По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Устройства третьего уровня модели OSI обеспечивают так называемую трансляцию сетевых адресов, или Network Address Translation (NAT). Устройства третьего уровня, как правило, маршрутизаторы, фаерволы или коммутаторы с функциями L3, преобразуют внутренние IP-адреса во внешние, которые маршрутизируются в сети интернет. В рамках преобразования IP-адреса, фаервол сохраняет внутренний адрес себе в память, затем подменяет его на адрес внешнего интерфейса, либо меняет его на один из адресов внешнего диапазона (пула), и совершает отправку измененного IP-пакета.
Трансляция портов
В современных корпоративных сетях, фаерволы выполняют функцию, которая называется Port Address Translation (PAT). Эта технология позволяет множеству внутренних IP – адресов использовать один и тот же внешний адрес. Данная технология реализуется на четвертом уровне модели OSI. Схема работы PAT показана ниже:
На схеме, компьютеры (рабочие станции) находятся в защищенном участке сети за «фаерволом». Этот участок обозначен как внутренняя сеть, где действует адресация 192.168.0.0 с маской подсети 255.255.255.0. Как было сказано в начале главы, Cisco Adaptive Security Appliances (ASA) выполняет функции по трансляции портов для устройств внутренней сети. Трансляция выполняется для «хостов» подсети 192.168.0.X в во внешний IP-адрес Cisco ASA – 208.104.33.225. В данном примере, компьютер А отправляет TCP пакет с портом назначения 80, получателем которого является WEB – сервер, расположенный во внешнем сегменте сети на компьютере Б. ASA подменяет оригинальный запрос с IP-адреса 192.168.0.44 на свой собственный (208.104.33.225). Параллельно, случайно выбирается номер порта, отличного от исходного (в данном примере порт 1024 заменен на 1188). Только после этого, пакеты отправляются на WEB – сервер к адресу назначения 208.104.33.241.
Система обнаружения и предотвращения вторжений
Система обнаружения вторжений Intrusion Detection System (IDS), это устройства, которые предназначены для обнаружения атак на корпоративную сеть и поддержания ИТ безопасности в целом. Системы обнаружения позволяют отслеживать распределенные DDoS атаки, «черви» и «трояны».
Как показано выше, злоумышленник отправляет «зараженный» пакет на WEB – сервера компании с целью, например, вывести из строя сайт компании. Система обнаружения вторжения (IDS) отслеживает данный пакет, и отправляет сигнал тревоги на систему мониторинга. Недостатком данного механизма является то, что он лишь уведомляет о наличии угрозы, но не предотвращает ее. В данном случае, отправленный злоумышленником пакет дойдет до получателя.
Система предотвращения вторжений, или Intrusion Prevention System (IPS) , способна не только обнаружить «зараженный» пакет, но и уничтожить его. Схема работы IPS показана на рисунке ниже:
Как видно из рисунка, система IPS предотвращает попадание «зараженного» пакета в сегмент корпоративной сети. IPS/IDS системы определяют «зараженный» трафик по следующим критериям:
Проверка на базе подписи;
Общая политика безопасности;
Проверка на базе нелинейности поведения;
Проверка на основании репутации.
О критериях определения "плохого" трафика мы расскажем в следующих статьях.
Порой, в процессе настройки IP-АТС Asterisk возникают ситуации, когда по каким-либо причинам маршруты, транки или же линии становятся недоступными. От этого не застрахован никто. В таких случаях, при проверке доступности линии, позвонив на выданный провайдером номер – мы можем услышать малоинформативное “All circuits are busy now, please try your call later”, а затем последует сброс. В свою очередь, рядовые пользователи услышав в трубке «страшные» звуки или незнакомую речь начнут обращаться к системному администратору и формулировать проблему каждый по - своему. Получается сломанный телефон.
Для исключения подобных проблем существует модуль Route Congestion Messages, который позволяет изменить стандартные звуковые сообщения и тональные сигналы, сигнализирующие о недоступности. Аудио - файлы загружаются на сервер через модуль System Recordings. Например, вы можете озвучивать понятное для пользователей сообщение: «В настоящее время невозможно совершить исходящий звонок. Обратитесь к системному администратору с кодом А7 для эскалации проблемы». Для системного администратора этот код будет означать конкретную проблему. Все примеры в статье приведены на FreePBX 13.
Настройка
Итак, для того, чтобы попасть в модуль Route Congestion Messages, с главной страницы FreePBX, проходим следующий путь: Settings → Route Congestion Messages, открывается вот такое окно:
Как видно, функционал данного модуля делится на две части - No Route Available и Trunk Failures.
No Route Available
В данном разделе можно настроить сообщения, которые будут проигрываться в случае если Вы набираете номер, но этот номер не совпадает ни с одним из исходящих маршрутов. Рассмотрим каждую опцию, доступную в данном разделе. Сразу заметим, что стандартным сообщением – Default, которое по умолчанию стоит в данном разделе, является та самая фраза “All circuits are busy now, please try your call later”
Standart Routes - Звуковое сообщение или тональный сигнал, который звучит, когда исходящие маршруты недоступны.
Intra-Company Routes - Звуковое сообщение или тональный сигнал, который звучит, когда нет ни одного доступного внутрикорпоративного транка. Применимо только на маршрутах, которые помечены как intra-company
Emergency Routes - Звуковое сообщение или тональный сигнал, который звучит, когда недоступными оказываются маршруты экстренных служб. Важно! Если Вы решили изменить данную запись, то убедитесь, что в ней прозвучит предложение звонящему воспользоваться другими средствами связи с экстренными службами. Например, мобильным телефоном или панелью вызова экстренных служб.
Trunk Failures
Данный раздел позволяет настроить звуковые сообщения, которые проигрываются, когда происходит отказ транка.
No Answer - Звуковое сообщение или тональный сигнал, который звучит, когда набранный номер не отвечает. По умолчанию это фраза – “The number is not answering”. Hangupcause 18 или 19.
Number or Address Incomplete - Звуковое сообщение или тональный сигнал, который звучит, когда номер, который был набран не закончен. Обычно, это происходит, когда набранный номер слишком короткий. Стандартная фраза - “The number you have dialed is not in service. Please check the number and try again”. Hangupcause 28.
Ну, а дальше всё просто. Загружаем звуковой файл с голосовым сообщением или тональным сигналом через модуль System Recordings и он автоматически появляется в Route Congestion Messages .
Например, мы решили поменять стандартный сигнал, который звучит, когда исходящие маршруты недоступны - Standart Routes.
Congestion Tones - это, собственно, тональный сигнал.
Если вы только думаете о том, чтобы заняться информационной безопасностью, вам не помешает знать эти аббревиатуры. Мы также поговорим о том что это, каковы их задачи и в чем их отличия.
Отличия IPS от IDS
IPS – Intrusion Prevention System, а IDS – Intrusion Detection System. То есть, первый помогает предотвращать вторжения, а второй помогает их обнаруживать. Но что интересно – они используют ну очень похожие технологии.
При всей похожести названий и технологий, это два абсолютно разных инструмента, которые используются в очень разных местах, разными людьми и выполняют очень разные задачи. /
Когда мы говорим про IPS/, то первое что приходит на ум – функционал фаервола, или межсетевого экрана – в нем всегда есть определенное количество правил: десятки, сотни, тысячи и иже с ними – в зависимости от требований. Большинство этих правил – разрешающие, т.е разрешить такой-то трафик туда-то, а в конце правила – все остальное запретить. Как вы наверное догадались, такой функционал реализуется с помощью ACL (листов контроля доступа).То есть, если трафик или его источник неизвестен – МСЭ его просто дропнет и все.
IPS в свою очередь повторяет историю про определенное количество правил – только эти правила в основном запрещающие: заблокировать такую-то проблему безопасности и т.д. Так что когда появляется пакет, IPS рассматривает свои правила свеху вниз, пытаясь найти причины дропнуть этот пакет. В конце каждого списка правил стоит скрытое «пропускать все остальное, что не попадает под критерии выше». Таким образом, в отсутствие повода или известной сигнатуры атаки, IPS просто пропустит трафик.
То есть МСЭ и IPS – устройства контроля. Они обычно находятся на периметре сети и следятпропускают только то, что соответствует политикам безопасности. И самой логичной причиной использования IPS является наличие огромного количества известных атак в сети Интернет – и каждое IPS устройство обладает набором сигнатур (типичных признаков атак), которые должны непрерывно обновляться, чтобы вас не могли взломать с помощью новомодного, но уже известного производителям ИБ средства.
Что такое UTM?
Очевидная мысль о том, что неплохо было бы оба этих устройства поместить в одну железку, породили нечто, называемое UTM – Unified Threat Management, где IPS уже встроен в МСЭ. Более того, сейчас в одно устройство очень часто помещается гигантское количество функций для обеспечения безопасности – IPS/IDS, защита DNS, защита от угроз нулевого дня (с облачной песочницей), возможность осуществления URL фильтрации и многое другое. В случае Cisco и их МСЭ ASA/FirePOWER, к примеру, если вы купите просто железку, без подписок – вы получите только функционал stateful firewall-а и возможность смотреть в приложения, то есть распаковывать пакет до 7 уровня. А дополнительные возможности, вроде описанных выше – становятся доступными только после покупки подписок.
Опять же, какой бы сладкой не казалась мысль об унифицированной чудо-коробке, которая защитит вас от хакеров, нужно признать, что такой дизайн подходит далеко не всем.Очень часто из-за высокой нагрузки или специфической задачи данные решения требуется разносить по отдельным устройствам. Опять же – если у вас на периметре будет стоять только одно UTM – устройство, то это будет самым слабым местом вашей сети, так что всегда нужно думать о резервировании подобных вещей.
Что такое IDS?
Если IPS – это определенно средство контроля, то IDS это средство для повышения видимости в вашей сети. IDS мониторит трафик в различных точках вашей сети и дает понимание того, насколько хорошо обстоят дела с точки зрения защищенности. Можно сравнить IDS с анализатором протоколов (всем известный Wireshark) – только в этом случае анализ направлен на оценку состояния безопасности.
В руках аналитика по ИБ в не очень большой и серьезной организации, IDS обычно служит как бы окном в сеть и может показать следующие вещи:
Нарушения политик безопасности – например системы или пользователи, которые запускают приложения, запрещенные политиками компании
Признаки заражения систем вирусами или троянами, которые начинают пытаться захватить полный или частичный контроль для дальнейшего заражения и атак
Работающее шпионское ПО или кейлоггеры, «сливающие» информацию без уведомления пользователя
Некорректно работающие фаерволы или их политики, некорректные настройки и т.д – все, что может повлиять на производительность и целостность сети
Работающие сканеры портов, «левые» службы DNS и DHCP, внезапные средства для подключения к удаленному рабочему столу и пр.
Итак:
IDS и IPS смогут замечать и предотвращать как автоматизированные вторжения, так и преднамеренные – но вместе они дают вам большую ценность, а именно – большую видимость и
Что же купить?
Если вы небольшая организация, мы бы посоветовали смотреть в сторону наборов «все-в-одном», а именно UTM решений. Опять же, многие вендоры сейчас выпускают гибридные продукты, которые совмещают в себе видимость IDS с возможностями контроля IPS. /
На всякий случай – IPS это не то, что один раз настроил и забыл. IPS систему нужно постоянно тюнинговать, чтобы она была заточена под именно вашу организацию и сеть. Если же этого не сделать, то возможно большое количество ложно-положительных и ложно-отрицательных срабатываний – то есть или пострадают какие-нибудь ваши сервисы, или вы пропустите много атак.
А если говорить про IDS, то важна не «крутость» и объем собираемых данных, а вид и удобство пользования системой конечным пользователем (скорость навигации через предоставленную IDS ценную информацию быстро и легко) – будь то системный администратор или аналитик.
Мы написали эту статью исключительно с целью общего понимания что такое IDS, IPS и UTM – конечно, есть огромное количество разнообразных типов этих систем и механизмов работы, но мы решили рассказать для начала очень кратко – чтобы дальше можно было уже глубже погружаться в подобные материи. И не забывайте, что существует огромное количество бесплатных IPS/IDS решений – каждый при должном желании и старании может попробовать скачать, установить и настроить подобное решение для более глубого понимания механизмов работы.