Размещено на http://www.allbest.ru/

Содержание

• Введение
• 1. IP-телефония
• 1.1 Основные понятия
• 1.2 Принцип работы IP-телефонии
• 1.3 Технология H.323
• 1.3.1 Устройства сети
• 1.4 Протокол SIP
• 1.4.1 Определение
• 1.4.2 Архитектура сети
• 1.4.3 Структура протокола
• 2. Описание сетевых анализаторов
• 2.1 Понятие «сниффер»
• 2.2 Основной принцип функционирования анализатора
• 2.3 Обзор сетевых анализаторов
• 3. Анализ сетевого трафика IP-телефонии с применением сниффера Wireshark
• 3.1 Анализатор сетевых протоколов Wireshark
• 3.2 Установление сеанса связи с помощью протокола SIP
• 3.3 Анализ аудиоинформации в SIP-телефонии
• 3.4 Анализ видеоинформации в SIP-телефонии
• 4. Безопасность жизнедеятельности
• 4.1 Общий обзор вредных факторов
• 4.2 Требования к монитору
• 4.3 Правильная организация рабочего места
• 4.4 Освещение рабочего места
• 4.5 Требования к микроклимату
• 4.6 Требования по электробезопасности
• 4.7 Защита от шума
• 4.8 Пожарная безопасность
• Заключение
• Список используемой литературы

Введение

В настоящее время преобладающее количество компьютерных сетей, в том числе и сеть Интернет, осуществляют обмен данными за счет сформированного стека протоколов TCP/IP. А для того чтобы запросы клиентов в сети быстро и качественно реализовывались, а конфиденциальная информация не попала в руки злоумышленнику, сеть подлежит постоянному мониторингу.

Анализ компьютерной сети является необходимым процессом и в первую очередь ориентирован на поиск дефектов в процессах передачи сетевого трафика, как при начальном формировании сети, так и для поддержания в дальнейшем ее работоспособности.

Для того чтобы узнать, что передается в данный момент по сети применяются пакетные снифферы. Которые переводят сетевую карту в режим «полной прослушки» с последующей записью трафика (дампа) в память устройства. И в зависимости от возможностей программного обеспечения анализатора, те или иные протоколы, которые регламентируют правило формирования отдельного поля пакета, будут выведены на экран отображения отслеживаемого трафика.

Соответственно, если пользователь Интернет-сети или отдельной внутренней сети захочет установить сеанс связи, используя телематические услуги, то это будет зарегистрировано в захваченных пакетах сетевым анализатором. Что позволяет применять анализатор протоколов в целях тестирования или мониторинга.

Исходя из этого, системный администратор, столкнувшись с рядом проблем в процессе администрирования данных сети IP-телефонии, прибегнет к возможностям пакетного сниффера, чтобы обнаружить на каком моменте передачи пакета образуется дефект.

Опираясь на вышесказанное, для работы с пакетными снифферами и с последующим анализом сети IP-телефонии, необходимо ознакомиться с базовой теоретической информацией, приведенных в главах:

1. IP-телефония. Где приведена информация об основных понятиях, составляющих общий процесс передачи медиа-данных в режиме реального времени, а также структуре самих данных.

2. Описание сетевых анализаторов. В ней содержится базовая информация о пакетных снифферах и принципе их работы.

Что предоставит, оперируя данными знаниями, в ходе анализа инициализации сессии сеанса связи IP-телефонии на базе протокола SIP, рассмотреть возможные вариации обнаружения «прослушивания» трафика со стороны злоумышленника и применяемые методы шифрования защиты данных, посредством разбора возможностей анализатора Wireshark.

1. IP-телефония

1.1 Основные понятия

IP-телефония - это выстроенная система телефонной связи по протоколу Интернет. Технология ее реализующая, предоставляет выход к вышеуказанной системе и предназначена для осуществления передачи речевой информации по компьютерным сетям с маршрутизацией IP-пакетов - VoIP (VoiceOverIP - «Голос поверх интернет-протокола»).

Протокол - свод официальных правил поведений, объединенных в согласованную систему процедур, описывающих принцип взаимодействия объектов. В данном случае протокол является набором правил, взаимодействующих сетевых устройств.

Стандартная телефония (ТфОП) - система телефонной связи с применением радиотехнических устройств, которые в свою очередь предназначены для обеспечения установления сеанса связи по выделенному каналу посредством телефонной сети.

IP - это протокол межсетевого взаимодействия, входит в состав стека протоколов TCP/IP. С помощью логической адресации сети и ее хостов, происходит доставка пакета, соответствующая обращению запроса со стороны отправителя в Интернет-сети. Предназначен для передачи по сети пользовательских данных., в отличие от протоколов маршрутизации, которые передают по сети только служебную информацию.

Пакет - это есть блок информации, содержащий в себе сегмент «Заголовок» и поля данных (см. Таблицу 1)

Таблица 1 - Поля заголовка пакета IP

Наименование поля	Описание	Размер
IP-адрес источника	От кого запрос	32 бита
IP-адрес назначения	Кому запрос	32 бита
Контрольная сумма	Считается по всему заголовку	2 байта
Протокол верхнего уровня	Показывает какому на верхнем уровне протоколу принадлежит пакет (напр. RIP)	1 байт
Время жизни	Указывает на предельный срок продолжительности перемещения пакета по сети (измеряется в секундах)	1 байт
Идентификатор	Предназначен для определения правильной последовательности сегментов при сборке пакета	16 бит
Флаги	Указываете на возможность фрагментации пакета, а также на то, является ли данный пакет промежуточным или последним в их цепочке (установленный бит DF- запрещает маршрутизатору фрагментировать пакет, а бит MF - указывает на перенос пакетом промежуточного фрагмента)	3 бита
Смещение фрагмента	Смещение поля данных пакета (задается количеством 8-байтовых блоков)	13 бит
Версия протокола	Например, IPv4	4 бита
Длина заголовка пакета	Указывает на длину заголовка	4 бита
Тип сервиса	Позволяет определить приоритет пакета и вид критерия выбора маршрута с целью достижения высокой скорости передачи данных	8 бит
Общая длина	Значение, которое определяет всю длину, включая заголовок и поля данных	16 бит
Опции и выравнивания*	Необязательно и используется обычно только при отладке сети	-

* - Это поле состоит из нескольких подполей, каждое из которых может быть одного из восьми предопределенных типов. В этих подполях можно указывать точный маршрут прохождения маршрутизаторов, регистрировать проходимые пакетом маршрутизаторы, помещать данные системы безопасности, а также временные отметки. Так как число подполей может быть произвольным, то в конце поля Резерв должно быть добавлено несколько байт для выравнивания заголовка пакета по 32-битной границе



Рисунок 1 - Структура заголовка IP-пакета

Располагается Интернет-протокол на третьем (сетевом) уровне модели OSI (см. Рисунок 2).

Его минусы в том, что надежной доставки пакета не гарантируется, что приводит к несинхронизированному приему, дупликации или потере данных.

Во избежание вышеназванных проблем в сетях с коммутацией пакетов, существует протокол с гарантированной доставкой пакета данных - TCP, используя отдельный пакет (сегмент) с функциональным назначением протокола. И протокол с негарантированной доставкой, который в свою очередь обеспечивает связь между программами и их взаимодействие на одном узле - UDP (см. Таблицу 2).

Таблица 2 - Характеристика протоколов TCP и UDP

Протокол	Свойства	Содержание пакета
TCP (Transmission Control Protocol)	Транспортный протокол стека протоколов TCP/IP, обеспечивающий гарантированную доставку пакетов с установлением виртуального соединения. Форма передачи данных - TCP-сегмент.	Номер порта отправителя и номер порта получателя - номера портов, идентифицирующие программы, между которыми осуществляется взаимодействие; Поля, предназначенные для обеспечения гарантированной доставки: размер окна, номер последовательности и номер подтверждения; Управляющие флаги - специальные битовые поля, управляющие протоколом.
UDP (User Datagram Protocol)	Транспортный протокол, обеспечивающий негарантированную доставку пакетов без установления виртуального соединения. Форма передачи в виде сегментныхUDP-дейтаграмм.	Поле номера UDP-порта программы-отправителя; Поле номера UDP-порта программы-получателя; Два других поля в структуре заголовка дейтаграммы предназначены для управления обработкой - общая длина дейтаграммы и контрольная сумма заголовка

Рисунок 2 - Модель взаимодействия открытых систем (OSI)

Для реализации передачи трафика в режиме реального времени в Интернет-сети, обычно применяется протокол UDP, поверх которого работает протокол доставки информации в реальном времени RTP.

Использование в качестве транспортного протокола TCP-протокол в данном случае невозможно по нескольким причинам:

1. TCP предусматривает повторную передачу потерянных сегментов, прибывающих, когда приложение реального времени уже их не ждет;

2. Этот протокол позволяет установить соединение только между двумя конечными точками, следовательно, он не подходит для многоадресной передачи;

3. TCP не имеет удобного механизма привязки информации о синхронизации к сегментам - дополнительное требование приложений реального времени.[1]

RTP - это протокол транспортного уровня, ориентированный на поток данных в реальном времени. Заголовок содержит информацию о порядке следования пакетов, чтобы поток данных был правильно собран на принимающей стороне, и временную метку для правильного чередования кадров при воспроизведении и для синхронизации нескольких потоков данных, например, аудио и видео. И для передачи каждого типа трафика независимо от другого спецификацией протокола вводится понятие сеанса связи RTP. Сеанс определяется конкретной парой транспортных адресов назначения, тоесть один сетевой адрес и два порта для RTP и RTCP. Так, для видеоконференции необходимо аудио и видео передавать в разных сеансах ссоответственно разными портами назначения.

Никакого непосредственногосоединения на уровне RTP между аудио и видео-сеансами связи не имеется,за исключением того, что пользователь, участвующий в обоих сеансах,должен использовать одно и то же каноническое имя в RTCP пакетах дляобоих сеансов так, чтобы сеансы могли быть связаны.Несмотря на разделение, синхронное воспроизведение мультимедийных данных источника (звука и видео) может быть достигнуто при использовании информации таймера (из поля, где указывается значение таймера), которое переносится в пакетах RTCP для обоих сеансов.[2]

1.2 Принцип работы IP-телефонии

В процессе реализации звонкаречевой сигнал преобразуется в сжатый пакет данных с помощью различных кодеков. Далее идетпересылка данных поверх сетей с коммутацией пакетов (частный случай - IP-сеть). При достижении пакетами получателя, они декодируются, и в результате на стороне приема воспроизводится аналоговый сигнал. Эти процессы возможны благодаря большому количеству вспомогательных протоколов, обговоренных ранее.

С помощью протоколов передачи данных осуществляется качественная пересылка информационными пакетами между двумя точками и за счет чего позволяет двум абонентам понимать другу друга.

Кратко разбирая принципы работы двух систем телефонии, выделим преимущества и недостатки IP-телефонии.

В стандартной телефонии подключение происходит путем взаимодействия телефонной станции и абонентов, решивших установить голосовую связь, а сам разговор устанавливается за счет того, что абонент подключен к той или иной сети телефонной линии (см. Рисунок 3). Данное подключение требует постоянного обслуживания, что влечет за собой дополнительные расходы на зарплату сотрудников и оборудование.

В самом же терминале, оснащенном микрофоном, телефоном и программно-аппаратными средствами мультимедиа и имеющему выход в сеть Интернет, происходит процесс кодирования речи:

- АЦП (аналого-цифровое преобразование) сигналов, поступающих от микрофона;

- компрессия сигнала (сужение полосы пропускания).

Данные преобразования происходят в кодеках, которые обеспечивают скорость передачи речи от 1.2 до 64 Кбит/c.

Чтобы пакет сформировался, необходимо накопить определенный объем данных, к которым добавляется служебная информация для передачи данных и их корректного приема с возможностью исправить ошибки.



Рисунок 3 - Две линии связи IP и ТФОП

Рисунок 4 - Процесс передачи данных из сети коммутацией пакетов в сеть с коммутацией каналов

В процессе осуществления телефонного разговора (см. Рисунок 3) присутствуют сети с коммутацией каналов и сети с коммутацией пакетов. Преобразование входного сигнала из сети с коммутацией пакетов в сигнал временного мультиплексирования осуществляется в оборудовании медиа шлюза (см. Рисунок 4). В процессе декодирования не осуществляется цифро-аналоговое преобразование.

Рисунок 5 - Процесс передачи данных в сети с коммутацией пакетов

При использовании двух сетей с коммутацией пакетов (в соответствии с Рисунком 5), IP-телефония не нуждается в подключении к телефонной линии связи, и весь объем данных будет проходить по каналу Интернет-сети (см. Рисунок 6). И преобразование цифрового сигнала ваналоговый будет осуществляться в устройстве декодирования речи.

Таким образом, имея под рукой лишьустройство (телефон/ПК),с установленным в негоSoftphones-приложением, сеанс связи будет реализован посредством сети Интернет, где пакеты данных с речевой информацией будут проходить собственный путь, находя маршрут до адреса назначения.[2]

При реализации передачи данных с маршрутизацией до определенной сети, используется зарезервированныйIP-адрес сети (например: 192.168.0.0).

Также присутствует такое понятие, как Маска сети. Она определяет общее число адресов в сети. Записывается количеством бит (8 бит = 256 адресов) или в десятичном виде байтовой записи (255.255.255.0).



Рисунок 6 - Две линии связи с одним коммутатором

Введение адреса сети упростило решение проблемы маршрутизации, но не до конца (например, в больших локальных сетях). Поэтому большую IP-сеть разбивают на несколько подсетей, присвоив каждой из них свой адрес.

Подсети - это отдельные внутренние, самостоятельно функционирующие части сети, имеющие свой идентификатор. Для адреса подсети, в IP-адресе, выделяется пространство из адреса узла. Для определения адреса сети и подсети используется маска подсети.

Адрес сети: 192.168.0.0 11000000.10101000.00000000.00000000

Сетевая маска: 255.255.254.0 = 23 11111111.11111111.11111110.00000000

Сеть: 192.168.0.0/23 11000000.10101000.00000000.00000000

Минимальный IP: 192.168.0.1 (11000000.10101000.00000000.00000001);

Максимальный IP: 192.168.1.254 (11000000.10101000.00000001.11111110);

Broadcastадрес передачи широковещательных пакетов, также как и адрес маски зарезервирован: 192.168.1.255 11000000.10101000.00000001.11111111

Исходя из этого, можно выяснить, что адреса 0 и 255 имеют специальное назначение. Также как IP-адрес первый октет которого равен 127. Он в свою очередь применяется для тестирования программ и взаимодействия процессов в пределах одного терминала[3].

IP-адреса делятся на классы, в соответствии с Таблицей 3.

Таблица 3 - Классы IP-адресов

Класс	A («огромные» сети)	B «средние» сети)	C («маленькие сети»)	D (Multicast-сети)	E (Экспериментальные)
Первые биты	0	10	110	1110	1111
Количество адресов	16 387 064	64 516	254	Групповой адрес	Зарезервировано
Вид адреса хостов	125.*.*.*	136.12.*.*	195.136.12.*
Маска сети	255.0.0.0	255.255.0.0	255.255.255.0
Промежуток адресов	1-126	128.0-191.255	192.0.0-255.254.255	224-239	240-250

1.3 Технология H.323

Для построения сетей IP-телефонии первой стала рекомендация H.323 организации ITU-T.

Так как Международный союз электросвязи занимается проблемами телефонных сетей, предложенная рекомендация в большей степени была ориентирована на передачу телефонного трафика по сети с коммутацией пакетов. Сети, построенные на базе протоколов H.323, ориентированы на интеграцию с телефонными сетями. В частности, процедура установления соединения в таких сетях IP-телефонии базируется на рекомендации ITU-Т Q.931 и практически идентична той же процедуре в сетях ISDN (Цифровая Сеть с Интеграцией Служб). Рекомендация H.323 предусматривает применение разнообразных алгоритмов сжатия речевой информации, что позволяет использовать полосу пропусканияболее эффективно, чем в сетях с коммутацией каналов.

Основными устройствами сети являются: терминал, шлюз, контроллер зоны и устройство управления конференциями. Необходимо отметить, что в отличии от устройств ТфОП, устройства Н.323 не имеют жестко закрепленного места в сети. Устройства подключаются в любую точку IP-сети. Однако при этом сеть Н.323 разбивается на зоны, где каждой из них управляет контроллере зоны.

1.3.1 Устройства сети

Терминал H.323- это оконечное устройство сети IP-телефонии, обеспечивающее двухстороннюю речевую или мультимедийную связь с другим терминалом, шлюзом или устройством управления конференциями (см. Рисунок 7).

Рисунок 7 - H.323 терминалы в сети с коммутацией пакетов

Пользовательский интерфейс управления системой дает пользователю возможность создавать и принимать вызовы, а также конфигурировать систему и контролировать ее работу.

Модуль управления поддерживает три вида сигнализации (H.225, Н.245 и RAS),обеспечивает регистрацию терминала у контроллера зоны, установление и завершение соединения, обмен информацией, необходимой для открытия разговорных каналов,предоставление дополнительных услуг и техобслуживание.

Рисунок 8 - Конфигурация терминала H.323

Телематические приложения обеспечивают передачу пользовательских данных, неподвижных изображений и файлов, доступ к базам данных и т.п. Стандартным протоколом для поддержки таких приложений является протокол Т.120.

Модуль H.225.0 отвечает за преобразование видеоинформации, речи, данных и сигнальной информации в вид, необходимый для передачи по сетям с маршрутизацией пакетов IP, и наоборот. Кроме того, функциями модуля являются разбиение информации на логические кадры, нумерация последовательно передаваемых кадров, выявление и коррекция ошибок.

Сетевой интерфейс обеспечивает гарантированную передачу управляющих сообщений Н.245, сигнальных сообщений Н.225.0 (Q.931) и пользовательских данных при помощи протокола TCP и негарантированную передачу речевой и видеоинформации, а также сообщений RAS, при помощи протокола UDP.

Блок синхронизации вносит задержку на приемной стороне для обеспечения синхронизации источника информации с ее приемником.

Соответственные кодеки кодируют видео- и аудиоинформацию, для дальнейшей передачи по сети и декодируют на приеме, для последующего преобразования в пользовательский вид.

Шлюз является соединяющим мостом между ТфОП и IP. Основной функцией шлюза является преобразование речевой информации, поступающей со стороны ТФОП с постоянной скоростью, в вид, пригодный для передачи по IP-сетям, т.е. кодирование информации, подавление пауз в разговоре, упаковку информации в пакеты RTP/UDP/IP, а также обратное преобразование. Также шлюз поддерживает обмен сигнальными сообщениями как с коммутационным или терминальным оборудованием ТфОП, так и с контроллером зоны илиоконечным устройством сети Н.323.

Таким образом, шлюз должен преобразовывать аналоговую абонентскую сигнализацию, сигнализацию по 2ВСК и сообщения систем сигнализации DSS1 и OKC7 в сигнальные сообщения Н.323.

При отсутствии в сети контроллера зоны, шлюз должен осуществлять функцию преобразования номера ТфОП в транспортный адрес IP-сети.

Со стороны сетей с маршрутизацией пакетов IP, так же, как и со стороны ТфОП, шлюз может участвовать в соединениях в качестве терминала или устройства управления конференциями (рис.1.3).

Шлюз сначала может участвовать в соединении в качестве терминала, а затем, при помощи сигнализации Н.245, продолжить работу в качестве устройства управления конференциями.

Контроллер зоны. В нем сосредоточен весь интеллект сетей IP-телефонии, базирующихся на рекомендации ITU-T H.323. Контроллер зоны выполняет функции управления зоной сети IP-телефонии, в которую входят терминалы, шлюзы и блоки конференций, зарегистрированные у данного контроллера зоны. Разные участки зоны сети H.323 могут быть территориально разнесены, но соединяться друг с другом через маршрутизаторы.

В число наиболее важных функций, выполняемых контроллером зоны, входят:

· Преобразование так называемого alias-адреса (имени абонента, телефонного номера, адреса электронной почты и др.) в транспортный адрес сетей с маршрутизацией пакетов IP (IP-адрес и номер порта TCP);

· Контроль доступа пользователей системы к услугам IP-телефонии при помощи сигнализации RAS (используются сообщения ARQ/ACF/ARJ);

· Контроль, управление и резервирование пропускной способности сети;

· Маршрутизация сигнальных сообщений между терминалами, расположенными в одной зоне;

· Контроллер зоны может организовывать сигнальный канал непосредственно между терминалами или ретранслировать сигнальные сообщения от одного терминала к другому.

Также контроллер обеспечивает мобильность абонентов, т.е. способность пользователя получить доступ к услугам любого терминала в любом месте сети, и способность сети идентифицировать пользователей при их перемещении из одного места в другое.

Если вызывающий абонент знает IP-адрес терминала вызываемого абонента, то соединение между двумя устройствами может быть установлено без помощи контроллера зоны.

Устройство управления конференциями. Одна из дополнительных услуг IP-телефонии - возможность организации конференций. Рекомендация Н.323 предусматривает три вида конференции (см. рисунок 9).

Первый вид - централизованная конференция, в которой оконечные устройства соединяются в режиме «точка-точка» с устройством управления конференциями (MCU),контролирующим процесс создания и завершения конференции, а также обрабатывающим потоки пользовательской информации.

Второй вид - децентрализованная конференция, в которой каждый ее участник соединяется с остальными участниками в режиме «точка-группа точек», и оконечные устройства сами обрабатывают (переключают или смешивают) потоки информации, поступающие от других участников конференции.

Третий вид - смешанная конференция, т.е. комбинация двух предыдущих видов.

Преимущество централизованной конференции - сравнительно простые требования к терминальному оборудованию.

Недостаток - большая стоимость устройства управления конференциями.

Для децентрализованной конференции требуется более сложное терминальное оборудование; кроме того, желательно, чтобы в сети поддерживалась многоадресная рассылка при передачи пакетов IP. Если сеть не поддерживает этот режим, терминал способен передать информацию к каждому другому терминалу, участвующих в конференции, в режиме «точка-точка». Это становится неэффективным при числе участников более четырех.[4]

Устройство управления конференциями MCU содержит один обязательный элемент - контроллер многоточечных соединений (Multipointcontroller). При этом MCU может содержать один или более процессоров для обработки информации пользователей при многоточечных соединениях (Multipointprocessor).



Рисунок 9 - виды конференции в сети H.323

1.4 Протокол SIP

1.4.1 Определение

SIP (SessionInitiationProtocol) - управляющий протокол уровня приложений, который предназначен для установления, модификации и завершения мультимедийных сеансов связи с одним или несколькими участниками. Спецификация данного протокола представлена в документе RFC 3261.

Протокол SIP поддерживает следующие сетевые возможности:

· Персональная мобильность пользователей (пользователи могут неограниченно перемещаться в пределах сети, а услуги связи предоставляются пользователям в любом месте сети, для чего каждому пользователю присваивается один уникальный идентификатор);

· Масштабируемость сети (характеризуется возможностью увеличения количества элементов сети при её расширении, что в полной мере обеспечивает серверная структура сети, построенной на базе протокола SIP);

· Расширяемость протокола (характеризуется возможностью дополнения протокола с целью введения новых услуг, а также для адаптации протокола к работе с «неизвестными» приложениями);

· Интеграция в стек TCP/IP существующих протоколов Интернет, разработанных комитетом IETF;

· Взаимодействие с другими протоколами сигнализации, включая протокол Н.323 и системы общеканальной сигнализации DSS1 и ОКС7 (для упрощения процедуры взаимодействия при сигнализации возможна передача телефонного номера формата Е.164 или любого другого формата).

1.4.2 Архитектура сети

Основными элементами сети SIP-телефонии являются терминалы и серверы. Функционально SIP-серверы подразделяются на прокси-серверы, серверы переадресации, серверы регистрации и серверы определения местонахождения объекта (см. рисунок 10).

Рисунок 10 - Архитектура сети SIP-телефонии

Физически эти элементы могут быть реализованы на базе серверов локальной сети, которые, кроме выполнения своих основных функций, будут также обрабатывать SIP-сообщения. К тому же, несколько функциональных SIP-серверов могут быть выполнены в одном физическом элементе.

Основным функциональным элементом, реализующим функции управления соединением, является терминал. Остальные элементы сети отвечают за маршрутизацию вызовов, а в некоторых случаях предоставляют дополнительные услуги.

Терминалы могут быть двух типов: ПК, оснащённый необходимыми аппаратными средствами и программным модулем SIP (UA) или SIP- телефон, подключающийся непосредственно к ЛВС. Управление обслуживанием вызова распределено между разными элементами сети SIP

В случае, когда клиент и сервер реализованы в оконечном оборудовании пользователя, они называются, соответственно, клиентом агента пользователя - UAC и сервером агента пользователя - UAS. Если в устройстве присутствуют и сервер UAS, и клиент UAC, то оно называется агентом пользователя - UA, а по своей сути представляет собой терминальное оборудование SIP.

Прокси-сервер представляет интересы пользователя в сети. Он принимает запросы, обрабатывает их и, в зависимости от типа запроса, выполняет определенные действия. Например, поиск и вызов пользователя, маршрутизация запроса, предоставление услуг. Прокси-сервер состоит из клиентской и серверной частей, поэтому может принимать вызовы, инициировать собственные запросы и передавать ответы. Прокси-сервер взаимодействует с сервером определения местонахождения, имеющим сведения о том, где в настоящий момент находится пользователь. Существует два типа прокси-серверов:

· с сохранением состояний (stateful);

· без сохранения состояний (stateless).

Сервер переадресации предназначен для определения текущего адреса вызываемого пользователя. Вызывающий пользователь передает к серверу сообщение с общеизвестным адресом вызываемого пользователя, а сервер обеспечивает переадресацию вызова на текущий адрес этого пользователя.

Сервер переадресации не содержит клиентскую часть программного обеспечения.

Для хранения текущего адреса пользователя служит сервер определения местонахождения пользователей, представляющий собой базу данных адресной информации.

Регистрирующий сервер (registrar), предназначен для внесения по инициативе пользователя изменений в базу данных сервера определения местонахождения нужного домена. Обращаясь к серверу регистрации, пользователь может указать адрес (адреса), где его можно найти в текущее время.[5]

1.4.3 Структура протокола

В некотором смысле прародителем протокола SIP является протокол HTTP. Протокол SIP унаследовал от него синтаксис и принцип «клиент-сервер» (см. рисунок 11).

Рисунок 11 - принцип «клиент-сервер»

Клиент отправляет запросы, в которых указывает, что он желает получить от сервера. Сервер принимает запрос, обрабатывает его и отправляет ответ, который может содержать уведомление об успешном выполнении запроса, уведомление об ошибке или информацию, затребованную клиентом.

SIP - протокол, ориентированный на транзакции: взаимодействие между элементами сети происходит путем периодического обмена сообщениями. Транзакция состоит из запроса и любого количества ответов на него. Имеет клиентскую сторону и серверную сторону, соответственно, они носят название клиентской транзакции и серверной транзакции.

Клиентская транзакция занимается отправкой запросов, а серверная транзакция - отправкой ответов.

Для организации взаимодействия с существующими приложениями IP-сетей и для обеспечения мобильности пользователей протокол SIP использует адрес, подобный адресу электронной почты. В качестве адресов рабочих станций используются универсальные идентификаторы ресурсов - так называемые SIP URI.

SIP-адреса бывают четырех типов:

· имя@домен

· имя@хост

· имя@IР-адрес

· номер_телефона@шлюз

Таким образом, адрес состоит из двух частей. Первая часть - это имя пользователя, зарегистрированного в домене или на рабочей станции. Во второй части адреса указывается имя домена, рабочей станции или шлюза. Если вторая часть адреса идентифицирует какой-либо шлюз, то в первой указывается телефонный номер абонента. В начале SIP-адреса ставится слово «sip:», указывающее, что используется схема адресации SIP, так как бывают и другие схемы адресации.

2. Описание сетевых анализаторов

2.1 Понятие «сниффер»

Сниффер - он же сетевой анализатор, является очень хорошим помощником для сетевого администратора, предоставляя возможность увидеть все то, что на самом деле передается через компьютерную сеть. Что облегчает диагностику различных проблем или даже изучение принципов работы протоколов и связанных с ними технологий.

Информация, которую несут кадры Ethernet на компьютер, перехватывается сниффером с последующей записью на диск, что в дальнейшем позволит проанализировать на предмет информационной безопасности, измерить трафик, который осуществляет передачу без участия пользователя, скорость и т.п.

При обмене сообщениями компьютеры используют обычно в роли среды обмена информации один кабель с выходом в сеть. И во избежание коллизий, компьютер постоянно «прослушивает» канал связи. Точнее это делает сетевая карта NIC (NetworkInterfaceCard), которая считываязаголовок IP-пакета, сверяет адрес назначения и подсчитывает контрольную суммудля корректного приема. Если сетевой адрес принадлежит ей, то пакет обрабатывается дальше. В случае если при подсчете контрольной суммы будет обнаружен дефект или адреса назначения не будут совпадать, то пакет отбрасывается.

Таким образом, компьютер должен находиться всегда в состоянии активной «прослушки» сетевого трафика, обеспечивая тем самым бесперебойный обмен данными в сети. Но если сетевую карту перевести в режим promiscuousmode, а одним из вариантов его активации является установка сниффера, то адаптер будет считывать весь трафик.Что в свою очередь требует создания дополнительных алгоритмов доступа к сети с реализацией приема и анализа трафика, адресованного одному компьютеру и без доступа к «чужим» сообщениям.

Рассмотрим на примере концентратора (хаба). Принимая трафик данных от одного узла сети, хаботправляет пакеты на все собственные порты (см. Рисунок 12). Тем самым подвергая конфиденциальность данных риску прочтения их третьими лицами. Если бы те в свою очередь установили пакетный сниффер на одном из узлов сети.

Рисунок 12 - Использование концентратора в системе обмена данными между компьютерами

Со временем концентраторы стали заменяться на коммутаторы (switch), которые знают адреса устройств к нему подсоединенных и передают данные нужному порту. Тем самым разгружая другие порты (см. Рисунок 13).

Рисунок13 - Использование коммутатора в системе обмена данными
между компьютерами

Если к сети с коммутатором через один из портов, будет подключен компьютер с установленным сетевым анализатором, то захваченные пакеты будут нести информацию лишь ту, которой обменивается данный компьютер с узлом сети.

И для того, чтобы перехватить пакеты, которые заинтересуют злоумышленника, необходимо установить анализатор на самом сервере.

2.2 Основной принцип функционирования анализатора

Существуют следующие функции анализаторов протоколов:

· Функции мониторинга;

· Функции декодирования и анализа сообщений тестируемого протокола, захваченных из сети;

· Функции генерации большого потока вызовов;

· Функции симуляции оборудования, поддерживающего тестируемый протокол;

· Возможность создания тестовых сценариев;

· Возможность создания ошибочных ситуаций.

В сети, к которой подключена станция (компьютер, терминал), передается большой объем информации как служебной (до и после обработки которой, процессор не выведет результат на активную рабочую область устройства), так и пользовательской (например: изображение, текст, видео). И для комфортной работы с данными и уменьшения загрузки системы, существует два режима захвата трафика (см. Таблицу № 4).

Таблица 4 - Режимы захвата трафика

Термин	Пояснение
Селективный	С фильтрацией (реализуя алгоритм выборки захвата протоколов)
Неселективный	Без фильтрации (перехватывает весь трафик сети)

Сам же анализатор располагаясь на станции хоста, использует неразборчивый режим прослушивания, т.е. драйвер сетевого адаптера начинает перехватывать весь трафик с канала. Так как каждая ОС ведет обработку трафика по-своему, существует общая библиотека Libpcap (для Linux) и WinPcap (для Windows), чтобы предоставить общую ссылку для программистов. Далее перехваченный трафик передается декодеру пакетов анализатора, который распознает и разделяет пакеты по соответствующим уровням иерархии. ПО анализатора изучает пакеты и отображает информацию о них на экране хоста в окне отслеживания пакетов. В зависимости от того какими функциями обладает продукт, представленная информация впоследствии может дополнительно анализироваться и отфильтровываться.

Стандартно в окне отслеживания пакетов отображается минимум полей, туда входит: дата, время (когда пакеты были перехвачены - в миллисекундах), IP-адреса исходные и целевые, адреса портов исходные и целевые, тип протокола (сетевой, транспортный или прикладной) и небольшая общая информация о перехваченных пакетах. В средней области показаны расшифровки полей пакета, выбранных пользователем (в данном случае поля протокола RTP, в соответствии с Рисунком 12). И в нижней области пакет представлен в шестнадцатеричном виде или в символьной форме -- ASCII.

Основной задачей анализатора является - анализ декодированных пакетов, организуя перехваченные пакеты по уровням и протоколам. Анализатор же помощнее может распознать протокол по его более характерному уровню (верхнему) и отобразить результат перехвата данных.[6]



Рисунок 14 - Демонстративный пример окна отслеживания данных анализатора Wireshark, с фильтрацией протокола RTP

2.3 Обзор сетевых анализаторов

Рассмотрим несколько бесплатных сетевых анализаторов, которые ориентированы на использование с платформами Windows.

Существует две категории анализаторов: с поддержкой запуска с помощью командной строки и располагающие графическим интерфейсом. Но есть и такие, которые объединяют в себе две эти категории.

Также, снифферы отличаются друг от друга тем, что каждый из них поддерживает определенные протоколы; глубиной анализа перехваченных пакетов; возможностями по настройке фильтров и возможностью совместимости с другими программами.

2.3.1 Анализатор WinPcap

Сетевой анализатор WinPcap - это инструмент, работающий в среде ОС Windows, позволяющий приложениям захватывать и передавать сетевые пакеты в обход стека протоколов. Имеет такие дополнительные функции, как фильтрацию пакетов на уровне ядра, движок статистики сети и поддержку удаленного захвата пакетов. WinPcap предоставляет возможность программному обеспечению сетевого мониторинга захватывать пакеты, путешествующие по сети, и (в более новых версиях) для передачи пакетов в сети. WinPcap также поддерживает сохранение захваченных пакетов в файл и чтение этих файлов.

WinPcap состоит из драйвера, который расширяет операционную систему, обеспечивая ей поддержку низкоуровнего доступа к сети, и библиотеки, которая непосредственно используется для низкоуровнего доступа.

Благодаря своему набору функций, WinPcap является движком для захвата и фильтрации пакетов, на котором основываются многие коммерческие, а также бесплатные сетевые инструменты, включая анализаторы протоколов (например, WireShark), сетевые мониторы, системы обнаружения сетевого вторжения, генераторы трафика и утилиты тестирования сети. Инструмент содержит в себе всю необходимую документацию, а также различные руководства.

Рисунок 15 - Обработка данных сети анализатором WinPcap

2.3.2 SmartSniff

Программа SmartSniff - это утилита, предназначенная для перехвата и просмотра TCP/IP-пакетов, передаваемых через сетевые адаптеры между клиентскими и серверными машинами. Вы можете просматривать TCP/IP обмен в режиме ASCII (для текстовых протоколов, типа HTTP, SMTP, POP3 и FTP) или HEX (для протоколов типа DNS). SmartSniff предоставляет три метода захвата пакетов: RawSocket (только для Windows 2000/XP и выше без установки специального драйвера); WinPcapCaptureDriver работает на всех операционных системах; MicrosoftNetworkMonitorDriver (только для Windows 2000/XP/2003).

Рисунок 16 - Главное окно программы-анализатора SmartSniff

2.3.3 Wi-FiGuard

Это сетевой сканер, позволяющий мониторить домашнюю сеть Wi-Fi и находить нелегально подключившихся злоумышленников. Эта небольшая, но крайне необходимая утилита для любого пользователя Wi-Fi сети, при условии, что он желает сохранить ее в безопасности.

На первый взгляд домашняя сеть Wi-Fi не нуждается в дополнительной защите, ведь доступ в нее надежно закрыт паролем. Но именно пароль может стать слабым местом сети, ему могут угрожать brute-force атаки, связанные с бесконечным подбором пароля или проблемы с шифрованием данных. Не стоит думать, что взломщик, получивший таким образом доступ к безлимитному Интернет-соединению, никого не грабит. Используя чужой доступ в сеть, он также получает возможность читать электронную почту пользователя и красть его конфиденциальные данные.

Рисунок 17 - Главное окно отслеживания трафика анализатора Wi-FiGuard

Wi-FiGuard работает просто - в настройках программы нужно задать определенный промежуток времени проверки системы, следуя которому сканер будет раз за разом пинговать компьютер и другие, подключенные к сети устройства, и отображать полный список активных участников пожирания интернет-трафика и отмечать, какие компьютеры закрыты от сканирования межсетевым экраном. В составленном программой списке зеленым цветом будут отмечены разрешенные устройства, а красным - вероятные злоумышленники, незаконно подключившиеся к сети. Об их обнаружении Wi-Fi Guard незамедлительно известит владельца роутера, отправив тому timestamp с указанием имени хоста, посещаемого злоумышленником, а также его Mac и IP адрес.

Программа распространяется бесплатно, не содержит рекламного ПО и работает на ОС Windows, Linux и Mac OS X и не требует установки. Чтобы знать обо всех участниках домашней сети Wi-Fi ее достаточно скачать, запустить и настроить.

2.3.4 IPTools

Это программа для анализа протокола, которая использует возможности сокетов операционных систем семейства Windows. По сути, IP Tools - это набор инструментов, собранных в один пакет, которые предназначены для удобногосниффинга.

Этот пакет может работать на всех версиях операционной системы Windows, с использованием: сокетов Windows 2000 (без драйверов), WinPcap (который должен быть установлен на ОС), протокола NDIS (который должен быть установлен, без перезагрузки).

IP Tools - это набор таких IP-инструментов как: IP traficmonitor (отображает использование трафика по IP-адресам), IP statistics (выводит статистику об IP), ARP (инструмент для ведения журнала с возможностью удаления записей, отправленных запросов), NetbiosNames, RoutePrint (позволяет распечатать маршруты передачи запросов), Netstat (отображает список запущенных процессов использующий интернет-соединение, также с помощью этого инструмента можно убивать сами процессы и закрывать tcp-порты), Network informations (данный инструмент отображает различную информацию о сети, например такую как: параметры сети, сетевые адаптеры, карты и т.д.), Spoofing (TCP, UDP, ICMP, ARP), WINS Query, DNS Query (эти инструменты используют win32 DNSAPI), DHCP Find, WHOIS (отображает информацию о домене или IP-адресе), Resolve IP / Hostname, PING, TCP Scan.

Рисунок 18 - Скриншот программы IP -Tool

3. Анализ сетевого трафика IP-телефонии с применением сниффера Wireshark

С точки зрения мониторинга и анализа технологии IP-телефонии, использующей компьютерные сети. Интерес к отслеживанию трафика может проявляться как для человека, отвечающего за безопасность собственных или корпоративных компьютерных данных, так и для злоумышленника, главной задачей которого является перехват конфиденциальной информации. В роли которой может выступать передача пакетов, содержащих служебные данные, подразумевающие под собой регламент взаимодействия элементов в сети и пользовательские данные. Так как часто в сегменте пакета данных передаются ключи шифрования самих данных и ключи отдельных локальных файлов, расположенных на одном из устройств, предназначенных для хранения информации, которые в свою очередь могут в себе содержать данные о пользователях определенной сети.

Исходя из того, что сниффер в сети себя никак не проявляет, обнаружить его с помощью такого же анализатора невозможно. Но определить злоумышленника, используя программное обеспечение сетевого анализатора можно.

Каждому пакету, передающемуся в сети, присущ свой идентификатор. Так, например, для передачи данных через сеть Ethernet, при формировании пакета данных добавляется сегмент, содержащий в себе MAC-адреса оборудований в сети как источника, так и назначения.

А поверх канального уровня в настоящее время обширно используется протокол IP, с помощью которого осуществляется маршрутизация пакета в сети. И данные об IP-адресах назначения и источника сообщения также как и MAC-адреса добавляются в соответственные сегменты пакета.

Все эти данные и позволит узнать сетевой анализатор, что даст специализированному IT-шнику преимущество перед злоумышленником.

Например, если тот захочет прослушать трафик, используя метод подмены ARP-таблицы. Что в силу недостатка глобальных IP-адресов, предоставляемых поставщиком услуг для выхода во внешнюю сеть Интернет, приводит к решению о внедрении в канал связи пограничного устройства, на котором будет «лежать» программное обеспечение NAT. В свою очередь оно устанавливает связь предприятия с внешней сетью, путем динамического сопоставления частных адресов внутренней сети с набором глобальных IP-адресов.

Прибегнуть к технологии NAT также может и злоумышленник, соответственно подменив MAC-адрес в ARP-таблице, формирующейся в процессе обмена ARP-сообщениями, т.е. в поиске нужного MAC-адреса по известному IP-адресу.

Невооруженным взглядом подмена адресов не будет замечена. Но применив сетевой анализатор, представитель информационной безопасности обнаружит дефекты в процессе передачи пакетов. Во-первых, если злоумышленник засветит свой IP-адрес, то можно считать его атакой проваленной. Во-вторых, если же он его не засветит, то через некоторое время специалист обнаружит фиксировано уменьшенное на единицу или более значение поля TTL. Что даст ему понять о том, что трафик обрабатывается дополнительным узлом в сети. В-третьих, это в свою очередь сигнализирует о том, что перед началом функционирования элементов сети TCP/IP, необходимые MAC-адреса должны вписываться вручную или же путем анализа DHCP обмена, что в дальнейшем позволит сверять IP-адрес и MAC-адрес, а также номера порта клиента с соответствием с собранными данными DHCP-севера. И если злоумышленник попытается заменить данные IP или MAC адресов, то пакет просто будет утерян.

Из анализа многочисленных снифферов в роли программы-анализатора в данной главе будет использоваться сетевой анализатор Wireshark, в силу его удобного графического интерфейса, широкой базы знаний протоколов взаимодействия элементов в компьютерной сети и свободного распространения ПО.

3.1 Анализатор сетевых протоколов Wireshark

Wireshark - это анализатор, программное обеспечение которого выполняет задачи мониторинга сетевого трафика в реальном времени и выводом информации о принятых, отправленных и потерянных пакетах на графически отображенный интерфейс, называемый окном отслеживания трафика, для дальнейшего детального разбора собранных данных. Представляя из себя мощную систему поиска и фильтрации пакетов по множеству критериев.

С 1998 г. программа имела название Ethereal, но в 2006 г. она была переименована в Wireshark.

Анализатор распространяется под лицензией GNU GPL, т.е. имеет свободный доступ к его использованию или модификации. Существуют версии для большинства типов операционных систем UNIX, в том числе GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, MacOSX, а также для ОС Windows.

Программа Wireshark является некоммерческим сниффером и имеет необходимые инструменты для мониторинга трафика сети и облегчения контроля сети. Скачать её можно с официального сайта https://www.wireshark.org/download.html.

Wireshark осуществляет мониторинг огромного числа сетевых протоколов, например: IP, TCP, UDP, FTP, TFTP, DNS, HTTP, HTTPS, ICMP, SSH, NFS, SIP, RTP, RTCP, MEGACO (H.248), MGCP, стека протоколов H.323, SIGTRAN и т. д. Поддерживает такие технологии физического и канального уровней, как Ethernet, TokenRing и FDDI, ATM.

Wireshark используется:

1) для выявления и решения проблем в сети;

2) для отладки сетевых протоколов;

3) для изучения сетевых протоколов.

Wireshark не генерирует трафик, соответственно никак не показывает себя в сети. При этом, не имея системы обнаружения вторжений, проявит себя хорошим помощником в поисках проблемы.

3.1.1 Основные элементы рабочей панели анализатора Wireshark

При запуске исследуемого анализатора первым элементом графического интерфейса является стартовое окно, в соответствии с рисунком 19.

Рисунок 19 - Стартовое окно сетевого анализатора Wireshark

На него вынесены 4 панели: Capture, Capture Help, Files и Online. Вынесены они лишь для удобства и помощи в эксплуатации данного анализатора.

Capture (Перехват) информирует о функциях мониторинга пакетов (см. таблицу 5)

Таблица 5 - Диалоговое окно Capture

Наименование	Пояснение
Capture Interface (Interface List)	Содержит список сетевых интерфейсов и информацию о них
Start	Инициализация захвата пакетов на выбранном интерфейсе, используя сохраненные настройки режима мониторинга
Capture Options	Настройка режима мониторинга выбранного интерфейса

«CaptureHelp» в себе содержит ссылки на WEB-ресурсы, созданные для помощи в работе с Wireshark.

Окно «Files» позволяет выбрать файлы уже имеющиеся на локальном носителе, а также файлы, выложенные на официальном сайте сетевого анализатора Wireshark, служащие примером работы на нем.

Окно «Online» содержит в себе ссылку на WEB-страницу анализатора (www.wireshark.org), пользовательский справочник и ссылку на страницу для ознакомления с его безопасностью.

До начала мониторинга выбирается возможный для анализа интерфейс, в соответствии с рисунком 20.

Рисунок 20 - Диалоговое окно CaptureInterface

В данном окне содержится информация об интерфейсе:

1) Device (устройство/интерфейс)

2) Description (описание интерфейса);

3) IP-адрес интерфейса (если адрес неизвестен, то пишется «unknown»);

4) Packets (общее количество отслеженных пакетов с момента открытия окна);

5) Packets/s (количество пакетов, отслеженных за последнюю секунду).

Затем настраивается режим мониторинга трафика путем открытия окна CaptureOptions, в соответствии с рисунком 21.

Рисунок 21 - Диалоговое окно CaptureOptions

В нем содержится информация для настройки режима мониторинга выбранного интерфейса:

1) Interface (определяет интерфейс, на котором будет осуществляться мониторинг пакетов);

2) Link-layerheader (заголовок канального уровня оставляется по умолчанию);

3) Prom. Mode (promiscuousmode) - значение «enable» указывает на то, что будет захватываться весь трафик;

4) Snaplengthinbytes (указывает на максимальную величину отдельного пакета в байтах);

5) Buffersize (определяет размер буфера в МБ).

В разделе CaptureFiles выставляются пользовательские значения. Если нужно завершить мониторинг по установленному критерию соответственных полей, сохраняя в отдельный файл и переключаясь на следующий с аналогичным режимом.

В разделе StopCapture реализуется завершение мониторинга до определенного лимита по критерию количества пакетов или байтов.

После начала мониторинга появляется главное окно, которое делится на 3 области: Рабочая область (выделена пунктирной линией с точкой красным цветом); область фильтрации (выделена синим цветом пунктирной линией) и панель управления (выделена зеленым цветом сплошной линией), в соответствии с рисунком 22.

Рисунок 22 - Главное окно сетевого анализатора Wireshark

Панель управления служит для управления основными возможностями приложения (например, начать перехват сетевых пакетов, открыть сохраненную ранее сессию перехвата пакетов и т.д). Область фильтрации дает возможность отфильтровать ненужные пакеты и оставить только необходимые. Фильтрацию можно осуществить, написав в соответствующем поле маску фильтрации (например, «SIP&&UDP» - будут отображаться только пакеты, содержащие поля протоколов SIP и UDP).

В верхней части рабочей области отображаются перехваченные пакеты, а в нижней части расшифровка каждого поля сетевого пакета. Что позволяет разобрать захваченный пакет, предоставив значение каждого поля протокола любого уровня.

3.2 Установление сеанса связи с помощью протокола SIP

В соответствии с принципом работы протокола SIP, данным протоколом предусмотрено 3 основных сценария управления соединением:

1) С участием Прокси-сервера, который взаимодействует с сервером определения местоположения (в соответствии с рисунком 23);

2) С участием сервера переадресации, который тоже в свою очередь взаимодействует с сервером определения местоположения (в соответствии с рисунком 24);

3) Непосредственно между пользователями (в соответствии с рисунком 25).

Рисунок 23 - Организация связи двух пользователей с участием прокси-сервера



Рисунок 24 - Организация связи двух пользователей с участием сервера переадресации

Рисунок 25 - Организация непосредственной связи двух пользователей

В анализе аудио- и видео- информаций для управления SIP соединением в данной главе используется сценарий непосредственного общения двух пользователей, так как вызывающему известен адрес вызываемого. Соответственно, так как реализация логических объектов - клиент агента пользователя (UAC) и сервер агента пользователя (UAS), является частью программного обеспечения агента пользователя (UA). То запросы UAC Терминала №1 будут обрабатываться UAS Терминала №2 напрямую. И с точностью до наоборот запросыUAC Терминала №2 будут обрабатываться UAS Терминала №1.

...