Информационная безопасность



              

Крепкий орешек - часть 2


Этот протокол гораздо лучше защищен, чем протокол управления SCCP, ранее использовавшийся в оборудовании компании Cisco для построения VoIP-сетей. Протокол Secure SCCP использует TCP-транспорт вместо UDP и шифрует всю информацию управления.

Четвертая версия ПО 4.0 CallManager, которое управляет процедурой установки вызовов и является "сердцем" VoIP-решений компании Cisco, включает в себя ряд новых функций безопасности. Ключевой среди них можно назвать впервые реализованную в данном релизе CallManager возможность шифрования VoIP-трафика. В настоящее время возможность шифрования данных реального времени протокола RTP (Real-time Transfer Protocol) поддерживается только новыми IPтелефонами серии 7970.

В последних версиях CallManager и в поставляемой с ним специальной версии Windows 2000 также были усилены меры безопасности, что в нашем случае означает, что были отключены неиспользуемые порты и сервисы. Впечатляющий набор средств самозащиты был включен и в последние версии ПО коммутаторов Catalyst. Так, мы использовали IOS 12.2(17b)sxa на магистральном устройстве Catalyst 6500 и IOS 12.1(20)ew на входных Catalyst 4500. Из всего набора оборудования данные коммутаторы являлись основными средствами защиты от поступающих атак, поскольку они расположены на границе сети в первом эшелоне обороны.

В перечень функций защиты входят:

  • ограничение и представление гарантируемой полосы пропускания, что позволяет эффективно подавлять DoS-атаки;
  • Layer 2 port security (ограничивает число устройств с различными MAC-адресами, подключенными к одному порту);
  • Layer 2 Dynamic Host Configuration Protocol snooping, предотвращающий атаки на исчерпание пула адресов DHCP-сервиса;
  • Dynamic Address Resolution Protocol inspection (предотвращает засорение таблиц ARP и "воровство" адресов). Эта функция сорвала очень много запланированных атак;
  • IP Source Guard, который предотвращает атаки с анонимных адресов;
  • Virtual LAN ACL (access control lists), ограничивающий адреса узлов, которые могут передавать данные IP-телефонам.




Содержание  Назад  Вперед