Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Диплом Внедрение IP телефонии в организации Master Content / Диплом Внедрение IP телефонии в организации Master Content.docx
Скачиваний:
238
Добавлен:
10.04.2019
Размер:
1.94 Mб
Скачать

3.2 Внедрение средств обеспечения безопасности проектируемой сети

3.2.1 Средства межсетевого экранирования

Для обеспечения качественного межсетевого экранирования на границе сети предлагается использовать экран производства компании Cisco, модель ASA 5500 Series.

Данный межсетевой экран обеспечивает наиболее качественную защиту компьютерной сети, отличается хорошим показателем надежности и высокой функциональности.

На рисунке 3.4 обозначен принцип размещения межсетевого экрана.

Рисунок 3.4 – Принцип размещения межсетевого экранирования

Межсетевой экран функционирует в режимах, которые приведены в таблице 3.1.

Таблица 3.1 – Режимы функционирования МСЭ Cisco ASA 5500 Series

Компонент

Режим функционирования

МСЭ Cisco ASA 5500 Series.

Круглосуточно и ежедневно.

Консоль управлений.

В рабочие часы администраторов безопасности.

Межсетевой экранирование дает возможность:

  • запрещать взаимодействия узлов защищаемых зон в обход средств МСЭ;

  • маршрутизации сетевого трафика защищаемых зон;

  • фильтрации сетевого трафика между защищенными зонами;

  • регистрации входа и выхода администратора МСЭ в систему или из системы, или загрузки системы и ее программной остановки.

3.2.2 Шифрование srtp

Произведем процесс настройки SRTP.

Шифрование SRTP производится для того, что бы обезопасить информацию, циркулирующую в сети IP-телефонии, то есть разговоры пользователей сети.

Поддержка SRTP обеспечивается libsrtp. Необходимо сделать настройку SIP клиента в файле sip.conf. Добавим следующие команды:

tcpenable=yes

tcpbindaddr=0.0.0.0

tlscertfile=/etc/asterisk/cert/asterisk.pem

tlscafile=/etc/asterisk/cert/ca.crt

tlsprivatekey=/var/lib/asterisk/keys/voip.example.org.key

tlsclientmethod=tlsv1

Проверяем подключение:

$ openssl s_client host localhost port 5061

В настройках клиента ставим: transport=tls.

Теперь рассмотрим включение SRTP на SIP телефонах.

Заходим в веб-интерфейс телефона.

Далее Account-Advanced. Находим параметр RTP Encryption (SRTP) и установите его в одно из значений:

- Compulsory (Обязательно) – постоянно использовать SRTP;

- Optional (По возможности) – использовать SRTP, когда это возможно;

- Disabled (Отключено) – отключение возможности использовать SRTP.

3.2.3 Защита периферийных устройств сети

Защиты периферийных устройств проектируемой сети предлагается организовать с помощью системы защиты IP-телефонов.

После проведения анализа рынка средств защиты сетей IP-телефонии, выбрана система, оптимальная с точки зрения отношения цена/качество.

Данная система защиты – продукт компании ОАО «Инфотекс».

Основой защиты VoIP является решение ViPNet CUSTOM, которое обладает следующим функционалом:

1. Шифрование и фильтрация сигнального и голосового трафика всех участников сети IP-телефонии.

2. Обеспечивает беспрепятственное прохождение VoIP-трафика через устройства NAT.

3. Поддержка виртуальных адресов, в том числе в протоколах SIP, H.323 и Cisco SCCP (Skinny Client Control Protocol).

Принцип организации предлагаемой системы защиты приведен на рисунке ниже.

Рисунок 3.5 - Принцип организации предлагаемой системы защиты

Система ViPNet CUSTOM обеспечивает высокий уровень безопасности периферийных устройств исследуемой сети.