По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Протокол EIGRP имеет гораздо более быструю сходимость по сравнению с протоколами RIP и IGRP, потому что в отличие от дистанционно – векторных протоколов маршрутизации, которым необходимо передать таблицы маршрутизации для сходимости, в протоколе EIGRP соседи маршрутизаторы обмениваются только “Hello” пакетами.
Используя протокол EIGRP, маршрутизаторы узнают друг друга в процессе сходимости, обмениваясь различными параметрами для установления таблиц маршрутизации. Аналогичные процессы происходят в протоколе OSPF и других протокола состояния канала.
Два маршрутизатора могут стать соседями только при выполнении следующих условий:
Произошел успешный обмен “Hello” сообщениями
Интерфейсы находятся в рамках одной автономной системы
Используют одинаковые метрики: EIGRP использует полосу пропускания и задержку в качестве метрик по умолчанию. Если вы решите использовать и другие метрики, такие как загрузка, надежность и MTU, то их необходимо настроить на обоих маршрутизаторах.
Таймера “Hello” пакетов используют одно и то же значение для следующих значений:
Частота, с которой маршрутизаторы отправляют “Hello” пакеты друг другу.
Время, в течении которого, маршрутизатор не отвечает на пакеты и маркируется недоступным.
«Hello» пакеты отправляются не только во время процесса сходимости, но и после, для отслеживания статуса того, или иного узла маршрутизации. Если маршрутизатор становится недоступен (не отвечает на пакеты «Hello»), то по истечению указанного выше таймера маршрутизатор отмечаются как недоступный.
Обновление маршрутов
Даже после полной сходимости, EIGRP продолжает обновлять маршруты на основании доступности роутеров – соседей. Это позволяет маршрутизаторам поддерживать свою собственную таблицу «состояния связей», или по другом, link – state.
После того, как маршрутизаторы построят таблицу соседей и таблицу состояния связей, они знают своих соседей, топологию сети в своем ближайшем окружении и топологию сети в ближайшем окружении своих соседей.
Далее, каждый маршрутизатор рассчитывает параметры и качество каждого маршрута, который находятся в таблице состояния связей. EIGRP использует DUAL (Diffusing Update Algorithm) для расчета качества маршрута.
DUAL (Diffusing Update Algorithm)
Cisco использует Diffusing Update Algorithm, или DUAL алгоритм для расчет качества сетевого маршрута в рамках протокола EIGRP. Алгоритм DUAL повышает эффективность протокола EIGRP по сравнению с IGRP, предотвращая появление петель маршрутизации. Отметим следующие характеристики алгоритма DUAL:
Для каждой сети назначения рассчитывается маршрут через Successor, или другими словами – лучший маршрут, а также, рассчитывается маршрут через Feasible Successor (второй по приоритету маршрут).
DUAL поддерживает маски переменной длинны или VLSA (variable-length subnet masking), позволяя EIGRP выполнять маршрутизации в различных подсетях.
Алгоритм DUAL очень быстро рассчитывает новый маршрут в пункт назначения, в случаях, если основной маршрут недоступен. DUAL поддерживает две опции, которые обеспечивают быстрый переход на новую маршрутизацию в случаях недоступности:
Successor и Feasible Successor маршруты. Для каждого из путей у EIGRP всегда есть резервный путь.
Если оба маршрута, Successor и Feasible Successor недоступны, DUAL выполняет опрос соседей маршрутизаторов, для выбора лучшего маршрута.
По причине того, что каждый из соседей маршрутизатора так же имеют Successor и Feasible Successor маршруты, новый маршрут в сеть назначения, полученный от них, является наиболее приемлемым и качественным с точки зрения метрик.
В сегодняшней статье речь пойдет о способах организации виртуальных частных сетей VPN (Virtual Private Network). VPN – это набор криптографических механизмов, обеспечивающих защищенный, двухсторонний канал для безопасной передачи данных через незащищенную сеть, такую как Интернет. Благодаря VPN пользователь может получить доступ к удаленной сети и работать с её ресурсами так, как если бы он находился внутри нее. Поэтому VPN получил широкое распространение у компаний, имеющих в своем штабе дистанционных сотрудников.
Терминология
VPN представляет собой соединение типа Point to point (точка-точка), которое принято называть “туннелем” (tunnel), а участников данного соединения – “пирами” (peer). Каждый пир шифрует данные, подлежащие передаче через туннель и дешифрует данные, которые получает из туннеля.
Если к одному пиру устанавливается несколько туннелей, то такой пир называется VPN – шлюзом, а сеть, находящаяся за ним – “доменом шифрования” (encryption domain). Несмотря на название, трафик внутри домена шифрования не шифруется, так как считается защищенным от попадания во внешнюю сеть. Кроме того, VPN – туннель может быть установлен между сетями.
Удаленный сотрудник, желающий настроить VPN - туннель с доменом шифрования своего офиса, должен установить на своей рабочей станции специальное ПО – VPN-клиент, например: OpenVPN, VyprVPN, TunnelBear и др.
Для большего понимания, на рисунке ниже отмечены все элементы, рассмотренные ранее:
Разберем основные принципы, по которым устанавливается VPN – соединение.
Перед установлением соединения пиры идентифицируют друг друга, чтобы удостовериться, что шифрованный трафик будет отправлен правильному получателю.
Пиры договариваются, по каким протоколам будет устанавливаться соединение для сохранения целостности и конфиденциальности данныхю
Создается ключ, который будет использоваться для шифрования и дешифрования данных
Существует множество механизмов, способных обеспечить выполнение данных функций, но мы рассмотрим самый распространенный - IPsec(IP Security).
IPsec – это целый набор протоколов, обеспечивающих сервисы приватности и аутентификации. Обычно в IPsec выделяют три основных протокола:
AH (Authentication Header) – протокол идентификации заголовка. Данный протокол обеспечивает защиту передаваемых данных от изменения, путем проверки каждого бита пакета после передачи. То есть обеспечивает функции целостности.
ESP (Encapsulating Security Protocol) Данный протокол обеспечивает не только функции целостности, но и конфиденциальности, путем добавления своего заголовка в пакет, подлежащий защите.
IKE (Internet Key Exchange protocol) – протокол обмена ключами. Данный протокол предназначен для автоматического генерирования, обновления и обмена ключами между участниками VPN – соединения.
В IPsec есть еще один важный термин – SA (Security Association). SA это непосредственно VPN – соединение в контексте IPsec. SA устанавливается сразу после того, как IPsec – узлы договорились и согласовали все параметры, по которым будет организован VPN – туннель.
Итак, VPN – соединение с использованием IPsec устанавливается в два этапа:
На первом этапе VPN – узлы идентифицируют друг друга и согласовывают алгоритмы шифрования, хэширования и аутентификации, после чего создается первый SA.
Второй этап возможен только после завершения первого. На втором этапе генерируются данные ключей и происходит согласование используемой политики. После завершения второй фазы формируется второй SA и все данные, подлежащие передаче, шифруются. Именно после второго этапа формируется VPN – туннель и установка считается завершенной.
Одной из основных задач, с которой сталкивается администратор IP-АТС, является её защита от внешних вторжений. Как правило, все IP-АТС закрываются от внешней сети по средствам NAT-ирования и порт-форвардинга, но даже в этом случае, сервер может оставаться незащищенным от порт-сканеров, в частности, открытых SIP-портов 5060 и 5061.
В сегодняшней статье рассмотрим механизмы внутренней защиты IP-АТС Asterisk, доступные в web-интерфейсе Elastix 4. Инструменты, о которых пойдёт речь получили общее название Firewall
Итак, для того, чтобы попасть в модуль, переходим по следующему пути: Security → Firewall, перед нами открывается доступный функционал:
Рассмотрим каждую вкладку
Firewall Rules
В данной вкладке, настраиваются правила разрешающие или запрещающие прохождение трафика к IP-интерфейсам вашей IP-АТС. По умолчанию, Firewall выключен и первое, что необходимо сделать – это активировать его, нажав Activate Firewall. С этого момента, Elastix Firewall , будет контролировать ваши IPTables и все настройки, которые были сделаны вручную до этого – аннулируются.
После активации Firewall, перед нами откроется нумерованный список правил для всех портов, которые может использовать Elastix, а также возможность добавления собственного правила - Add Rule
В качестве примера покажем правило, запрещающее подключаться к нашей IP-АТС по протоколу SIP из некоторой подсети. Допустим мы в логах обнаружили слишком частые запросы из подсети 31.54.0.0/24. Для того, чтобы заблокировать доступ для этой сети, выбираем правило №4 (SIP) и редактируем его следующим образом:
Таким же образом можно заблокировать, например, протоколы, которые вы не используете (часто IAX, MGCP). Также, будет полезно ограничить возможность доступа к web-интерфейсу для всех, кроме администраторов Elastix по таким протоколам как HTTP(порт 80/8080/8088), HTTPS(порт 443), SSH(порт 22), Telnet (порт 23)
Define Ports
В данной вкладке можно настроить номера портов, которые впоследствии можно применить в правилах. Например, как правило, HTTP может использовать два порта 80 и 8080, в интерфейсе же мы видим только порт 80. Добавим его, для этого нажимаем View → Edit добавляем запись 8080 и кликаем Save. Можно добавить только ещё один номер порта.
Port Knocking Interfaces
Ещё один механизм защиты, позволяющий получать доступ к выбранным интерфейсам вашей IP-АТС, только после последовательности подключений к специальным портам. По умолчанию, порт, который вы хотите защитить, будет закрытым, пока на него не поступит последовательность пактов, которая заставит его открыться.
Port Knocking Users
Данная вкладка позволяет настроить механизм Port-Knocking для определенных пользователей и соответствующих портов.