Материал: Организация локальной сети для call-центра

модульная, наращиваемая архитектура;

передача голоса и факсов через один порт;

совместимость со стандартом H.323;

высокая производительность;

поддержка протоколов компрессии голоса G.729 и G.711, позволяет передавать один голосовой канал со скоростью 8 kbps;

высокое качество голосовых соединений основано на использовании RSVP архитектуры и очередей с приоритетами;

подавление пауз;

симуляция шумов в линии;

развитое управление планом внутренней нумерации и отображением IP-адресов на этот план;

поддержка DTMF;

поддержка протокола T.30. (передача факсов);

выделенная телефонная линия;

поддержка групп обзвона.

.3 Маршрутизаторы Cisco Systems

аршрутизаторы Cisco Integrated Services Routers поставляются со встроенными аппаратно-программными модулями обеспечения сетевой безопасности, что обеспечивает конечному потребителю единое решение, сочетающее в себе поддержку как функций безопасности, так и современных бизнес-приложений. Такие решения позволяют осуществлять быстрое внедрение как новых сетевых систем с широким набором поддерживаемых функций, так и модернизацию существующих комплексов. Маршрутизаторы семейства Cisco 3800 сочетают в себе функции обеспечения безопасности, маршрутизации и поддержку других сетевых сервисов, предоставляя возможность наиболее эффективно использовать имеющуюся пропускную способность физических линий связи.

Маршрутизаторы Cisco обеспечивают создание надежных и адаптирующихся сетевых решений для удаленных офисов, и небольших организаций и предприятий за счет встроенных в них функций VPN, firewall, IPS (Intrusion Prevention System), а также VPN acceleration и IDS (Intrusion Detection System) на основе операционной системы Cisco IOS.

Семейство маршрутизаторов Cisco 3800 создаёт основу для высокопроизводительных решений по пакетной обработке и передаче голосового трафика. Применяя эти устройства, конечные потребители (удаленные офисы, коммерческие организации и небольшие предприятия) получают возможность использования широчайшего спектра функций по обработке и передаче голосового трафика, встроенные непосредственно в маршрутизаторы доступа.

Маршрутизатор Cisco 3845 (Рисунок 5) позволяет максимально оптимизировать затраты, связанные с созданием таких решений, устраняя необходимость в дорогостоящем оборудовании и программном обеспечении, реализующем подобный набор функций. Одновременно с этим, архитектура этих устройств позволяет использовать их не только для решения сегодняшних проблем и задач, но и для внедрения в будущем новых технологий и приложений.

Рисунок 5 - Маршрутизатор Cisco 3845

Архитектура маршрутизатора Cisco 3845 разработана специально для обеспечения высокого уровня производительности, доступности и отказоустойчивости, необходимых при масштабировании сетевых систем, характеризующихся высоким уровнем сетевой безопасности, обеспечивающих работу подсистем IP-телефонии, видео-приложений, сетевого анализа и приложений, основанных на технологиях Web. Этот маршрутизатор обеспечивает несколько уровней безопасности для различного рода сетевого трафика на скоростях, близких к максимальным возможностям кабельных систем.

1.4 Коммутатор серии Catalyst 2950

Рисунок 6 - Коммутатор серии Catalyst 2950

2950 (Рисунок 6) - серия интеллектуальных коммутаторов Cisco Systems, с поддержкой Fast Ethernet фиксированной конфигурации, которые можно объединять в стек на скоростях Fast Ethernet и Gigabit Ethernet. Коммутаторы имеют расширенные возможности обеспечения заданного качества обслуживания. Комбинация коммутатора Catalyst 2950 с коммутатором Catalyst 3845 позволяет осуществлять IP-маршрутизацию на участке от границы сети до ее магистрали. Управление коммутаторами осуществляется Cisco IOS и Web-доступом Cisco Cluster Management Suite (CMS), который позволяет администратору при помощи стандартного web-браузера одновременно конфигурировать несколько коммутаторов Catalyst, а также выявлять неполадки в их работе. Коммутаторы Catalyst 2950, имеющие порты 10/100/1000 BaseT, обеспечивают гигабитную скорость передачи по медной проводам и являются идеальным решением для перехода от технологии Fast Ethernet к Gigabit Ethernet [4]. Порты Gigabit Ethernet этих коммутаторов допускают подключение через целый ряд гигабитных интерфейсных конверторов, включая модели Cisco GigaStack, 1000BaseT, 1000BaseSX, 1000BaseLX/LH и 1000BaseZX. Все порты способны автоматически определять скорость передачи и duplex-режим, что позволяет оптимизировать использование ресурсов полосы пропускания. Также осуществлена поддержка стандарта IEEE 802.1q.

.5 IP телефон

Компания Cisco выпускает большой модельный ряд телефонных аппаратов - от базовых моделей цифровых IP телефонов до моделей (Рисунок 7) , предназначенных для руководящих сотрудников, а также для абонентов, обслуживающих большие потоки звонков.

Рисунок 7 - IP-телефоны Cisco: модели 7920,7905G,7912G, 7940G, 7960G с модулем расширения 7914, 7970G и беспроводной IP-телефон Cisco 7920

телефоны Cisco Systems являются стандартными телекоммуникационными устройствами, которые представляют новое поколение терминалов использующих передачу голоса через IP.телефоны Cisco спроектированы с учетом роста системных возможностей. Новые функции будут добавляться лишь путем изменения программного обеспечения в flash памяти

.6 Функции IP телефонов

Пользователь может получить сообщение голосовой почты.

Пользователь может просмотреть неполученные вызовы, исходящие вызовы, которые он выполнял, и принятые им вызовы.

Пользователь может сконфигурировать список быстрого набора номера для часто используемых номеров.

Пользователь может установить индивидуальные настройки, такие как тип звонка и контрастность дисплея.

Примеры функций при работе с вызовами:

повторный набор номера;

идентификация вызывающей стороны (CLID);

ожидание вызова;

удержание вызова;

трехсторонняя конференция.

Сетевые функции:

поддержка протоколов аудиокомпрессии G.711a, G.711u, G.729ab;

BASE-T Ethernet соединение через разъем RJ-45;

возможность конфигурации телефона с использованием Trivial File Transfer Protocol (TFTP) сервера;

получение сетевых параметров за счет использование протокола динамического конфигурации хостов (DHCP);

определение голосовой активности, подавление голосовых пауз.

1.7 Настройка VPN сети

Стоимость трафика Интернет снижается с каждым днем, уже не имеет смысла использовать дорогостоящие выделенные каналы связи, которые ставят компании в зависимость от одного оператора.

Технология VPN создает виртуальные каналы связи через общедоступные сети, так называемые «VPN-туннели» [1]. Трафик, проходящий через туннели, связывающие удаленные офисы, шифруется. Злоумышленник, перехвативший шифрованную информацию, не сможет просмотреть ее, так как не имеет ключа для расшифровки.

Для пользователей VPN-туннели абсолютно прозрачны. К примеру, сотрудник представительства в Санкт-Петербурге получает доступ к данными, находящимся в Москве также просто, как и к данным у себя в офисе.

Частые и продолжительные звонки между центральным офисом и представительствами приводят к большим и неоптимизированным расходам на междугородную связь.

Технология Voice-over-IP (VoIP) позволяет передать голосовой трафик по сетям Интернет, минуя дорогостоящих традиционных операторов. Voice-enabled-шлюзы CISCO позволяют вставить голосовые пакеты c офисных АТС в общий IP-трафик, передаваемый между офисами компании.

С помощью технологии VPN можно связать в единую локальную сеть все удаленные офисы компании, обеспечив легкий способ доступа к данным в сочетании с безопасностью.

Кроме сокращения расходов на междугородние переговоры внедряется и набор по коротким номерам. Все удаленные офисы компании вписываются в общую корпоративную телефонную сеть.

В полностью конвергентном решении с использованием голосовых шлюзов CISCO в связке с офисными АТС появляется возможность совершать телефонные звонки с помощью VoIP не только между офисами, но и между телефонными сетями данных городов.

При создании системы информационной безопасности (СИБ) необходимо учитывать, что защитится от всех атак невозможно, постольку реализация подобной системы может стоить бесконечно дорого. Поэтому требуется четкое представление о том, какие атаки могут произойти с какой вероятностью. На основании этих сведений составляется список актуальных угроз, с риском возникновения которых существование невозможно. Хотя зачастую это представление, даваемое экспертной оценкой, довольно субъективно и может быть ошибочно.

.8 Способы и средства защиты информации

Исходя из списка актуальных угроз, возможно создание комплекса мер противодействия. В него могут быть включены списки методов, средств и способов противодействия угрозам. Все вместе это образует политику информационной безопасности. Политика безопасности - это основополагающий документ, регламентирующий работу СИБ. Политика безопасности может включать в себя сведения об актуальных угрозах и требования к инструментарию обеспечения защиты информации. Кроме того, в ней могут быть рассмотрены административные процедуры. Примером политики информационной безопасности может быть Доктрина Информационной Безопасности РФ.

Следует отметить, что построение СИБ необходимо начинать с обеспечения физической безопасности. Упущения в обеспечении физической безопасности делает бессмысленным защиту более высокого уровня. Так, например, злоумышленник, получив физический доступ к какому-либо компоненту СИБ, скорее всего сможет провести удачную атаку.

Шифрование - математическая процедура преобразования открытого текста в закрытый. Может применяться для обеспечения конфиденциальности передаваемой и хранимой информации.

Существует множество алгоритмов шифрования:

симметричные (с секретным, единым ключом, одноключевые, single-key).

потоковые (шифрование потока данных);

с одноразовым или бесконечным ключом (infinite-key cipher);

с конечным ключом (система Вернама - Vernam);

на основе генератора псевдослучайных чисел (ПСЧ).

блочные (шифрование данных поблочно);

шифры замены (подстановки, substitution, S-блоки);

моноалфавитные (код Цезаря);

полиалфавитные (шифр Видженера, цилиндр Джефферсона, диск Уэтстоуна, Enigma).оставные:

         Lucipher (фирма IBM, США);

-        DES (Data Encryption Standard, США);

         FEAL-1 (Fast Enciphering Algoritm, Япония);

         IDEA/IPES (International Data Encryption Algorithm);

         Improved Proposed Encryption Standard, фирма Ascom-Tech AG, Швейцария);

         B-Crypt (фирма British Telecom, Великобритания);

         ГОСТ 28147-89 (СССР).

Асимметричные (с открытым ключом, public-key):

-        Диффи-Хеллман DH (Diffie, Hellman);

         Райвест-Шамир-Адлeман RSA (Rivest, Shamir, Adleman);

-        Эль-Гамаль ElGamal.

Кроме того, есть разделение алгоритмов шифрования на собственно шифры (ciphers) и коды (codes). Шифры работают с отдельными битами, буквами, символами. Коды оперируют лингвистическими элементами (слоги, слова, фразы).

Электронно-Цифровая Подпись (ЭЦП), цифровые сигнатуры. Применяются для аутентификации получателей и отправителей сообщений. Строятся на основе схем с открытыми ключами. Кроме того, могут применяться схемы с подтверждением. Так, например, в ответ на посланное сообщение отправителю вернется сообщение, что сообщение было получено.

Резервирование, дублирование. Атаки на отказ системы (Denial of Service) - это один из самых распространенных типов атаки на информационную систему. Причем вывод системы из строя может быть произведено как сознательно, так и в силу каких-либо непредсказуемых ситуаций, будь то отключение электричества или авария. Для предотвращения, возможно применение резервирования оборудования, которое позволит динамично перейти с вышедшего из строя компонента на дубликат с сохранением функциональной нагрузки.атака - сокращение от Distributed Denial Of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го "рождественский сюрприз" повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной.

Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть "зомби". Известно множество путей "зомбирования" компьютеров - от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.

Чаще всего злоумышленники при проведении DDoS-атак используют трехуровневую архитектуру, которую называют "кластер DDoS". Такая иерархическая структура содержит:

управляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки;

главные компьютеры. Это те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-"зомби". На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров;

агенты - непосредственно сами "зомбированные" компьютеры, своими запросами атакующие узел-мишень.

Проследить такую структуру в обратном направлении практически невозможно. Максимум того, что может определить атакуемый, это адрес агента. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но, как известно, и компьютеры-агенты, и главные компьютеры являются также пострадавшими в данной ситуации и называются "скомпрометированными". Такая структура делает практически невозможным отследить адрес узла, организовавшего атаку.

Другая опасность DDoS заключается в том, что злоумышленникам не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак свободно распространяются в Сети.

Дело в том, что изначально программное обеспечение DDoS создавалось в "мирных" целях и использовалось для экспериментов по изучению пропускной способности сетей и их устойчивости к внешним нагрузкам. Наиболее эффективным в этом случае является использование так называемых ICMP-пакетов (Internet control messaging protocol), т.е. пакетов, имеющих ошибочную структуру. На обработку такого пакета требуется больше ресурсов, после решения об ошибочности пакет отправляется посылающему, следовательно достигается основная цель - "забивается" трафик сети.

За годы это программное обеспечение постоянно модифицировалось и к настоящему времени специалисты по информационной безопасности выделяют следующие виды DDoS-атак:flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP;flood - отправка на адрес мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов;SYN flood - посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения;атака - пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки;flood - атака, аналогичная Smurf, но без использования рассылки;