Транспортные и мультисервисные системы и сети связи.-1

для связи между IP PBX Asterisk и устройствами RN. Таким образом, для защиты сети был выбран продукт Ranch Networks RN310, который позволяет организовать до 12 зон безопасности и поддерживает 132 полнофункциональных межсетевых экранов.

Итак, что же представляет собой МСЭ RN310 для нашей сети? МСЭ RN310 – это устройство экспертного уровня, которое может выполнять фильтрацию на всех уровнях модели OSI, имеет до 132 независимых полнофункциональных МСЭ с запоминанием состояния, поддерживает списки доступа ACL и VPN-шифрование, скрывает IP-адреса внутренней сети (NAT) и порты приложений (PAT), обеспечивает обнаружение распространенных атак.

В качестве примера, первоначально разобьем ЛВС на три виртуальные зоны безопасности: зона 1 – представляет собой виртуальную локальную сеть, являющуюся частью всей сети ЛВС, зона 2 – является также VLAN и включает в себя удаленное крыло, и зоной 3 – будет являться Интернет. Впоследствии при установке RN310 в зависимости от структуры предприятия и его политики безопасности заказчик сам разобьет сеть на то количество зон, которое этому предприятию необходимо, а также определит специфику этих зон: физической или виртуальной она будет. Разбиение на зоны осуществляется исходя из бизнес-логики конкретной компании.

RN310

Коммутатор

Рис. 24. Логическое изображение продукта RN310 для сетевой топологии с 3-мя зонами безопасности

На этом рисунке зона 1 и 2 во внутренней сети олицетворяют LAN, зона Интернета во внешней сети – WAN. Как видно каждый пакет следует из любой зоны в любую зону, проходя через полнофункциональный firewall с запоминанием состояния. Это означает, что каждая сессия TCP/UDP или ICMP будут терминироваться и затем передаваться как новая сессия TCP/UDP или ICMP в другую зону. Это произойдет даже между зонами 1 и 2, которые относятся к внутренней сети. Такая функциональность полнофункциональных МСЭ дает пользователям следующие преимущества:

283

Безопасность

Если вирус или хакер будут атаковать зону 1, к примеру, используя SYN, FIN, ICMP/UDP затопление, «Ping of Death», или другие хорошо известные типы атак, все зоны будут защищены, потому что эти атаки будут отражены межсетевым экраном МСЭ1. Другими словами, весь входящий трафик из зоны 1 в устройство RN310 будет проверен точно так же, как если бы это был трафик из зоны Интернет. Следует отметить, что атака на зону 1 никак не повлияет на трафик между зоной 2 и Интернет зоной. Таким образом, устройство RN310 c зонами безопасности будет защищать от атак, зловредных кодов и вирусов даже маленькие части корпоративной сети клиента.

Пассивные вирусы или шпионское программное обеспечение обычно прослушивают сеть, собирая информацию о хостах, серверах и трафике на сети, затем посылают во внешнюю сеть всю собранную информацию. Поскольку все сессии между зонами обрабатываются полнофункциональными МСЭ в устройстве RN310, пассивные вирусы или шпионские программы будут не в состоянии отсылать информацию о всей сети – только об инфицированной зоне. Для примера, если такая шпионская программа работает на хосте в зоне 1, то он не сможет послать информацию о хостах и других активных членах зоны 2. Если в зоне 2 имеется секретная информация, то она не станет известна хакерам. Так как зона безопасности может быть сколь угодно малой, вплоть до одного хоста или сервера, то устройство RN310 может полностью защитить внутри сетевых пользователей и ресурсы от такого рода угроз.

NAT (Network Address Translation)

Используя концепцию зон безопасности RN310 может реализовать множественные преобразования сетевых адресов (NAT) с полнофункциональными МСЭ между ними. В данном случае активизировано 3 full NAT – из зоны 1 в Интернет, из зоны 2 в Интернет и из зоны 1 в зону 2. Предположим, что в организации есть «плохой сотрудник», который хочет атаковать внутренние сервера. Если использован full NAT между зоной 1 и зоной 2, то «плохой сотрудник» из зоны 1 не узнает реальных IP адресов серверов. Таким образом, как бы не пытался «плохой сотрудник» из зоны 1 получить доступ серверам, он получит IP адрес в зоне 1 и не реальный IP адрес сервера в зоне 2. Даже если «плохой сотрудник» имеет физический доступ к серверам, он не сможет идентифицировать искомый сервер, особенно, если число серверов в зоне 2 велико.

Описанная выше функциональность full NAT возможна, только благодаря продукту RN300 c зонами безопасности и полнофункциональными МСЭ между ними.

Регистрация

Поскольку продукт RN310 имеет зоны безопасности с полнофункциональными МСЭ между ними, все устройства RN310 проверяют TCP/UDP/ICMP соединения. Фактически это позволяет регистрировать события безопасности, такие как SYN, FIN, ICMP/UDP затопление, «Ping of Death» или другие известные типы атак из внутренних или внешних Зон.

Управление Полосой Пропускания

Реализован точный и «мелкозернистый» контроль над полосой пропускания (основанный не только на QoS), используя полнофункциональные МСЭ между зонами безопасности. Полнофункциональный МСЭ на каждую зону функционирует, как независимый источник исходящего или входящего трафика из/в любую другую зону. Можно быть уверенными, что используемые в устройстве RN310 контракты для управления полосой пропускания, будут функционировать корректно.

Например, полнофункциональный межсетевой экран МСЭ1 зоны 1 посылает только разрешенные сессии полнофункциональному межсетевому экрану МСЭ2 зоны 2. Тогда, количество трафика, отправленного из зоны 1 в зону 2 будет контролироваться определѐнным «исходящим контрактом» межсетевого экрана МСЭ1. Количество исходящего трафика будет всегда правильным, поскольку состоит только из проверенного трафика (который не

284

содержит вирусов). В тоже время, объем трафика, который принимает МСЭ2 от МСЭ1 и МСЭ3 (зона Интернет) контролируется «входящими контрактами» МСЭ2, и, так как оба потока тщательно проверены, то «исходящие контракты» зоны 2 тоже верны.

Объединив Asterisk и RN310 мы осуществляем технологию безопасности ―по требованию‖ (security-on-demand) для VoIP соединений. В этом случае Asterisk сообщает RN300, какие правила необходимо добавить в межсетевой экран для данного VoIP соединения. Такие правила будут создаваться для каждого VoIP соединения, прошедшего через устройство RN310. Это означает, что каждый запрос на установление VoIP соединения будет обработан динамически - правила межсетевого экрана (которые разрешают прохождение голосового трафика), будут созданы, когда это необходимо и удалены сразу после окончания разговора.

Таким образом, объединение Asterisk и RN310 это лучший способ обеспечить безопасность VoIP переговоров.

Следующий рисунок 25 представляет сценарий установления соединения.

Рис. 25. Сценарий установления соединения

1.Абонент В посылает сообщение INVITE серверу Asterisk.

2.Asterisk посылает запрос RN300 на установление правил для абонента В.

3.RN310 создает правила установления соединения для абонента В.

4.Далее Asterisk посылает сообщение INVITE абоненту А для установления соединения с абонентом В.

5.Если вызываемый пользователь ответил на звонок, то на запрос INVITE высылается ответ

OK.

6.Asterisk посылает запрос RN300 на установление правил для абонента А.

7.RN310 создает правила установления соединения для абонента А.

8.Asterisk посылает сообщение INVITE абоненту В для установления соединения с абонентом

А.

285

9.Вызывающий пользователь отправляет сообщение ACK, сообщающее Asterisk о том, что он получил ответ на свой запрос INVITE, им задаются окончательные параметры соединения. На этом этапе все готово к установлению соединения по протоколу RTP (Real-time Transport Protocol).

10.RN310 создает RTP мост внутри себя для передачи RTP трафика между абонентами А и В.

11.Устанавливается RTP-соединение с заранее согласованными параметрами.

12.Для завершения соединения, завершающим пользователем (кладет трубку) высылается запрос BYE, на которое высылается ответ OK.

13.Asterisk посылает запрос на удаление правил для данного соединения.

Как показано на рисунке, устройство RN310, работая в паре с Asterisk IP АТС, создает и удаляет правила в межсетевом экране. Также, RN устройство создает RTP мост внутри себя, что разгружает IP АТС и дает возможность Asterisk обрабатывать большее количество звонков в единицу времени.

Как уже было сказано выше, RN310 поддерживает механизм аутентификации IEEE802.1X. Network Login обеспечивает защиту при подключении пользователей к сети. В устройства RN встроен собственный RADIUS сервер. Средства предотвращения вторжений защищают сеть и отклоняют все пакеты от неавторизованных пользователей.

Проктокол 802.1X

Протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» - то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.

IEEE 802.11x определяет три основных компонента в сетевом окружении: Саппликант (supplicant) – объект, которому необходима аутентификация.

Сервер аутентификации (authentication server) – объект, обеспечивающий службы аутентификации. В стандарте четко не определено, что должно выступать в качестве сервера аутентификации, но, как правило, им является сервер RADIUS (Remote Access Dial In User

Service).

Аутентификатор (authenticator) – объект на конце сегмента "точка-точка" локальной вычислительной сети, который способствует аутентификации объектов. Другими словами, это устройство-посредник, располагаемое между сервером аутентификации и саппликантом. Его роль выполняет Asterisk IP PBX.

Аутентификатор создает логический порт для устройства саппликанта. Этот логический порт имеет два тракта прохождения данных: неконтролируемый и контролируемый. Неконтролируемый порт позволяет проходить через тракт всему трафику аутентификации. Контролируемый тракт блокирует прохождение трафика до тех пор, пока не будет осуществлена успешная аутентификация клиента.

RADIUS - сервер

RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер

Для того, чтобы пользователи проектируемой сети имели разграниченный доступ (в зависимости от логина и пароля), а также для того, чтобы избежать атак извне, необходимо иметь отдельный сервер авторизации (ААА-сервер).

В качестве такого сервера, в нашей сети будет выступать RADIUS сервер.

На данный момент существует большое множество RADIUS серверов, реализованных как программно, так и аппаратно. Большинство из них – это коммерческие продукты [1].

Ниже приведен рисунок 26, на котором показан механизм авторизации.

286

1. Пользователь обращается к RADIUS-серверу за авторизацией: WWW браузер направляется на RN310 IP interface для данной зоны. Если IP, к примеру, равно 192.168.168.1

то URL строка будет такая: http:// 192.168.168.1.

2.RADIUS–сервер отвечает пользователю страницей на которой предлагается ввести имя и пароль для авторизации.

3.Пользователь вводит требуемую информацию, и она отсылается на RADIUS-сервер.

4.На основании полученной информации RADIUS-сервер проверяет имя и пароль. Если есть несоответствие полученной и хранимой информации, то запрос на авторизацию аннулируется, и пользователь получает (в окне браузера) сообщение об отказе. В этом случае пользователь не сможет выйти за пределы своей зоны. В положительном случае RADIUSсервер авторизует пользователя, и пользователь получает (в окне браузера ) сообщение об успешной авторизации. В этом случае пользователь получает права доступа к сети в соответствии с правилами безопасности, которые были сконфигурированы для него.

5.Направление сетевого потока от авторизированного пользователя (который направлен в другие зоны безопасности) будет регулироваться согласно правилам безопасности установленным для этого пользователя в security profile.

287

Врезультате, используя rонцепцию «Зон Безопасности», мы имеем следующее:

1.Сеть IP-телефонии разбита на 3 зоны безопасности с собственными независимыми профилями безопасности для каждой зоны.

Как было сказано выше, устройство RN310 поддерживает до 5 таких зон, разделенных между собой полнофункциональными МСЭ. Правила МСЭ могут быть установлены на 2-ом, 3-ем,4-ом и 7-ом уровнях модели OSI. Доступны все возможности NAT. В несанкционированной попытке доступа к зоне или IP – адресу будет отказано так же, как и в такой попытке из зоны или IP–адреса.

При установке RN300 в НПФ «Микран» заказчик сам определит количество зон которое ему необходимо и их структуру в зависимости от бизнес-логики этой компании.

2.Защита от DoS, SYN – атак, ICMP затоплений обеспечивается между каждой парой защищенных зон.

3.Аутентификация для входа или выхода из зоны безопасности. Это означает, что ни один пакет не пройдет через устройство RТ310, до тех пор, пока пользователь в первый раз не введет логин и пароль. Однажды аутентифицированный, он получит доступ только к той области корпоративной сети, к которой он имеет авторизацию.

4.RN310 автоматически или вручную, благодаря зонам безопасности, может изолировать внезапно возникшие проблемные места.

5.Ограничение полосы пропускания будет настроена для каждой зоны.

6.Качество обслуживания (QoS) (имеется в виду управление полосой пропускания)

1.Гарантированная, минимальная, максимальная и групповая полоса пропускания может быть выделена на основании зоны отправителя/получателя, IP – адреса (группы), MAC – адреса, номера порта (группы). Таким образом, возможна приоритезация трафика по пользователю или по приложению внутри входящего/исходящего потока.

2.Полоса пропускания может быть выделена как статически (конкретное значение), так и динамически (разделяемую полосу использовать по требованию, нечто близкое к Frame

Relay).

Устройство RN310 имеет полнофункциональные МСЭ с запоминанием состояния на каждую зону безопасности для проверки TCP/UDP/ICMP соединений. Каждому соединению (потоку) МСЭ назначает выделенную полосу пропускания, и затем создаются очереди для каждого потока. Количество поддерживаемых соединений в RN310 равно 50000, а в нашем случае максимальное количество соединений поддерживаемых сервером всего 240. Это значит, что логически и физически 240 очередей могут быть созданы в памяти устройства

RN310.

Провайдер IP-телефонии - SIPNET

Как уже говорилось выше (п.2) IP-телефония позволяет существенно сократить расходы на междугородные и международные переговоры. Чтобы использовать эту возможность, необходимо подключиться к провайдеру IP-телефонии.

Можно выделить два наиболее популярных варианта подключения к провайдерам междугородной и международной телефонии:

Через ТФОП (Телефонная сеть Общего Пользования) - при подключении пользователь набирает "городской" номер сервера IP-телефонии провайдера, проходит аутентификацию (по pin-коду) и набирает нужный ему номер. Чтобы пользоваться IPтелефонией по этой схеме, достаточно иметь обычный городской номер.

Через программные (в том числе и бесплатные) и аппаратные IP-телефоны. Российских провайдеров IP-телефонии довольно много. Один из популярных провайдеров IPтелефонии, поддерживающих протокол SIP является SIPNET [8].

288

SIPNET — является российским провайдером IP-телефонии.

SIPNET — это сеть Интернет-телефонии нового поколения, в которой реализованы последние достижения в области инфокоммуникаций, обеспечивающие эффективный обмен голосовой

телефонного номера этот номер не зависит от городских телефонных сетей, междугородных и международных линий связи и будет работать в любом месте, где есть Интернет.

В сети SIPNET реализована система интернет-пейджинга. За каждым пользователем автоматически закрепляется E-mail адрес, который также является его персональным идентификатором и по которому можно отправить мгновенные текстовые и голосовые сообщения или организовать сеанс голосовой связи.

Все пользователи SIPNET получают возможность:

Персонально настроить стоимость и качество по любому направлению (настройка маршрутизации);

Заказать соединение двух абонентов в любых точках мира;

Переадресовать входящие звонки с SIP ID на любое абонентское устройство;

Анализировать статистику совершенных соединений и управлять всеми сервисами SIPNET в Личном кабинете в режиме on-line.

Для подключения к сети SIPNET можно использовать любое сертифицированное SIP- оборудование или компьютер с программным SIP-телефоном.

Интернет-телефония SIPNET обеспечивает высокое качество передачи голоса и конфиденциальность соединений, а также возможность осуществлять настройки соединений по цене, качеству и другим параметрам.

Пополнить счет можно через мобильный кошелек Билайн, Яндекс.Деньги, WebMoney. Наличные можно внести в платежных терминалах ОСМП, Кредит-пилот, Dixis и в отделениях Сбербанка (нужно предварительно распечатать квитанцию). Перевести платеж с банковской карты (Visa, Eurocard/MasterCard) можно при помощи системы КиберПлат.

Подключение и оплата услуг

Подключение к SIPNET — бесплатное. Более того, после подключения на вашем счѐту уже будет находиться 1 у.е.

Самый простой путь подключится к SIPNET купить гарнитуру, бесплатно установить на свой компьютер один из программных телефонов и пройти регистрацию в SIPNET. Подключение к SIPNET компьютера с программным телефоном минимизирует начальные расходы — сегодня это самый популярный способ подключения.

По соотношению «цена/качество/возможности» Интернет-телефония не имеет себе равных, существенно уменьшая расходы на связь.

Только Интернет-телефония обеспечивает бесплатные соединения между пользователями, независимо от того, где они находятся.

Бесплатно говорить с пользователями SIPNET могут жители около 60-ти городов России, СНГ, США.

289

Участники SIPNET имеют возможность не только пользоваться услугами голосовой связи, но и обмениваться мгновенными текстовыми и голосовыми сообщениями, передавать любые файлы, устраивать аудио- и видеоконференции.

Структурная схема лабораторного макета

«Защищенной телекоммуникационной сети связи на основе технологии IP-телефонии»

290

Блок-схема алгоритма защиты сети IP-телефонии

Анализ перспективы развития сети

Имеется перспектива развития сети IP-телефонии, так как в скором будущем НПФ «Микран» открывает еще один офис, который будет территориально удален от основного офиса, для которого была спроектирована данная система.

Asterisk позволяет организовать соединение, когда имеется несколько офисов, между которыми нужно организовать связь. Самой эффективной схемой объединения офисов является так называемая ―полносвязка‖, когда Asterisk в каждом из офисов соединѐн с каждым из остальных офисов. Таким образом, выход из строя любой из офисных АТС никак не повлияет на связь в других офисах.

Сеть IP-телефонии в новом офисе будет идентична сети спроектированной для данного офиса. Она также будет основана на ПО Asterisk и иметь такую же структуру сети как показано на рисунке 9.7.

Обеспечение сетевой безопасности в территориально распределенных офисах, которые используют VoIP дело весьма сложное. Как правило, такая задача решается комплексно, с применением различных сетевых устройств и программного обеспечения. Однако очень часто компании не могут предоставлять услуги VoIP, Video конференций и т.д. удаленным филиалам и/или пользователям, так как не в состоянии обеспечить внутреннюю безопасность сети и необходимое качество передачи голоса или видео. Именно в решении таких задач и помогают устройства Ranch Networks в интеграции с IP PBX на открытых кодах Asterisk.

Для обеспечения безопасности и повышения качества голосовой связи офис №2 подключен к Интернету через другое устройство Ranch Networks, скорее всего это будет RN300. Так же, как и устройство, установленное в центральном офисе, RN300 обеспечит безопасность, NAT/PAT, VPN, DHCP, QoS, управление полосой пропускания и т.д.

Все удалѐнные филиалы могут иметь одинаковые частные IP-адреса, при этом устройства RN полностью решают проблему VoIP NAT traversal без применения VPN-туннелей или

291

использования выделенных линий. Очень важно отметить, что оба офиса имеют внутренние конвергентные сети, которые используются для одновременной передачи данных и голоса, так как устройства RN защищают эти сети и обеспечивают гарантированную полосу пропускания для голосового трафика. Но если все-таки необходимо шифрование и дешифрование трафика, проходящего через VPN-туннель, то современные МСЭ имеют модуль VPN, позволяющий вначале расшифровывать трафик, а затем производить его фильтрацию.

4.Рекомендованная литература

1.Росляков А.В., Самсонов М.Ю., Шибаева И.В IP-телефония. - М.:, 2003.-250с

2.Жданов А. Г., Смирнов Д. А., Шипилов М. М. Передача речи по сетям с коммутацией пакетов (IP-телефония). – М.:, 2001. – 145с

3.Гольдштейн Б. С., Пинчук А. В., Суховицкий А. Л. IP-телефония. – М.: «Радио и связь», 2001. – 334с

4.Платов М.В. Asterisk и Linux: миссия IP-телефония. - Журнал "Системный администратор", N6, 2005 г. - 12-19 c

5.Платов М.В., Что важно знать об IP-телефонии. - Журнал "Системный администратор", N5, 2005 г. - 20-25 c

6.http://www.ietf.org/html.charters/midcom-charter.html

7.http://www.voipgateway.us

292