Научная статья на тему 'Комплексное решение по защите информации для ip ATC на базе Asterisk'

Комплексное решение по защите информации для ip ATC на базе Asterisk Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
356
64
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ASTERISK / VOIP / ЗАЩИТА ИНФОРМАЦИИ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ткач Ксения Вадимовна, Пономарев Андрей Дмитриевич

Говоря об Asterisk, можно говорить о VoIP-сетях. VoIP-сети на сегодняшний день достаточно популярны, ведь многие компании не обходят стороной IP-телефонию. Однако стоит задуматься об основных видах угроз VoIP-сетей: перехват сессии и манипулирование данными, проникновение в сеть организации через уязвимости, появившиеся при разворачивании IP-телефонии, подмена и взлом пользовательских данных, ограничение доступности, DoS-атаки, направленные на ухудшение сервисов, перехват/перепродажа трафика. Опираясь на виды и влияние угроз, а также на особенности Asterisk, решение защиты такой IP АТС можно рассматривать со стороны сети и со стороны сервера.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Комплексное решение по защите информации для ip ATC на базе Asterisk»

Для отвода воды от земляного полотна, вдоль насыпи не ближе чем в 2 м устраивают боковые канавы глубиной 06-1, 0 м с продольным уклоном не менее 20%о. Из канав следует делать отводы для сброса воды в пониженные места. Крутизну откосов канав принимают в зависимости от плотности торфа (обычно 1:1 -1:0,75), а ширину канавы по дну-0,5 м. На сплавинных болотах канавы не устраивают, чтобы не ослабить сплавину.

При пересечении болот, дно которых имеют большой поперечный уклон, необходимо проверять устойчивость насыпей против бокового смещения. Смещение может возникнуть как у насыпей, посаженных на дно болота, так и у насыпей, возведенных методом частичного выторфовывания, когда под весом насыпи происходит боковое выжимание торфа, приводящее к разрушению. При недостаточной устойчивости в проекте необходимо предусмотреть полное выторфовывание и выравнивание дна болота. При поперечном уклоне дна болота более 100%о рекомендуется его выровнять, сделать на нем уступы или взрыхлить взрывами.

Список литературы

1 СН 449-72 Указания по проектированию земляного полотна железных и автомобильных дорог. М.: Стройиздат, 1973.

2 Евгеньев И.Е., Казарновский В.Д. Земляное полотно автомобильных дорог на слабых грунтах. М.: Транспорт, 1976. 270 с.

3 СП 34.13330.2012 - Автомобильные дороги. М.: Госстрой России, 2013.

КОМПЛЕКСНОЕ РЕШЕНИЕ ПО ЗАЩИТЕ ИНФОРМАЦИИ ДЛЯ IP ATC НА БАЗЕ ASTERISK Ткач К.В.1, Пономарев А.Д.2

'Ткач Ксения Вадимовна — магистрант, 2Пономарев Андрей Дмитриевич — аспирант, кафедра компьютерных систем и сетей, факультет информатики и систем управления, Московский государственный технический университет им. Н.Э. Баумана,

г. Москва

Аннотация: говоря об Asterisk, можно говорить о VoIP-сетях. VoIP-сети на сегодняшний день достаточно популярны, ведь многие компании не обходят стороной IP-телефонию. Однако стоит задуматься об основных видах угроз VoIP-сетей: перехват сессии и манипулирование данными, проникновение в сеть организации через уязвимости, появившиеся при разворачивании IP-телефонии, подмена и взлом пользовательских данных, ограничение доступности, DoS-атаки, направленные на ухудшение сервисов, перехват/перепродажа трафика. Опираясь на виды и влияние угроз, а также на особенности Asterisk, решение защиты такой IP АТС можно рассматривать со стороны сети и со стороны сервера. Ключевые слова: Asterisk, VoIP, защита информации.

Первым и огромным шагом к обеспечению безопасности должно быть верное проектирование сети. Вы ошибетесь и попадете в зону рисков, если спроектировали сеть таким образом, как показано на рисунке 1:

Рис. 1. Плохое проектирование сети

Такая схема является достаточно уязвимой. Факт доступности Asterisk из Интернета — главная угроза безопасности всей системы. Не стоит забывать о специализированных средствах защиты, которые снижают риск атак в разы. Такие специализированные сетевые устройства называются межсетевыми экранами (МСЭ). Какая польза от МСЭ? Межсетевой экран пропускает исходящий трафик от сервера телефонии к VoIP-провайдеру и фильтрует входящий по определенным правилам. Рациональным решением можно считать закрытие на межсетевом экране всех сетевых портов для IP-телефонии, кроме необходимых для ее корректной работы и администрирования. Этот же метод защиты целесообразно применять на самом сервере телефонии, чтобы защитить его от внутренних атак.

Также стоит обратить внимание на еще один важный аспект - разделение данных. Важно разделить голос и данные, посредством постройки VLAN. Компьютеры, сервера, другое сетевое оборудование должны находиться в одних VLAN-ах, а оборудование, работающее с Asterisk (сам сервер, шлюз, IP-телефоны) в другом VLAN-е. Это делается для того чтобы сами пользователи, а так же возможные вирусы на пользовательских машинах не могли навредить IP ATC и наоборот. На рисунке 2 представлена верно спроектированная сеть, в которой есть МСЭ и разделение данных. Для VoIP провайдера выделим VLAN100, для локальной сети VLAN10, для телефонии VLAN20, для прямого внешнего IP - VLAN30.

Рис. 2. Верно спроектированная сеть

Для защиты конфиденциальных переговоров и минимизации возможности попадания конфиденциальной или коммерческой информации в руки злоумышленника необходимо защитить передаваемые по открытым каналам связи данные от перехвата и прослушивания.

Поскольку для совершения звонка клиент и сервер предварительно обмениваются служебными данными для установления соединения, данную проблему можно разделить на две составляющих - защиту служебных данных IP-телефонии и защиту голосового трафика. В качестве средства защиты могут быть использованы протокол TLS (Transport Layer Security)

для защиты SIP сигналов (Asterisk работает также по протоколу SIP) и протокол SRTP (Secure Real Time Protocol) для защиты голосового трафика [1].

На пути к защите информации Asterisk важную роль также играют выбор серверной ОС, конфигурации и настройки программного файрволла Asterisk.

Известно, что Asterisk написан под Linux и UNIX-подобные системы. Допустим, наш Asterisk развернут на одном из дистрибутивов Linux.

В ОС Linux есть службы, которые по умолчанию запускаются, но они для работы не нужны. Поэтому одной из рекомендаций считается необходимость отключить не используемые службы (модули) как в Asterisk, так и в Linux. Отключение лишних модулей позволит не только освободить память, но и делать IP-ATC менее уязвимой. Запретить запуск той или иной ненужной службы можно в файле /etc/asterisk/modules.conf. В самом Linux командой chkconflg -list можно посмотреть, какие службы запускаются, и определится, какие службы лишние. Убрать службу можно командой chkconfig "название службы* off. При удаленном администрирования ОС и Asterisk рекомендуется:

1. Сменить порт. Порт по умолчанию SSH — 22-й;

2. Использовать только SSH протокол версии 2;

3. Запретить прямой доступ пользователя root;

4. Использовать временное ограничение по вводу пароля или сертификаты.

Не менее важным пунктом является использование программного сетевого экрана (firewall). В Linux встроен мощный и гибкий инструмент IPTables, который управляется командами. По умолчанию IPTables настроен следующим образом:

-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT (разрешаем пакеты для уже установленных соединений)

-A INPUT -p icmp -j ACCEPT (разрешаем пакеты протокола icmp) -A INPUT -i lo -j ACCEPT (разрешаем трафик с интерфейса lo)

-A INPUT -m state --state NEW -m tcp -p tcp -dport 22 -j ACCEPT (разрешаем новое соединение SSH)

-A INPUT -j REJECT --reject-with icmp-host-prohibited (запрещаем все остальные входящие соединения)

-A FORWARD -j REJECT — reject-with icmp-host-prohibited (запрещаем все транзитные соединения) COMMIT

Данная конфигурация говорит о том, что мы разрешаем инициируемые нами соединения и запрещаем все входящие соединения кроме SSH. Правила можно настроить под свои задачи. Конфигурация находится в /etc/sysconfig/IPtables. К примеру, для того чтобы к серверу Asterisk могли подключаться IP -телефоны, софтфоны из внутренней сети, необходимо прописать правило

-A INPUT -s xxx.xxx.xxx.xxx/24 -j ACCEPT

Данным правилом мы разрешаем входящие соединения из сети xxx.xxx.xxx.xxx\24. При конфигурации Asterisk хорошей практикой будет изменение стандартного порта 5060 (SIP) на любой другой. Тем самым можно легко отвести от себя подозрения, что данный сервер - сервер Asterisk. Для этого правим файл sip.conf [general]

;bindport=5060; Закомментировали стандартный параметр.

bindport=9060; Меняем port по умолчанию на другой свободный — в целях безопасности.

Правим дальше конфигурационный файл sip.conf.

[general]

alwaysauthreject=yes; Защищаем сервер от перебора по номерам.

allowguest=no; Запрещаем подключения к серверу в режиме прямых SIP-звонков, так называемые гостевые звонки, когда можно вызвать абонента по его почте. [1000]

deny=0.0.0.0/0.0.0.0; Запрещаем подключение со всех адресов permit =xxx.xxx.xxx.xxx/24; Разрешаем подключения из сети xxx.xxx.xxx.xxx secret=bdDfg12312fc; Необходимы стойкие пароли, отличные от стандартных вещей call-limit=2; Выставляем ограничение на количество одновременных линий для абонента. Стоит обратить внимание на написание плана маршрутизации звонков (dialplan). С помощью грамотно написанного dialplan можно значительно повысить безопасность. Первое, что рекомендуется - это разделение абонентов на контексты со своими правилами маршрутизации [2], [3].

Также не стоит допускать таких типичных ошибок, как:

1. Слабые пароли на внутренних номерах (Отсутствие паролей, пароль такой же как номер);

2. Отсутствие сетевого экрана (Отсутствие IPtables, либо выключен IPtables, либо настроен не верно);

3. Старые дистрибутивы и Программное обеспечение, которые могут содержать уязвимости;

4. Стандартные логины и пароли;

5. Дизайн сети (Asterisk и оборудование, работающее с ним на внешнем адресе);

6. Ошибки в конфигурации;

7. Отсутствие контроля за системой (Поставили и забыли, нет контроля логов) [4].

Список литературы

1. ХабрХабр. Безопасность в VoIP сетях. [Электронный ресурс]. Режим доступа: https://habrahabr.ru/post/145206/ (дата обращения 01.05.2018).

2. ХабрХабр. Безопасность Asterisk. [Электронный ресурс]. Режим доступа: https://habrahabr.ru/post/188440/ (дата обращения 10.05.2018).

3. База знаний Asterisk. [Электронный ресурс]. Режим доступа: asterisk.ru/knowledgebase/ (дата обращения: 04.06.2018).

4. EFSOL. Защита IP-телефонии. [Электронный ресурс]. Режим доступа: http://efsol.ru/articles/protection-ip-telephony.html/ (дата обращения: 14.05.2018).

МОНОЛИТНЫЙ ПРЕДВАРИТЕЛЬНО НАПРЯЖЕННЫЙ ЖЕЛЕЗОБЕТОН: ИСТОРИЯ, ПРИМЕНЕНИЕ, ПРЕДПОСЫЛКИ РАЗВИТИЯ Кирильчук И.Б.

Кирильчук Иван Богданович — магистрант, кафедра промышленного, гражданского строительства и экспертизы недвижимости, Уральский федеральный университет, г. Екатернбург

Аннотация: статья посвящена обзору и применению предварительно напряженного монолитного железобетона в условиях гражданского строительства на данный момент. Ключевые слова: монолит, железобетон, моностренд, предварительно напряженный, архитектура, строительство.

Ни для кого не секрет что одним из главных материалов для строительства, как в современной истории, так и в истории в целом, является железобетон.

С момента его создания было решено большое количество проблем в строительной отрасли, однако проблема анизотропности бетона, как в бетонных конструкциях так и не была решена.

В конце XIX века было предложено решение данной проблемы путём создания сжимающих напряжений в зоне раскрытия трещин железобетона. Так появилась идея создания предварительно напряженных железобетонных конструкций.

Предварительно напряженные железобетонные конструкции - это конструкции, в которых бетон в результате приложения сил натяжения подвергается такого рода предварительному напряжению, при котором он под действием эксплуатационной нагрузки или вообще не претерпевает растягивающих напряжений или подвергается их воздействию лишь частично [3].

Лишь в 20-х годах ХХ века многие заводы смогли выпускать предварительно напряженные строительные конструкции, арматура которых обладала повышенной прочностью и подвергалась натяжению перед бетонированием вплоть до предела упругости. В этот же период произошёл значительный рывок в изучении преднапряженных железобетонных конструкций. Были изобретены и разработаны новые устройства натяжения арматуры, а в научных работах были впервые рассмотрены потери напряжения.

i Надоели баннеры? Вы всегда можете отключить рекламу.