По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Почитайте предыдущую статью про безопасность передачи данных.
Некоторые из самых ранних криптографических систем включали обертывание бумагой цилиндра определенного размера. Цилиндр должен был каким-то образом переноситься между двумя участниками зашифрованной связи, чтобы противник не захватил его. В более поздние годы блоки ключей физически переносились между двумя конечными точками зашифрованной системы. Некоторые из них были организованы таким образом, чтобы определенная страница использовалась в течение определенного периода времени, а затем вырывалась и уничтожалась, заменена новой страницей на следующий день. Другие были разработаны таким образом, чтобы каждая страница в блокноте использовалась для шифрования одного сообщения, после чего страница вырывалась и заменялась одноразовым блокнотом.
Концепция одноразового блокнота была перенесена в современный мир с системами аутентификации, которые позволяют пользователю создавать код, который используется один раз, а затем отбрасывается, чтобы быть замененным новым кодом в следующий раз, когда пользователь попытается аутентифицироваться. Любая система, использующая код, который используется один раз, по-прежнему называется одноразовым блокнотом (one-time pad).
В современном мире есть другие способы обмена криптографическим материалом, будь то использование общего секретного ключа или получение закрытого ключа.
Во многих случаях в криптографии легче объяснить, как что-то работает, на тривиальных примерах. В следующих пояснениях Фаина и Дима будут двумя пользователями, которые пытаются обмениваться защищенной информацией, причем Фаина является инициатором и отправителем, а Дима - получателем.
Обмен публичными ключами
Фаина хотела бы отправить сообщение Диме таким образом, чтобы его мог прочитать только Дима. Для этого ей нужен открытый ключ Димы (помните, что у нее не должно быть доступа к закрытому ключу Димы). Где она может получить эту информацию? Она могла:
Спросить об этом у Димы напрямую. Это может показаться простым, но в реальной жизни это может быть очень сложно. Как, например, она может быть уверена, что действительно общается с Димой?
Найти открытый ключ Димы в открытой базе данных ключей (на сервере ключей). Опять же, это кажется простым, но как она узнает, что нашла нужный ключ или кто-то не разместил ложный ключ для Димы на этом конкретном сервере?
Эти две проблемы можно решить с помощью какой-то системы репутации. Например, в случае открытого ключа Дима может попросить нескольких своих друзей, которые хорошо его знают, подписать его открытый ключ, используя свои закрытые ключи. Их подпись на его открытом ключе, по сути, гласит: "Я знаю Дмитрия, и я знаю, что это его открытый ключ". Фаина может изучить этот список друзей, чтобы определить, кому из них она может доверять. Основываясь на этом исследовании, Фаина может определить, что она либо верит, что этот конкретный ключ является ключом Димы, либо нет.
В этой ситуации Фаина сама решает, сколько и какого рода доказательств она примет. Должна ли она, например, признать, что ключ, который у нее есть, на самом деле принадлежит Диме, потому что:
Она напрямую знает одного из друзей Димы и верит, что этот третий человек скажет ей правду.
Она знает кого-то, кто знает одного из друзей Димы, и доверяет своему другу, чтобы он рассказал ей правду о друге Димы, и, следовательно, доверяет другу Димы рассказать правду о Диме и его ключе.
Она знает нескольких человек, которые знают нескольких друзей Димы, и принимает решение доверять этому ключу Димы, основываясь на свидетельствах нескольких человек.
Такая система называется паутиной доверия. Общая идея заключается в том, что доверие имеет разные уровни транзитивности. Концепция транзитивного доверия несколько противоречива, но идея, лежащая в основе сети доверия, заключается в том, что, если вы получаете достаточно доказательств, вы можете создать доверие в паре человек/ключ. Примером такого рода паутины доверия является система Pretty Good Privacy, где люди встречаются на конференциях, чтобы перекрестно подписывать ключи друг друга, создавая паутину транзитивных доверительных отношений, на которые можно положиться, когда их общение переходит в сферу только электронных.
Другой вариант - владелец сервера ключей может каким-то образом провести расследование в отношении Дмитрия и определить, действительно ли он тот, кем он себя выдает, и действительно ли это его ключ. Самый яркий пример такого решения в "реальном мире" - это нотариус. Если вы подписываете документ перед нотариусом, он проверяет наличие какой-либо формы удостоверения личности (подтверждающей, кто вы), а затем наблюдает, как вы физически подписываете документ (проверяя ваш ключ).
Этот вид проверки называется центральным источником доверия (или аналогичным - хотя в нем почти всегда есть слово "централизованный") или инфраструктурой открытого ключа (Public Key Infrastructure -PKI). Решение зависит от доверия Фаины процессу и честности централизованного хранилища ключей.
Обмен закрытыми ключами
Учитывая, что криптография с симметричным ключом обрабатывается намного быстрее, чем криптография с открытым ключом, в идеале вы хотели бы зашифровать любые давно существующие или большие потоки с использованием симметричного общего секретного ключа. Но, если не считать физического обмена ключами, как можно обмениваться одним закрытым ключом между двумя устройствами, подключенными по сети? Рисунок 1 демонстрирует это.
На рисунке выше:
Предположим, А начинает процесс. A зашифрует одноразовый номер, случайное число, которое используется один раз в процессе, а затем выбрасывается (по сути, одноразовый номер представляет собой форму одноразового блокнота), используя открытый ключ B. Поскольку одноразовый номер был зашифрован с помощью открытого ключа B, теоретически только B может расшифровать одноразовый номер, поскольку только B должен знать закрытый ключ B.
B, после расшифровки одноразового номера, теперь отправит новый одноразовый номер в A. Он может включать исходный одноразовый номер A или исходный одноразовый номер A плюс некоторая другая информация. Дело в том, что A должен точно знать, что исходное сообщение, включая одноразовый номер A, было получено B, а не какой-либо другой системой, действующей как B. Это обеспечивается B, включая некоторую часть информации, которая была зашифрована с использованием его открытого ключа, поскольку B - единственная система, которая могла его расшифровать.
A и B, используя одноразовые номера и другую информацию, обмениваемую до этого момента, вычисляют закрытый ключ, который затем используется для шифрования / расшифровки информации, передаваемой между двумя системами.
Описанные здесь шаги несколько наивны. Есть лучшие и более безопасные системы, такие как протокол Internet Key Exchange (IKE).
Примечание: в статье рассматривается управление уже установленным и настроенным оборудованием. Мне на работе достались два работающих SDH мультиплексора Huawei уровня STM-4 (622 Мбит/c). Система мониторинга и управления уже была настроена, и я осваивал ее "как есть".
Краткое описание ПО для конфигурирования
Для работы с оборудованием на рабочей станции, подключенной к интерфейсу управления мультиплексором, я запускаю две программы IManager T2000LCT-Server и IManager T2000LCT-Client, в которой и произвожу работы по конфигурированию. Для запуска ПО требуется данные о логине и пароле.
При запуске клиента отображается окно, в котором приведен список всех сконфигурированных мультиплексоров, их наименования, состояние подключения к ним и уровень текущих аварий.
На приведенном скриншоте оборудование, к которому непосредственно подключен ПК управления, имеет значение в столбце Gateway GNE, а мультиплексор, доступ к которому настроен через канал связи в тракте STM (то есть тот, который территориально расположен в другом месте и доступен удаленно), имеет значение Gateway Non-GNE.
В столбце Login отображается статус "Not Login", а в столбце Communication состояние "Communication Interruption". Это означает, что оператор не авторизован в оборудовании, так как с ним нет. В таком состоянии можно просматривать конфигурацию, которая была в мультиплексорах во время последнего подключения, но текущие параметры посмотреть не получится, как и внести какие-либо изменения.
Выбрав из списка необходимый мультиплексор, нажимаем внизу кнопку "NE Explorer" и попадаем в интерфейс управления конкретной единицы оборудования. Здесь мы увидим список всех установленных плат и их состояние в окошке слева вверху, а также функции, доступные для выделенной платы, в окошке слева внизу. Если выделить корень дерева оборудования (Рис.3), то получаем список функций, применимый ко всему мультиплексору (функции мультиплексора и его плат не пересекаются).
Общий вид оборудования и наименование установленных плат можно посмотреть непосредственно в интерфейсе управления, нажав на иконку <Slot Layot>:
Типы плат (для мультиплексора Huawei OSN1500):
Модуль вентиляторов FAN
Платы Q1SL4 плата линейного интерфейса STM-4. Сюда подключается оптика, которая соединяет оборудование с другим мультиплексором.
Платы ECXL плата, отвечающая за кросс-коннект (коммутацию)
Платы GSCC плата управления и мониторинга всем мультиплексором
Модули питания PIU
Платы D12S интерфейсная плата 120 ом портов E1 (32 порта)
Плата AUX плата вспомогательных интерфейсов (служебный телефон, порт RS-232)
Плата PQ1 интерфейсная плата портов E1. Позволяет вывести 63 потока E1.
Плата N1EFS4 интерфейсная плата портов Ethernet. На плате 4 порта.
Типы плат (для мультиплексора Huawei Metro 1000):
Плата OI4 Плата линейного интерфейса STM-4 (для соединения с другим мультиплексором)
Плата EFS интерфейсная плата портов Ethernet, содержит 4 порта FE 10/100Mb
Плата SP2D интерфейсная плата портов E1, может вывести 16 потоков
Плата PD2T интерфейсная плата портов E1, выводит 48 потоков
Плата X42 модуль кросс-коннекта
Плата STG модуль синхронизации и генератора синхросигнала
Плата SCC модуль управления и мониторинга всего оборудования
Плата OHP2 модуль обработки заголовков
Подсказка по функционалу платы отображается внизу окошка общего вида оборудования (показано выше) при выделении какой-либо платы.
Конфигурирование потоков E1
Для того, чтобы прописать в оборудовании новый поток уровня E1, откроем один из мультиплексоров, выделим корень дерева оборудования, в дереве функций откроем пункт "Configuration" и в раскрывшемся списке "SDH Service Configuration" (Рис.6)
В открывшемся окне отображается список существующих соединений (кросс-коннекты), а также кнопки с возможными действиями в этом окне.
Описание столбцов списка кросс-коннектов:
Level уровень кросс-коннекта. Здесь мы можем указать тип виртуального контейнера и, соответственно, пропускную способность, которую выделено под данное соединение (а точнее, кратность пропускной способности). То есть, если выбран уровень VC12, то скорость будет кратна 2 Мбит/с. Если выбрать VC4, то скорость будет кратна 155 Мбит/с (это контейнер уровня STM-1, то есть мы займем целиком 1 STM-1 из 4-трактов STM-4.
Type тип соединения, обозначен графическим символом, указывающим, что данное соединения является вводом-выводом (например, вывод на интерфейс E1) или проходным (например, с платы линейного интерфейса на плату интерфейсов Ethernet).
Source Slot слот и плата источника кросс-коннекта.
Source Timeslot/Path таймслот (порт) источника.
Sink Slot - слот и плата точки назначения кросс-коннекта.
Sink Timeslot/Path - таймслот (порт) точки назначения.
Activation Status статус активации соединения. При создании соединения, оно может быть активировано сразу или позже, после завершения работ по подключению, чтобы избежать появления ложных аварий в системе мониторинга. Так же соединение можно активировать/деактивировать по необходимости в данном окне с помощью соответствующих кнопок.
Для создания нового соединения нажмем кнопку <Create> и увидим следующее окно, в котором задаются все вышеперечисленные параметры:
В появившемся окошке указываем:
Level VC12
Direction (направление) оставляем Bidirectional (то есть, двунаправленное соединение)
Source Slot плату-источник. Выбираем плату линейного интерфейса, который соединен с мультиплексором на другой стороне
Source VC4 выбираем один из 4-х контейнеров VC4 в тракте STM-4.
Source Timeslot Range диапазон таймслотов источника. Здесь оборудование позволяет выбрать несколько тайм-слотов. Это удобно в случае, если нам необходимо создать одновременно несколько соединений между одними и теми же точками. Например, нам необходимо прокинуть 4 потока E1 между данными мультиплексорами. В таком случае, мы зададим 4 таймслота при создании соединения в каждом мультиплексоре.
Таким же образом задаются слот (плата) и таймслоты и пункта назначения.
В некоторых случаях, для задания путей источника и назначения удобнее будет воспользоваться графическим типом задания параметров. Для этого в полях Source Slot или Sink Slot нажимаем на кнопку с многоточием (Рис.8):
В открывшемся окошке мы наглядно можем выбрать плату (2), порт на плате (3), контейнер верхнего уровня в нашем случае, один из четырех VC4 (4) и ниже один или несколько виртуальных контейнеров нижнего уровня VC12. Неактивная кнопка виртуального контейнера означает, что он уже занят.
После выбора и закрытия данного окошка, возвращаемся в окно "Create SDH Service", которое мы открыли для создания нового кросс-коннекта.
Осталось задать параметр Activate Immediately. При выборе Yes соединение должно быть сразу активным, иначе его нужно активировать вручную. Следует отметить, что иногда данная настройка не применяется, поэтому, после создания соединения, рекомендуется проверить значение поля Activation Status и нажать кнопку Activate в окне списка соединений.
После нажатия кнопки ОК наше соединение создано в одном из мультиплексоров. Далее, нам необходимо зайти в оборудование на другом конце линейного тракта (оптического кабеля), и создать такое же соединение, указав в пути источника те же VC4 и VC12, что и на этой стороне.
Некоторые настройки портов E1
В главном окне программы управления (верхнее левое окошко), если в дереве оборудования выбрать какую-то плату, то в дереве функций мы получаем доступ к настройкам самой платы. Например, выберем интерфейсную плату портов E1 и откроем ее свойства:
Данное окно позволяет изменять некоторые свойства портов. В частности, в поле "Port Name" можно указать произвольное название для порта. Это никак не влияет на работу самого порта, однако улучшает читаемость событий и аварий, которые выдает порт в общем списке событий.
Еще одним важным параметром, который облегчает работу при организации или тестировании потоков E1, является "Tributary Loopback". Двойной щелчок в этом поле открывает варианты постановки петли или "заворота" на порту: "Inloop" и "Outloop" - один из которых заворот во внутрь, а другой заворот в сторону подключенного внешнего оборудования.
Конфигурирование портов Ethernet
Пропуск портов Ethernet выполняется в несколько этапов.
Выполняем кросс-коннект тайм-слотов с платы линейных интерфейсов (Q1SL4) на плату интерфейсов Ethernet (N1EFS4).
Выполняем кросс-коннект занятых в предыдущем пункте тайм-слотов в внутренний интерфейс VCTRUNK# платы N1EFS4 (всего на плате 12 VCTRUNK)
Прописываем на плате N1EFS4 VLAN’ы от VCTRUNK# до физического порта (на плате 4 физических порта)
Первый пункт действий выполняется аналогично настройке портов E1, порядок приведен выше.
Кросс-коннект виртуальных контейнеров на внутренние интерфейсы платы N1EFS4
В настройках платы N1EFS4 открываем раздел Configuration Ethernet Interface Management Ethernet Interface. В открывшемся окне выбираем Internal port и вкладку Bound Path, здесь нажимаем кнопку Configuration.
В появившемся окне выбираем один из внутренних интерфейсов VCTRUNK, и виртуальные контейнеры, которые будут в него включаться:
Нажимаем Ок, и сконфигурированный интерфейс появляется в нашем списке. В графе "Bound Paths" мы видим задействованные виртуальные контейнеры, а в графе "Number of Bound Paths" - их общее количество.
На вкладке "TAG Attribute" списка внутренних интерфейсов настраивается режим порта:
Access не тегированный порт
Tag Aware тегированный порт
Hybrid гибридный порт
Теперь осталось соединить внутренний порт VCTRUNK# с одним из четырех внешних физических портов, прокинув VLAN между этими портами.
Прописываем на плате N1EFS4 VLAN’ы от VCTRUNK# до физического порта
В настройках платы N1EFS4 открываем раздел Configuration Ethernet Service Ethernet Line Service. В открывшемся окне нажимаем кнопку New.
В открывшемся окне указываем порт источник VCTRUNK# и порт назначения например, PORT1. А также укажем VLAN-источник и VLAN назначения (автоматически выставляется один и тот же)
В этом же окошке, в разделе Port Attributes есть возможность выбрать режимы для обоих портов (тегированный, не тегированный, гибридный).
Следует отметить, что система не будет следить за корректностью режимов и соответствием количества тайм-слотов в соединениях цепочки, как на коммутаторах передачи данных, так что за этим следует следить оператору.
Так же в данном окне доступно меню конфигурирования внутренних интерфейсов платы N1EFS4, которое описано в предыдущем подразделе.
На этом конфигурирование портов Ethernet на мультиплексоре Huawei OSN1500/Metro1000 окончено. Следует еще раз заметить, что на противоположной стороне (на другом мультиплексоре) настройки кросс-коннекта должны быть аналогичны.
Ранее мы уже рассказывали про регулировку громкости в Asterisk. Этот метод рабочий, но весьма статичен. Поэтому в голову пришла интересная мысль.
Представьте, вы совершаете звонок. И, неожиданно, ваш собеседник начинает "кричать" в трубку. Пусть кричит – наши нервы прошли и не такое, но дело в том, что громкость звонка задана жёстко в кастомном диалплане. Поэтому, ощущения от крика буду особенно острыми :)
А теперь, вообразите, что у вас есть возможность сделать собеседника "тише" кнопками телефонного аппарата. А потом, когда он успокоится, сделать снова громче. Интересно? Поехали.
Подготовка
Откроем FreePBX. Открыв модуль сервисных кодов (feature codes), мы обнаружим, что в нем можно только изменить существующие коды, но добавить новые нельзя.
Решение указанной в начале статьи задачи будет базироваться на встроенных функциях Asterisk. То есть мы не будем добавлять кастомный контекст.
Настройка
Открываем файл /etc/asterisk/globals_custom.conf. Этот файл позволяет переписать или добавить глобальные переменные, используемые Asterisk (как стандартные, так и ваши личные).
Если данного файла нет, то его нужно создать. Например, вот так:
touch /etc/asterisk/globals_custom.conf
chown asterisk:asterisk /etc/asterisk/globals_custom.conf
chmod 775 /etc/asterisk/globals_custom.conf
В файл добавляем следующую конструкцию:
DYNAMIC_FEATURES=VUp#VDown#MUp#MDown
Vol=0
Mic=0
Мы задали специальные функции, которые понадобятся нам далее. Сейчас будем закреплять комбинации цифр за кодами. Для этого открываем файл etc/asterisk/features_applicationmap_custom.conf и запишем в него следующее:
VUp => 52*,self,Macro,VolumeUp
VDown => 58*,self,Macro,VolumeDown
MUp => 54*,self,Macro,MicUp
MDown => 56*,self,Macro,MicDown
Мы закрепили за кодами выполнение макроса громкости, который мы напишем далее. Не пугайтесь - "странные" комбинации выбраны по причине того, что их просто запомнить, так как на клавиатуре телефона, это так называемый "крест", наподобие джойстика ;)
Go ahead. Приступаем к самим макросам. Для этого открываем файл /etc/asterisk/extensions_custom.conf и добавляе:
[from-internal-custom]
Set(__DYNAMIC_FEATURES=VUp#VDown#MUp#MDown)
Таким образом, мы подключаем добавленные коды в диалплан Asterisk, который генерирует FreePBX.
Не спешите закрывать файл extensions_custom.conf. В него же добавляем механизм увеличения громкости. То есть, макросы о которых мы писали ранее:
[macro-VolumeUp]
exten => s,1,Set(Vol=$[${Vol}+5])
same => n,Set(VOLUME(TX)=${Vol})
[macro-VolumeDown]
exten => s,1,Set(Vol=$[${Vol}-5])
same => n,Set(VOLUME(TX)=${Vol})
[macro-MUp]
exten => s,1,Set(Mic=$[${Mic}+5])
same => n,Set(VOLUME(RX)=${Mic})
[macro-MDown]
exten => s,1,Set(Mic=$[${Mic}-5])
same => n,Set(VOLUME(RX)=${Mic})
Можно выдохнуть. На этом правки закончены. Как вы могли заметить, почему-то "громкостей" несколько. Все достаточно просто. Это 2 макроса на увеличение и уменьшение громкости канала звука и, соответственно, канала микрофона.
Что нам все эти коды дают (по сравнению с жестко прописанными числами)? В любой момент разговора, если вы плохо (тихо) слышите собеседника, нужно набрать на телефоне 52* и громкость увеличится, так можно делать несколько раз пока уровень громкости собеседника не станет приемлемым. Это работает и наоборот: 58* и собеседник становится "тише".
Удобно, правда? :) Из плюсов - не надо прерывать звонок. Нет жёсткого ограничения громкости. Если разговор затягивается на длительное время, можно выставить комфортную слышимость.
Ну а второй макрос, спросите вы? Представьте: что делать, если собеседник жалуется, что вас тихо слышно? Нет проблем. Набираем 54* и собеседник начинает нас лучше слышать, то есть, мы увеличиваем громкость канала нашего микрофона!