По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Так как технология VoIP базируется на технологии IP и использует Интернет, она так же наследует все её уязвимости. Последствия этих атак, умноженные на уязвимости, которые следуют из особенностей архитектуры сетей VoIP, заставляют задуматься о способах усиления защиты и тщательном анализе существующей сети IP . Более того, добавление любого нового сервиса, например, голосовой почты в недостаточно защищенную инфраструктуру может спровоцировать появление новых уязвимостей.
Риски и уязвимости, наследованные из IP сетей.
Плохой дизайн сети
Неправильно спроектированная сеть может повлечь за собой большое количество проблем, связанных с использованием и обеспечением необходимой степени информационной безопасности в VoIP сетях. Межсетевые экраны, к примеру, являются уязвимым местом в сети, по причине того, что для правильного функционирования VoIP сети необходимо открывать дополнительные порты, и межсетевые экраны, не поддерживающие технологию VoIP, способны просто оставлять открытыми ранее используемые порты даже после завершения вызовов.
Уязвимые IP АТС и шлюзы
Если злоумышленник получает доступ к шлюзу или АТС, он так же получает доступ к захвату целых сессий (по сути – возможность прослушать вызов), узнать параметры вызова и сети. Таким образом, на безопасность АТС необходимо обратить наибольшее внимание. Убытки от таких вторжений могут достигать значительных сумм.
Атаки с повторением пакетов
Атака с повторением пакета может быть произведена в VoIP сети путем повторной передачи серии корректных пакетов, с целью того, что бы приёмное устройство произвело повторную обработку информации и передачу ответных пакетов, которые можно проанализировать для подмены пакетов (спуфинга) и получения доступа в сеть. К примеру, даже при условии зашифрованных данных, существует возможность повторения пакета с логином и паролем пользователем пользователя, и, таким образом, получения доступа в сеть.
Риски и уязвимости, характерные для VoIP сетей
Подмена и маскировка пакетов
Использование подменных пакетов с неправильным IP-адресом источника могут использоваться для следующих целей:
Перенаправление пакетов в другую сеть или систему
Перехват трафика и атака «man-in-the-middle» (рисунок ниже)
Маскировка под доверенное устройство - «Перенос ответственности» за атаку на другое устройство
Фаззинг(Fuzzing) - Нагрузка системы пакетами с не полностью корректной информацией , что вызывает ошибки в работе системы при их обработке, например такие как задержки при работе, утечки информации и полный отказ системы
Сканирование на предмет возможных уязвимостей - Сканирование портов может дать злоумышленнику начальные данные для проведения полноценной атаки, такие как модели операционных систем, типы используемых сервисов и приложений. При нахождении уязвимого сервиса злоумышленник может получить доступ к управлению всей сетью, и, как следствию, к возможности причинить большой ущерб.
Низкая надежность по сравнению с традиционными сетям - Для достижения качественной связи, пакетам, содержащим голосовую и видео нагрузку присваивается высокий приоритет в механизмах качества обслуживания QoS (качества обслуживания). Однако, надежность VoIP и сетей передачи данных стремится к 99,9%, что ниже чем степени надежности в традиционных телефонных сетях, у которых данный параметр стремится к 99,999%. Конечно, разница не столь велика, однако за год эта разница выливается в дополнительные 8.7 часа, во время которых система не работает. Но необходимо понимать, что далеко не каждому предприятию это может повредить.
Атаки DDoS(Distributed Denial of Service) - Атаки DoS и DDoS происходят когда злоумышленник посылает крайне большие объемы случайных сообщений на одно или несколько VoIP устройств из одного или нескольких мест (DoS и DDoS соответственно). Атака из нескольких мест используется с помощью «зомби» - скомпрометированные сервера и рабочие станции, которые автоматически посылают вредоносные запросы в соответствии с потребностями злоумышленника. Успешной такая атака считается в момент, когда количество запросов превышает вычислительную мощность объекта, в следствие чего происходит отказ в обслуживании для конечных пользователей.
VoIP системы особенно уязвимы для таких атак, т.к они имеют высокий приоритет в технологии обеспечения качества обслуживания QoS, и для нарушения их работы требуется меньшее количество трафика нежели для обычных сетей передачи данных. Примером DoS атаки против именно VoIP сети может быть атака при множественной передачи сигналов отмены или установления вызова, которая так же имеет название SIP CANCEL DoS атака.
CID спуфинг - Один из типов атак с подменой пакетов построен на манипуляциях с идентификатором звонящего (Caller ID или CID), который используется для идентификации звонящего до ответа. Злоумышленник может подменить этот идентификатор текстовой строкой или телефонным номером и может использоваться для осуществления различных действий, вредящих сети или владельцу предприятия. Кроме того, в VoIP сетях нет возможности скрыть этот идентификатор, т.к телефонные номера включены в заголовках пакетов в протоколе SIP. Это позволяет злоумышленнику со сниффером пакетов, например tcpdump узнать телефонные номера даже если они имеют параметр «private» у сервисного провайдера.
Заключение - Использование IP-телефонии приносит огромное количество пользы для любой организации – решение на базе VoIP более масштабируемы, легко интегрируемы и их стоимость ниже классических решений. Однако, любая организация, внедрив VoIP решение должна быть в курсе возможных угроз и предпринимать всевозможные усилия для увеличения степени информационной безопасности в сети. Были перечислены лишь некоторые методы атак, но необходимо понимать, что часто используются комбинации атак и практически ежедневно разрабатываются новые атаки. Но понятно уже сейчас, что за данной технологией будущее и она вряд ли уступит пальму первенства другой технологии в обозримом будущем.
QoS это возможность сети обеспечить специальный уровень обслуживания для конкретных пользователей или приложений без ущерба остальному трафику. Главная цель QoS это обеспечение более предсказуемого поведения сети передачи данных при работе с тем, или иным типом трафика, путем обеспечения необходимой полосы пропускания, контролем над задержкой и джиттером и улучшением характеристик при потере пакетов. Алгоритмы QoS достигают этих целей путем ограничения трафика, более эффективным использованием каналов передачи, и назначением тех или иных политик к трафику. QoS обеспечивает интеллектуальную передачу поверх корпоративной сети, и, при правильной настройке, улучшает показатели производительности.
Политики QoS
Тип трафика
QoS
Безопасность
Когда?
Голос
Задержка меньше 150 мс в одну сторону
Шифрование на уровне передаче голоса
Понедельник - Пятница
Система планирования ресурсов предприятия
Обеспечение доступной полосы пропускания минимум 512 кб/с
Зашифрован
24 часа в сутки, 7 дней в неделю, 365 дней в году
Трафик, создаваемый программным обеспечением станков и оборудования
Обеспечение доступной полосы пропускания минимум 256 кб/с
В открытом виде
Понедельник - Пятница
Трафик от использования интернет ресурсов HTTP/HTTPS
Негарантированная доставка по принципу Best Effort
HTTP прокси сервер
Понедельник – Пятница, с 8 утра до 9 вечера.
Осуществление QoS в сетях унифицированных коммуникаций
Условно, процесс осуществления QoS в сетях Unified Communications (унифицированных коммуникаций), можно разделить на 3 этапа:
Определение типа трафика в сети и его требований. На данном этапе необходимо научить сеть определять типы трафика чтобы применять к ним те или иные QoS алгоритмы;
Сгруппировать трафик в классы с одинаковыми требованиями QoS. Например, можно определить 4 типа трафика: голос, высоко – приоритетный трафик, низко – приоритетный трафик и трафик от пользования браузером для просмотра WEB страниц;
Назначить политики QoS, применяемые к классам, определенным в п.2.
В современных корпоративных сетях, голосовой трафик всегда требует минимальную задержку. Трафик, который генерируют критически важные для бизнеса приложения требует маленькой задержки (например, информация, относящаяся к банковскому обслуживанию). Другие типы информации могут быть не так чувствительны к задержкам, например, передача файлов или электронная почта. Обычное использование интернета в личных целях на работе может быть так же ограничено или даже запрещено.
Согласно указанным принципам, можно условно выделить три QoS политики:
Без задержки: Присваивается в голосовому трафику;
Лучшее обслуживание: Присваивается к трафику с наивысшим приоритетом;
Остальное: Присваивается к низко – приоритетному и трафику web – браузеров;
Шаг 1: Определение типа трафика
Первым шагом на пути к осуществлению QoS является идентификация типов трафика в сети и определение конкретных требований каждого из типов. Перед осуществлением QoS, настоятельно рекомендуется провести аудит сети, чтобы полностью понимать как и какие приложения работают в корпоративной сети. Если осуществить политики QoS не имея полного понимания корпоративного сегмента сети, то результаты могут быть плачевными.
Далее, необходимо определить проблемы пользователей при работе с теми или иными сетевыми приложениями: например, приложение медленно работает из-за чего имеет плохую производительности работы. Необходимо измерить сетевой трафик в часы наибольшей нагрузки, используя специальные утилиты. Для понимания процессов в сети, необходимым шагом является измерение загрузки процессора каждого из единиц активного сетевого оборудования в период наибольшей загруженности, чтобы четко знать, где потенциально могут возникать проблемы.
После этого, необходимо определить бизнес цели и модели работы и составить список бизнес – требований. По итогам этих действий, каждый из пунктов списка можно сопоставить с тем или иным классом трафика.
В конце, необходимо определить уровни обслуживания которые требуются для различного вида трафика в зависимости от требуемой доступности и быстродействия.
Шаг 2: Сгруппировать трафик в классы
После идентификации сетевого трафика, необходимо использовать список бизнес требований, составленный на первом этапе, чтобы определить классы трафика.
Голосовой трафик всегда определяется отдельным классом. Компания Cisco имеет разработанные механизмы QoS для голосового трафика, например, Low latency queuing (LLQ) , цель которого заключается в контроле за тем, чтобы голос получал преимущество в обслуживании. После того как определены наиболее критичные приложения, необходимо определить классы трафика использую список бизнес требований.
Не каждое приложение имеет свой собственный класс обслуживания. Довольно много приложений с похожими требованиями к QoS группируются вместе в единый класс.
Пример классификации трафика
Типичный корпоративный ландшафт определяет 5 классов трафика:
Голос: Наивысший приоритет для трафика VoIP;
Критически важные: Небольшой набор критически важных для бизнеса приложений;
Транзакции: В данном классе присутствуют сервисы баз данных, интерактивный трафик и привилегированный сетевой трафик ;
Негарантированная доставка: Работает по принципу Best Effort, что дословно переводится как «лучшее усилие». В данный класс можно отнести интернет трафик и e-mail.
Шаг 3: Сгруппировать трафик в классы
Третьим шагом необходимо описать политики QoS для каждого из классов трафика, которые включают следующие действия:
Назначить минимальный размер гарантированной полосы пропускания;
Назначить максимальный размер полосы пропускания;
Назначить приоритеты для каждого из классов;
Использовать QoS технологии, такие как алгоритмы контроля очередей для управления перегрузками.
Рассмотрим на текущем примере определение политик QoS для каждого из классов:
Голос: Доступна полоса пропускания – 1мбит/с. Использовать метку Differentiated Services Code Poin (DSCP) со значением EF [7]. Метка EF (Expedited Forwarding) означает то, что пакеты с таким маркером получают приоритет в очереди согласно принципу наименьшей задержки. Дополнительно используется алгорит LLQ;
Критически важные: Минимальная полоса пропускания – 1мбит/с. Использовать метку Differentiated Services Code Poin (DSCP) со значением AF31 (метка в поле DSCP 011010), что обеспечивает наименьшую вероятность отбрасывания пакета. Параллельное использование алгоритма CBWFQ гарантирует необходимую полосу пропускания для маркированного трафика;
Негарантированная доставка: Максимальная полоса пропускания – 500кбит/с. Использовать метку Differentiated Services Code Poin (DSCP) со значением Default (метка в поле DSCP 000000), что обеспечивает обслуживание по умолчанию. Алгоритм CBWFQ обеспечивает «доставку по возможности», которая ниже по приоритету классов «Голос» и «Критически важные».
В октябре прошлого годы мы опубликовывали статью с обзором Windows Admin Center. На тот момент это была версия 2009 сборки 1.2.2009.21002. На текущий момент в нем обновились некоторые расширения.
С появлением предварительной версии Windows Server 2022 Preview, компания Microsoft выпускает новый Windows Admin Center Preview Build 2012 показывая этим, что продукт развивается и управление Windows системами будет происходить с помощью этого инструмента. Скачать его можно с сайта предварительной оценки Windows. Рассмотрим новые возможности версии Admin Center Preview.
Загрузка Windows Admin Center Preview 2012
Для получения возможности скачать Admin Center, нужно быть участником программы предварительной оценки Windows. На странице загрузки генерируется ссылка, по которой в течении ограниченного времени вы можете скачать данный продукт.
Новые возможности Windows Admin Center Preview 2012
В списке ниже указаны некоторые основные обновления функциональности:
Значительное улучшение производительности
Обновленная платформа
Обновленные компоненты Windows Admin Center
Новые возможности графического процессора
Добавлены функции безопасности
Обновленная работа с кластерами
Решения по обновлению
Secret feature …
Улучшена производительность
В этом выпуске Microsoft обновила Windows Admin Center для использования HTTP/2. Графический интерфейс WAC стал более отзывчивым. Переход между компонентами также стал выполняться гораздо быстрее.
Обновленная платформа
Обновлена платформа, Microsoft отмечает, что в этом выпуске процесс входа в Azure значительно улучшился.
Обновленные компоненты Windows Admin Center
В этой версии многие компоненты и расширения были улучшены и обновлены.
Список компонентов, которые претерпели изменения:
Azure File Sync – более надежная работа
Files and File sharing – исправлены ошибки при копировании/вставки в панели инструментов
Cluster Manager – возможность зарегистрировать кластер в облаке Azure и изменять параметры
Storage Migration – обновление пользовательского интерфейса. Добавлены новые функции
Storage Migration Service - общее обновление компонента
Storage Replica – просмотр статуса репликации. Исправлены общие ошибки
Virtual Machines – появился режим изоляции сети при создании виртуальной машины, исправлены ошибки и улучшена производительность
Windows Update – исправлены ошибки, связанные с запуском по расписанию
Новые возможности графического процессора
В этом выпуске WAC 2012 появился инструмент, связанный с графическим процессором. Это возможность назначать графический процессор конкретным виртуальным машинам. Этот новый инструмент находится в предварительной версии и должен быть включен в Insider Preview в Windows Admin Center. Даже если вы установите новый инструмент, вы не увидите расширение.
Новые функции безопасности
В Windows Admin Center Preview 2012 появилась новая функция безопасности, которая в настоящее время находится в предварительной версии. Добавляется новый раздел о безопасности операционной системы. В нем перечисляется ряд возможностей, связанных с безопасностью. На данный момент расширение обеспечивает защиту от вирусов и других угроз.
Stretched Cluster
С помощью Stretched Cluster Azure предоставляет решение для аварийного восстановления, которое обеспечивает автоматическое переключение при отказе. Инструмент создания кластера теперь называется GA и предоставляет возможность выбора развертывания на одном сайте или на нескольких сайтах в «растянутом» кластере. Он может автоматически подготавливать сайты на основе сайтов и служб Active Directory.
Решения по обновлению
Ответ Microsoft на продукт vSphere Lifecycle Manager от компании VMware. Возможность выполнять обновления драйверов и микропрограмм напрямую от производителей оборудования. Это позволит и минимизировать время простоя в результате обновления программного обеспечения.
Secret Feature
Microsoft добавила в Windows Admin Center Preview 2012 возможность открывать окна инструментов WAC в новом окне. Для этого сначала нужно включить эту функцию в параметрах разработчика, добавив так называемый «Ключ для экспериментов» - msft.sme.shell.popouts. После добавления нажать кнопку «Сохранить и перезагрузить». Затем при наведении указателя мыши на имя компонента вы увидите новую всплывающую кнопку.
Добавление расширений
Имеется возможность добавить расширения из версии Windows Admin Center «Insider Preview». Чтобы их включить нужно добавить следующий адрес https://aka.ms/wac-insiders-feed в поле «Неопубликованные расширения» и нажать кнопку «Сохранить и перезагрузить».
Заключение
В этой статье рассмотрели новые функции Windows Admin Center Preview 2012, которые появились в этой предварительной версии. Имеются явные улучшения, обновления, особенно в области общей производительности, обновления функций. Появление нового функционала показывает то, что компания Microsoft планирует улучшать и развивать данный продукт.