR, которое интегрируется с широким спектром средств безопасности, чтобы дать командам лучшее представление и возможность обнаруживать внутренние и внешние угрозы и реагировать на них. Он поставляется с визуальным редактором плейбуков (VPE - Visual Playbook Editor), который позволяет специалистам по безопасности и разработчикам использовать встроенную функцию перетаскивания для создания комплексных плейбуков.
Ключевые особенности
Разработка пользовательских процессов автоматизации для определенных рабочих процессов.
Фильтрация данных и определение настраиваемых действий безопасности
Позволяет командам сотрудничать и принимать критически важные решения по безопасности в режиме реального времени.
Быстрое решение SOAR для повышения безопасности в организации и быстрого устранения инцидентов
Централизованная визуализация
Функция «События в день» (EPD), показывающая события безопасности, управляемые средством.
2. IBM Resilent
IBM Resilient - платформа SOAR на основе машинного обучения с расширенными возможностями обнаружения угроз и реагирования на инциденты. Решение SOAR доступно для локальной установки, как служба MSSP (Managed Security Service Provider) или как модель развертывания Security as a Service (SaaS). Она предоставляет командам единую платформу и возможность автоматизировать операции, вести расследование, улучшать совместную работу и устранять угрозы быстрее и эффективнее.
Ключевые особенности
Позволяет командам получать доступ к подробному расследованию угроз и предупредительным сигналам безопасности, что позволяет быстро реагировать на любые инциденты и управлять ими.
Гибкие возможности развертывания, автоматизации и оркестровки для удовлетворения уникальных бизнес-потребностей
Получать информацию о происшествиях, связанных с безопасностью, понимать их и определять их приоритеты, а затем принимать соответствующие меры по исправлению положения.
Встроенная функция моделирования кибератак для проверки систем безопасности и достоверности плейбуков. Эта функция помогает группам выполнять аудит соответствия требованиям.
Динамичные и аддитивные учебники для предоставления командам соответствующих знаний и рекомендаций по эффективному урегулированию инцидентов, связанных с безопасностью.
3. DFLabs IncMan
DFLabs IncMac - это многофункциональная, гибкая и масштабируемая платформа SOAR, которая помогает организациям повысить уровень безопасности и автоматизации. Веб-платформа или платформа SaaS подходит для MSSP, CSIRT, SOC и других для автоматизации, измерения и управления процессами реагирования на инциденты и другими операциями по обеспечению безопасности.
Единый интуитивно понятный инструмент на базе ИИ упрощает обнаружение и управление широким спектром инцидентов, связанных с безопасностью.
Ключевые функции
Интегрируется с другими средствами безопасности, что обеспечивает бесперебойную работу и обмен полезной информацией между различными группами реагирования.
Подробные отчеты в виде графиков, настраиваемые KPI и выполнение корректировок. Эта информация позволяет различным заинтересованным сторонам оценивать эффективность своих усилий.
Полное комплексное управление инцидентами на основе машинного обучения и передовых технологий поиска угроз - включает в себя управление расследованиями, отчетность по инцидентам, заметки для аудита, корректирующие и профилактические действия (CAPA), отказоустойчивость и многое другое.
Обеспечивает быстрое обнаружение инцидентов, реагирование, исправление и возможность определения приоритетов ответов на основе различных триггеров.
Автоматизирует расследования угроз безопасности, поиск угроз и сбор данных по инциденту.
4. Insightconnect
Rapid7 Insightconnect - это SOAR решение, которое интегрирует, оптимизирует и ускоряет процессы безопасности с минимальным написание кода или вообще без него. Платформа объединяет средства безопасности и команды для обеспечения полной интеграции и четкой коммуникации между различными технологиями.
Ключевые особенности
Обнаружение, блокировка и реагирование на атаки, вредоносные программы, фишинговые атаки, скомпрометированные учетные записи пользователей, уязвимые сетевые порты и т.д.
Автоматизация поиска угроз и других процессов для быстрой идентификации вредоносных программ, зараженных URL-адресов и доменов, а также подозрительных действий.
Автоматизация обнаружения, блокировки и расследование вирусов, вредоносных программ и фишинговых атак по электронной почте, а также других вредоносных программ
Обеспечивает видимость в реальном времени и способность быстрее и умнее реагировать на инциденты, связанные с безопасностью
Поддержка автоматический запуск плейбуков для ускорения реагирования на инциденты.
5. RespondX
LogRhythm RespondX - это простое решение SOAR, которое обеспечивает надежное обнаружение угроз в режиме реального времени и позволяет организациям повысить уровень безопасности. Функция SmartResponse помогает автоматизировать рабочие процессы и ускорить процессы расследования угроз и реагирования на них.
Ключевые особенности
Комплексное средство, поддерживающее сквозные процессы реагирования на инциденты безопасности от сбора данных и карантина конечных точек, до блокирования скомпрометированных сетевых ресурсов и портов.
Автоматизация процессов реагирования на инциденты для эффективного снижения всех рисков, выявления и устранения уязвимостей для предотвращения подобных атак в будущем.
Выявление последствий и восстановление при расследовании инцидента
Интерфейс пользователя, который может обновлять обращения, включая данные журнала, предупреждения и другую информацию.
Автоматическое приостановление рискованных или скомпрометированных учетных записей пользователей, процессов и сетевого доступа.
6. Exabeam
Средство реагирования на инциденты Exabeam - это мощная, экономичная, быстрая и безопасная платформа для обнаружения, расследования и реагирования на угрозы безопасности. Простое в использовании автоматизированное средство с простым пользовательским интерфейсом устраняет ручные расследования и задачи по смягчению последствий, предоставляя решение для борьбы с угрозами, распределенными атаками и т. д.
Ключевые особенности
Предоставляет единую простую в использовании платформу управления безопасностью, которая не требует высокого уровня экспертных знаний
Простой в использовании и быстрый поиск по массиву данных
Расширенное комплексное обнаружение инцидентов как для внутренних, так и для внешних угроз.
Готовые, настраиваемые и автоматизированные устройства воспроизведения инцидентов для оптимизации и стандартизации методов и процедур реагирования для обеспечения быстрых и повторяющихся действий без ошибок.
Предоставляет встроенные инструменты, оценки базового поведения или временной шкалы пользователя и показать предупреждение или потребовать дальнейшего вмешательства, когда оценка достигнет указанного порога.
7. ServiceNow
ServiceNow Security Operations - это мощное корпоративное решение для управления инцидентами и уязвимостями, а также для повышения интеллекта угроз безопасности и соответствия конфигурации. Как правило, инструмент SOAR позволяет анализировать, выявлять, устранять атаки и угрозы и восстанавливать после атаки. Таким образом, она предоставляет комплексное решение для управления полным жизненным циклом инцидентов безопасности.
Ключевые особенности
Автоматизация средств безопасности, процессов и действий, а также инструментов
Сводка уязвимостей, позволяющая командам своевременно выявлять и устранять слабые места и предотвращать атаки.
Предоставляет информацию о последних инцидентах и уязвимостях, связанных с безопасностью, вместе с соответствующими бизнес-процессами.
Позволяет быстрее выявлять, расставлять приоритеты и реагировать на инциденты, связанные с безопасностью, уязвимости, неправильно настроенные активы и другие риски.
Позволяет понять состояние безопасности, узкие места и тенденции с помощью аналитических отчетов и панелей мониторинга.
8. SIRP
SIRP - это надежное, универсальное решение SOAR, которое интегрируется с большинством готовых технологий и функций безопасности и предоставляет командам единую точку управления, автоматизацию, полную видимость и платформу управления инцидентами. Решение для обеспечения безопасности собирает данные из нескольких различных источников по всей инфраструктуре.
Затем он обогащает данные расследованием угроз и их анализом, после чего упорядочивает их по уязвимостям, инцидентам и другим классификациям для облегчения понимания и реагирования.
Ключевые особенности
Предоставляет ценные данные и улучшенную видимость по безопасности
Назначает оценку безопасности каждому инциденту, уязвимости и оповещает сотрудника, что позволяет группам расставлять приоритеты.
Интеграция с более чем 70 средствами безопасности и возможность выполнения более 350 действий с одной платформы
Обеспечивает полную видимость состояния безопасности систем с помощью интуитивно понятной панели мониторинга, подробных отчетов и аудитов инцидентов
Простой автоматизированный плейбук помогает методом перетаскивания упростить рабочие процессы и обеспечить эффективное реагирование на инциденты на основе проверенных процессов.
Заключение
Средства безопасности, управления, автоматизации и реагирования помогают оптимизировать управление уязвимостями, а процессы реагирования на угрозы повышают эффективность, сокращают время разрешения проблем и экономят средства.
Хотя существует много решений SOAR, они, вероятно, не решают все проблемы безопасности, с которыми сталкиваются компании. Поэтому при поиске решения обратите внимание на основные функции, которые наиболее важны для вашей организации, и выберите те из них, которые наилучшим образом соответствуют вашим требованиям.
Умение настраивать VLAN (Virtual Local Area Network) или виртуальные локальные сети - одно из самых базовых умений, которым должен обладать системный администратор. Сегментирование сети с помощью VLAN-ов строго необходимо для PCI, HIPAA и прочих стандартов безопасности, и, кроме того, это помогает сохранять “чистоту” и порядок в больших сетях. Настройка VLAN-ов на маршрутизаторах MikroTik не является сложной задачей, подробнее о шагах настройки вы можете прочесть ниже.
Дизайн VLAN в организации
Первым шагом в сегментировании сети должен быть не настройка маршрутизатора, а понимание будущей схемы в целом - предпочтительно нарисовать схему на листе бумаги, использовать ПО наподобие Microsoft Visio и т.д. К тому же, если ваша сеть должна соответствовать стандартам безопасности, которые были перечислены выше, то практически не нужно ничего придумывать - в описании стандартов есть подробные инструкции что и как должно быть сегментировано. Однако, чаще всего, сегментирование происходит для общей оптимизации сети - и тут необходимо будет что-то придумать самому. На наш взгляд, проще всего отразить структуру организации в схеме VLAN-ов. Каждый департамент должен находится в собственном VLAN-е, т.к каждый департамент обладает своими собственными уникальными функциями, и, скорее всего, различными правами доступа. Также в отдельные VLAN-ы необходимо поместить сервера и дисковые хранилища.
Для серверов и хранилищ рекомендуется использовать отдельные коммутаторы, но, для маленьких компаний это часто невозможно из-за лимитированного бюджета.
К тому же, с помощью таких инструментов как Torch или NetFlow можно будет контролировать и мониторить трафик каждого департамента. Гостевая сеть также должна быть помещена в отдельный VLAN, который будет полностью изолирован от внутренней сети. Беспроводные сети также должны находится в своем VLAN, таким образом весь трафик мессенджеров, обновлений мобильных приложений и т.д будет полностью отделен от основной сети.
Транковые протоколы VLAN
В нашем сценарии у нас есть только один роутер, и создадим VLAN-ы для HR (192.168.105.0/24), бухгалтерии (192.168.155.0/24) и гостевую сеть (192.168.1.175.0/24). Если у вас получится создать три VLAN-а, то, очевидно, получится создать и сто - в нашем примере мы описываем создание только трех VLAN-ов для простоты и прозрачности примера. IP-адреса для каждого VLAN-а также были выбраны случайным образом - для вашей организации, скорее всего, адресация будет иной. В нашем случае, маршрутизатор подключен к коммутатору по интерфейсу ether2, с 802.1q транком между ними - эта схема также известна под именем “роутер на палке” (router on a stick). Мы не будем углубляться в детали касаемо свитча - это может быть Cisco, HP и т.д - потому что 802.1q транки одинаковы практически на всех платформах - если у вас какой-нибудь необычный свитч, то вам стоит просто обратиться к документации и прочесть, как выполняется конфигурация транкового порта. Наш маршрутизатор также обладает подключением к WAN на порту ether1 - все пользователи в VLAN-ах будут использовать его для доступа к интернету.
Создание VLAN-ов на MikroTik
Сперва необходимо создать VLAN-ы на маршрутизаторе и назначить их на интерфейс ether2. После этого, интерфейс ether2 будет автоматически настроен как 802.1q транк и не будет доступен для трафика без тэгов, что означает, что до конца настройки этот линк будет “лежать” - поэтому строго рекомендуется выполнять эти действия во в нерабочее время.
/interface vlan
add comment="HR" interface=ether2 name="VLAN 105 - HR" vlan-id=105
add comment="Accounting" interface=ether2 name="VLAN 155 - Accounting" vlan-id=155
add comment="Guests" interface=ether2 name="VLAN 180 - Guests" vlan-id=180
Крайне рекомендуется всегда давать понятные имена интерфейсам и писать комментарии - в дальнейшем это может сильно облегчить администрирование сети и обучение новых системных администраторов. Как мы упомянули выше, создание VLAN-ов и назначение их на физический порт ether2 автоматически изменит тип инкапсуляции на 802.1q, но вы нигде этого не увидите - даже если выведете всю информацию об интерфейсе.
Назначаем IP-адреса
Далее, необходимо назначить сетевые адреса, чтобы VLAN интерфейсы могли работать как шлюзы:
/ip address
add address=192.168.105.1/24 comment="HR Gateway" interface="VLAN 105 - HR"
add address=192.168.155.1/24 comment="Accounting Gateway" interface="VLAN 155 - Accounting"
add address=192.168.180.1/24 comment="Guests Gateway" interface="VLAN 180 - Guests"
На всякий случай, еще раз обращу ваше внимание на то, как важно комментировать интерфейсы для удобства в дальнейшем. На данном моменте у нас уже настроены VLAN-ы и у них назначены сетевые адреса. Если у вас не используется DHCP, а используется статическая адресация - на этом настройка VLAN в общем-то закончена. Следующим шагом (этот шаг, соответственно, опционален) является настройка DHCP на VLAN интерфейсах, для того чтобы клиенты внутри каждого VLAN могли автоматически получить динамический IP-адрес.
DHCP для VLAN
Для начала, необходимо установить адресные пулы для каждого из VLAN-ов:
/ip pool
add name=HR ranges=192.168.105.2-192.168.105.254
add name=Accounting ranges=192.168.155.2-192.168.155.254
add name=Guests ranges=192.168.180.2-192.168.180.254
Далее, настраиваем DHCP с опциями для DNS и шлюзов:
/ip dhcp-server network
add address=192.168.105.0/24 comment="HR Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.105.1
add address=192.168.155.0/24 comment="Accounting Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.155.1
add address=192.168.180.0/24 comment="Guest Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.180.1
В данном случае мы используем DNS сервис от Google.
Далее, добавляем ранее настроенные пулы на VLAN интерфейсы:
/ip dhcp-server
add address-pool=HR disabled=no interface="VLAN 105 - HR" name=HR
add address-pool=Accounting disabled=no interface="VLAN 155 - Accounting" name=Accounting
add address-pool=Guests disabled=no interface="VLAN 180 - Guests" name=Guests
Адресные пулы соответствуют настроенным сетям, и именно такие DHCP опции как шлюз и DNS присваиваются конкретной DHCP инстанции. Смысл присвоения DHCP для каждого VLAN в том, чтобы у вас была возможность контролировать сроки выдачи адреса (lease times), опции и т.д для каждого сегмента сети, что дает большой простор для оптимизации и контроля DHCP в вашей организации.
Настройка VLAN на коммутаторе
На данном этапе настройки вам необходимо будет назначить порты доступа на ваших свитчах на конкретные VLAN-ы, и клиенты, которые будут подключены к этим портам будут находится в их VLAN и получать соответствующие IP-адреса по DHCP. Теперь уже вам решать, какие VLAN будут полностью изолированы друг от друга, а какие смогут “общаться” - осталось только настроить соответствующие правила на фаерволле. Как правило, мы разрешаем доступ только абсолютно необходимого трафика в VLAN - если разрешить весь трафик, тогда теряется смысл сегментирования.