По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Всем привет! Сегодня в статье мы хотим вам рассказать про то как зарегистрировать телефоны Cisco серии 78хх на IP-АТС Asterisk. Рассматривать настройку мы будем на примере телефона Cisco 7811, самого простого из этой серии, отличающегося от других тем что, имеет только одну линию. Если вам интересно как настроить телефон для работы с оригинальными АТС от Cisco, то тут вы можете прочитать про CUCM, а тут про CME.
Процесс загрузки телефона
Телефоны Cisco 78хх поддерживают протокол SIP, в отличие от старых моделей, которые работали по проприетарному протоколу SCCP, и это облегчит нам настройку.
Когда телефон Cisco загружается он выполняет следующие действия:
Телефон получает питание c помощью блока питания или при помощи PoE;
Телефон загружает ПО, которое хранится локально в его памяти;
Телефон узнает голосовой VLAN ID при помощи CDP;
Телефон использует DHCP чтобы узнать свой IP адрес, маску подсети, шлюз и адрес TFTP сервера;
Телефон связывается с TFTP сервером и запрашивает конфигурационный файл. (У каждого телефона есть конфигурационный файл, который имеет вид SEP<мак_адрес>.cnf.xml);
Телефон регистрируется на АТС CUCM, который указан в конфигурационном файле;
А нам, поскольку у нас Asterisk вместо CUCM, нужно изменить конфигурационный файл, который находится на TFTP и в нем указать адрес нашей АТС, его номер и прочие параметры.
Начнем по порядку.
Настройка DHCP и TFTP
Прежде всего нам нужно настроить DHCP сервер который будет выдавать адрес телефона и сообщать ему о TFTP сервере, а также соответственно сам TFTP сервер, на котором будут лежать все необходимые файлы.
Если вы используете в качестве DHCP сервера оборудование Cisco то прочитать про то как создать на нем DHCP сервер можно здесь, а если вы используете оборудование Mikrotik то здесь.
Основной момент – телефоны Cisco получают информацию о TFTP сервере при помощи параметра Option 150, и именно его нужно настроить и в нем указать адрес TFTP сервера, с которым должен связаться телефон чтобы забрать необходимые файлы.
Для Cisco нужно использовать следующую команду в настройках DHCP:
option 150 ip 192.168.1.20
Для Mikrotik нужно в WinBox перейти в меню IP - DHCP Server – Options и нажать “+”. Тут необходимо указать в поле Code значение 150, а в поле Value – адрес сервера. А затем в разделе Networks в поле DHCP Options указать созданную нами опцию.
В нашем примере мы будем использовать бесплатную программу Tftpd64, которая может выступать в качестве DHCP и TFTP сервера, а также может показывать логи, что очень удобно для траблшутинга.
В меню настроек во вкладке DHCP можно настроить все нужные параметры, в том числе и необходимую нам опцию 150.
Во вкладке TFTP указываем необходимые параметры, такие как адрес директории где будут находится файлы.
Если ваше оборудование не поддерживает Option 150 или вы не хотите заморачиваться с этим, то адрес TFTP сервера можно прописать на самом телефоне в разделе Настройки – Параметры администратора – Настройка сети – Настройка IPv4 и тут в пункте Дополнительный TFTP сервер установить значение “Да”, а ниже в поле TFTP-сервер вручную прописать нужный адрес.
Создание экстеншена на Asterisk
Создадим новый номер на нашей АТС при помощи графического интерфейса FreePBX.
Для этого переходим в меню Applications – Extensions, нажимаем Add Extension и выбираем Add New PJSIP Extension. Да мы будем использовать PJSIP, поскольку телефон будет слать пакеты на стандартный порт 5060, который в Asterisk использует PJSIP.
Этого будет достаточно, сохраняем и применяем конфиг.
Создание необходимых файлов
При загрузке телефона он будет пытаться скачать файл конфигурации и обновить свою прошивку.
После того как мы подняли наш TFTP сервер нам нужно залить на него все файлы, которые будут необходимы телефону.
Для начала нужно скачать файл прошивки для нашего телефона, потому что телефон будет всегда запрашивать его при загрузке. Скачать его можно с официального сайта Cisco, предварительно зарегистрировавшись там. Оттуда же нам нужно скачать файл с локалью.
Далее идет самое важное – файл конфигурации телефона. Нам нужно создать XML файл, который должен называться SEP<mac_адрес_телефона>.cnf.xml. Например, SEPA1B2C3D4E5F6.cnf.xml
Для создания этого файла лучше всего использовать специальный XML-редактор (например, EditiX), чтобы не было проблем с валидацией.
Его содержание должно быть таким:
<?xml version="1.0" encoding="UTF-8"
<device>
<versionStamp>{7821 Aug 28 2015 12:40:48}</versionStamp>
<devicePool>
<dateTimeSetting>
<dateTemplate>D.M.Y</dateTemplate>
<timeZone>E. Europe Standard/Daylight Time</timeZone>
<ntps>
<ntp>
<name>time.windows.com</name>
<ntpMode>Unicast</ntpMode>
</ntp>
</ntps>
</dateTimeSetting>
<callManagerGroup>
<members>
<member priority="0">
<callManager>
<ports>
<ethernetPhonePort>2000</ethernetPhonePort>
</ports>
<processNodeName>192.168.1.17</processNodeName>
</callManager>
</member>
</members>
</callManagerGroup>
</devicePool>
<commonProfile>
<callLogBlfEnabled>3</callLogBlfEnabled>
</commonProfile>
<loadInformation>sip78xx.12-5-1-16</loadInformation>
<userLocale>
<name>Russian_Russia</name>
<uid/>
<langCode>ru_RU</langCode>
<version/>
<winCharSet>utf-8</winCharSet>
</userLocale>
<networkLocale>United_States</networkLocale>
<networkLocaleInfo>
<name>Russian_Russia</name>
</networkLocaleInfo>
<idleTimeout>0</idleTimeout>
<authenticationURL/>
<directoryURL/>
<idleURL/>
<informationURL/>
<messagesURL/>
<proxyServerURL/>
<servicesURL/>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>5060</phonePort>
<processNodeName/>
</capf>
</capfList>
<deviceSecurityMode>1</deviceSecurityMode>
<sipProfile>
<sipCallFeatures>
<cnfJoinEnabled>true</cnfJoinEnabled>
<callForwardURI>x--serviceuri-cfwdall</callForwardURI>
<callPickupURI>x-cisco-serviceuri-pickup</callPickupURI>
<callPickupListURI>x-cisco-serviceuri-opickup</callPickupListURI>
<callPickupGroupURI>x-cisco-serviceuri-gpickup</callPickupGroupURI>
<meetMeServiceURI>x-cisco-serviceuri-meetme</meetMeServiceURI>
<abbreviatedDialURI>x-cisco-serviceuri-abbrdial</abbreviatedDialURI>
<rfc2543Hold>true</rfc2543Hold>
<callHoldRingback>2</callHoldRingback>
<localCfwdEnable>true</localCfwdEnable>
<semiAttendedTransfer>true</semiAttendedTransfer>
<anonymousCallBlock>2</anonymousCallBlock>
<callerIdBlocking>0</callerIdBlocking>
<dndControl>0</dndControl>
<remoteCcEnable>true</remoteCcEnable>
</sipCallFeatures>
<sipStack>
<sipInviteRetx>6</sipInviteRetx>
<sipRetx>10</sipRetx>
<timerInviteExpires>180</timerInviteExpires>
<timerRegisterExpires>120</timerRegisterExpires>
<timerRegisterDelta>5</timerRegisterDelta>
<timerKeepAliveExpires>120</timerKeepAliveExpires>
<timerSubscribeExpires>120</timerSubscribeExpires>
<timerSubscribeDelta>5</timerSubscribeDelta>
<timerT1>500</timerT1>
<timerT2>4000</timerT2>
<maxRedirects>70</maxRedirects>
<remotePartyID>false</remotePartyID>
<userInfo>None</userInfo>
</sipStack>
<autoAnswerTimer>1</autoAnswerTimer>
<autoAnswerAltBehavior>false</autoAnswerAltBehavior>
<autoAnswerOverride>true</autoAnswerOverride>
<transferOnhookEnabled>true</transferOnhookEnabled>
<enableVad>false</enableVad>
<preferredCodec>g729</preferredCodec>
<dtmfAvtPayload>101</dtmfAvtPayload>
<dtmfDbLevel>3</dtmfDbLevel>
<dtmfOutofBand>avt</dtmfOutofBand>
<alwaysUsePrimeLine>false</alwaysUsePrimeLine>
<alwaysUsePrimeLineVoiceMail>false</alwaysUsePrimeLineVoiceMail>
<kpml>3</kpml>
<stutterMsgWaiting>1</stutterMsgWaiting>
<callStats>false</callStats>
<silentPeriodBetweenCallWaitingBursts>10</silentPeriodBetweenCallWaitingBursts>
<disableLocalSpeedDialConfig>false</disableLocalSpeedDialConfig>
<startMediaPort>16384</startMediaPort>
<stopMediaPort>16399</stopMediaPort>
<voipControlPort>5069</voipControlPort>
<dscpForAudio>184</dscpForAudio>
<ringSettingBusyStationPolicy>0</ringSettingBusyStationPolicy>
<dialTemplate>dialplan.xml</dialTemplate>
<phoneLabel>Office</phoneLabel>
<sipLines>
<line button="1">
<featureID>9</featureID>
<featureLabel>Merion Networks</featureLabel>
<name>200</name>
<displayName>Cisco</displayName>
<contact>200</contact>
<proxy>192.168.1.17</proxy>
<port>5060</port>
<autoAnswer>
<autoAnswerEnabled>2</autoAnswerEnabled>
</autoAnswer>
<callWaiting>3</callWaiting>
<authName>200</authName>
<authPassword>qwe123</authPassword>
<sharedLine>false</sharedLine>
<messageWaitingLampPolicy>1</messageWaitingLampPolicy>
<messagesNumber>121</messagesNumber>
<ringSettingIdle>4</ringSettingIdle>
<ringSettingActive>5</ringSettingActive>
<forwardCallInfoDisplay>
<callerName>true</callerName>
<callerNumber>false</callerNumber>
<redirectedNumber>false</redirectedNumber>
<dialedNumber>true</dialedNumber>
</forwardCallInfoDisplay>
</line>
</sipLines>
</sipProfile>
</device>
Что нас здесь интересует и что нужно изменить:
<timeZone> - E. Europe Standard/Daylight Time - в нашем примере мы используем временную зону, которая подходит для Москвы UTC+3.
<processNodeName> – адрес нашего Asterisk
<loadInformation> – имя файла прошивки (который с расширением .loads)
<userLocale><name> и <networkLocaleInfo> - Russian_Russia – папка с локалью
<phonePort> - 5060 – номер SIP порта
<voipControlPort> - номер порта телефона
И рассмотрим блок <line button="1"> с настройкой линии. Здесь нужно изменить в соответствии с нашими данными:
<featureLabel>Merion Networks</featureLabel> - Имя на телефона
<name>200</name> - Номер экстеншена
<displayName>Cisco</displayName> - Имя экстеншена
<contact>200</contact> - Снова номер экстеншена
<proxy>192.168.1.17</proxy> - Адрес Asterisk
<port>5060</port> - номер SIP порта
<authName>200</authName> - Еще раз номер экстеншена
<authPassword>qwe123</authPassword> - Пароль экстеншена
Помимо этого, создаем файл диалпана dialplan.xml, без которого телефон не загрузится:
<DIALTEMPLATE>
<TEMPLATE MATCH="8,800......." Timeout="1"/>
<TEMPLATE MATCH="8,.........." Timeout="1"/>
<TEMPLATE MATCH="0.." Timeout="1"/>
<TEMPLATE MATCH="1..." Timeout="1"/>
<TEMPLATE MATCH="2..." Timeout="1"/>
<TEMPLATE MATCH="3..." Timeout="1"/>
<TEMPLATE MATCH="4..." Timeout="1"/>
<TEMPLATE MATCH="[5-7]..." Timeout="1"/>
<TEMPLATE MATCH="**...." Timeout="0"/>
<TEMPLATE MATCH="*" Timeout="3"/>
</DIALTEMPLATE>
Далее создаем файл g3-tones.xml со следующим содержанием:
<tones>
<trkLocaleName>Russian_Federation</trkLocaleName>
<trkBaseClearcaseVersion>/main/3.3.release/1</trkBaseClearcaseVersion>
<trkTranslationVersion>0</trkTranslationVersion>
<tone c1="30959" i1="-1879" d="1" t="ringing">
<part m="on" t="800"/>
<part m="off" t="3200"/>
<repeat c="65535"/>
</tone>
<tone c1="30959" i1="-1879" d="1" t="reorder">
<part m="on" t="200"/>
<part m="off" t="200"/>
<repeat c="65535"/>
</tone>
<tone c1="30959" i1="-1879" d="1" t="busy">
<part m="on" t="400"/>
<part m="off" t="400"/>
<repeat c="65535"/>
</tone>
<tone c1="30959" i1="-1879" d="1" t="odial">
<part m="on" t="65535"/>
<repeat c="65535"/>
</tone>
<tone c1="30959" i1="-1879" d="1" t="idial">
<part m="on" t="65535"/>
<repeat c="65535"/>
</tone>
<tone c1="14876" i1="-5346" d="1" t="recording">
<part m="on" t="400"/>
<part m="off" t="15000"/>
<repeat c="65535"/>
</tone>
<tone c1="30743" i1="-1384" c2="29780" i2="-1252" c3="30743" i3="-1384" c4="29780" i4="-1252" d="34" t="amwi">
<part m="on" t="100" />
<part m="off" t="100" />
<part m="on" t="65535" />
<repeat c="65535" pc1="10" pc2="65535"/>
</tone>
<tone c1="30831" i1="-2032" d="17" t="monitoring">
<part m="on" t="1500"/>
<part m="off" t="8000"/>
<part m="on" t="500"/>
<part m="off" t="8000"/>
<repeat c="65535"/>
</tone>
</tones>
После этого создаем в директории TFTP папку Russian_Russia (или ту которую указали в <userLocale><name> и <networkLocaleInfo><name>) и переносим туда файл g3-tones.xml. Также туда необходимо перенести файл локали sp-sip.jar.
И наконец нам нужно создать три пустых файла:
CTLSEPSEP<mac_адрес_телефона>.tlv
ITLSSEPSEP<mac_адрес_телефона>.tlv
ITLFile.tlv
Эти файлы нужны чтобы у нас не было ошибки “No Trust List Installed”.
На этом все. По итогу в директории нашего TFTP сервера должны быть следующие файлы:
SEP<mac_адрес_телефона>.cnf.xml
dialplan.xml
sip78xx.12-5-1-16.loads
CTLSEP<mac_адрес_телефона>.tlv
ITLSSEP<mac_адрес_телефона>.tlv
ITLFile.tlv
Папка Russian_Russia с файлами: g3-tones.xml и sp-sip.jar
Загрузка телефона
На этом наша подготовка закончена, и мы теперь можем включить телефон. Он начнет загружаться, получит IP адрес и пойдет на TFTP чтобы скачать все необходимые файлы.
При помощи Tftfd64 можно смотреть за происходящем через вкладку Log Viewer, где можно увидеть какие файлы скачивает, и каких ему не хватает, в случае ошибки.
Если все нормально, то телефон скачает файл конфигурации, затем установит новую версию прошивки с TFTP и выбранную локаль, после чего перезагрузится. После прошивки он начнет связываться с нашей IP-АТС Asterisk и начнется процесс регистрации в результате, которого мы получим телефон Cisco, работающий с Asterisk по протоколу SIP.
Успех! Теперь можем проверять телефон и делать звонки!
В семиуровневой модели OSI на различных уровнях имеются разные типы адресов. На канальном это MAC-адрес, а на сетевом это IP-адрес. И для того чтобы установить соответствие между этими адресами используется протокол Address Resolution Protocol – ARP. Именно о нем мы поговорим в этой статье.
Адресация
Адреса 2-го уровня используются для локальных передач между устройствами, которые связаны напрямую. Адреса 3-го уровня используются устройств, которые подключены косвенно в межсетевой среде. Каждая сеть использует адресацию для идентификации и группировки устройств, чтобы передачи прошла успешно. Протокол Ethernet использует MAC-адреса, которые привязаны к сетевой карте.
Чтобы устройства могли общаться друг с другом, когда они не находятся в одной сети MAC-адрес должен быть сопоставлен с IP-адресом. Для этого сопоставления используются следующие протоколы:
Address Resolution Protocol (ARP)
Reverse ARP (RARP)
Serial Line ARP (SLARP)
Inverse ARP (InARP)
Address Resolution Protocol
Устройству 3го уровня необходим протокол ARP для сопоставления IP-адреса с MAC-адресом, для отправки IP пакетов. Прежде чем устройство отправит данные на другое устройство, оно заглянет в свой кеш ARP где хранятся все сопоставления IP и MAC адресов, чтобы узнать, есть ли MAC-адрес и соответствующий IP-адрес для устройства, которому идет отправка. Если записи нет, то устройство-источник отправляет широковещательное сообщение каждому устройству в сети чтобы узнать устройству с каким MAC-адресом принадлежит указанный IP-адрес. Все устройства сравнивают IP-адрес с их собственным и только устройство с соответствующим IP-адресом отвечает на отправляющее устройство пакетом, содержащим свой MAC-адрес. Исходное устройство добавляет MAC-адрес устройства назначения в свою таблицу ARP для дальнейшего использования, создает пакет с новыми данными и переходит к передаче.
Проще всего работу ARP иллюстрирует эта картинка:
Первый компьютер отправляет broadcast сообщение всем в широковещательном домене с запросом “У кого IP-адрес 10.10.10.2? Если у тебя, то сообщи свой MAC-адрес” и на что компьютер с этим адресом сообщает ему свой MAC.
Когда устройство назначения находится в удаленной сети, устройства третьего уровня одно за другим, повторяют тот же процесс, за исключением того, что отправляющее устройство отправляет ARP-запрос для MAC-адреса шлюза по умолчанию. После того, как адрес будет получен и шлюз по умолчанию получит пакет, шлюз по умолчанию передает IP-адрес получателя по связанным с ним сетям. Устройство уровня 3 в сети где находится устройство назначения использует ARP для получения MAC-адреса устройства назначения и доставки пакета.
Кэширование ARP
Поскольку сопоставление IP-адресов с MAC-адресами происходит на каждом хопе в сети для каждой дейтаграммы, отправленной в другую сеть, производительность сети может быть снижена. Чтобы свести к минимуму трансляции и ограничить расточительное использование сетевых ресурсов, было реализовано кэширование протокола ARP.
Кэширование ARP - это способ хранения IP-адресов и связанных c ними MAC-адресов данных в памяти в течение определенного периода времени, по мере изучения адресов. Это минимизирует использование ценных сетевых ресурсов для трансляции по одному и тому же адресу каждый раз, когда отправляются данные. Записи кэша должны поддерживаться, потому что информация может устаревать, поэтому очень важно, чтобы записи кэша устанавливались с истечением срока действия. Каждое устройство в сети обновляет свои таблицы по мере передачи адресов.
Статические и динамические записи в кеше ARP
Существуют записи статического ARP-кэша и записи динамического ARP-кэша. Статические записи настраиваются вручную и сохраняются в таблице кеша на постоянной основе. Статические записи лучше всего подходят для устройств, которым необходимо регулярно общаться с другими устройствами, обычно в одной и той же сети. Динамические записи хранятся в течение определенного периода времени, а затем удаляются.
Для статической маршрутизации администратор должен вручную вводить IP-адреса, маски подсети, шлюзы и соответствующие MAC-адреса для каждого интерфейса каждого устройства в таблицу. Статическая маршрутизация обеспечивает больший контроль, но для поддержания таблицы требуется больше работы. Таблица должна обновляться каждый раз, когда маршруты добавляются или изменяются.
Динамическая маршрутизация использует протоколы, которые позволяют устройствам в сети обмениваться информацией таблицы маршрутизации друг с другом. Таблица строится и изменяется автоматически. Никакие административные задачи не требуются, если не добавлен лимит времени, поэтому динамическая маршрутизация более эффективна, чем статическая маршрутизация.
Устройства, которые не используют ARP
Когда сеть делится на два сегмента, мост соединяет сегменты и фильтрует трафик на каждый сегмент на основе MAC-адресов. Мост создает свою собственную таблицу адресов, которая использует только MAC-адреса, в отличие от маршрутизатора, который имеет кэш ARP адресов, который содержит как IP-адреса, так и соответствующие MAC-адреса.
Пассивные хабы - это устройства центрального соединения, которые физически соединяют другие устройства в сети. Они отправляют сообщения всем портам на устройства и работают на уровне 1, но не поддерживают таблицу адресов.
Коммутаторы уровня 2 определяют, какой порт подключен к устройству, к которому адресовано сообщение, и отправлять сообщение только этому порту, в отличие от хаба, который отправляет сообщение всем его портам. Однако коммутаторы уровня 3 - это маршрутизаторы, которые создают кеш ARP (таблица).
Inverse ARP
Inverse ARP (InARP), который по умолчанию включен в сетях ATM, строит запись карты ATM и необходим для отправки одноадресных пакетов на сервер (или агент ретрансляции) на другом конце соединения. Обратный ARP поддерживается только для типа инкапсуляции aal5snap. Для многоточечных интерфейсов IP-адрес может быть получен с использованием других типов инкапсуляции, поскольку используются широковещательные пакеты.
Reverse ARP
Reverse ARP (RARP) - работает так же, как и протокол ARP, за исключением того, что пакет запроса RARP запрашивает IP-адрес вместо MAC-адреса. RARP часто используется бездисковыми рабочими станциями, потому что этот тип устройства не имеет способа хранить IP-адреса для использования при их загрузке. Единственный адрес, который известен - это MAC-адрес, поскольку он выжигается в сетевой карте. Для RARP требуется сервер RARP в том же сегменте сети, что и интерфейс устройства.
Proxy ARP
Прокси-ARP был реализован для включения устройств, которые разделены на физические сегменты сети, подключенные маршрутизатором в той же IP-сети или подсети для сопоставления адресов IP и MAC. Когда устройства не находятся в одной сети канала передачи данных (2-го уровня), но находятся в одной и той же IP-сети, они пытаются передавать данные друг другу, как если бы они находились в локальной сети. Однако маршрутизатор, который отделяет устройства, не будет отправлять широковещательное сообщение, поскольку маршрутизаторы не передают широковещательные сообщения аппаратного уровня. Поэтому адреса не могут быть сопоставлены.
Прокси-сервер ARP включен по умолчанию, поэтому «прокси-маршрутизатор», который находится между локальными сетями, отвечает своим MAC-адресом, как если бы это был маршрутизатор, к которому адресована широковещательная передача. Когда отправляющее устройство получает MAC-адрес прокси-маршрутизатора, он отправляет данные на прокси-маршрутизатор, который по очереди отправляет данные на указанное устройство.
Proxy ARP вызывается следующими условиями:
IP-адрес назначения не находится в той же физической сети (LAN), на которой получен запрос.
Сетевое устройство имеет один или несколько маршрутов к IP-адресу назначения.
Все маршруты к IP-адресу назначения проходят через интерфейсы, отличные от тех, на которых получен запрос.
Когда proxy ARP отключен, устройство отвечает на запросы ARP, полученные на его интерфейсе, только если IP-адрес назначения совпадает с его IP-адресом или если целевой IP-адрес в ARP-запросе имеет статически настроенный псевдоним ARP.
Serial Line Address Resolution Protocol
Serial Line ARP (SLARP) используется для последовательных интерфейсов, которые используют инкапсуляцию High Link Level Link Control (HDLC). В дополнение к TFTP-серверу может потребоваться сервер SLARP, промежуточное (промежуточное) устройство и другое устройство, предоставляющее услугу SLARP. Если интерфейс напрямую не подключен к серверу, промежуточное устройство требуется для пересылки запросов сопоставления адреса на сервер. В противном случае требуется напрямую подключенное устройство с сервисом SLARP.
Параллельно с развитием технологий в сегменте корпоративных сетей повышаются риски компании понести убытки от уязвимостей в безопасности сети. Злоумышленники прибегают к кибер – атакам на сеть предприятия с целью получения и распространения важной коммерческой документации, нанесения урона ИТ – комплексам с целью вывода из строя или нанесении урона по имиджу и репутации компании.
Число зарегистрированных нарушений сетевой безопасность на предприятиях, учебных заведениях и правительственных организациях резко возросло за последние несколько лет. Все чаще советы и даже подробные инструкции по «вторжению» в корпоративную сеть можно найти в свободном доступе в сети интернет, следовательно, специалисты по сетевой безопасности должны анализировать риски и применять определенные методики для предотвращения атак «извне».
Современные угрозы различны: атаки на отказ оборудования DDoS (Distributed Denial of Service), так называемые «черви», «трояны» и программы, предназначенные для похищения важной информации. Эти угрозы могут легко повредить важную информацию, восстановление которой займет много времени.
Рассмотрим подробнее базовые принципы сетевой безопасности, терминологию и решения по безопасности от компании Cisco Systems – Cisco Adaptive Security Appliances (ASA).
Первое, о чем пойдет речь – это «фаервол». «Фаервол» может устанавливаться как на границе сети (защита периметра), так и локально, на рабочих станциях.
Сетевые «фаерволы» обеспечивают безопасность периметра сети. Главная задача такого «фаервола» это запрет или разрешение трафика, который проходит через единую точку входа сети. Правила запрета определяются заранее настроенной конфигурацией оборудования.
Процесс фильтрации трафика включает в себя следующие пункты:
Простая фильтрация пакетов;
Многогранная проверка трафика;
Инспекция пакетов с сохранением состояния;
Трансляция сетевых адресов.
Простая фильтрация пакетов
Цель «простой» фильтрации пакетов заключается в контроле доступа в определенный сегмент сети в зависимости от проходящего трафика. Обычно, инспектирование проходит на четвертом уровне эталонной модели OSI (Open System Interconnection). Например, «фаервол» анализирует Transmission Control Protocol (TCP) или User Datagram Protocol (UDP) пакеты и принимает решение в зависимости от заранее настроенных правил, которые имеют название Access Control Lists (ACLs).
Следующие элементы проходят проверку:
Адрес отправителя;
Адрес получателя;
Порт отправителя;
Порт получателя;
Протокол
Нарушение информационной безопасности влечет прямые финансовые потери компаний
В рамках данного понятия оперирует устройство под названием «прокси-сервер». Прокси-сервер - это устройство, которое выступает посредником от имени клиента защищенной сети. Другими словами, клиенты защищенной сети отправляет запрос на соединение с незащищенной сетью интернет напрямую прокси-серверу [7]. Далее, прокси отправляет запрос в сеть от имени клиента, инициирующего соединение. Большая часть прокси-серверов работает на уровне приложений модели OSI. Фаерволы на базе прокси могут кэшировать (запоминать) информацию, чтобы ускорять работу клиентов. Одно из главных преимуществ прокси-сервера защита от различных WEB атак [10]. Недостаток прокси «фаерволов» - плохая масштабируемость.
Инспекция пакетов с сохранением состояния
Фаерволы по типу Statefull Packet Inspection (SPI) обладает большим функционалом по сравнению с простой фильтрацией пакетов. SPI-фаервол проверяет не только заголовки пакетов, но и информацию на уровне приложений, в рамках поля полезной нагрузки. На фаерволе может быть применено множество правил фильтрации, чтобы разрешать или запрещать трафик в зависимости от содержимого поля полезной нагрузки. SPI отслеживает параметрические данные соединения в течении сессии и записывает их в так называемую «таблицу состояний». В таблице хранится такая информация как время закрытия соединения, время открытия, установления и перезагрузки. Этот механизм предотвращает обширный список атак на корпоративную сеть.
Фаервол может быть сконфигурирован как устройство для разделения некоторых сегментов сети. Такие сегменты называют демилитаризированные зоны, или Demilitarized Zone (DMZ). Подобные зоны обеспечивают безопасность ИТ – комплексам, которые находятся в пределах этих зон, а также, различные уровни безопасности и политики между ними. DMZ могут иметь несколько назначений: например, они могут выступать как сегмент, в котором находится WEB серверная ферма, или как сегмент соединения к «экстранету» партнера по бизнесу.
Выше, изображена сеть, где в DMZ 1 находятся WEB сервера, доступные из сети Интернет, внутренней сети и сети партнера. Cisco ASA, расположенная в центре рисунка, контролирует доступ из сети партнера, ограничивая доступ из DMZ 2 только ресурсам WEB серверов, запрещая доступ к внутренней сети.
В следующих статьях мы расскажем о технологиях трансляции адресов и систем IDS/IPS.