По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Привет, друг! Ты, наверное, слышал аббревиатуру DPI. А как это расшифровывается и что это вообще такое? Это сейчас и узнаем.
Что такое DPI?
Deep Packet Inspection (DPI) - это продвинутый метод проверки и управления сетевым трафиком. DPI представляет собой форму фильтрации пакетов, которая обнаруживает, идентифицирует, классифицирует, перенаправляет или блокирует пакеты с конкретными данными или полезной нагрузкой, которые обычная фильтрация пакетов (которая проверяет только заголовки пакетов) не может обнаружить.
Обычно функции глубокой проверки пакетов работают на уровне приложений (Application) модели OSI, в то время как традиционная фильтрация пакетов только сообщает информацию заголовка каждого пакета. Другими словами, традиционная фильтрация пакетов была похожа на чтение названия книги без осознания или оценки содержимого внутри.
Как работает DPI?
DPI проверяет содержимое пакетов, проходящих через заданную точку, и принимает решения в режиме реального времени на основе правил, назначенных компанией, провайдером или сетевым администратором, в зависимости от того, что содержит пакет. До недавнего времени фаерволы не обладали вычислительной мощностью, необходимой для более глубоких проверок больших объемов трафика в режиме реального времени.
Глубокая проверка пакетов может проверить содержимое сообщений и определить конкретное приложение или службу, из которой оно поступает. Кроме того, фильтры могут быть запрограммированы для поиска и перенаправления сетевого трафика из определенного диапазона адресов Интернет-протокола (IP) или определенной онлайн-службы, например, такой как Facebook.
Как используется DPI?
Глубокая проверка пакетов также может использоваться в управлении сетью для оптимизации потока сетевого трафика. Например, сообщение, помеченное как высокоприоритетное, может быть направлено к месту назначения раньше менее важных или низкоприоритетных сообщений, или пакетов, участвующих в случайном просмотре Интернета. DPI также может использоваться для регулирования передачи данных, чтобы предотвратить злоупотребление p2p, что улучшает производительность сети.
Также DPI используется для предотвращения проникновения в вашу корпоративную сеть червей, шпионских программ и вирусов. Кроме того, DPI также можно использовать для расширения возможностей интернет провайдеров по предотвращению использования IoT-устройств при DDOS-атаках путем блокирования вредоносных запросов от устройств. Глубокая проверка пакетов также может предотвратить некоторые типы атак переполнения буфера.
Наконец, глубокая проверка пакетов может помочь вам предотвратить утечку информации, например, при отправке конфиденциального файла по электронной почте. Вместо того, чтобы успешно отправить файл, пользователь вместо этого получит информацию о том, как получить необходимое разрешение и разрешение на его отправку.
Техники DPI
Два основных типа продуктов используют глубокую проверку пакетов: межсетевые экраны, в которых реализованы такие функции IDS (Intrusion Detection System – система обнаружения вторжений), как проверка содержимого, и системы IDS, которые нацелены на защиту сети, а не только на обнаружение атак. Некоторые из основных методов, используемых для глубокой проверки пакетов, включают в себя:
Сопоставление шаблонов или сигнатур (Pattern or signature matching) - Один из подходов к использованию фаерволов, которые используют функции IDS, анализирует каждый пакет на основе базы данных известных сетевых атак. Недостатком этого подхода является то, что он эффективен только для известных атак, а не для атак, которые еще предстоит обнаружить.
Аномалия протокола (Protocol anomaly) - Другой подход к использованию фаерволов с функциями IDS, аномалия протокола использует подход «запрет по умолчанию», который является ключевым принципом безопасности. В этой технике используются определения протокола (protocol definitions), для того чтобы определить, какой контент должен быть разрешен. Основным преимуществом этого подхода является то, что он обеспечивает защиту от неизвестных атак.
Решения IPS - Некоторые решения IPS (Intrusion Prevention System – система предотвращения вторжений) используют технологии DPI. Эти решения имеют функции, аналогичные встроенным IDS, хотя они могут блокировать обнаруженные атаки в режиме реального времени. Одной из самых больших проблем при использовании этого метода является риск ложных срабатываний, который может быть смягчен до некоторой степени, путем создания консервативной политики.
Существуют некоторые ограничения для этих и других методов DPI, хотя поставщики предлагают решения, направленные на устранение практических и архитектурных проблем различными способами. Кроме того, решения DPI теперь предлагают ряд других дополнительных технологий, таких как VPN, анализ вредоносных программ, антиспам-фильтрация, фильтрация URL-адресов и другие технологии, обеспечивающие более комплексную защиту сети.
Недостатки DPI
Ни одна технология не является идеальной, и DPI не является исключением. У нее есть несколько слабых сторон:
Глубокая проверка пакетов очень эффективна для предотвращения таких атак, как атаки типа «отказ в обслуживании», атаки с переполнением буфера и даже некоторых форм вредоносных программ. Но это также может быть использовано для создания подобных атак.
Глубокая проверка пакетов может сделать ваш текущий фаервол и другое программное обеспечение безопасности, которое вы используете, более сложным в управлении. Вы должны быть уверены, что вы постоянно обновляете и пересматриваете политики глубокой проверки пакетов, чтобы обеспечить постоянную эффективность.
Глубокая проверка пакетов может замедлить работу вашей сети, выделив ресурсы для фаервола, чтобы он мог справиться с нагрузкой обработки.
Помимо проблем конфиденциальности и внутренних ограничений глубокой проверки пакетов, некоторые проблемы возникли из-за использования сертификатов HTTPS и даже VPN с туннелированием. Некоторые фаерволы теперь предлагают проверки HTTPS, которые расшифровывают трафик, защищенный HTTPS, и определяют, разрешено ли пропускать контент.
Тем не менее, глубокая проверка пакетов продолжает оставаться ценной практикой для многих целей, начиная от управления производительностью и заканчивая аналитикой сети, экспертизой и безопасностью предприятия.
Cisco Discovery Protocol (CDP) – разработка компании Cisco Systems, которая позволяет коммутаторам Cisco обнаруживать устройства, подключенные к их интерфейсам. По умолчанию, CDP активирован на Cisco коммутаторах. Так же, CDP активирован по умолчанию на IP - телефонах Cisco. Протокол CDP особенно полезен для VoIP (Voice over IP), так как он позволяет коммутатору обнаружить IP – телефон и установить оптимальные для взаимодействия параметры. Параметры команды show cdp neighbors detail приведены на картинке ниже.
Установление метки VLAN
Коммутатор, к которому подключен IP – телефон, по протоколу CDP устанавливает соединение, которое позволяет телефону отправлять VoIP пакеты в отдельном VLAN (голосовом, то есть только для телефонов). Это позволяет изолировать трафик IP – телефонов от трафика сети Интернет.
Установление параметров CoS
Благодаря протоколу CDP, коммутатор может установить тип устройства и определить метку CoS (Class of Service) для него. Значение по умолчанию это CoS нулевого уровня, а максимальное значение CoS уровня 5.
Подключение компьютера в Cisco IP – телефон
В рамках удобства офисного пространства, существует возможность подключения компьютера пользователя напрямую в PC порт IP – телефона. Сам IP – телефон включается в порт доступа (access port) коммутатора. Сетевой интерфейс компьютера функционирует в специальном VLAN, предназначенном для сети интернет. По умолчанию, все полученные от компьютера пакеты, Cisco IP Phone маркирует меткой CoS 0 - эта опция может быть отдельно настроена в настройках телефона, а так же в конфигурации самого коммутатора. Телефон Cisco взаимодействует с коммутатором по протоколу CDP, чтобы установить параметры доверия (trusting/nontrusting) трафику, получаемому с PC порта телефона:
Если порт маркируется как надежный (trusting), то Cisco IP телефон доверяет меткам приоритета и CoS, которые компьютер устанавливает самостоятельно. Например, если компьютер, подключенный к PC – порту телефонного аппарата присваивает уровень CoS равный трем, а данный порт помечен как надежный, то данная метка будет оставлена без изменений.
Ненадежный (nontrusting) PC – порт телефона, не доверяет меткам компьютера. Другими словами, метки компьютера, подключенного в этот порт, будут игнорироваться. Например, если компьютер отправляет параметр CoS 3, то IP – телефон сбросит это значение на CoS 0, то есть значение по умолчанию.
Мы продолжаем обзор бюджетных решений сегмента SOHO (Small office/home office). Если в Вашем офисе установлен роутер ZyXEL последних поколений, то Вы можете расширить его функционал и сделать из него базовую станцию по стандарту DECT, к которой можно будет подключить 6 телефонных трубок и вести до 4 одновременных разговоров. Интересно? Тогда в статье расскажем, как настроить данный DECT модуль для ZyXEL Keenetic и интегрировать с IP – АТС Asterisk.
/p>
Настройка
Все очень просто – USB модуль для DECT подключается в соответствующий интерфейс роутера, после чего его необходимо перезагрузить. Далее в интерфейсе маршрутизатора появится опция настройки DECT – телефонии. Приступим к настройке. Открываем вкладку DECT – база:
Производим настройки следующих параметров:
Общие настройки
Включить DECT – базу - отметить галочкой
PIN-код регистрации трубок - пин - код, который пользователь будет вводить на трубке при регистрации.
Ожидание начала работы - время ожидания набора номера. Например, абонент нажал кнопку звонка и не ввел номер в течение указанного в данном поле времени. По его истечению он услышит короткие гудки.
Ожидание набора следующей цифры - при наборе номера, абоненту будет дано указанное в данном поле время на ввод одной цифры номера.
Параметры SIP
Имя агента пользователя - имя, которое будет подставляться в user agent в SIP сообщениях
Локальный UDP-порт SIP - порт, на котором роутер будет слушать SIP запросы, отправленные UDP транспортом
Локальный TCP-порт SIP - порт, на котором роутер будет слушать SIP запросы, отправленные TCP транспортом
Локальный TLS-порт SIP - порт, на котором роутер будет слушать SIP запросы, отправленные TLS (шифрование) транспортом
Диапазон портов RTP - UDP порты, на которых ZyXEL будет принимать/отправлять RTP потоки
Сервер STUN - если Ваш сервер IP – АТС находится за NAT от DECT устройства, укажите здесь его внешний адрес. Если внутри, укажите просто IP – адрес Asterisk
Приоритет кодеков - кодеки, которые будет использовать Keenetic. Проверьте, чтобы указанные здесь значения совпадали с кодеками на IP – АТС Asterisk.
Создаем внутренний номер на IP – АТС Asterisk с помощью графического интерфейса FreePBX 13. Переходим во вкладку Applications → Extensions и нажимаем Quick Create Extension. Создаем 101 номер.
С процессом создания внутреннего номера Вы можете более детально ознакомиться в статье по этой ссылке.
После успешного добавления, переходим во вкладку Телефонные линии через интернет на роутере и нажимаем добавить линию:
Включить линию - отметить галочкой
Название линии, SIP ID, Отображаемое имя, Логин - указываем созданный номер. В нашем случае это 101
Пароль - значение из поля secret в FreePBX.
Провайдер - выберите другой из пула доступных провайдеров телефонных услуг
Сервер регистрации SIP, Домен SIP, Прокси - сервер SIP - укажите IP – адрес IP – АТС Asterisk.
Важно: В новых версиях, по умолчанию, драйвер chan_sip функционирует на порту 5160. Если не указать порт, то DECT будет отправлять запросы на дефолтный порт 5060. Вы можете указать нужный IP:ПОРТ через двоеточие.
Остальные параметры можно оставить без изменений. Сохраняем настройки и видим, что наша 101 линия подключена:
Подключите трубку к DECT – базе с помощью пин – кода, который мы указывали в начале настройки. Далее, переходим в раздел DECT - трубки и для доступного производим настройки, через какую линию необходимо принимать и совершать звонки:
Тем самым, в итоге, у нас получится следующая картина:
Готово! Теперь можно принимать и совершать звонки: