- •2 .3.5.1 Основные понятия ………………………………………………….….23
- •3.10. Комплексная оценка качества ip-телефонии……………………...42
- •8.1. Типы угроз в сетях ip-телефонии…………………..…79
- •Перспективы
- •1. Общие вопросы технологии ip-телефонии
- •1.1.Терминология
- •1.2ОсобенностиIp-телефонии
- •1.4 Виды соединений, взаимодействие с компьютерной сетью.
- •2 Использование протоколов Интернет в ip-телефонии.
- •2.1 Адресация в ip-сетях
- •2.2 Модель osi.
- •2.3. Основные протоколы ip-телефонии
- •2.3.1 Протокол ip версии 4
- •2.3.2 Протокол ip версии 6
- •2.3.3 Протокол tcp
- •2.3.4 Протокол udp
- •2.3.5 Протоколы rtp и rtcp
- •2.3.5.1 Основные понятия
- •2.3.5.2 Групповая аудиоконференцсвязь
- •2.3.5.3 Видеоконференцсвязь
- •2.3.5.4 Понятие о микшерах и трансляторах
- •2.5.5.5. Порядок байтов, выравнивание и формат меток времени
- •2.3.5.6 . Протокол управления rtcp
- •2.3.5.7 Интенсивность передачи пакетов rtcp
- •2.3.5.8 Общее описание транслятора и микшера
- •2.3.5.9 Взаимодействие rtp с протоколами сетевого и транспортного уровней
- •3. Передача речи по ip-сети
- •3.1 Протоколы VoIp
- •3.2 Особенности передачи речевой информации по ip-сети.
- •3.3 Задержка и меры уменьшения ее влияния.
- •3.4. Явление джиттера, меры уменьшения его влияния.
- •3.5. Эхо, устройства ограничения его влияния.
- •3.6 Принципы кодирования речи
- •3.7 Кодирование формы сигнала
- •3.8 Основные требованияк алгоритмам кодирования ip-телефонии.
- •3.9 Кодеки ip-телефонии.
- •3.10. Комплексная оценка качества ip-телефонии
- •4. Протокол н.323
- •Рекомендации h.323 предусматривают:
- •Управление полосой пропускания
- •Межсетевые конференции
- •Совместимость
- •Гибкость
- •4.1. Архитектура стандарта h.323
- •4.2. Стек протоколов h.323
- •4.3. Установка соединения по h.323
- •4.4. Характеристики шлюзов ip-телефонии
- •Классификация шлюзов ip-телефонии
- •1. Автономные ip-шлюзы
- •2. Маршрутизаторы-шлюзы
- •4. Шлюзы-модули для упатс
- •5. Шлюзы с интеграцией бизнес-приложений
- •6.Учрежденческие атс на базе шлюзов
- •7. Сетевые платы с функциями телефонии
- •8. Автономные ip-телефоны
- •4.5. Достоинства и недостатки h.323
- •5. Протокол инициирования сеансов связи (sip)
- •5.1 Принципы построения протокола sip
- •5.2 Интеграция протокола sip с ip-сетями
- •5.3 Адресация
- •5.4 Архитектура сети sip
- •5.4.1 Терминал
- •5.4.2 Прокси-сервер
- •5.4.3 Сервер переадресации
- •5.4.4 Сервер определения местоположения пользователей
- •5.4.5 Пример sip-сети
- •5.5 Соединение по sip
- •6.1 Принцип декомпозиции шлюза
- •6.2 Классификация шлюзов
- •6.3 Модель организации связи
- •6.4 Команды протокола mgcp
- •7. Качество обслуживания в сетях ip-телефонии
- •7.2 Трафик реального времени в ip-сетях
- •7.3 Дифференцированное обслуживание разнотипного трафика - Diff-Serv
- •7.4. Интегрированное обслуживание IntServ
- •7.6 Протокол резервирования ресурсов - rsvp
- •7.7 Технология mpls
- •7.8 Сравнение технологий IntServ, DiffServ, mpls
- •7.9 Обслуживание очередей
- •7.9.1 Алгоритмы организации очереди
- •7.9.2 Алгоритмы обработки очередей
- •Справедливые очереди базирующиеся на классах (cbwfq)
- •Очереди с малой задержкой (llq)
- •8. Информационная безопасность в ip-сетях
- •8.1. Типы угроз в сетях ip-телефонии
- •8.2. Методы криптографической защиты информации
- •8.3. Технологии аутентификации
- •8.3.1. Протокол ppp
- •8.3.2. Протокол tacacs
- •8.3.3. Протокол radius
- •8.4. Особенности системы безопасности в ip-телефонии
- •1. Телефонный аппарат.
- •2. Установление соединения.
- •3.Телефонный разговор.
- •4. Невидимый функционал.
- •5. Общение с внешним миром.
- •8.5. Обеспечение безопасности на базе протокола osp
- •8.6. Обеспечение безопасности ip-телефонии на базе vpn
- •9. Мобильность ip-телефонии
- •9.1. Разновидности мобильности
- •9.2. Идентификация терминала и пользователя
- •9.3. Сценарии мобильности в сетях ip-телефонии
- •9.4. Мобильность в сети ip-телефонии на базе протокола sip и h.323
- •10 Системы биллинга и менеджмента пользователейIp-телефонией.
- •10. 1 Особенности учета и биллинга ip - услуг
- •10.2. Требования к системе биллинга и менеджмента пользователей ip-телефонии
- •10.3. Обзор систем биллинга и менеджмента пользователей ip-телефонии
- •11. Внедрение ip-телефонии на базе продуктовой линейки d-Link. В качестве примера, рассмотрим реализацию ip-телефоной связи на базе наиболее экономически доступного оборудования.
- •11.1. Варианты построения ip-телефонных систем
- •11.2. Применение телефонных usb-адаптеров
- •11.3. Применение VоIp-шлюзов
- •11.4. Соединение офисов с помощью сети Интернет
- •Информационное представление речевого сигнала
- •Речевые кодеки для ip-телефонии
- •Архитектура шлюза
- •Для ознакомления с работой шлюза воспользуемся следующей схемой:
- •Сетевые протоколы
- •Реализация шлюзов для ip-телефонии
- •11.5. Видеотелефония
- •Построение транков в ip-телефонии
- •Варианты связи
- •Оборудование
- •Требования к каналу
- •23 Расширения протокола управления резервированием (rsvp-te) при обобщенной многопротокольной коммутации по меткам (gmpls)
8.3. Технологии аутентификации
Под аутентификацией понимается процедура идентификации пользователя или конечного устройства (клиента, сервера, коммутатора, маршрутизатора, межсетевого экрана и т.д.). Как правило за ней следует авторизация пользователя и конечного устройства. Наиболее простым способом аутентификации является использование паролей, но для поддержания высокого уровня безопасности пароли приходится часто менять. Методы использования одноразовых паролей применяются по-прежнему широко. Среди них можно отметить методы аутентификации по протоколу S/Key или при помощи специальных аппаратных средств (token password authentication). Механизм аутентификации по протоколу Point-to-Point Protocol (PPP) часто применяется в среде модемного доступа и включает использование протоколовPassword Authentication Protocol (PAP), Challenge Handshake Protocol (CHAP) иExtensible Authentication Protocol (EAP). Разработка протокола EAP все еще продолжается, но уже сейчас он дает возможность более гибкого использования существующих и только появляющихся технологий аутентификации в каналах PPP. TACACS+ и Remote Access Dial-In User Service (RADIUS) — это протоколы, которые поддерживают масштабируемые решения в области аутентификации. Протокол Kerberos (Цербер) используется в ограниченных областях для поддержки единой точки входа в сеть.
Система одноразовых паролей S/Key, определенная в RFC 1760, представляет собой систему генерирования одноразовых паролей. Система S/Key обеспечивает авторизованным пользователям безопасный доступ к сетям, в тоже время, защищая такие сети и пользователей от использования паролей, полученных путем электронного прослушивания сети, неавторизованными лицами.
Для доступа к удаленным компьютерным ресурсам используются различные механизмы аутентификации. Традиционным способом аутентификации является аутентификации по имени (login name) и паролю (password). Обычно при этом имя и пароль передаются в открытом виде, т.е. без использования каких-либо методов шифрования. Таким образом, имена пользователей и пароли могут быть получены злоумышленником простым методом прослушивания сетевого трафика и разбора сетевых пакетов и в дальнейшем использованы для получения доступа. Этот тип атаки называется пассивной атакой.
Альтернативный тип атаки - активная атака, при которой производится разрыв или подмена соединения законного пользователя (spoofing traffic). Система одноразовых паролей S/Key предназначена для защиты атаки пассивного типа.
S/Key - это система клиент-сервер. Сервер генерирует отклик после получения от клиента login-запроса. Отклик сервера содержит некоторый номер, использующийся при генерации пароля, и базовую последовательность, называемую "зерном" (seed). В ответ клиент генерирует соответствующий одноразовый пароль, используя комбинацию своего персонального пароля (users personal pass phrase) и "зерна" (seed), содержащегося в отклике сервера, и посылает его серверу. После успешной авторизации клиент получает доступ к серверу и одноразовый пароль не может больше использоваться при следующем диалоге аутентификации. Так как в S/Key персональный пользовательский пароль (user's private pass-phrase) никогда не передается по сети и не хранится ни на серверной, ни на клиентской стороне, он не подвергается опасности похищения.
Аутентификация с помощью аппаратных средств работает по одной из двух альтернативных схем:
по схеме запрос-ответ;
по схеме аутентификации с синхронизацией по времени.
В схеме запрос-ответ пользователь подключается к серверу аутентификации, который, в свою очередь, предлагает ввести персональный идентификационный номер (PIN) или пользовательский идентификатор (user ID). Пользователь передает PIN или user ID на сервер, который затем делает «запрос» (передает случайное число, которое появляется на экране пользователя). Пользователь вводит это число в специальное аппаратное устройство, похожее на кредитную карточку, где число запроса шифруется с помощью пользовательского шифровального ключа. Результат шифрования отображается на экране. Пользователь отправляет этот результат на сервер аутентификации. В то время как пользователь подсчитывает этот результат, сервер аутентификации рассчитывает этот же результат самостоятельно, используя для этого базу данных, где хранятся все пользовательские ключи. Получив ответ от пользователя, сервер сравнивает его с результатом собственных вычислений. Если оба результата совпадают,- пользователь получает доступ к сети. Если результаты оказываются разными, доступ к сети не предоставляется.
При использовании схемы с синхронизацией по времени на аппаратном устройстве пользователя и на сервере работает секретный алгоритм, который через определенные синхронизированные промежутки времени генерирует идентичные пароли и заменяет старые пароли на новые. Пользователь подключается к серверу аутентификации, который запрашивает у пользователя код доступа. После этого пользователь вводит свой PIN в аппаратное карточное устройство, и в результате на экран выводится некоторая величина, которая представляет собой одноразовый пароль. Этот пароль и отправляется на сервер. Сервер сравнивает его с паролем, который был вычислен на самом сервере. Если пароли совпадают, пользователь получает доступ к сети.