По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Сегодня мы подробно поговорим и модификациях протокола SIP, разработанных специально для взаимодействия телефонных сетей VoIP с сетями PSTN – Public Switched Telephone Network (ТфОП), использующих сигнализацию ОКС-7.
С развитием IP - сетей , преимущества VoIP телефонии становились всё более очевидными, однако подавляющая часть АТС всё ещё имеет дело с сигнализацией ОКС-7, которая используется в таких сетях как ISDN - Integrated Services Digital Network (Цифровая Сеть с Интеграцией Служб), ТфОП – Телефонная Сеть Общего Пользования, а также в Сетях Подвижной Сотовой Связи (СПСС).
В качестве подсистемы, обеспечивающей межстанционную сигнализацию, в данных сетях применяется подсистема ISUP – ISDN User Part. ISUP решает задачи транспортировки сигнальной информации от офисной телефонной станции до станции назначения без обработки данной информации в промежуточных пунктах сигнализации. Прежде всего ISUP необходим для управления установлением соединения.
Протокол ISUP имеет множество типов сообщений, каждое из которых применяется на определенном этапе установления соединения. Запомнить назначение всех этих сообщений не представляется возможным. Мы не будем описывать каждое сообщение в отдельности, а лишь приведём примеры основных, встречающихся в трассировках любого вызова по протоколу ISUP.
IAM (Initial Address Message) - Самое первое сообщение. Служит для информирования АТС об установлении соединения. Содержит такие параметры как: номер вызывающего и вызываемого абонента, тип данных (данные, голос и другие).
ACM (Address Complete Message) - Сообщение о приеме полного номера. Отправляется вызываемой АТС, когда был найден необходимый для установления соединения абонент. В этот момент телефонный аппарат вызываемого абонента начинает звонить, а вызывающий абонент слышит КПВ (Контроль Посылки Вызова)
ANM (Answer Message) - Отправляется вызываемой АТС, когда вызывающий абонент снимает трубку. Занимаются двухсторонние разговорные каналы.
REL (Release) - Отправляется одной из АТС, когда абонент инициирует завершение соединения (кладёт трубку).
RLC (Release complete) - Подтверждение разрыва соединения. Отправляя данное сообщение, АТС уведомляет о том, что разговорный канал свободен и может вновь быть использован.
Очевидно, что для сопряжения сетей VoIP с сетями, работающими по сигнализации ОКС-7, необходимо реализовать механизмы прозрачной передачи сообщений ISUP по IP. Для решения данной задачи ITU-T и IETF независимо разработали модификации к протоколу SIP - SIP- I (Internetworking) и SIP – T (Telephony)( RFC 3372) соответственно.
При разработке данных модификаций, были учтены следующие требования:
Возможность прозрачной передачи сообщений протокола ISUP
Возможность маршрутизации сообщения протокола SIP на основе параметров ISUP
Возможность передачи транспортной информации при установлении соединения.
Выполнение данных условий осуществляется путем инкапсуляции сигнальных сообщений ISUP в SIP, а также трансляцией параметров ISUP в заголовках SIP.
Итак, от теории к практике. Рассмотрим простейший пример установления соединения в сети с разнотипной сигнализацией. Допустим, что а Абонент A - пользователь ТфОП, его телефонный аппарат находится за неким узлом связи, Абонент B использует IP Phone, работающий по протоколу SIP. За трансляцию сообщений ISUP в SIP будет отвечать некий многофункциональный шлюз IMG (Integrated Media Gateway) Задержки в сети
Как видно из рисунка инициатором вызова выступает Абонент A, на шлюз отправляется сообщение IAM, содержащее номера телефонов, а также дополнительные параметры соединения, IMG в свою очередь инкапсулирует сообщение IAM протокола ISUP, в уже известное нам INVITE протокола SIP.
Далее легко проследить каким ещё сообщениям протокола SIP соответствуют некоторые запросы ISUP.
Стоит также заметить, что протокол ISUP на этапе разговора открывает некий двухсторонний разговорный канал, идентификатор которого находится в сообщении IAM и называется CIC (Circuit Identification Code).
Таким образом, благодаря модификациям протокола SIP на сегодняшний день имеется возможность связать абонентов сетей разных типов, использующих разную сигнализацию для управления установлением соединения.
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до сервера, на котором размещен этот веб-сайт. BGP (Border Gateway Protocol, протокол граничного шлюза) решает, по какому пути следует идти пакетам.
Если маршрутизатор не работает или слишком нагружен, пакеты проходят по другому маршруту. BGP по умолчанию принимает объявленные маршруты от других соседей BGP. Нет объявления о пути или владельце, что оставляет серьезную проблему безопасности.
В этой статье описывается протокол RPKI, как решение для безопасной маршрутизации BGP.
Что такое BGP?
Протокол BGP – основной протокол, который используется для обмена маршрутами в Интернете. Пакеты передаются по всему миру децентрализованным образом с автоматизированной маршрутизацией. По мере передачи данных с одного маршрутизатора на другой информация перемещается ближе к пункту назначения.
Каждый маршрутизатор поддерживает локальную таблицу наилучших путей для каждой группы префиксов IP-адресов. AS (Autonomous System - автономная система) владеет группами префиксов и определяет, как происходит обмен маршрутизацией. Каждая AS имеет уникальный идентификатор (Number), и протокол BGP определяет, как автономные системы обмениваются информацией о маршрутах.
Каждый ASN (Autonomous System Number) объявляет префиксы, по которым он может доставлять данные. Например, AS отвечающая за подсеть 1.0.0.0/8, будет передавать этот префикс соседям и другим провайдерам.
Недостатки BGP
Прием маршрута BGP зависит от проектирования ISP. Сложно принять во внимание все сценарии: ошибки ввода, ошибки автоматизации или злой умысел - это лишь некоторые примеры проблем, которые трудно предотвратить. В конечном счете, суть проблемы заключается в том, что нет никакого видения того, кто должен объявлять маршрут или кто настоящий владелец.
Угоны префиксов равной длины
Угон префикса равной длины происходит, когда тот, кто не является владельцем, объявляет об этом же префиксе. Например:
Исходная AS отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS также объявляет 1.0.0.0/8
В случае объявления равной длины BGP должен выбрать маршрут. Решение сводится к конфигурации AS.
Источник AS замечает небольшое падение трафика. Падение трафика является обычным явлением, которое может произойти по любому числу причин. За счет этого угон BGP остается незамеченным.
Угон определенного префикса
Захват определенного префикса происходит, когда злонамеренный ASN объявляет более конкретный префикс. Оба префикса добавляются в таблицу маршрутизации BGP, но более конкретный адрес выбирается в качестве наилучшего пути к сети.
Например:
Источник отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS объявляет более конкретный 1.2.3.0/24
Поскольку 1.2.3.0/24 лучше соответствует, все данные в диапазоне 1.2.3.0 поступают в нелегитимную сеть.
Что такое RPKI?
RPKI (Resource Public Key Infrastructure) - уровень безопасности в протоколе BGP, обеспечивающий полное криптографическое доверие владельцу, где последний имеет общедоступный идентификатор. В BGP понятия владельца не существует. Любому разрешается анонсировать лучший маршрут, будь то злонамеренно или случайно.
RPKI основан на существующем стандарте PKI - RFC6480. Существует много ссылок на существующие методологии криптографии для безопасной связи.
Почему RPKI важен?
Инфраструктура открытого ключа ресурсов делает BGP более безопасным и надежным. Из-за особенностей работы BGP, уязвимость интернета является систематической проблемой. С ростом Интернета последствия заметнее.
Маршрутизация информации в небольшую сеть создает перегрузку. Вредоносная маршрутизация доставляет конфиденциальную информацию не туда. Ошибки BGP могут привести к мошенничеству и крупномасштабным сбоям. Известны следующие случаи:
Amazon - маршрут 53 BGP угнал DNS Amazon для кражи криптовалют.
Google - неправильная настройка фильтрации BGP во время обновления маршрутизировал весь трафик в Китай, Россию и Нигерию.
Mastercard, Visa и крупные банки - произошла утечка 36 префиксов платежных услуг.
YouTube - Попытка заблокировать сайт YouTube в Пакистане в итоге положила его.
Какую форму защиты предлагает RPKI?
Проблемы BGP возникают по многочисленным причинам:
Нет надежного плана обеспечения безопасности
Ошибки перераспределения
Опечатки
Преступное намерение
Наиболее распространенным фактором является человеческая ошибка.
Криптографическая модель RPKI обеспечивает аутентификацию владельца через открытый ключ и инфраструктуру сертификатов без наличия в них идентифицирующей информации. Сертификаты добавляют уровень сетевой безопасности к префиксам IPv4 и IPv6. Сертификаты RPKI продлеваются каждый год. HTTP использует аналогичное шифрование для защиты веб-страниц.
Хотя весь путь не защищен, RPKI проверяет идентичность источника и предоставляет способ подтвердить, что они являются теми, кем они являются. RPKI является шагом в обеспечении безопасности в маршрутизации BGP, где мы знаем происхождение входящей информации и кто владеет каким пространством.
Широкое распространение делает его еще более эффективным в предотвращении угонов в целом.
Как работает RPKI?
RIR (Regional Internet Registry) обеспечивает корневое доверие в модели криптографии RPKI. IANA (Internet Assigned Numbers Authority) является частью ICANN (Internet Corporation for Assigned Names and Numbers), которая владеет адресными пространствами IPv4 и IPv6.
IANA распределяет порции IP пространства для RIR. Локальные RIR затем распределяют пространство IP для сетей, которые далее распределяют для сетей меньшего размера. Этот путь создает доверенную цепочку в сертификатах подписи. Регионы RIR делятся на пять географических районов:
ROA
Заключительной частью цепочки является ROA (Route Origin Authorization - авторизация источника маршрута). ROA представляет собой простой документ с двумя частями информации:
Какой маршрут и максимальная длина.
AS, объявившая маршрут.
Например, если AS65005 объявляет маршрут в диапазоне от 1.0.0.0/8 до 1.0.0.0/12, ROA содержит область и идентификатор AS65005, проверяя, кто является реальным владельцем информации с полным доверием.
Каждая ROA специфична для каждого из существующих RIR.
Как развертывается RPKI?
"P" в RPKI означает, что сертификаты и ROA доступны в публичных (public) хранилищах. Эта информация используется для формирования списков префиксов, которые относятся к конкретному ASN.
Подписи сертификатов и срок действия ROA проверяются каждой сетью независимо. Если какой-либо из следующих ошибок завершается неуспешно, ROA игнорируется:
Дата начала или дата окончания ROA и привязки сертификатов к корню находятся в прошлом или будущем.
Любая из подписей недействительна или отозвана.
Все ROA, которые прошли тест сохраняются в списке проверенных. Фильтр генерируется и выгружается на маршрутизаторы на основе проверенного списка кэша. Маршрутизаторы проверяют объявления BGP через фильтр и получает один из трех результатов:
Действительное - ROA присутствует. Длина префикса и номер AS совпадают.
Недопустимое - присутствует ROA. Длина префикса или номер AS не совпадают.
Не найдено или неизвестно - ROA отсутствует.
Маршрутизатор действует на основе состояния префикса, сгенерированного фильтром.
Подпись префиксов
RIR предлагают онлайн-инструменты для подписи префиксов. При этом префикс и длина префикса связываются с AS. После подписания префикса другие пользователи, реализовавшие проверку RPKI, могут проверить префиксы.
Подписание сертификата предотвращает захват префиксов (намеренно или непреднамеренно). Подписанные сертификаты являются ядром ROA. RPKI не предлагает проверки пути, и атаки «человек в середине» по-прежнему возможны.
Проверка префиксов
Реализация проверки зависит от сведений о сети. Общие шаги при настройке сети для проверки префиксов:
Установка средств проверки RPKI - программное обеспечение, которое извлекает данные RPKI из всех реестров маршрутизации Интернет (IRR) и проверяет подписи.
Настройка проверки на пограничных маршрутизаторах с помощью средства проверки маршрута - маршрутизаторы заполняют кэш проверки комбинациями проверенных префиксов, длин префиксов и исходных ASN.
Реализация фильтров BGP для внешних сеансов BGP - добавление политики для всех сеансов BGP (одноранговых, транзитных и клиентов) для отклонения любого префикса, который является недопустимым с точки зрения RPKI.
Заключение
RPKI предлагает дополнительный уровень в защите BGP маршрутизации. Большинство маршрутизаторов имеют встроенные возможности проверки и развертывания RPKI.
Статьи по тематике устранение неисправностей связаны с определенным набором решений проблем. В случае с Linux и Unix полезно иметь некое руководство по доступным инструментам, облегчающим работу по поиску и устранению проблем. Это такой документ, который содержит основные важные команды, позволяющие облегчить жизнь администраторам Linux/Unix при возникновении проблем.
Команда "list open files" или команда lsof выглядит достаточно просто, но ее использование в качестве инструмента для устранения неполадок не так очевиден, как кажется на первый взгляд. Например, если у неизвестного процесса открыто несколько файлов, знание того, какие они есть, может помочь определить, является ли процесс легитимным.
В первой статье рассмотрим множество вариантов использования команды lsof.
Во второй статье рассмотрены рекомендации о том, как исправлять проблемы этим множеством вариаций данной команды.
Контрольные вопросы, которые следует задать себе при диагностике проблем, является предметом нашей третьей статьи. Это поможет навести порядок в хаосе, который создают некоторые проблемы.
Работа с базами данных Oracle - обычная задача администратора, и немного узнать о них и о том, как тестировать соединения с ними, - ценный инструмент, описанный в четвертой статье. Если проблема связана с подключением, отпадает потребность в вызове администратора баз данных.
В завершении нашего руководства приведена статья с инструкциями по командам, необходимым для управления дисками и разбиения их на разделы.
Команда lsof
Команда lsof - это нечто большее, чем вы можете себе представить. Узнайте обо всех возможностях ее применения для поиска и устранения неполадок.
lsof - команда Unix/Linux, которая отображает все открытые файлы или идентифицирует процессы, открытые конкретными файлами. Удобная для оценки безопасности ИС, а также для устранения проблем lsof предлагает широкий спектр параметров, позволяющие использовать её различными способами - иногда даже превосходя команду ps для просмотра процессов и команду netstat для исследования сетевых интерфейсов.
Что такое открытые файлы?
Для начала давайте рассмотрим, что такое открытые файлы и почему они вам могут быть интересны. Открытые файлы - это файлы, которые использует какой-либо процесс. Этот процесс может быть командой, которую вы выполняете, или приложением, запущенным на сервере, которым вы управляете. Открытые файлы могут включать файлы данных и библиотеки, которые предоставляют общие процедуры. Многие файлы открываются каждый раз, когда вы входите в систему. Вы можете быть удивлены их количеством. Если вам интересно, сколько файлов у вас открыто прямо сейчас, попробуйте эту команду:
$ lsof -u admin | wc -l
1715
И если вы когда-нибудь слышали, что для Unix все является файлом, вы, возможно, не слишком удивитесь, узнав, что lsof работает с такими вещами, как сетевые интерфейсы, которые большинство из нас обычно не считают файлами.
Почему нам это важно?
Иногда появляется необходимость узнать об открытых файлах, потому что вы пытаетесь удалить файл и обнаруживаете, что он уже используется. Может быть, он заполняет ваше дисковое пространство. Вам необходимо узнать, каким файлом какой процесс открыт, чтобы можно было остановить его и очистить файл. В других случаях вам понадобится узнать, что делает неизвестный подозрительный процесс, и только изучение файлов, которые открыл подозрительный процесс, может предоставить ценную информацию.
Принцип работы lsof?
При применении команды lsof без параметров в терминале выводятся все файлы, которые открыты (используются) в вашей системе. Если вы запустите lsof от своего имени, вы получите длинный список файлов, но выходные данные будут включать в себя множество сообщений об отказе в разрешении - многие из них представляют открытые файлы в файловой системе /proc, которые вам не разрешено видеть. Запустите команду от имени root, и вы увидите больше выходных данных.
Что еще интересного?
Беглый взгляд на довольно большой справочник lsof отобразит вам, что мы увидели только меньшую ее часть возможностей. lsof имеет обширный список опций.
В этой статье мы разберем наиболее полезные.
Чтобы начать работу со всеми этими параметрами, вам необходимо о том знать о возможности использования более одной опции. Для этого используйте слово OR. Таким образом, вы получаете список, объединяющий результаты указанных вами параметров. Помимо этого вы можете выбрать вариант, со служебным словом AND. В этом случае ваши опции будут применяться вместе. Другими словами, вы увидите те файлы, процессы и т. д., которые соответствуют всем указанным вами параметрам. Для применения объединения AND, добавьте в свою команду параметр -a.
Полезные параметры lsof
Примеры использования lsof с параметрами, отображены на скриншотах ниже. Они демонстрируют наиболее полезные вещи, которые вы можете применить с данной командой.
На скриншоте ниже lsof, перечисляет все процессы, у которых открыт конкретный файл:
На этом скриншоте выводится список всех процессов, у которых есть открытые файлы в определенном каталоге:
На этом скриншоте показаны файлы, открытые bash:
На этом скриншоте, но с использованием подстроки вместо полного имени процесса:
На этом скриншоте перечислены открытые файлы для определенного идентификатора процесса:
lsof помогает изучить сетевые подключения:
На скриншоте показан пример просмотра портов и/или установленных соединений.
Также можно сетевые подключения для одного конкретного источника.
Просмотр файлов пользователем
На этом скриншоте lsof просматриваем открытые файлы для конкретного пользователя:
Для просмотра открытых файлов всех пользователей, кроме определенного (здесь это root), используйте знак ^:
Перечислить идентификаторы процессов для процессов, запускаемых конкретным пользователем:
$ sudo lsof -t -u froggy
15352
15353
Завершить все процессы, принадлежащие конкретному пользователю:
$ sudo kill lsof -t -u froggy
Используйте параметр -a для использования оператора AND для объединения ваших опций вместе, помня, что это ограничивает вывод только тем, что соответствует всем указанным условиям: