3.2 Внедрение средств обеспечения безопасности проектируемой сети
3.2.1 Средства межсетевого экранирования
Для обеспечения качественного межсетевого экранирования на границе сети предлагается использовать экран производства компании Cisco, модель ASA 5500 Series.
Данный межсетевой экран обеспечивает наиболее качественную защиту компьютерной сети, отличается хорошим показателем надежности и высокой функциональности.
На рисунке 3.4 обозначен принцип размещения межсетевого экрана.
Рисунок 3.4 – Принцип размещения межсетевого экранирования
Межсетевой экран функционирует в режимах, которые приведены в таблице 3.1.
Таблица 3.1 – Режимы функционирования МСЭ Cisco ASA 5500 Series
|
Компонент |
Режим функционирования |
|
МСЭ Cisco ASA 5500 Series. |
Круглосуточно и ежедневно. |
|
Консоль управлений. |
В рабочие часы администраторов безопасности. |
Межсетевой экранирование дает возможность:
-
запрещать взаимодействия узлов защищаемых зон в обход средств МСЭ;
-
маршрутизации сетевого трафика защищаемых зон;
-
фильтрации сетевого трафика между защищенными зонами;
-
регистрации входа и выхода администратора МСЭ в систему или из системы, или загрузки системы и ее программной остановки.
3.2.2 Шифрование srtp
Произведем процесс настройки SRTP.
Шифрование SRTP производится для того, что бы обезопасить информацию, циркулирующую в сети IP-телефонии, то есть разговоры пользователей сети.
Поддержка SRTP обеспечивается libsrtp. Необходимо сделать настройку SIP клиента в файле sip.conf. Добавим следующие команды:
tcpenable=yes
tcpbindaddr=0.0.0.0
tlscertfile=/etc/asterisk/cert/asterisk.pem
tlscafile=/etc/asterisk/cert/ca.crt
tlsprivatekey=/var/lib/asterisk/keys/voip.example.org.key
tlsclientmethod=tlsv1
Проверяем подключение:
$ openssl s_client host localhost port 5061
В настройках клиента ставим: transport=tls.
Теперь рассмотрим включение SRTP на SIP телефонах.
Заходим в веб-интерфейс телефона.
Далее Account-Advanced. Находим параметр RTP Encryption (SRTP) и установите его в одно из значений:
- Compulsory (Обязательно) – постоянно использовать SRTP;
- Optional (По возможности) – использовать SRTP, когда это возможно;
- Disabled (Отключено) – отключение возможности использовать SRTP.
3.2.3 Защита периферийных устройств сети
Защиты периферийных устройств проектируемой сети предлагается организовать с помощью системы защиты IP-телефонов.
После проведения анализа рынка средств защиты сетей IP-телефонии, выбрана система, оптимальная с точки зрения отношения цена/качество.
Данная система защиты – продукт компании ОАО «Инфотекс».
Основой защиты VoIP является решение ViPNet CUSTOM, которое обладает следующим функционалом:
1. Шифрование и фильтрация сигнального и голосового трафика всех участников сети IP-телефонии.
2. Обеспечивает беспрепятственное прохождение VoIP-трафика через устройства NAT.
3. Поддержка виртуальных адресов, в том числе в протоколах SIP, H.323 и Cisco SCCP (Skinny Client Control Protocol).
Принцип организации предлагаемой системы защиты приведен на рисунке ниже.
Рисунок 3.5 - Принцип организации предлагаемой системы защиты
Система ViPNet CUSTOM обеспечивает высокий уровень безопасности периферийных устройств исследуемой сети.