По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Межсетевые экраны (Firewall) Концепция межсетевого экрана (МЭ) была введена для того, чтобы обезопасить процесс обмена данными между сетями. Межсетевой экран это программное или аппаратное устройство, которое контролирует поток трафика между различными сетями и может блокировать и пропускать определенные данные по предопределенным правилам безопасности. МЭ используется не только для защиты системы от внешних угроз, но и от внутренних. Надежный МЭ может справиться как с внутренними, так и с внешними угрозами и вредоносным программным обеспечением. Межсетевой экран также позволяет системе остановить пересылку незаконных данных в другую систему. МЭ всегда находится между частной сетью и интернетом, который является публичной сетью, поэтому он фильтрует входящие и исходящие пакеты. Выбор надежного межсетевого экрана имеет решающее значение в создании безопасной инфраструктуры. > Система межсетевого экрана может работать на пяти уровнях эталонной модели OSI. Но большинство работают на четырех уровнях: канальном, сетевом, транспортном и прикладном. Количество слоев, охватываемых брандмауэром, зависит от типа используемого МЭ. Чем больше уровней анализирует МЭ, тем выше безопасность всей системы. При классификации по методам фильтрации основными типами являются: МСЭ для фильтрации пакетов: система изолированно проверяет каждый входящий или выходящий из сети пакет и принимает или отклоняет его на основе определяемых пользователем правил. Пакетная фильтрация достаточно эффективна, но не имеет возможности просмотреть содержание пакета. МСЭ с инспекцией пакетов (SPI) проверяет сеансы между приложениями и ограничивает прохождение пакетов, нарушающих спецификации TCP/IP. МСЭ прикладного уровня проверяет данные внутри пакетов, поступающих от приложений. МСЭ следующего поколения (NGFW) использует многоуровневый подход для интеграции возможностей. Межсетевые экраны для фильтрации пакетов. Когда пакет проходит через МСЭ он сообщает источник пакета, пункт назначения, протокол и номер порта. Пакет отбрасывается, не пересылается к месту назначения если он не соответствует набору правил МСЭ. Например, МСЭ с правилом блокировки доступа Telnet, будет отклонять пакеты TCP к порту 23, через который работает протокол Telnet. МСЭ с фильтрацией пакетов работает в основном на сетевом уровне эталонной модели OSI, а также используется транспортный уровень для получения номера порта. Он проверяет каждый пакет независимо от существующего трафика и не может определять из чего состоит пакет. МСЭ с инспекцией пакетов (SPI) также называемые как МСЭ с динамической пакетной фильтрацией. Такие МСЭ не только проверяют каждый пакет, но и отслеживают, является ли этот пакет частью установленного TCP или другого сетевого сеанса. Это обеспечивает большую безопасность, чем фильтрация пакетов или мониторинг каналов, но оказывает большее влияние на производительность сети. Они контролируют пакеты и соединение по времени и проверяют как входящие, так и исходящие пакеты. Этот тип МСЭ основывается на таблице, которая отслеживает все открытые соединения. При поступлении новых пакетов МСЭ сравнивает информацию в заголовке пакета с таблицей, содержащей список открытых соединений, и определяет, является ли пакет частью установленного соединения. Если это так, то пакет пропускается без дальнейшего анализа. Если же он не соответствует существующему соединению, он оценивается в соответствии с набором правил для новых соединений. МСЭ с инспекцией пакетов достаточно эффективны, но они могут быть уязвимы для атак типа "отказ в обсаживании" (DoS). DoS-атаки работают, используя преимущества установленных соединений, которые данный тип МСЭ определяет безопасными. МСЭ уровня приложений обеспечивает фильтрацию на уровне приложений и объединяет в себе некоторые атрибуты МСЭ с фильтрацией и инспекцией пакетов. Он фильтрует пакеты не только по службе, для которой они предназначены, но и по некоторым другим характеристикам, таким как строка HTTP-запроса. МСЭ уровня приложения могут просматривать пакет, чтобы отличить допустимые запросы от вредоносного кода, замаскированного под допустимый запрос данных. Поскольку этот тип проверяет содержимое пакета, он представляет инженерам безопасности более детальный контроль над сетевым трафиком. Ключевым преимуществом фильтрации на уровне приложений является возможность блокировать конкретно содержимое, например известное вредоносное программное обеспечение или некоторые веб-сайты, а также распознавать, когда определенные приложения и протоколы, такие как протокол передачи гипертекста (HTTP), протокол передачи файлов (FTP) и система доменных имен (DNS) используются не по назначению. Правила МСЭ уровня приложений также могут использоваться для управления выполнением файлов или обработки данных конкретными приложениями. МСЭ следующего поколения (NGFW) сочетает в себе фильтрацию и инспекцию, и некоторые типы глубокой инспекции пакетов, а также другие системы сетевой безопасности, такие как обнаружение, предотвращение вторжений, фильтрация вредоносных программ и антивирусы. Современные сети имеют много точек входа и различных типов пользователей, что требует строгий контроль доступа и безопасность хоста. Эта потребность привела к появлению NGFW. Аутентификация и контроль доступа Аутентификация процесс определения того, является ли кто-то или что-то на самом деле тем, кем оно себя объявляет. Технология аутентификации обеспечивает управление доступом путем проверки соответствия учетных данных пользователя учетным данным в базе данных авторизованных пользователей или же на сервере аутентификации данных. Пользователи обычно идентифицируются с помощью своего кода, и аутентификация выполняется, когда пользователь предоставляет учетные данные, например пароль, который соответствует идентификатору пользователя. Аутентификация имеет важное значение, поскольку она обеспечивает безопасность сетей и систем позволяя только аутентифицированным пользователям получать доступ к защищенным ресурсам, таким как компьютерные сети, базы данных, веб-сайты и другие сетевые приложения. После аутентификации пользователь или процесс подвергается процессу авторизации, чтобы определить, может ли аутентифицированных объект иметь доступ к защищенному ресурсу или системе. Пользователь может быть аутентифицирован, но ему не будет предоставлен доступ к ресурсу, если этому пользователю не было предоставлено разрешение на доступ к нему. Процесс, посредством которого доступ к этим ресурсам ограничивается определенным кругом пользователей, называется контролем доступа. Аутентификация пользователя с помощью имени пользователя и пароля обычно считается самым простым типом аутентификации и заключается в том, что пользователь должен предоставить свой идентификатор пользователя и пароль. Поскольку этот тип аутентификации зависит от одного фактора аутентификации, то он относится к однофакторной аутентификации. Строгая аутентификация это термин, который не бы формально определен, но обычно используется для обозначения того, что используемый тип аутентификации является более надежным и устойчивым к атаке. Это достигается как правило при помощи использования двух различных факторов аутентификации. Фактор аутентификации представляет собой некоторый фрагмент данных или атрибут, который может быть использован для проверки подлинности пользователя, запрашивающего доступ к системе. Выделяется несколько факторов аутентификации: фактор знания, фактор обладания и фактор неотъемлемости. В последние годы были предложены и введены в действие дополнительные факторы, такие как фактор местоположения и фактор времени. В настоящее время используют следующие факторы аутентификации: Фактором знания могут быть любые учетные данные для аутентификации, которые состоят из информации, которой обладает пользователь, включая личный идентификационный номер, имя пользователя, пароль или ответ на секретный вопрос. Фактором обладания могут быть любые учетные данные, основанные на элементах, которыми пользователь может владеть и носить с собой, включая аппаратные устройства, такие как токен безопасности или мобильный телефон, используемый для приема текстового сообщения или запуска приложения аутентификации, которое может генерировать одноразовый пароль. Фактор неотъемлемости основан на некоторой форме биометрической идентификации, включая отпечатки пальцев, распознавание лиц, сканирование сетчатки глаза или любой другой формы биометрических данных. Фактор местоположения используется в качестве дополнения к другим факторам. Местоположение может быть определенно с высокой точностью с помощью устройств, оснащенных GPS, или с меньшей точностью путем проверки сетевых маршрутов. Фактор местоположения обычно не используется сам по себе для аутентификации, но он может дополнить другие факторы, предоставляя средство исключения ложных запросов. Фактор времени, как и фактор местоположения сам по себе недостаточен, но является дополнительным механизмом для выявления злоумышленников, которые пытаются получить доступ к ресурсу в то время, когда этот ресурс недоступен авторизованному пользователю. Добавление факторов аутентификации в процесс проверки подлинности обычно повышает безопасность. Строгая аутентификация обычно относится к аутентификации, которая использует по крайней мере два фактора, имеющих различные типы. Двухфакторная аутентификация обычно зависит от фактора знаний в сочетании с фактором неотъемлемости или фактором владения. Многофакторная аутентификация может включать любой тип аутентификации, который зависит от двух и более факторов, но процесс аутентификации, использующий пароль и два различных типа биометрической аутентификации не будет считаться трехфакторной аутентификацией. Традиционная аутентификация зависит от использования файла паролей, в которых идентификаторы пользователей хранятся вместе с хэшами паролей, связанных с каждым пользователем. При входе в систему предоставленный пароль хешируется и сравнивается со значением в файле паролей. Если два хэша совпадают, пользователь проходит проверку. Этот метод аутентификации имеет недостатки. Злоумышленники, у которых есть доступ к файлу паролей, могут использовать атаку грубой силы на хэш пароля для его извлечения. Также этот подход потребует несколько аутентификаций в приложениях, которые получают доступ к ресурсам в нескольких системах. Системы аутентификации на основе пароля являются более уязвимыми, чем системы, требующие нескольких независимых методов. К наиболее распространенным методам аутентификации относятся: Многофакторная аутентификация (MFA) Метод аутентификации, который требует двух или более независимых способов идентификации пользователя. Добавляет дополнительный уровень защиты к процессу аутентификации. Многофакторная аутентификация требует, чтобы пользователь предоставил второй фактор аутентификации в дополнение к паролю. Такие системы часто требуют от пользователя ввести код подтверждения, полученный с помощью текстового сообщения на предварительно подтвержденном мобильном телефоне, или код, созданный приложением для аутентификации, а также отпечатки пальцев или распознавание лиц. Методы и технологии аутентификации MFA повышают доверие пользователей, добавляя несколько уровней безопасности. MFA служит хорошей защитой от взломов, однако имеет недостатки, такие как потеря телефона или SIM-карты, что в свою очередь ограничит пользователю доступ к своей учетной записи. Проверка подлинности на основе сертификатов Технология проверки подлинности на основе сертификатов позволяет идентифицировать пользователей, компьютеры и другие устройства с помощью цифровых сертификатов. Сертификат содержит цифровой идентификатор пользователя, включая открытый ключ, и цифровую подпись центра сертификации. Пользователи предоставляют свои цифровые сертификаты при входе на сервер. Сервер проверяет достоверность цифровой подписи и центра сертификации. Затем сервер использует криптографические методы, чтобы подтвердить, что пользователь имеет правильный закрытый ключ, связанный с сертификатом. Такими являются, например, SSL-сертификаты (Secure Sockets Layer). Поддержка SSL встроена во все основные браузеры. Биометрическая аутентификация Процесс обеспечения безопасности, который зависит от уникальных биологических характеристик человека. Некоторые системы могу зависеть исключительно от биометрической идентификации. Однако, биометрия обычно используется в качестве второго или третьего фактора аутентификации. Наиболее распространённые типы биометрической аутентификации включают в себя распознавание лиц, сканеры отпечатков, идентификацию голоса и сканеры сетчатки глаз. Аутентификация по ключам доступа Такой способ используется для аутентификации сервисов, приложений или устройств при обращении к веб-сервисам. В методе проверки ключа первому пользователю присваивается уникальное сгенерированное значение, указывающее, что пользователь известен. Затем каждый раз, когда пользователь пытается войти в систему, его уникальный ключ используется для проверки того, является ли он тем же пользователем, что вошел в систему раннее. Использование ключей позволяет избежать использования пароля пользователя сторонними сервисами. Аутентификация по токенам Технологии аутентификации на основе маркеров позволяют пользователям вводить свои учетные данные один раз и получать уникальную зашифрованную строку случайных символов. Затем пользователь может использовать свой токен для доступа к защищенным системам без повторного ввода учетных данных. Такой способ аутентификации чаще всего применяется при построении систем единого входа Single-Sign-On (SSO), в которых один сервис предоставляет функцию аутентификации другому сервису. Примером может послужить ситуация, когда пользователь может войти в приложение через свою учетную запись в социальной сети. Наиболее популярным стандартом данного типа является протокол OAuth, который позволяет выдать одному сервису права на доступ к данным пользователя на другом сервис. OAuth выступает в качестве посредника от имени пользователя, предоставляя сервису токен доступа, который разрешает совместное использование определенных данных. Шифрование данных Шифрование конфиденциальных данных является одним из ключевых способов защиты. Несмотря на комплексную защиту сервиса или системы у злоумышленника есть шанс получить доступ к конфиденциальной информации, так как ни одна система не может являться полностью защищенной от атак и утечек. Шифрование же позволяет сделать украденную информацию бесполезной для злоумышленника, так как в зашифрованном виде данные не несут никакой информации. Чтобы расшифровать информацию злоумышленник должен будет подобрать ключ для расшифровки, однако при определенной длине ключа это будет сделать невозможно. Это делает метод шифрования основой для построения безопасных систем и защиты персональных данных. Шифрование обычно используется для защиты данных при передаче и хранении. При использовании банкоматов или покупок в интернет-магазинах, шифрование используется защиты передаваемой информации. Компании и организации все больше полагаются на шифрование для защиты приложений и конфиденциальной информации, когда происходит утечка данных. Существует три главных компонента системы шифрования: данные, алгоритм шифрования и управление ключами шифрования. В большинстве устройств три этих компонента находятся в одном месте, однако безопаснее хранит и выполнять в разных местах, так как это снизит риск компрометации каждого компонента. Существует множество различных методов шифрования, но не все предоставляют необходимую защиту. Не так давно 64-битное шифрование считалось достаточно надежным, но с совершенствование электронной вычислительной техники и введением 128-битных решений шифрование с такой длиной ключа оказалось небезопасным. Все алгоритмы шифрования можно подлить н две категории: симметричные и ассиметричные. Симметричные шифры используют один ключ для шифрования и расшифрования. Ключ называют общим, так как он хранится и у отправителя, и у получателя. Симметричные шифры считаются более быстрыми по сравнению с ассиметричными. Наиболее часто использующимся алгоритмом шифрования, является алгоритм AES (AdvancedEncryptionStandard), который был разработан для защиты секретной правительственной информации, однако сейчас используется повсеместно. В нашей стране симметричным алгоритмом шифрования является ГОСТ Р 34.12 2015. Ассиметричные шифры используют два различных ключа для шифрования и расшифрования. В основе таких алгоритмом лежит использование больших простых чисел для создания ключа. Алгоритм ассиметричного шифрования RSA (Rivest-Shamir-Adleman) является наиболее распространенным. При его использовании создается пара ключей: открытый и закрытый ключ. Открытый ключ используется при шифровании данных, он известен любому и может передаваться открыто. Зашифрованное же сообщение может быть расшифровано только владельцем закрытого ключа. В настоящее время многие криптографические процессы используют симметричный алгоритм для шифрования, а ассиметричный для безопасной передачи закрытого ключа. Шифрование является эффективным способом защиты конфиденциальной информации, но для этого требуется тщательно хранить и использовать ключи, чтобы гарантировать защищенность информации и доступность, когда она необходима. Доступ к закрытым ключам должен контролироваться и ограничиваться определенным кругом лиц, кому необходимо их использовать. Правильное управление закрытыми ключами на протяжении всего срока их использования, защита их от утечек и неправильного использования каждая организация вырабатывает для себя самостоятельно. Необходимо поводить аудит для выработки эталонной модели управления закрытыми ключами. Программное обеспечение для управления ключами может помочь централизовать этот процесс, а также защитить ключи от несанкционированного доступа, подмены и удаления. Хеш-функции представляют другой тип шифрования. Хеш-функции чрезвычайно полезны и применяются во множестве приложений, обеспечивающих информационную безопасность. Хэширование это преобразование входного значения бит в другое более сжатое значение бит при помощи математических функций. Входные данные различаются по длине, но на выходе имеют одинаковый размер. Данные, преобразованные с помощью хэш-функций при малейшем изменении, могут быть обнаружены, так как это повлечет полное изменение результирующего хэша. Хэш-функции считаются типом одностороннего шифрования, так как для расшифровки необходим другой ключ, не совпадающий с ключом шифрования. Основным применением хэш-функций является хранение паролей и проверка целостности данных. Популярными алгоритмами хэширования являются алгоритмы SHA-2 и SHA-3. Наиболее популярными алгоритмами шифрования являются: Алгоритм DES алгоритм шифрования данных с симметричным ключом. DES работает с использованием одного и того же ключа для шифрования и расшифровки сообщения, поэтому отправитель и получатель знают и используют один и тот же ключ. Основан на конструкции называемой сетью Фейстеля. На данный момент алгоритм DES практически не используется. Он заменен более надежным алгоритмом шифрования AES. Алгоритм AES также является симметричным блочным шифром. Он используется в программном и аппаратном обеспечении по всему миру и пришел на замену алгоритма DES. AES имеет длину блока в 128 бит, размер ключа 128, 192 или 256 бит. Протокол Диффи-Хелмана был разработан в 1978 году и стал первым ассиметричным шифром, при помощи которого можно было обмениваться сообщения по открытому каналу связи, не боясь утечки информации. Алгоритм позволяет двум сторонам договориться через незащищенный канал об общем секретном ключе для шифрования симметричным алгоритмом. Криптография на эллиптических кривых (ECC). Криптосистемы на эллиптических кривых это системы с открытым ключом шифрования, основанные на теории эллиптических кривых, которые используются создания более быстрых и эффективных способов создания ключей. Данный способ может использоваться в сочетании с другими ассиметричными алгоритмами. Менее короткий ключ в такой системе дает тот же уровень защищенности, как и в обычных алгоритмах шифрования с более длинным ключом. На данный момент криптография на эллиптических кривых применяется в протоколах TLS, SSL на которых основывается все современные компьютерные сети и системы. Квантовое распределение ключей. Метод шифрования сообщений с помощью пары запутанных фотонов. Квантовая запутанность позволяет отправителю и получателю узнать, был ли ключ шифрования перехвачен или изменен, еще до того, как он поступает получателю, так как сам акт наблюдения над передаваемой информацией изменяет ее. После того как было определено, что шифрование является безопасным и не было перехвачено, предоставляется разрешение на передачу зашифрованного сообщения. Для любого криптографического шифра основным способом атаки является метод грубой силы, который заключается в переборе ключей пока не будет найден нужный. Длинна ключа определяет количество возможных ключей, из чего и вытекает целесообразность атаки грубой силы. Сложность шифрования напрямую зависит от длинны ключа, чем длиннее требуется ключ, тем требуется ресурсов для выполнения этой задачи. Злоумышленники также могут взломать шифр с помощью криптоанализа. Процесса поиска слабых мест у целевого шифра. В некоторых случаях этот способов требует меньше ресурсов чем атака грубой силы. Вероятность успешной атаки на шифр выше, если у самого алгоритма имеются недостатки. Антивирусная защита Антивирусное программное обеспечения это класс программ, предназначенных для предотвращения и удаления вредоносных файлов и скриптов на отдельных компьютерах, сетях или системах. Антивирусы предотвращают множество угроз, таких как вирусы, троянские кони, черви, рекламное программное обеспечение, ботнеты, вымогатели, шпионские программы и множество других разновидностей угроз. Принцип работы антивируса заключается в фоновом сканировании компьютера, сервера или сети, обнаружении и предотвращении распространения вредоносных файлов. Для полного сканирования системы антивирусное ПО должно обладать повышенными правами для доступа ко всей системе. Этот факт делает антивирусы привлекательной целью для злоумышленников. Антивирусы используют различные способы обнаружения вредоносных программ. Изначально антивирусы обнаруживали вредоносные файлы на основе сигнатур. Сигнатурами являются уникальные последовательности байтов, принадлежащие конкретному вирусу и не существующие в других программах. Сигнатуры используются антивирусом для определения того, что является вирусом, которые в свою очередь были уже обнаружены и проанализированы специалистами. Для эффективного использования антивирусного программного обеспечения, использующего метод сканирования, необходимо постоянно обновлять базы со сведениями о новых вирусах. Так как ежегодно появляется миллионы новых вредоносных программ, современные базы данных с сигнатурами вредоносного ПО могут быть огромных размеров. Это делает антивирусы, основанные на сканировании сигнатур, малоэффективным и непрактичным. Эвристический анализ в антивирусах позволяет определять неизвестные на данный момент вирусы. Он основан на сигнатурах и эвристическом алгоритме. Данный метод позволяет улучшить работу сканеров применять сигнатуры и позволяет обнаруживать модифицированные и измененные версии вредоносного ПО. Обнаружение срабатывает, когда сигнатура вируса частично совпадает с обнаруженным подозрительным ПО, имеющим общие признаки с известным вирусом или модель его поведения. Однако такой метод может генерировать множество ложных совпадений в случаях, когда определенное ПО ведет себя как известный вирус. Антивирусы также используют методы обнаружения изменений, который основывается на слежении за изменением файлов на дисках компьютера. Так как любой вирус изменяет файлы системы каким-либо образом. Данный метод позволяет обнаруживать даже неизвестное на данный момент программное обеспечение. SIEM системы Системы управления информацией и событиями о безопасности обеспечивают в реальном времени анализ событий безопасности, полученных нескольких источников, выявляя отклонения и нормы и дает возможность среагировать до получения существенного ущерба. SIEM система при обнаружении потенциальной угрозы может регистрировать записывать поступающую информацию и давать инструкции другим элементам управления безопасностью для остановки возможной угрозы. SIEM системы работают путем сбора данных о событиях, созданных приложениями, операционными системами и устройствами безопасности, такими как межсетевые экраны и антивирусное программное обеспечение. Системы управления информацией и событиями о безопасности идентифицируют и сортируют данные о событиях безопасности, такие как неудачные входы в систему, вредоносная активность и другие возможные злонамеренные действия. При выявлении потенциальных угроз SIEM система создает предупреждения. Например, учетная запись пользователя, в которую сделали множество неудачных попыток входа в течение короткого времени, может быть определена как подозрительная активность и SIEM система создает предупреждение о попытке атаки грубой силы на учетную запись пользователя. SIEM системы упрощают управление безопасностью компании путем анализа большого количества данных о состоянии системы или сервиса, создаваемых программным обеспечением. Такие системы позволяют обнаруживать инциденты, которые в любой другой ситуации могли остаться незамеченными. Кроме того, благодаря постоянной фиксации и сбору событий из различных источников, SIEM система может воссоздать весь процесс атаки, что позволит компании определять характер атак и слабые места системы. SIEM системы значительно повышают безопасность системы и помогают обнаружить атаки злоумышленников в самом начале.
img
На рынке телефонных станций, компания Cisco Systems представлена двумя основными продуктами: Cisco Unified Communications Manager (CUCM) и Cisco Unified Communications Manager Express (CME). О них сегодня и поговорим. Cisco Unified Communication Manager Cisco Unified Communication Manager – это система процессинга телефонных вызовов на базе ОС Linux. Поддерживает основные стандарты, такие как SIP, H.323, MGCP и проприетарный SCCP. CUCM – решение, которое предназначено для средних и крупных организаций. При кластеризации серверов, один кластер может обрабатывать 30 000 пользователей. В одном кластере может находиться до 20 серверов, причем лишь только 8 из них предназначены непосредственно для обработки телефонной сигнализации. Остальные, это TFTP, MOH (music on hold) сервер, CUC и другие. Среди 8 серверов, обычно выделяют один Publisher, а остальные Subscriber’ы. Основная роль Publisher’a заключается в репликации базы данных на все остальные сервера. CUCM - это программное обеспечение, удобное в администрировании и настройке. Основной WEB GUI проиллюстрирован ниже: Данный интерфейс называется Cisco Unified CM Administration. Всего их 5: Cisco Unified CM Administration Cisco Unified Reporting Disaster Recovery System Cisco Unified Serviceability Cisco Unified OS Administration Cisco UCM может быть развернут как в виртуальной среде, так и на физическом сервере. Интегрируется с другими продуктами компании Cisco, такими как: Cisco Unity Connection (CUC), Cisco Unified Presence (CUP, начиная с 9 версии IM and Presence), Unified Contact Center Express и другие. Так же поддерживается интеграция с решениями других вендоров. Cisco Unified Communication Manager Express (CME) CME отлично подходит для малого и среднего бизнеса, удаленных офисов и небольших площадок. Call Manager Express реализуется на ISR (integrated service router) маршрутизаторах, что обеспечивает консолидацию сервисов телефонии и интернета в одном устройстве. Данная платформа способна поддерживать около 500 телефонных аппаратов. Например, маршрутизатор Cisco 3945E ISR G2 может обеспечить работу 450 телефонов. В CME предусмотрена работа голосовой почты, автосекретаря и других функций, которые реализуются с помощью специальных модулей. Как правило, администрирование CME происходит через CLI (command line interface). Но разработчиками предусмотрено использование аппликации Cisco Configuration Professional (CCP), с помощью которого можно управлять dial – планом, администрировать телефоны, пользователей и многие другие опции. Cisco Call Manager Express поддерживает SRST, что обеспечивает отказоустойчивость в случае падения WAN. При планировании важную роль играет DSP, которая отвечает за транскодирование и преобразование традиционного телефонного трафика в IP. CME может локально хранить данные об именах пользователей. Это позволяет отображать имя звонящего при входящем звонке. Другая удобная опция это Call Forwarding. Она позволяет перенаправлять входящие вызовы на номер, указанный заранее, если получатель звонка занят, или не отвечает. Пример реализации ниже: merion_voice(config)#ephone-dn 15 merion_voice (config-ephone-dn)#call-forward busy 1111 Cisco Call Manager Express поддерживает такие опции как: Call Transfer – перевод вызова. Бывает консультативный (англ. Consult - возможность разговора с адресатом до трансфера вызова) и слепой (англ. Blind – моментальный перевод вызова после набора номера получателя). Call Park – возможность повесить вызов на «холд» на специально выделенном номере, а затем, набрать с любого другого ТА этот номер и продолжить разговор. Call Pickup – возможность ответить на телефонный вызов, который пришел на другой телефонный аппарат. Обычно реализуется в рамках одного отдела. Intercom – позволяет при нажатии одной клавиши отдать распоряжения. Например, интерком может быть настроен на кнопке телефона руководителя, для быстрой связи с секретарем. Paging – тоже самое что и интерком, только в широковещательном формате. Удобно для экстренных оповещений большого количества людей. Таким образом, мы рассказали о двух основных продуктах компании Cisco Systems в области телефонных станций. В следующих статьях мы подробно расскажем о каждой из телефонных станций.
img
В 2012 году Джим Роскинд разработал новый транспортный протокол, основной целью которого было увеличение скорости, с которой данные могут передаваться по относительно стабильным высокоскоростным сетям. В частности: Сокращение трехстороннего рукопожатия до запуска одного пакета (нулевое рукопожатие) Уменьшение количества повторно передаваемых пакетов, необходимых для передачи данных Уменьшение блокировки заголовка между несколькими потоками данных в пределах одного потока TCP, вызванной потерей пакетов Уменьшение рукопожатия при запуске Как правило, значение rtt нельзя изменить, поскольку оно обычно ограничено физическим расстоянием и скоростью соединения между отправителем и получателем. Таким образом, один из лучших способов сократить общее время передачи данных - просто уменьшить количество циклов обмена, необходимых между отправителем и получателем для передачи заданного потока или блока данных. QUIC разработан для сокращения количества циклов приема-передачи, необходимых для установки нового соединения, от трехстороннего подтверждения TCP до процесса запуска с нулевым временем приема-передачи. Для этого QUIC использует серию криптографических ключей и хэшей; процесс состоит из: Клиент отправляет серверу приветствие (CHLO), содержащее требование подтверждения, которое представляет собой список типов сертификатов, которые клиент примет для проверки идентичности сервера; набор сертификатов, к которым у клиента есть доступ; и хэш сертификата, который клиент намеревается использовать в этом соединении. Одно конкретное поле, маркер адреса источника (STK) будет оставлено пустым, потому что раньше с этим сервером не было связи. Сервер будет использовать эту информацию для создания STK на основе информации, предоставленной в первоначальном приветствии клиента и исходном IP-адресе клиента. Сервер отправляет отклонение (REJ), которое содержит этот STK. Как только клиент получает STK, он включает его в будущие пакеты приветствия. Если STK совпадает с ранее использованным STK с этого IP-адреса, сервер примет приветствие. Примечание: Эта пара IP-адрес / STK может быть украдена, и, следовательно, исходный IP-адрес может быть подменен злоумышленником с доступом к любой связи с этой парой. Это известная проблема в QUIC, которая рассматривается в документации QUIC. Для сравнения, TCP требует, как минимум полтора rtts для создания нового сеанса: SYN, SYN-ACK, а затем следующий ACK. Сколько времени экономит при переходе на одно соединение rtt? Конечно, это зависит от реализации клиентского и серверного приложений. Однако многие веб-страницы и приложения для мобильных устройств должны подключаться к множеству разных серверов (возможно, к сотням) для создания единой веб-страницы. Если каждое из этих подключений уменьшить с полутора до одного RTT, это может значительно снизить производительность. Сокращение повторных передач QUIC использует ряд различных механизмов для уменьшения количества повторно передаваемых пакетов: Включая Forward Error Correction (FEC) во все пакеты; это позволяет получателю (часто) восстанавливать поврежденную информацию, а не запрашивать ее повторно. Использование отрицательных подтверждений (NACK) вместо SACK или механизма тройного ACK для запроса повторной передачи определенных порядковых номеров; это предотвращает неоднозначность между запросом на повторную передачу и условиями сети, которые вызывают отправку нескольких подтверждений. Использование быстрых подтверждений, как описано ранее для TCP. Использование управления окном предотвращения перегрузки CUBIC. Механизм предотвращения перегрузки CUBIC - самый интересный из них. CUBIC пытается выполнить двоичный поиск между последним размером окна перед отбрасыванием пакета и некоторым меньшим размером окна, рассчитанным с использованием множительного коэффициента. Когда обнаруживается потеря пакета (либо через тайм-аут RTO, либо через NACK), максимальный размер окна (WMAX) устанавливается равным текущему размеру окна, и вычисляется новый минимальный размер окна (WMIN). Окно отправителя устанавливается на WMIN, а затем быстро увеличивается до размера окна посередине между WMIN и WMAX. Как только окно достигает этой средней точки, размер окна очень медленно увеличивается при так называемом зондировании, пока не встретится следующий сброс пакета. Этот процесс позволяет CUBIC находить максимальную скорость передачи чуть ниже точки, в которой сеть начинает довольно быстро отбрасывать пакеты. Исключение блокировки начала строки "Единая транзакция" в Интернете часто является не "отдельной транзакцией", а скорее большим набором транзакций на нескольких разных серверах. Например, чтобы создать единую веб-страницу, сотни элементов, таких как изображения, скрипты, элементы каскадной таблицы стилей (CSS) и файлы языка гипертекстовой разметки (HTML), должны быть переданы с сервера на клиент. Эти файлы можно передавать двумя способами: последовательно или параллельно. Рисунок 1 иллюстрирует это. На рисунке 1 показаны три варианта передачи нескольких элементов от сервера к клиенту: В serialized варианте элементы передаются по одному в течение одного сеанса. Это самый медленный из трех возможных вариантов, так как вся страница должна быть построена поэлементно, при этом меньшие элементы ждут передачи больших, прежде чем их можно будет отобразить. В варианте с несколькими потоками (multiple streams) каждый элемент передается через отдельное соединение (например, сеанс TCP). Это намного быстрее, но требует создания нескольких подключений, что может негативно повлиять на ресурсы клиента и сервера. В мультиплексном (multiplexed) варианте каждый элемент передается отдельно через одно соединение. Это позволяет передавать каждый элемент с его собственной скоростью, но с дополнительными расходами ресурсов из-за опции нескольких потоков. Некоторые формы механизма мультиплексной передачи имеют тенденцию обеспечивать максимальную скорость передачи при наиболее эффективном использовании ресурсов, но как это мультиплексирование должно быть реализовано? Протокол передачи гипертекста версии 2 (HTTPv2) позволяет веб-серверу мультиплексировать несколько элементов в одном сеансе HTTP; поскольку HTTP работает поверх TCP, это означает, что один поток TCP может использоваться для параллельной передачи нескольких элементов веб-страницы. Однако один отброшенный пакет на уровне TCP означает, что каждая параллельная передача в потоке HTTP должна быть приостановлена на время восстановления TCP. QUICK решает эту проблему, позволяя нескольким потокам HTTP v2 находиться в одном быстром соединении. Это уменьшает транспортные издержки на клиенте и сервере, обеспечивая при этом оптимальную доставку элементов веб - страницы. Обнаружение MTU пути Одним из основных вопросов спора между асинхронным режимом передачи (ATM) и интернет-протоколом (IP) был фиксированный размер ячейки. В то время как IP-сети полагаются на пакеты переменной длины, ATM, чтобы обеспечить более высокую скорость коммутации и улучшить взаимодействие с множеством различных физических уровней Time Division Multiplexing (TDM), задал ячейки фиксированной длины. В частности, IPv4 обеспечивает не только пакет переменной длины, но и фрагментацию в процессе передачи. Рисунок 2 иллюстрирует это. На рис. 2 показано, что если A посылает пакет в направлении E, то какого размера он должен быть? Единственный канал, о котором действительно знает А, - это канал между собой и В, которое помечено как имеющее максимальный размер блока передачи 1500 октетов (Maximum Transmission Unit- MTU). Однако если A отправляет пакет длиной 1500 октетов, то этот пакет не сможет пройти через канал [C,D]. Есть два способа решить эту проблему. Первый заключается в том, что C фрагментирует пакет на два меньших пакета. Это возможно в IPv4; C может определить, что пакет не поместится на следующем канале, по которому пакет должен быть передан, и разбить пакет на два меньших пакета. Конечно, с этим решением есть ряд проблем. Например, процесс фрагментации пакета требует гораздо больше работы со стороны C, возможно, даже перемещение пакета из аппаратного пути коммутации в программный путь коммутации. Во-вторых, A никогда не отправляет пакет, превышающий минимальный MTU, по всему пути к E. Для этого A должен определить минимальный MTU на пути, и он должен иметь возможность фрагментировать информацию, отправляемую из протоколов верхнего уровня на несколько пакетов перед передачей. IPv6 выбирает этот последний вариант, полагаясь на обнаружение Path MTU (PMTU), чтобы найти минимальный MTU на пути (при условии, что PMTU действительно работает), и позволяя процессу IPv6 в A фрагментировать информацию из протоколов верхнего уровня на несколько пакетов, которые затем повторно собираются в исходный блок данных верхнего уровня в приемнике. Это решение, однако, также является проблемным. В недавней работе с системой доменных имен (DNS) исследователи обнаружили, что около 37% всех DNS- resolvers отбрасывают фрагментированные пакеты IPv6. Почему это происходит? Самый простой способ понять это-рассмотреть структуру фрагментированного пакета, а также природу DoS и DDoS атак. При передаче пакета, в пакет помещается заголовок, указывающий принимающую услугу (номер сокета или протокола какого-либо рода), а также информацию о передаваемой услуге. Эта информация важна для фильтрации пакета на основе различных политик безопасности, особенно если политика безопасности гласит: "разрешать только пакеты инициации сеанса в сеть, если пакет не принадлежит существующему сеансу." Другими словами, типичный фильтр с отслеживанием состояния, защищающий сервер, будет иметь некоторые основные правила, которым он следует: Если пакет инициирует новый сеанс, пересылайте его и создайте новую запись сеанса. Если пакет является частью существующего сеанса, перенаправьте его и сбросьте таймер сеанса. Если пакет не является частью существующего сеанса, отбросьте его. Время от времени очищайте старые сеансы. Возможно подделать пакет, похожий на настоящий, но это очень сложно, т.к. используются различные nonce и другие методы, чтобы препятствовать подобному поведению. Но фрагментация пакета удаляет заголовок из второй половины пакета, что фактически означает, что второй пакет во фрагментированной паре может быть присоединен только к определенному сеансу или потоку, отслеживая часть пакета, которая имеет полный заголовок. Как маршрутизатор или middlebox могут выполнить это? Он должен каким-то образом хранить копию каждого фрагмента пакета с заголовком где-нибудь в памяти, чтобы на пакет с заголовком можно было ссылаться для обработки любых будущих фрагментов. Как долго он должен хранить эти фрагменты с заголовками? На это нет ответа. Проще просто отбросить любые фрагменты, чем поддерживать состояние, необходимое для их обработки. Каков результат? Похоже, что даже фрагментация на основе исходного кода не очень полезна на уровне IP. Это должно напомнить об одном из основополагающих принципов пакета Интернет-протоколов: end-to-end принципе. End-to-end принцип гласит, что сеть не должна изменять трафик, передаваемый между двумя оконечными устройствами; или, скорее, сеть должна работать как черный ящик, соединяющий два устройства, никогда не изменяя данные, полученные от конечного хоста. Означает ли это, что вся фильтрация трафика должна быть запрещена в общедоступном Интернете, всерьез навязывая end-to-end правило, оставляя всю безопасность конечным хостам? Это представляет собой первоначальное обсуждения фильтрации пакетов в IPv6 с отслеживанием состояния. Однако это менее реалистичный вариант; более сильная защита - это не один идеальный файрволл, а скорее серия неидеальных файрволлов. Другая альтернатива - принять еще одну частичку реальности, о которой часто забывают в мире сетевой инженерии: утечка абстракций. Сквозной принцип описывает идеально абстрактную систему, способную передавать трафик от одного хоста к другому, и совершенно абстрагированный набор хостов, между которыми переносится трафик. Но утекают все нетривиальные абстракции; проблема MTU и фрагментации - это просто утечка состояния из сети в хост, а система на хосте пытается абстрагировать эту утечку в приложение, отправляющее трафик по сети. В такой ситуации лучше всего просто признать утечку и официально отправить информацию в стек, чтобы приложение могло лучше принять решение о том, как отправлять трафик. Другая альтернатива-принять еще одну частицу реальности, часто забываемую в мире сетевой инженерии: утечку абстракций. Сквозной принцип описывает идеально абстрагированную систему, способную передавать трафик от одного хоста к другому, и идеально абстрагированный набор хостов, между которыми осуществляется трафик. Но все нетривиальные абстракции протекают; проблема MTU и фрагментации-это просто утечка состояния из сети в хост, и система на хосте пытается абстрагировать эту утечку в приложение, отправляющее трафик по сети. В такой ситуации, возможно, лучше всего просто признать утечку и официально продвинуть информацию вверх по стеку, чтобы приложение могло принять лучшее решение о том, как отправлять трафик. Но это приводит к еще одному интересному вопросу для размышления: является ли описанная здесь фильтрация состояний предательством end-to-end принципа? Ответ зависит от того, считаете ли вы протокол верхнего уровня, отправляющий данные, конечной точкой, или систему, на которой работает приложение (следовательно, включая сам стек IP), конечной точкой. Так или иначе, эта двусмысленность преследовала Интернет с самых ранних дней, хотя мир сетевой инженерии не всегда серьезно задумывался о разнице между этими двумя точками зрения. ICMP Хотя транспортные протоколы, такие как TCP и QUIC, обычно привлекают наибольшее внимание среди протоколов среднего уровня, существует ряд других протоколов, которые не менее важны для работы сети на основе IP. Среди них - протокол ICMP, который, можно сказать, предоставляет метаданные о самой сети. ICMP - это простой протокол, который используется для запроса информации о конкретном состоянии или для отправки сетевыми устройствами информации о том, почему определенный пакет отбрасывается в какой-либо точке сети. В частности: ICMP может использоваться для отправки эхо-запроса или эхо-ответа. Эта функция используется для проверки связи с конкретным адресом назначения, который можно использовать для определения доступности адреса без использования слишком большого количества ресурсов на приемнике. ICMP можно использовать для отправки уведомления об отброшенном пакете из-за того, что он слишком велик для передачи по каналу (слишком большой пакет). ICMP может использоваться для отправки уведомления о том, что пакет был отброшен, поскольку его время жизни (TTL) достигло 0 (срок действия пакета истек при передаче). Ответ на слишком большой пакет можно использовать для определения максимального размера передаваемого блока (MTU) в сети; отправитель может передать большой пакет и дождаться, чтобы увидеть, не отправит ли какое-либо устройство в сети уведомление о слишком большом пакете через ICMP. Если такое уведомление приходит, отправитель может попробовать постепенно уменьшать пакеты, чтобы определить самый большой пакет, который может быть передан из конца в конец по сети. Ответ с истекшим транзитом может использоваться для отслеживания маршрута от источника до пункта назначения в сети (это называется трассировкой маршрута). Отправитель может передать пакет в конкретное место назначения, используя любой протокол транспортного уровня (включая TCP, UDP или QUIC), но с TTL равным 1. Сетевое устройство первого перехода должно уменьшить TTL и отправить обратно ICMP-сообщение с истекшим сроком действия в транзитном уведомлении отправителю. Отправляя серию пакетов, каждый с TTL на один больше, чем предыдущий, каждое устройство на пути может быть вынуждено передать отправителю сообщение ICMP с истекшим сроком действия в транзитном уведомлении, открывая весь путь пакета.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59