По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата- это WEP. В прошлых статьях мы узнали, что WEP является устаревшим средством защиты данных и его использование не рекомендовано. Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?
TKIP
В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим. На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).
TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:
MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
MAC-адрес отправителя: MIC также включает MAC-адрес отправителя в качестве доказательства источника кадра.
Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.
Более длинный вектор инициализации (IV): размер IV удваивается с 24 до 48 бит, что делает практически невозможным перебор всех ключей WEP путем использования метода вычисления brute-force.
До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i. Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.
CCMP
Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. CCMP состоит из двух алгоритмов:
AES шифрование в режиме счетчика
Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)
Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире. Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.
Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. CCMP нельзя использовать на устаревших устройствах, поддерживающих только WEP или TKIP. Как определить, что устройство поддерживает CCMP? Ищите обозначение WPA2.
GCMP
Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP. GCMP состоит из двух алгоритмов:
AES шифрование в режиме счетчика
Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.
WPA, WPA2 и WPA3
На сегодняшний день существует три метода шифрования WPA: WPA, WPA2 и WPA3. Беспроводные технологии тестируются в официальных испытательных лабораториях в соответствии со строгими критериями.
Альянс Wi-Fi представил первое поколение сертифицированную WPA (известную просто как WPA, а не WPA1), в то время как поправка IEEE 802.11i для совершенных методов обеспечения безопасности все еще разрабатывалась. WPA была основана на части стандарта 802.11i и включала аутентификацию 802.1x, TKIP и метод динамического управления ключами шифрования.
Как только 802.11i был ратифицирован и опубликован, WiFi Alliance включил его в полном объеме в свою сертификацию WPA Version 2 (WPA2). WPA2 основан на превосходных алгоритмах AES CCMP, а не на устаревшем TKIP от WPA. Очевидно, что WPA2 был разработан взамен WPA.
В 2018 году Альянс Wi-Fi представил версию WPA3 в качестве замены WPA2, добавив несколько важных и превосходных механизмов безопасности. WPA3 использует более сильное шифрование AES с помощью протокола Galois/Counter Mode Protocol (GCMP). Он также использует защищенные кадры управления (PMF) для защиты кадров управления 802.11 между точкой доступа и клиентами, чтобы предотвратить несанкционированный доступ и нарушение нормальной работы BSS.
Обратите внимание, что все три версии WPA поддерживают два режима проверки подлинности клиента: предварительный общий ключ (PSK) или 802.1x, в зависимости от масштаба развертывания. Они также известны как личный режим и режим предприятия, соответственно.
В данной статье речь пойдёт о способах и алгоритмах настройки VoIP шлюза для осуществления звонков с офисных телефонных аппаратов, имеющихся в офисе, через сеть IP.
В настоящее время подавляющее большинство современных компаний имеют телефонную связь. Какие-то компании уже открыли для себя преимущества, открывающиеся благодаря VoIP телефонии, каким-то только предстоит это сделать. Очень распространена ситуация, когда в компании уже имеются средства традиционной (аналоговой или цифровой) телефонной связи и переоснащение всего офиса новыми IP телефонами получается довольно дорогостоящим. В таких ситуациях на помощь приходят межсетевые VoIP шлюзы.
Межсетевой шлюз VoIP – это устройство предназначенное для сопряжения сетей традиционной телефонии с пакетной сетью передачи данных, в качестве которой выступает Интернет. Такое сопряжение достигается благодаря аппаратным и программным возможностям шлюзов, а именно преобразованием трафика из одного типа сетей в другой. Аппаратное исполнение VoIP шлюза различается по типу телефонного стыка, на цифровые (E1/T1, ISDN) и аналоговые (FXO, FXS).
Организовать телефонную связь через голосовой шлюз предлагают провайдеры IP телефонии, которые предоставляют услуги связи по протоколу SIP через сеть Интернет.
При такой схеме реализации создаётся, так называемый, SIP - транк (trunk), являющийся по сути телефонной линией, которая устанавливается через сеть Интернет по средствам протокола SIP. SIP провайдер, при помощи данного протокола, даёт компании - клиенту множество голосовых каналов.
После заключения договора с оператором VoIP, остаётся только настроить голосовой шлюз, это является основной и самой объёмной работой на пути к обеспечению компании качественной IP телефонией.
Рассмотрим настройку подключения аналогового телефона к пакетной сети на простейшем примере, когда в офисе имеется всего один аналоговый телефонный аппарат и голосовой шлюз компании AddPac. По командной консоли устройства AddPac очень напоминают Cisco, поэтому, конфигурация приведённая ниже отлично подойдёт для понимания процесса настройки.
Сперва следует настройка сетевых параметров шлюза и маршрутизации.
Gateway# configure terminal
Gateway(config)#interface FastEthernet 0/0
Gateway(config-if)# ip address 192.168.0.11 255.255.255.0
Gateway(config-if)# exit
Gateway(config)# ip route 0.0.0.0 0.0.0.0 192.168.0.1
Далее настройка диал-пиров (dial-peer) и маршрутов. Диал-пиры определяют параметры, направление и участников соединения. В нашем случае, необходимо настраивать диал-пиры в два направления, в сторону аналогового порта и в сторону SIP провайдера.
Диал-пир в сторону аналогового порта:
Gateway(config)# dial-peer voice 0 pots
Gateway(config-dialpeer-pots-0)#destination-pattern [ID, выданный SIP провайдером]
Gateway(config-dialpeer-pots-0)#port 0/0
Gateway(config-dialpeer-pots-0)#exit
Gateway(config)# dial-peer voice 1 pots
Gateway(config-dialpeer-pots-1)#destination-pattern [ID, выданный SIP провайдером]
Gateway (config-dialpeer-pots-1)#port 1/0
Gateway(config-dialpeer-pots-1)#exit
Создание диал-пира в сторону SIP провайдера:
Gateway(config)#dial-peer voice 100 VoIP
Gateway(config-dialpeer-VoIP-100)#destination-pattern T
Данная команда означает что этот dial-peer будет соответствовать любому номеру
Gateway(config-dialpeer-VoIP-100)#session target sip-server
Команда, указывающая адрес SIP-сервера.
Gateway(config-dialpeer-VoIP-100)#session protocol sip
Команда, указывающая шлюзу по какому протоколу устанавливать соединение, в данном случае SIP
Gateway(config-dialpeer-VoIP-100)#voice-class codec 0
Настройка приоритизации используемых кодеков
Gateway(config-vclass-codec#0)# codec preference 1 g711alaw
Gateway(config-vclass-codec#0)# codec preference 2 g729
Gateway(config-dialpeer-VoIP-100)# no vad
Команда, включающая принудительное подавление тишины
Gateway(config-dialpeer-VoIP-100)#exit
Настройка SIP UA (User Agent) для подключения к поставщику услуг
Gateway(config)# sip-ua
Gateway(config-sip-ua)# sip-username [ID, выданный SIP провайдером]
Gateway(config-sip-ua)# sip-password ******* [Password, выданный SIP провайдером]
Gateway(config-sip-ua)# sip-server [адрес SIP-сервера]
Gateway(config-sip-ua)# srv enable
Команда, позволяющая серверу определять местоположение (имя хоста и номер порта) для определенных служб. Является стандартом DNS Service Record
Gateway(config-sip-ua)#register e164
Команда для отдельной регистрации телефонных портов на сервере. Позволяет настраивать маршрутизацию звонков индивидуально для каждого порта.
Gateway(config-sip-ua)#exit
Router#write
После проведённых действий можно звонить с аналогового аппарата, имеющегося в офисе на любые телефонные номера через SIP провайдера. Входящие звонки извне будут поступать на порт 0/0 или 1/0, в случае недоступности первого.
Конфигурация, приведённая выше является простейшим примером. В реальности же включается дополнительный функционал и опции, например настройка переадресации или удержания звонка, телефонная сеть офиса может быть выделена в отдельный VLAN, а голосовой трафик иметь множество механизмов приоритизации.
Специалисты нашей компании имеют большой опыт в настройке и устранении проблем VoIP шлюзов. Если Вы решили модернизировать старую или с нуля разворачиваете телефонную сеть для своего офиса – доверьте это дело высококвалифицированным сотрудникам нашей компании.
Привет, бро! В статье расскажем в чем разница между RIPv1 (Routing Information Protocol Version 1) и его продолжение RIPv2. Погнали?
Про Routing Information Protocol Version 1 (RIPv1)
Прямо и по пунктам:
RIPv1 это Distance-Vector протокол. Если переводить на русский - дистанционно-векторный. ;
Distance vector routing - так называемая дистанционно-векторная маршрутизация, главный принцип которой основан на вычислении специальных метрик, которые определяют расстояние (количество узлов) до сети назначения
RIPv1 это classfull протокол. Это означает, что он не отправляет маску подсети в апдейтах маршрутизации;
RIPv1 не поддерживает VLSM (Variable Length Subnet Masking);
VLSM (Variable Length Subnet Masking) - метод эффективного использования IP – адресации, который избавляет от привязки к классу сети (класс A, класс B, класс C). VLSM позволяет дробить подсеть на подсеть и так далее. Тем самым, мы можем эффективно использовать адресное пространство согласно реальных потребностей, а не класса сети;
RIPv1 поддерживает максимум 15 хопов! Это означает, что любой маршрутизатор, который расположен от вас в больше, чем 15 узлов (маршрутизаторов) будет отмечен как недоступный;
Раз в 30 секунд RIPv1 отправляет широковещательные апдейты маршрутизации – каждый узел должен принять и обработать этот апдейт;
Первая версия RIP не поддерживает авторизация апдейтов маршрутизации – это означает, что потенциально, роутер может обновить таблицу маршрутизации от любого источника;
Вот такой он, RIP первой версии. Двигаем дальше и посмотрим, а на что способен его брат – RIP второй версии?
Про Routing Information Protocol Version 2 (RIPv2)
RIPv2 это гибридный протокол. Он реализован на базе Distance-Vector, но так же поддерживает часть алгоритмов Link State маршрутизации, то есть, может отслеживать состояние каналов;
Link State routing - отслеживает состояние каналов и отправляет LSA (Link-state advertisement) пакеты, в которых рассказывает о состоянии своих каналов. Примером link state протокола маршрутизации является OSPF
RIPv2 - classless протокол. В отличие от своего старшего брата первой версии, второая версия умеет отправлять маску подсети в апдейтах маршрутизации;
RIPv2 поддерживает VLSM!;
RIPv2, как и RIPv1 поддерживает максимум 15 хопов;
RIPv2 отправляет мультикаст сообщения об апдейтах на адрес 224.0.0.9. Это уменьшает нагрузку на сеть и в первую очередь на узлы, на которых не запущен RIP;
Вторая версия RIP поддерживает аутентификацию апдейтов маршрутизации. Это значит, что теперь нельзя будет подсунуть ложный апдейт роутеру (в целом, этим могли пользоваться злоумышленники) – только авторизированные источники;