По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Cisco CUBE (Cisco Unified Border Element) - контролер граничных сессий (SBC) от компании Cisco. В статье мы поговорим о том, как настроить так называемый SIP Forking, который позволяет отправить SIP сигнализацию на несколько устройств сразу.
В примере мы покажем, как настроить SIP Forking на CUBE для записи видео – звонков, например, для последующего анализа системой записи.
Что мы имеем
Интегрированное приложение Cisco Unified Border Element (далее CUBE) является частью программного обеспечения маршрутизатора CISCO2911, параметры которого приведены ниже:
Cisco CISCO2911/K9 (revision 1.0) with 483328K/40960K bytes of memory.
Processor board ID ABCDEFAAAAA
3 Gigabit Ethernet interfaces
6 Serial interfaces
1 terminal line
2 Channelized E1/PRI ports
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
255K bytes of non-volatile configuration memory.
32K bytes of USB token usbtoken0 (Read/Write)
255744K bytes of ATA System CompactFlash 0 (Read/Write)
Prerequisites
Перед началом нужно выполнить следующие условия:
маршрутизатор сконфигурирован в качестве CUBE;
версия Cisco IOS 15.2(1) или выше;
видео – звонок устанавливается по схеме SIP-to-SIP;
используется адресация версии IPv4;
ключевые составляющие вызова проходят через CUBE, включая SIP – сигнализацию и медиа - потоки;
в рамках устанавливаемого видео – вызова не происходит транскодирования с высокой нагрузкой;
не используется SRTP (Secure Real-time Transport Protocol);
Схема следующая:
Настройка
Для настройки CUBE необходимо подключится к серверу по протоколу Telnet и ввести следующие логин и пароль:
UserName: merionet
Password: ******
Переходим в режим конфигурации:
enable
configure terminal
У нас 192.168.0.2 – IP – адрес системы записи, а 192.168.0.3 - адрес CUCM. В разделе voice service voip, необходимо добавить IP – адрес системы записи и CUCM в список «доверенных» IP – адресов и указать прочие опции, как указано ниже:
voice service voip
ip address trusted list
ipv4 192.168.0.2 255.255.255.255
ipv4 192.168.0.3 255.255.255.255
address-hiding
mode border-element
media flow-around
allow-connections sip to sip
fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none
sip
asymmetric payload full
early-offer forced
midcall-signaling passthru
g729 annexb-all
video screening
Создаем media profile recorder, в котором необходимо указать тэг dial – peer, который смотрит в сторону системы записи. Помимо этого, необходимо создать профиль для записи видео с опциями, которые указаны ниже. Оба профиля записи указываются в настройке media class:
media profile recorder 100
media-recording 114
!
media profile video 455
monitor-ref-frames
h264-packetization-mode 0
ref-frame-req rtcp retransmit-interval 50 retransmit-count 4
ref-frame-req sip-info
!
media class 3
recorder profile 100
video profile 455
Теперь, на входящем и исходящем dial – peer указываем созданный ранее media class:
dial-peer voice 123 voip
destination-pattern 114
rtp payload-type cisco-codec-video-h264 112
session protocol sipv2
session target ipv4:192.168.0.2
voice-class sip options-keepalive
voice-class codec 1 offer-all
media-class 3
dtmf-relay rtp-nte
no vad
!
dial-peer voice 124 voip
destination-pattern 1402$ // маршрут в сторону PBX
rtp payload-type cisco-codec-video-h264 112
session protocol sipv2
session target ipv4:192.168.0.3
session transport tcp
voice-class codec 1 offer-all
voice-class sip options-keepalive up-interval 100 down-interval 50 retry 6
voice-class sip bind control source-interface GigabitEthernet0/1
voice-class sip bind media source-interface GigabitEthernet0/1
media-class 3
dtmf-relay rtp-nte
no vad
Сохраняем конфигурацию:
copy running-config startup-config
В данной краткой статье поговорим о разнице между HTTP и HTTPS.
Видео: HTTP или HTTPS – как работает и в чем разница?
Что такое HTTP?
HTTP расшифровывается как Hyper Text Transfer Protocol - Протокол Передачи Гипертекста. HTTP предлагает набор правил и стандартов, которые регулируют способ передачи любой информации во Всемирной паутине. HTTP предоставляет стандартные правила для взаимодействия веб-браузеров и серверов. По умолчанию данный протокол использует 80-ый порт.
HTTP - это сетевой протокол прикладного уровня, созданный поверх TCP. HTTP использует структурированный текст гипертекста, который устанавливает логическую связь между узлами, содержащими текст. Он также известен как «протокол без состояния», поскольку каждая команда выполняется отдельно, без использования ссылки на предыдущую команду запуска.
Что такое HTTPS?
HTTPS - это защищенный протокол передачи гипертекста (Hyper Text Transfer Protocol Secure). Это продвинутая и безопасная версия HTTP. Для коммуникации данных используется 443-ий порт. Данный протокол позволяет обеспечить безопасность транзакций путем шифрования всего трафика с помощью SSL. Это комбинация протокола SSL/TLS и HTTP. Обеспечивает зашифрованную и безопасную идентификацию сетевого сервера.
HTTPS также позволяет создать защищенное зашифрованное соединение между сервером и браузером. Он обеспечивает двунаправленную безопасность данных. Это помогает защитить потенциально конфиденциальную информацию от кражи.
В протоколе HTTPS SSL транзакции согласовываются с помощью алгоритма шифрования на основе ключа. Обычно длина ключа составляет 40 или 128 бит.
Ключевые различия
В HTTP отсутствует механизм защиты для шифрования данных, в то время как HTTPS для защиты связи между сервером и клиентом использует цифровой сертификат SSL или TLS.
HTTP работает на уровне приложения, а HTTPS - на транспорном уровне.
HTTP по умолчанию работает по 80-ому порту, а HTTPS – через 443-му.
HTTP передает данные открытым текстом, а HTTPS - зашифрованным.
HTTP по сравнению с HTTPS работает быстрее, поскольку последнему нужно время для шифрования канала связи.
Преимущества HTTP:
HTTP может быть реализован на основе другого протокола в Интернете или в других сетях;
Страницы HTTP хранятся в кэше компьютера и Интернета, поэтому доступ к ним осуществляется быстрее;
Кроссплатформенность
Не нуждается в поддержке среды выполнения
Можно использовать через брандмауэры. Возможны глобальные приложения
Не ориентирован на подключение; таким образом, отсутствуют накладные расходы на сеть для создания и поддержания состояния сеанса и информации
Преимущества HTTPS
В большинстве случаев сайты, работающие по протоколу HTTPS, будут перенаправлены. Поэтому даже если ввести HTTP://, он перенаправит на https через защищенное соединение
Это позволяет пользователям выполнять безопасные транзакции электронной коммерции, такие как онлайн-банкинг.
Технология SSL защищает всех пользователей и создает доверие
Независимый орган проверяет личность владельца сертификата. Таким образом, каждый SSL-сертификат содержит уникальную аутентифицированную информацию о владельце сертификата.
Ограничения HTTP
Нет защиты информации, так как любой может прослушать и увидеть передаваемый контент
Обеспечение целостности данных является большой проблемой, поскольку есть возможность изменения содержимого на лету во время передачи.
Не знаешь кто на противоположной стороне. Любой, кто перехватит запрос, может получить имя пользователя и пароль.
Ограничения HTTPS
Протокол HTTPS не может остановить кражу конфиденциальной информации со страниц, кэшированных в браузере
Данные SSL могут быть зашифрованы только во время передачи по сети. Поэтому он не может очистить текст в памяти браузера
HTTPS ввиду вычислений может увеличить задержки во время передачи данных.
Разница между HTTP и HTTPS
В приведенной ниже таблице показано различие между HTTP и HTTPS:
ПараметрHTTPHTTPSНазваниеHypertext Transfer ProtocolHypertext Transfer Protocol SecureБезопасностьМенее безопасен. Данные могут быть доступны для злоумышленниковОн предназначен для предотвращения доступа хакеров к критически важной информации. Защищен атак типа Man-in The-Middle.ПортПо умолчанию – 80По умолчанию 443Начинается наhttp://https://Область примененияЭто хорошо подходит для веб-сайтов общего назначения, таких как блоги.*Если на сайте нужно вводить конфиденциальную информацию, то данный протокол подходить большеЗащитаНет защиты передаваемой информации. Любой, кто прослушивает трафик может получить доступ к даннымHTTPS шифрует данные перед передачей их по сети. На стороне получателя, данные расшифровываются.ПротоколРаботает с TCP/IPНет специального протокола. Работает поверх HTTP, но использует TLS/SSL шифрование.Проверка названия доменаСайтам с HTTP не нужен SSLДля работы с HTTPS нужен SSL сертификатШифрование данныхНе использует шифрованиеДанные шифруютсяРейтинг поискаНе влияет на рейтинг поискаПомогает увеличивать поисковый рейтингСкоростьБыстро**Относительно медленноУязвимостьУязвима для злоумышленниковЛучше защищен, использует шифрование данных.
*В настоящее время рекомендуется получать сертификат всем сайтам, так как это повышает доверие к нему. Тем более, что сертификат можно получить даже бесплатно.
**По современным меркам скорости подключения к Интернету, эта разница почти не ощущается.
Типы SSL/TLS-сертификатов, используемых с HTTPS
Теперь поговорим о типах SSL/TLS сертификатов, используемых с HTTPS:
Проверка домена
Проверка домена проверяет, является ли лицо, подающее заявку на сертификат, владельцем доменного имени. Этот тип проверки обычно занимает от нескольких минут до нескольких часов.
Проверка организации
Центр сертификации не только проверяет принадлежность домена, но и идентифицирует владельцев. Это означает, что владельцу может быть предложено предоставить документ, удостоверяющий личность.
Расширенная проверка
Расширенная проверка - это самый верхний уровень проверки. Она включает проверку владения доменом, личность владельца, а также подтверждение регистрации компании.
Почитайте предыдущую статью про криптографический обмен ключами.
Предположим, вы хотите отправить большой текстовый файл или даже изображение, и позволить получателям подтвердить, что он исходит именно от вас. Что делать, если рассматриваемые данные очень большие? Или что, если данные нужно сжать для эффективной передачи? Существует естественный конфликт между криптографическими алгоритмами и сжатием. Криптографические алгоритмы пытаются произвести максимально случайный вывод, а алгоритмы сжатия пытаются воспользоваться преимуществом неслучайности данных для сжатия данных до меньшего размера. Или, возможно, вы хотите, чтобы информация была прочитана кем-либо, кто хочет ее прочитать, что означает, что не нужно ее шифровать, но вы хотите, чтобы получатели могли проверить, что вы ее передали.
Криптографические хэши предназначены для решения этих проблем. Возможно, вы уже заметили по крайней мере одно сходство между идеей хеширования и криптографического алгоритма. В частности, хэш предназначен для получения очень большого фрагмента данных и создания представления фиксированной длины, поэтому на выходе для широкого диапазона входных данных очень мало конфликтов. Это очень похоже на концепцию максимально близкого к случайному выходу для любого ввода, необходимого для криптографического алгоритма. Еще одно сходство, о котором стоит упомянуть, заключается в том, что хэш-алгоритмы и криптографические алгоритмы работают лучше с очень редко заполненным входным пространством.
Криптографический хеш просто заменяет обычную хеш-функцию криптографической функцией. В этом случае хэш может быть вычислен и отправлен вместе с данными.
Криптографические хэши могут использоваться либо с системами с симметричными ключами, либо с системами с открытым ключом, но обычно они используются с системами с открытым ключом.
Сокрытие информации о пользователе
Возвращаясь к начальным статьям, еще одна проблема безопасности - это исчерпание данных. В случае отдельных пользователей исчерпание данных можно использовать для отслеживания того, что пользователи делают, пока они находятся в сети (а не только для процессов). Например:
Если вы всегда носите с собой сотовый телефон, можно отслеживать перемещение Media Access Control (MAC), когда он перемещается между точками беспроводного подключения, чтобы отслеживать ваши физические перемещения.
Поскольку большинство потоков данных не симметричны - данные проходят через большие пакеты, а подтверждения передаются через небольшие пакеты, наблюдатель может обнаружить, когда вы выгружаете и скачиваете данные, и, возможно, даже когда вы выполняете небольшие транзакции. В сочетании с целевым сервером эта информация может дать хорошую информацию о вашем поведении как пользователя в конкретной ситуации или с течением времени. Этот и многие другие виды анализа трафика могут выполняться даже для зашифрованного трафика.
Когда вы переходите с веб-сайта на веб-сайт, наблюдатель может отслеживать, сколько времени вы тратите на каждый из них, что вы нажимаете, как вы перешли на следующий сайт, что вы искали, какие сайты вы открываете в любое время и т. д. информация может многое рассказать о вас как о личности, о том, чего вы пытаетесь достичь, и о других личных факторах.
Рандомизация MAC-адресов
Institute of Electrical and Electronic Engineers (IEEE) первоначально разработал адресное пространство MAC-48 для назначения производителями сетевых интерфейсов. Эти адреса затем будут использоваться "как есть" производителями сетевого оборудования, поэтому каждая часть оборудования будет иметь фиксированный, неизменный аппаратный адрес. Этот процесс был разработан задолго до того, как сотовые телефоны появились на горизонте, и до того, как конфиденциальность стала проблемой.
В современном мире это означает, что за одним устройством можно следить независимо от того, где оно подключено к сети. Многие пользователи считают это неприемлемым, особенно потому, что не только провайдер может отслеживать эту информацию, но и любой, кто имеет возможность прослушивать беспроводной сигнал. Один из способов решить эту проблему-позволить устройству регулярно менять свой MAC-адрес, даже, возможно, используя другой MAC-адрес в каждом пакете. Поскольку сторонний пользователь (прослушиватель) вне сети провайдера не может "угадать" следующий MAC-адрес, который будет использоваться любым устройством, он не может отслеживать конкретное устройство. Устройство, использующее рандомизацию MAC-адресов, также будет использовать другой MAC-адрес в каждой сети, к которой оно присоединяется, поэтому оно не будет отслеживаться в нескольких сетях.
Существуют атаки на рандомизацию MAC-адресов, в основном сосредоточенные вокруг аутентификации пользователя для использования сети. Большинство систем аутентификации полагаются на MAC-адрес, поскольку он запрограммирован в устройстве, чтобы идентифицировать устройство и, в свою очередь, пользователя. Как только MAC-адрес больше не является неизменным идентификатором, должно быть какое-то другое решение. Места, где рандомизация MAC-адресов может быть атакована, - это
Время (timing): если устройство собирается изменить свой MAC-адрес, оно должно каким-то образом сообщить другому абоненту беспроводного соединения об этих изменениях, чтобы канал между подключенным устройством и базовой станцией мог оставаться жизнеспособным. Должна быть какая-то согласованная система синхронизации, чтобы изменяющийся MAC-адрес мог продолжать обмен данными при изменении. Если злоумышленник может определить, когда произойдет это изменение, он сможет посмотреть в нужное время и обнаружить новый MAC-адрес, который принимает устройство.
Порядковые номера (Sequence numbers): как и во всех транспортных системах, должен быть какой-то способ определить, все ли пакеты были получены или отброшены. Злоумышленник может отслеживать порядковые номера, используемые для отслеживания доставки и подтверждения пакетов. В сочетании с только что отмеченной атакой по времени это может обеспечить довольно точную идентификацию конкретного устройства при изменении MAC-адреса.
Отпечатки информационных элементов (Information element fingerprints): каждое мобильное устройство имеет набор поддерживаемых функций, таких как установленные браузеры, расширения, приложения и дополнительное оборудование. Поскольку каждый пользователь уникален, набор приложений, которые он использует, также, вероятно, будет довольно уникальным, создавая "отпечаток" возможностей, которые будут сообщаться через информационный элемент в ответ на зонды от базовой станции.
Отпечатки идентификатора набора услуг (SSID): каждое устройство хранит список сетей, к которым оно может подключиться в настоящее время, и (потенциально) сетей, которые оно могло достичь в какой-то момент в прошлом. Этот список, вероятно, будет довольно уникальным и, следовательно, может выступать в качестве идентификатора устройства.
Хотя каждый из этих элементов может обеспечить определенный уровень уникальности на уровне устройства, комбинация этих элементов может быть очень близка к идентификации конкретного устройства достаточно часто, чтобы быть практически полезной при отслеживании любого конкретного пользователя, подключающегося к беспроводной сети.
Это не означает, что рандомизация MAC-адресов бесполезна, это скорее один шаг в сохранении конфиденциальности пользователя при подключении к беспроводной сети.
Луковая маршрутизация
Луковая маршрутизация - это механизм, используемый для маскировки пути, а также шифрования пользовательского трафика, проходящего через сеть. Рисунок 1 используется для демонстрации.
На рисунке 1 хост А хочет безопасно отправить некоторый трафик на K, чтобы ни один другой узел в сети не мог видеть соединение между хостом и сервером, и чтобы ни один злоумышленник не мог видеть открытый текст. Чтобы выполнить это с помощью луковой маршрутизации, A выполняет следующие действия:
Он использует службу для поиска набора узлов, которые могут соединяться между собой, и предоставления пути к серверу K. Предположим, что этот набор узлов включает [B, D, G], хотя на рисунке они показаны как маршрутизаторы, скорее всего, это программные маршрутизаторы, работающие на хостах, а не выделенные сетевые устройства. Хост A сначала найдет открытый ключ B и использует эту информацию для создания сеанса с шифрованием с симметричным ключом B.
Как только этот сеанс установлен, A затем найдет открытый ключ D и использует эту информацию для обмена набором симметричных ключей с D, наконец, построит сеанс с D, используя этот симметричный секретный ключ для шифрования защищенного канала. Важно отметить, что с точки зрения D, это сеанс с B, а не с A. Хост A просто инструктирует B выполнить эти действия от его имени, а не выполнять их напрямую. Это означает, что D не знает, что A является отправителем трафика, он знает только, что трафик исходит от B и передается оттуда по зашифрованному каналу.
Как только этот сеанс будет установлен, A затем проинструктирует D настроить сеанс с G таким же образом, как он проинструктировал B настроить сеанс с D. D теперь знает, что пункт назначения-G, но не знает, куда будет направлен трафик G.
У хоста A теперь есть безопасный путь к K со следующими свойствами:
Трафик между каждой парой узлов на пути шифруется с помощью другого симметричного закрытого ключа. Злоумышленник, который разрывает соединение между одной парой узлов на пути, по-прежнему не может наблюдать трафик, передаваемый между узлами в другом месте на пути.
Выходной узел, которым является G, знает пункт назначения, но не знает источник трафика.
Входной узел, которым является B, знает источник трафика, но не пункт назначения.
В такой сети только А знает полный путь между собой и местом назначения. Промежуточные узлы даже не знают, сколько узлов находится в пути-они знают о предыдущем и следующем узлах. Основная форма атаки на такую систему состоит в том, чтобы захватить как можно больше выходных узлов, чтобы вы могли наблюдать трафик, выходящий из всей сети, и соотносить его обратно в полный поток информации.
Атака "Человек посередине" (Man-in-the-Middle)
Любой вид безопасности должен не только изучать, как вы можете защитить информацию, но также учитывать различные способы, которыми вы можете вызвать сбой защиты данных. Поскольку ни одна система не является идеальной, всегда найдется способ успешно атаковать систему. Если вам известны виды атак, которые могут быть успешно запущены против системы безопасной передачи данных, вы можете попытаться спроектировать сеть и среду таким образом, чтобы предотвратить использование этих атак. Атаки "человек посередине" (MitM) достаточно распространены, и их стоит рассмотреть более подробно. Рисунок 2 демонстрирует это.
Рисунок 2-б аналогичен рисунку 2-а с одним дополнением: между хостом A и сервером C расположен хост B, который хочет начать зашифрованный сеанс. Некоторыми способами, либо подменяя IP-адрес C, либо изменяя записи службы доменных имен (DNS), чтобы имя C преобразовывалось в адрес B, или, возможно, даже изменяя систему маршрутизации, чтобы трафик, который должен быть доставлен в C, вместо этого доставлялся в B, злоумышленник заставил B принять трафик, исходящий из A и предназначенный для C. На рисунке 2-б:
Хост A отправляет полуслучайное число, называемое одноразовым номером, в C. Эту информацию получает B.
Хост B, который злоумышленник использует в качестве MitM, передает этот одноразовый номер на узел C таким образом, что создается впечатление, что пакет действительно исходит от узла A. В этот момент злоумышленник знает одноразовый идентификатор, зашифрованный A. Злоумышленник не знает закрытый ключ A, но имеет доступ ко всему, что A отправляет зашифрованным с помощью закрытого ключа A.
Сервер C также отправляет ответ с зашифрованным одноразовым случайным числом. B получает это и записывает.
Хост B передает одноразовое случайное число, полученное от C, на A. Хост A по-прежнему будет считать, что этот пакет пришел непосредственно от C.
Хост B вычисляет закрытый ключ с помощью A, как если бы это был C.
Хост B вычисляет закрытый ключ с помощью C, как если бы это был A.
Любой трафик, который A отправляет в C, будет получен B, что:
Расшифруйте данные, которые A передал, используя закрытый ключ, вычисленный на шаге 5 на рисунке 2-б.
Зашифруйте данные, которые A передал, используя закрытый ключ, вычисленный на шаге 6 на рисунке 2-б, и передайте их C.
Во время этого процесса злоумышленник на B имеет доступ ко всему потоку в виде открытого текста между A и C. Ни A, ни C не осознают, что они оба построили зашифрованный сеанс с B, а не друг с другом. Такого рода атаки MitM очень сложно предотвратить и обнаружить.