ماهیت و مشکلات IP-telephony، استفاده از آن در حالت محافظت شده است. محافظت در برابر گوش دادن به مکالمات - ما با دستان خود یک تلفن SIP امن می سازیم

• آموزش

هی هابر!
این بار می‌خواهم در مورد فناوری‌های رمزگذاری برای تماس‌های VoIP صحبت کنم، روش‌های مختلف چه نوع حفاظتی ارائه می‌کنند و چگونه می‌توان بیشترین محافظت را در برابر شنود سازمان‌دهی کرد. ارتباط صوتیبا ضمانت های امنیتی تکنولوژیکی
در این مقاله سعی می کنم ویژگی های فناوری هایی مانند SIP\TLS، SRTP و ZRTP را به روشی قابل دسترس شرح دهم. و من الگوهای استفاده خاص را با استفاده از مثال سرویس ما ppbbxx.com نشان خواهم داد

کمی تئوری

بنابراین، تماس VoIP رمزگذاری شده چیست؟ در ادامه در مورد پروتکل SIP به عنوان محبوب ترین پروتکل صحبت خواهیم کرد.
همانطور که قبلاً متوجه شدیم، تماس از بخش های سیگنال و رسانه تشکیل شده است که هر کدام را می توان به طور جداگانه با استفاده از روش های پروتکل خاصی رمزگذاری کرد. SIP\TLS برای رمزگذاری اطلاعات سیگنالینگ، پروتکل های ZRTP و SRTP برای رمزگذاری "صدا" استفاده می شود.

SIP/TLS- به طور کلی، آنالوگ HTTPS برای SIP معمولی. پروتکل به مشتری اجازه می دهد تا مطمئن شود که با او ارتباط برقرار می کند سرور مناسبمشروط بر اینکه مشتری به گواهی ارائه شده توسط سرور اعتماد کند. می توانید در ویکی پدیا بیشتر بخوانید

SRTPو ZRTPدو روش مختلف برای رمزگذاری جریان های RTP وجود دارد. تفاوت اساسی بین آنها این است که تبادل کلید برای SRTP در سیگنال دهی (در اولین مرحله سیگنال دهی تنظیم تماس) رخ می دهد. و برای ZRTP، مستقیماً در ابتدای مبادله بسته های RTP (در قسمت دوم، "رسانه") طبق یک پروتکل خاص بر اساس روش رمزنگاری Diffie-Hellman.
مهم است که برای SRTP، پیش نیاز قابل اعتماد بودن رمزگذاری تماس، استفاده همزمان از SIP\TLS + SRTP است، در غیر این صورت دریافت کلیدها (که از طریق SIP رمزگذاری نشده منتقل می شوند) و گوش دادن به آنها برای مهاجم دشوار نخواهد بود. گفتگو. در حالی که این برای ZRTP مهم نیست، جریان RTP به طور ایمن رمزگذاری می شود، چه سیگنالینگ رمزگذاری شده باشد یا نه. علاوه بر این، این پروتکل قادر است حضور "مرد در وسط" (از جمله سرورهای سرویس!) را بین مشتریان مستقیماً صحبت کند، تعیین کند. این اطمینان حاصل می کند که حداقل از نقطه نظر استراق سمع ارتباطات شبکه/داده نمی توان مکالمه را شنود کرد.

طرح اتصال برای مشتریان SIP با تنظیمات رمزگذاری مختلف:

طرح های زیر برای تنظیم یک تماس رمزگذاری شده قابل تشخیص است:

1. هر دو کاربر از SIP\TLS و SRTP استفاده می کنند. در این مورد، تبادل کلید برای رمزگذاری رسانه از طریق یک پروتکل سیگنالینگ امن انجام می شود. اعتماد به سرور درگیر در برقراری اتصال فرض می شود. افراد خارجی نمی توانند به اطلاعات سیگنال یا داده های صوتی دسترسی داشته باشند. نقطه ضعف این است که کاربر در سطح پروتکل (مشتری) مطلع نمی شود و متقاعد نمی شود که کاربر دوم نیز از اتصال رمزگذاری شده به سرور استفاده می کند.
2. هر دو کاربر از ZRTP استفاده می کنند، در حالی که صدا از سرور عبور می کند. در این حالت سرور توسط پروتکل ZRTP به عنوان Trusted MitM (مرد در وسط) تعریف می شود. تبادل کلید بر اساس الگوریتمی بر اساس روش دیفی هلمن (که عدم امکان استراق سمع را تضمین می کند) با استفاده از پروتکل RTP صورت می گیرد. اگر از SIP\TLS ایمن استفاده شود، افراد خارجی نیز نمی توانند به اطلاعات سیگنال یا "صدا" دسترسی داشته باشند. همانطور که در گزینه اول، اعتماد به سرور سوئیچینگ فرض شده است، اما بر خلاف آن، برای رمزگذاری صوتی قابل اعتماد نهاستفاده اجباری از SIP\TLS ایمن مورد نیاز است. همچنین برخلاف گزینه اول، هر کاربر می بیند که مکالمه در هر دو طرف روی سرور رمزگذاری شده است و هر دو به یک سرور (معتمد) متصل هستند.
3. هر دو کاربر از ZRTP استفاده می کنند، اما رسانه مستقیماً بین کلاینت ها نصب می شود. از آنجایی که تبادل کلید مستقیماً بین مشتریان انجام می شود، حتی سروری که سوئیچ را انجام داده است نمی تواند به مکالمه گوش دهد. در این حالت، هر دو مشتری اطلاعاتی را نشان می دهند که یک جلسه مستقیم امن برقرار شده است. شما می توانید این را با بررسی SAS (رشته های مجوز کوتاه) تأیید کنید - آنها یکسان خواهند بود. اگر می خواهید اطلاعات سیگنالینگ را از افراد غریبه پنهان کنید، باید از SIP\TLS استفاده کنید. این بیشترین است گزینه ایمن، اما در این حالت سرور قادر نخواهد بود بسیاری از عملکردهایی را که در موقعیت های دیگر بر روی آن انجام می شود انجام دهد ، به عنوان مثال ضبط خود مکالمه ، رمزگذاری صدا برای مشتریان با تنظیمات مختلفکدک های صوتی و غیره
4. یک کاربر از روش اول که در بالا توضیح داده شد استفاده می کند و دیگری از روش دوم استفاده می کند. در این صورت اعتماد به سرور نیز لازم است. اطلاعات سیگنالینگ با استفاده از SIP\TLS رمزگذاری می شود. برای یک کاربر با ZRTP، پروتکل گزارش می دهد که یک اتصال رمزگذاری شده به سرور برقرار شده است (پایان در MitM). اینکه آیا رمزگذاری از طرف دیگر در سطح پروتکل استفاده می شود، نمی توان دانست.

بیایید با تئوری تمام کنیم و به سمت عمل برویم! بیایید سرور SIP خود را راه اندازی کنیم، کاربران SIP ایجاد کنیم، کلاینت های SIP را نصب کنیم و یاد بگیریم که چگونه با استفاده از یک سرویس رایگان تماس های رمزگذاری شده برقرار کنیم.

تنظیم سرور

اول از همه، بیایید به " شبکه داخلی -> دامنه هاو دامنه خود را ایجاد کنید تا در انتخاب نام کاربری SIP محدود نشوید. می توانید دامنه خود را پارک کنید یا یک زیر دامنه شخصی در یکی از مناطق خدمات ایجاد کنید.
بعد، در بخش " شبکه داخلی -> Sip Users"کاربران SIP را ایجاد کنید و برخی از پارامترهای مشتریان آنها را پیکربندی کنید. نام های کاربری SIP می تواند دلخواه باشد، اما از آنجایی که شماره گیری شماره ها در تلفن های نرم افزاری و تلفن های سخت افزاری راحت تر است، شناسه های فرم را ایجاد خواهیم کرد. [ایمیل محافظت شده]و مانند آن من 1000، 1001، 1002، 1003 را وارد کردم. پس از ایجاد یک شناسه SIP، باید به یاد داشته باشید که روی دکمه "ذخیره" کلیک کنید. اگر هیچ فرم پر نشده ای در رابط تنظیمات وجود نداشته باشد، سیستم قسم نمی خورد و گزارش تغییرات را با وضعیت "انجام شد" نشان نمی دهد.

در مرحله بعد، باید کدک ها و روش های رمزگذاری مورد استفاده را پیکربندی کنید. برای انجام این کار، روی نماد چرخ دنده در سمت چپ شناسه SIP کلیک کنید. من قصد دارم از یک سرویس گیرنده SIP (CSipSimple) در تلفن هوشمند خود استفاده کنم و می خواهم از روش رمزگذاری ZRTP استفاده کنم بنابراین در " پایه ای"برگه تنظیمات من کدک های G729 و SILK را انتخاب می کنم و در برگه" حفاظت"روش ZRTP.

می توانید گزینه های دیگری را انتخاب کنید. فقط توجه به این نکته مهم است که تنظیمات حساب SIP در رابط سرویس باید مطابقت داشته باشدتنظیمات در سرویس گیرنده SIP این برای اطمینان از ارتباط صحیح بین مشتریان با تنظیمات کدک و رمزگذاری مختلف ضروری است. همچنین فراموش نکنید که پیکربندی ایجاد شده را ذخیره کنید.

به طور کلی، این برای تنظیم ساده ترین پیکربندی کافی است. می توانید مشتریان SIP را پیکربندی کرده و با شماره گیری شماره های آنها 1000، 1001، 1002، 1003 بین آنها تماس برقرار کنید. در صورت تمایل، می توانید یک دروازه SIP مشترک برای تماس ها به شبکه تلفن اضافه کنید و مسیریابی تماس مناسب را پیکربندی کنید. اما، در این مورد، این در حال حاضر یک طرح کمی متفاوت برای استفاده از سرویس است، که به نوع متفاوتی از اقدامات امنیتی نسبت به رمزگذاری ترافیک به دروازه نیاز دارد.

بیایید به پیکربندی مشتریان SIP برویم

CSipSimple را اجرا کنید و به رابط پیکربندی بروید. ما جادوگر "Basic" را انتخاب می کنیم و با استفاده از داده های رابط وب پیکربندی می کنیم. باید به این شکل باشد:

بیشتر در تنظیمات کلی CSipSimple در بخش " رسانه -> کدک های صوتی"شما باید کدک های دلخواه خود را انتخاب کنید. برای تماس از طریق 3G، توصیه می کنم از SILK، OPUS، iLBC، G729 استفاده کنید. از آنجایی که تنظیمات در رابط سرور و در رابط مشتری وجود دارد. باید مطابقت داشته باشدو در سرور SILK و G729 را انتخاب کردم، سپس در لیست کدک های صوتی CSipSimple فقط آن کدک ها را بررسی می کنم و تیک بقیه را برداریم.
در بخش مشتری شبکه -> پروتکل امن"شما باید پارامترهای رمزگذاری مورد نظر را انتخاب کنید. من فقط ZRTP را فعال می کنم. بقیه را غیرفعال می گذارم. در صورت تمایل می توانید از SIP\TLS استفاده کنید - باید در نظر داشته باشید که سرور انتظار اتصال TLS در پورت 443 را دارد. این به طور خاص برای اپراتورهای بیش از حد هوشمند انجام می شود ارتباطات سیار، درگاه های استاندارد VoIP را مسدود می کند.
همچنین باید در نظر داشت که SRTP و ZRTP همیشه با هم سازگار نیستند و انتخاب تنها یکی از آنها در مشتری بسیار مطلوب است.

برقراری تماس با استفاده از ZRTP

بلافاصله پس از اجرای دستورالعمل، فراخوانی SIP کاربر 1001 با کاربر 1000 به این صورت خواهد بود.
CSipSimple نشان می دهد که تماس شامل یک سرور MitM است که هر دو کلاینت به آن متصل هستند. تنظیمات EC25 به این معنی است که پروتکل Elliptic Curve Diffie-Hellman با تنظیمات 256 بیتی استفاده می شود. AES-256 الگوریتم رمزگذاری متقارن است که در حال استفاده است. وضعیت ZRTP - تأیید شده به این معنی است که رشته کنترل SAS توسط کاربر تأیید شده است.

بیایید حالت انتقال رسانه را در تنظیمات ppbbxx برای هر دو کلاینت تغییر دهیم. تنظیم رسانه مستقیم = بله به صدا اجازه می دهد تا مستقیماً منتقل شود. در این مورد، طرفین همان رشته های SAS را می بینند، از الگوریتم رمزگذاری متقارن Twofish-256 استفاده می شود. استفاده از ZRTP در این حالت مستلزم آن است که کلاینت‌ها از نظر برقراری ارتباط بسیار سازگارتر و کمتر قابل اعتماد باشند، زیرا سرور در انتقال داده شرکت نمی‌کند. مطمئن شوید که از کدک های صوتی یکسان در همه کلاینت ها استفاده کنید و NAT به درستی کار می کند.

اگر کاربر SIP 1001 رمزگذاری را نصب نکرده باشد، در حالی که 1000 از ZRTP استفاده می کند، مشتری دوم نشان می دهد که انتقال صدای رمزگذاری شده فقط به سرور انجام می شود (پایان در MitM).

خلاصه کردن

مقاله بسیار جالبی در مورد امنیت در تلفن IP در سایت linkmeup.ru منتشر شده است. ما آن را بدون تغییر، به اصطلاح، از نویسنده پخش کردیم.

=======================

با سلام خدمت همکاران و دوستان، من، وادیم سمنوف، به همراه تیم پروژه network-class.net، مقاله مروری را به شما تقدیم می کنم که به روندها و تهدیدات اصلی در تلفن IP و مهمتر از همه، ابزارهای حفاظتی می پردازد. این لحظهتوسط سازنده به عنوان یک محافظت ارائه می شود (به زبان کارشناسان امنیتی، بیایید در نظر بگیریم که سازنده چه ابزارهایی برای کاهش آسیب پذیری هایی ارائه می دهد که افراد نامشروع می توانند از آنها استفاده کنند). بنابراین، کلمات کمتری - بیایید به تجارت بپردازیم.
برای بسیاری از خوانندگان، اصطلاح تلفن IP از مدت ها قبل شکل گرفته است، و همچنین این واقعیت که این تلفن "بهتر"، ارزان تر در مقایسه با تلفن عمومی (PSTN) است، و غنی از انواع مختلف است. ویژگی های اضافیو غیره. و این درست است، با این حال ... تا حدی. همانطور که از تلفن آنالوگ (دیجیتال) با خودش حرکت می کنیم خطوط مشترک(از تلفن مشترک تا ایستگاه یا داخلی ایستگاه) و خطوط اتصال (خط ارتباط بین ایستگاهی) تنها در منطقه دسترسی و کنترل ارائه دهنده تلفن کمتر نبود. به عبارت دیگر، هیچ دسترسی برای ساکنان عادی وجود نداشت (اگر کانال های کابل را در نظر نگیرید خوب یا عملاً همینطور است). من یک سوال را در انجمن هکرهای قدیمی خوب به یاد دارم: «به من بگویید چگونه به PBX دسترسی داشته باشم؟ - پاسخ: "خب، شما یک بولدوزر می گیرید - به دیوار ساختمان ATS و voila می کوبید." و این شوخی سهم خود را از حقیقت دارد) با این حال، با انتقال تلفن به یک محیط IP ارزان، ما علاوه بر تهدیداتی که یک محیط IP باز به همراه دارد، دریافت کردیم. نمونه هایی از تهدیدات اکتسابی عبارتند از:

• Sniffing پورت های سیگنالینگ برای ارتکاب تماس های عوارضیبه هزینه شخص دیگری
• استراق سمع با رهگیری بسته های صوتی IP
• رهگیری تماس، جعل هویت توسط یک کاربر غیرقانونی به عنوان کاربر قانونی، حمله مرد در وسط
• حملات DDOS به سرورهای سیگنالینگ ایستگاه به منظور غیرفعال کردن تمام تلفن
• حملات هرزنامه، فروپاشی تعداد زیادی از تماس های فانتوم به ایستگاه به منظور گرفتن تمام منابع رایگان آن

علیرغم نیاز آشکار به از بین بردن تمام آسیب پذیری های احتمالی به منظور کاهش احتمال حمله خاص، در واقع، اجرای برخی اقدامات حفاظتی باید با برنامه زمانی آغاز شود که هزینه اجرای اقدامات حفاظتی در برابر یک تهدید خاص را در نظر بگیرد. زیان های شرکت از اجرای این تهدید توسط مهاجمان. به هر حال، احمقانه است که برای امنیت یک دارایی بیشتر از ارزش خود دارایی که ما از آن محافظت می کنیم، خرج کنیم.
پس از تعیین بودجه برای امنیت، ما دقیقاً شروع به از بین بردن تهدیدهایی خواهیم کرد که به احتمال زیاد برای شرکت وجود دارد، به عنوان مثال، برای یک سازمان کوچک دریافت صورت حساب بزرگ برای تماس های بین المللی و بین المللی ناقص بسیار دردناک خواهد بود، در حالی که برای شرکت های دولتی مهم است که مکالمات را محرمانه نگه دارند. بیایید بررسی تدریجی در مقاله فعلی را از چیزهای اساسی شروع کنیم - این شرط است راه امنتحویل داده های خدمات از ایستگاه به تلفن. در مرحله بعد، احراز هویت تلفن ها را قبل از اتصال آنها به ایستگاه، احراز هویت ایستگاه از کنار تلفن ها، و رمزگذاری ترافیک سیگنالینگ (برای مخفی کردن اطلاعات در مورد اینکه چه کسی با کجا تماس می گیرد) و رمزگذاری ترافیک مکالمه را در نظر بگیرید.
بسیاری از تولیدکنندگان تجهیزات صوتی (از جمله سیستم‌های سیسکو) در حال حاضر ابزارهای امنیتی یکپارچه‌ای از محدودیت‌های معمول دامنه آدرس‌های IP دارند که از آن‌ها می‌توان با استفاده از گواهی، با تأیید اعتبار نقطه پایانی تماس گرفت. به عنوان مثال، شرکت سازنده Cisco Systems با خط تولید صوتی CUCM (Cisco Unified CallManager) از نسخه محصول 8.0 (تاریخ انتشار می 2010؛ نسخه 10.5 می 2014 در حال حاضر موجود است) شروع به ادغام عملکرد Security by Default کرد. شامل چه مواردی می شود:

• احراز هویت تمام فایل‌های دانلود شده از طریق/از TFTP (فایل‌های پیکربندی، فایل‌های میان‌افزار برای گوشی‌ها و غیره)
• رمزگذاری فایل های پیکربندی
• تأیید گواهی با تلفن اولیه اتصال HTTPS

بیایید به نمونه‌ای از حمله «مردی در وسط» نگاه کنیم، زمانی که یک شخص نامشروع فایل‌های پیکربندی تلفن‌ها را رهگیری می‌کند، که از طریق آن تلفن می‌آموزد که باید در کدام ایستگاه ثبت نام کند، روی کدام پروتکل کار کند، کدام سیستم عامل را دانلود کند و غیره. . با رهگیری فایل، مهاجم می‌تواند تغییرات خود را در آن اعمال کند یا فایل پیکربندی را به طور کامل بازنویسی کند، در نتیجه از ثبت تلفن‌های کل دفتر (نگاه کنید به شکل) در ایستگاه جلوگیری می‌کند و در نتیجه دفتر را از دسترسی به آن محروم می‌کند. توانایی برقراری تماس

شکل 1 حمله به "مردی در وسط"

برای محافظت در برابر این، ما به دانش رمزگذاری نامتقارن، زیرساخت کلید عمومی و درک اجزای "امنیت به صورت پیش فرض" نیاز داریم که اکنون با آنها آشنا می شویم: لیست اعتماد هویت (ITL) و سرویس تأیید اعتماد (TVS). TVS سرویسی است که برای پردازش درخواست های تلفن های IP که فایل ITL یا CTL در حافظه داخلی خود ندارند طراحی شده است. تلفن IP در صورت لزوم با TVS تماس می گیرد تا مطمئن شود قبل از شروع به دسترسی به سرویس خاصی می تواند به آن اعتماد کند. این ایستگاه همچنین به عنوان یک مخزن عمل می کند که گواهی های سرورهای مورد اعتماد را ذخیره می کند. به نوبه خود، ITL لیستی از کلیدهای عمومی از عناصر تشکیل دهنده خوشه ایستگاه است، اما برای ما مهم است که کلید عمومی سرور TFTP و کلید عمومی سرویس TVS در آنجا ذخیره شود. در هنگام بوت اولیه تلفن، هنگامی که تلفن آدرس IP خود و آدرس سرور TFTP را دریافت کرد، وجود یک فایل ITL را درخواست می کند (شکل 2). اگر روی سرور TFTP باشد، با اعتماد کورکورانه، آن را در حافظه داخلی خود بارگذاری می کند و تا راه اندازی مجدد بعدی ذخیره می کند. پس از دانلود فایل ITL، تلفن یک فایل پیکربندی امضا شده را درخواست می کند.

حال بیایید ببینیم چگونه می توانیم از ابزارهای رمزنگاری استفاده کنیم - امضای یک فایل با استفاده از توابع هش MD5 یا SHA و رمزگذاری آن با استفاده از کلید خصوصی سرور TFTP (شکل 3). ویژگی توابع هش این است که توابع یک طرفه هستند. با توجه به هش دریافتی از هر فایلی، انجام عملیات معکوس و دریافت دقیق غیرممکن است فایل اصلی. هنگامی که یک فایل تغییر می کند، هش به دست آمده از این فایل نیز تغییر می کند. شایان ذکر است که هش در خود فایل نوشته نمی شود، بلکه به سادگی به آن اضافه شده و همراه با آن منتقل می شود.

شکل 3 امضای فایل پیکربندی تلفن

هنگام تولید یک امضا، خود فایل پیکربندی گرفته می شود، هش از آن استخراج می شود و با کلید خصوصی سرور TFTP (که فقط سرور TFTP دارد) رمزگذاری می شود.
هنگام دریافت این فایل با تنظیمات، ابتدا گوشی آن را از نظر یکپارچگی بررسی می کند. ما به یاد داریم که هش یک تابع یک طرفه است، بنابراین تلفن چاره ای ندارد جز اینکه هش رمزگذاری شده توسط سرور TFTP را از فایل پیکربندی جدا کند، آن را با استفاده از کلید عمومی TFTP رمزگشایی کند (تلفن IP چگونه آن را می شناسد؟ - اما فقط از فایل ITL)، هش را از یک فایل پیکربندی تمیز محاسبه کنید و آن را با آنچه در طول رمزگشایی دریافت کردیم مقایسه کنید. اگر هش مطابقت داشته باشد، در حین انتقال هیچ تغییری در فایل ایجاد نشده است و می توان آن را با خیال راحت روی تلفن اعمال کرد (شکل 4).

شکل 4 بررسی فایل پیکربندی تلفن IP

فایل پیکربندی امضا شده برای گوشی در زیر نشان داده شده است:

برنج. 5 فایل IP تلفن امضا شده در Wireshark

با امضای فایل پیکربندی، توانستیم از یکپارچگی فایل تنظیمات ارسال شده اطمینان حاصل کنیم، اما از مشاهده آن محافظت نکردیم. خیلی چیزها را می توان از فایل پیکربندی catch به دست آورد اطلاعات مفیدبه عنوان مثال آدرس IP مرکز تلفن (در مثال ما 192.168.1.66 است) و پورت های باز در سانچال (2427) و غیره. آیا این اطلاعات بسیار مهمی نیست که نمی خواهید فقط در شبکه "درخشش" داشته باشید؟ برای پنهان کردن این اطلاعات، سازندگان استفاده از رمزگذاری متقارن را در نظر می گیرند (از همان کلید برای رمزگذاری و رمزگشایی استفاده می شود). در یک مورد، کلید را می توان به صورت دستی در گوشی وارد کرد، در حالت دیگر، فایل پیکربندی تلفن در ایستگاه با استفاده از کلید عمومی تلفن رمزگذاری می شود. قبل از ارسال فایل به تلفن، سرور tftp که این فایل در آن ذخیره شده است، آن را با استفاده از کلید عمومی گوشی رمزگذاری می کند و با استفاده از کلید خصوصی آن را امضا می کند (بنابراین، ما نه تنها از محرمانه بودن، بلکه از یکپارچگی نیز اطمینان می دهیم. فایل های منتقل شده). نکته اصلی در اینجا این است که گیج نشویم که چه کسی از کدام کلید استفاده می کند، اما بیایید آن را به ترتیب در نظر بگیریم: سرور tftp با رمزگذاری فایل با کلید عمومی IP تلفن، اطمینان حاصل کرد که فقط صاحب کلید عمومی جفت شده می تواند باز شود. این فایل. با امضای فایل با کلید خصوصی آن، سرور tftp تأیید می‌کند که کسی آن را ایجاد کرده است. فایل رمزگذاری شده در شکل 6 نشان داده شده است:

شکل 6 فایل IP تلفن رمزگذاری شده

بنابراین، در حال حاضر امکان محافظت از فایل‌های پیکربندی تلفن‌ها را از مشاهده و اطمینان از یکپارچگی آنها در نظر گرفته‌ایم. اینجاست که ویژگی های «امنیت به طور پیش فرض» به پایان می رسد. برای ارائه رمزگذاری ترافیک صوتی، پنهان کردن اطلاعات سیگنالینگ (در مورد اینکه چه کسی تماس می گیرد و کجا تماس بگیرد)، ابزارهای اضافی بر اساس لیست گواهی های مورد اعتماد - CTL، که در زیر بررسی می کنیم، مورد نیاز است.

احراز هویت مرکز تلفن

هنگامی که یک تلفن نیاز به برقراری ارتباط با یک مرکز تلفن دارد (به عنوان مثال، برای مذاکره در مورد اتصال TLS برای تبادل سیگنال)، تلفن IP نیاز به تأیید اعتبار مبادله دارد. همانطور که ممکن است حدس بزنید، گواهی ها نیز به طور گسترده ای برای حل این مشکل استفاده می شوند. در حال حاضر، ایستگاه های IP مدرن از تعداد زیادی عنصر تشکیل شده اند: چندین سرور سیگنالینگ برای پردازش تماس، یک سرور مدیریت اختصاصی (که از طریق آن تلفن های جدید، کاربران، دروازه ها، قوانین مسیریابی و غیره اضافه می شوند)، یک سرور TFTP اختصاصی برای ذخیره فایل های پیکربندی و نرم افزار برای تلفن، سرور برای پخش موسیقی در حالت انتظار و غیره، علاوه بر این، زیرساخت صوتی می تواند دارای پست صوتی، یک سرور برای تعیین وضعیت فعلی مشترک (آنلاین، آفلاین، "در ناهار") باشد. - لیست چشمگیر است و مهمتر از همه، هر یک از سرورها گواهی امضا شده خود را دارند و هر کدام به عنوان مرجع صدور گواهینامه ریشه کار می کنند (شکل 7). به همین دلیل، هیچ سروری در زیرساخت صوتی به گواهی سرور دیگری اعتماد نخواهد کرد، به عنوان مثال، سرور صوتی به سرور TFTP، پست صوتی به سرور سیگنالینگ اعتماد ندارد و علاوه بر این، تلفن ها باید گواهی ها را ذخیره کنند. از تمام عناصر شرکت کننده در تبادل ترافیک سیگنالینگ. گواهی مبادلات تلفنی در شکل 7 نشان داده شده است.

شکل 7 گواهینامه های خود امضای ایستگاه IP سیسکو

برای وظایف ایجاد روابط اعتماد بین عناصر فوق در زیرساخت صوتی، و همچنین رمزگذاری ترافیک صوتی و سیگنالینگ، به اصطلاح لیست اعتماد گواهی (CTL) وارد بازی می شود. CTL شامل تمام گواهینامه های خود امضا شده از همه سرورها در خوشه ایستگاه صوتی، و همچنین آنهایی است که در تبادل پیام های سیگنالینگ تلفنی (مثلاً دیوار آتش) شرکت می کنند و این فایل با کلید خصوصی یک مرجع صدور گواهینامه مورد اعتماد امضا شده است. شکل 8). فایل CTL معادل گواهینامه های نصب شده است که توسط مرورگرهای وب هنگام کار با پروتکل https استفاده می شود.

شکل 8 فهرست گواهی های مورد اعتماد

برای ایجاد یک فایل CTL بر روی تجهیزات سیسکو، به یک رایانه شخصی با کانکتور USB، برنامه کلاینت CTL نصب شده روی آن و خود رمز امنیتی مدیر سایت (SAST) (شکل 9) نیاز دارید که حاوی یک کلید خصوصی است. و یک گواهی X.509v3 که توسط سازنده مرکز احراز هویت (سیسکو) امضا شده است.

شکل 9 سیسکو eToken

کلاینت CTL برنامه ای است که بر روی رایانه شخصی ویندوزی نصب می شود و با آن می توانید کل سانترال تلفن را به حالت مخلوط منتقل کنید، یعنی حالت مختلط برای پشتیبانی از ثبت دستگاه های ترمینال در حالت های ایمن و ناامن. ما کلاینت را راه اندازی می کنیم، آدرس IP مرکز تلفن را مشخص می کنیم، ورود / رمز عبور مدیر را وارد می کنیم و مشتری CTL یک اتصال TCP را در پورت 2444 با ایستگاه برقرار می کند (شکل 10). پس از آن، تنها دو اقدام ارائه خواهد شد:

شکل 10 مشتری سیسکو CTL

پس از ایجاد فایل CTL، باقی مانده است که سرورهای TFTP را مجدداً راه اندازی کنید تا فایل CTL جدید ایجاد شده را روی خود آپلود کنند و سپس سرورهای صوتی را مجدداً راه اندازی کنید تا تلفن های IP نیز راه اندازی مجدد شوند و فایل CTL جدید (32 کیلوبایت) را دانلود کنند. فایل CTL دانلود شده را می توان از تنظیمات تلفن IP مشاهده کرد (شکل 11)

Fig.11 فایل CTL در تلفن IP

احراز هویت نقطه پایانی

احراز هویت دستگاه باید اجرا شود تا اطمینان حاصل شود که فقط دستگاه های نهایی قابل اعتماد متصل و ثبت می شوند. در این مورد، بسیاری از تولید کنندگان از یک روش قبلاً اثبات شده استفاده می کنند - احراز هویت دستگاه با استفاده از گواهی ها (شکل 12). به عنوان مثال، در معماری صوتی سیسکو، این کار به صورت زیر اجرا می شود: دو نوع گواهی برای احراز هویت با کلیدهای عمومی و خصوصی مربوطه وجود دارد که در تلفن ذخیره می شوند:
گواهی نصب شده توسط سازنده - (MIC). گواهی نصب شده توسط سازنده حاوی یک کلید 2048 بیتی است که توسط مرجع صدور گواهینامه شرکت سازنده (سیسکو) امضا شده است. این گواهی بر روی همه مدل های گوشی نصب نمی شود و در صورت نصب نیازی به داشتن گواهینامه (LSC) دیگر نیست.
Locally Significant Certificate - (LSC) یک گواهی محلی مهم که حاوی کلید عمومی تلفن IP است که با کلید خصوصی مرکز احراز هویت محلی امضا شده است که روی عملکرد پروکسی مرجع صدور گواهی (CAPF) مرکز تلفن اجرا می شود.
بنابراین، اگر گوشی هایی با گواهی MIC از پیش نصب شده داشته باشیم، هر بار که گوشی در ایستگاه ثبت نام می کند، ایستگاه از سازنده گواهی از پیش نصب شده برای احراز هویت درخواست می کند. با این حال، اگر MIC به خطر بیفتد، باید توسط مرجع صدور گواهینامه سازنده جایگزین شود، که ممکن است زمان زیادی را ببرد. به منظور عدم وابستگی به زمان پاسخگویی مرجع گواهی سازنده برای صدور مجدد گواهینامه تلفن در معرض خطر، ترجیحاً از گواهی محلی استفاده کنید.

Fig.12 گواهینامه برای احراز هویت نقطه پایانی

به طور پیش‌فرض، گواهی LSC روی تلفن IP نصب نمی‌شود و نصب آن با استفاده از گواهی MIB (در صورت وجود)، یا از طریق اتصال TLS (امنیت لایه انتقال) با استفاده از یک کلید مشترک، که به‌طور دستی توسط مدیر در ایستگاه و با تلفن وارد شد.
فرآیند نصب یک گواهی مهم محلی (LSC) بر روی تلفن حاوی کلید عمومی تلفن امضا شده توسط مرجع گواهی محلی در شکل 13 نشان داده شده است:

شکل 13 فرآیند نصب گواهی LSC قابل توجه محلی

1. پس از دانلود IP، تلفن لیست مورد اعتماد گواهینامه ها (فایل CTL) و یک فایل پیکربندی را درخواست می کند.
2. ایستگاه فایل های درخواستی را ارسال می کند
3. از پیکربندی دریافتی، تلفن تعیین می‌کند که آیا نیاز به دانلود یک گواهی محلی (LSC) از ایستگاه دارد یا خیر.
4. اگر ایستگاه را برای گوشی تنظیم کرده ایم که گواهی LSC را نصب کند (به زیر مراجعه کنید)، که ایستگاه از آن برای احراز هویت این تلفن IP استفاده می کند، پس باید مراقب باشیم که درخواست صدور گواهی LSC - ایستگاه آن را صادر کرده است. به کسی که در نظر گرفته شده است. برای این منظور، می توانیم از گواهی MIC (در صورت وجود) استفاده کنیم، برای هر گوشی یک رمز عبور یک بار مصرف ایجاد کنیم و آن را به صورت دستی در گوشی وارد کنیم، یا اصلا از مجوز استفاده نکنیم.
مثال فرآیند نصب LSC را با استفاده از تولید شده نشان می دهد

ارائه شده توسط SEO CMS نسخه: 23.1 TOP 2 (opencartadmin.com)

ارسال کار خوب خود در پایگاه دانش ساده است. از فرم زیر استفاده کنید

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

میزبانی شده در http://www.allbest.ru/

معرفی

1 ساخت شبکه تلفن IP

1.1 فناوری های حمل و نقلسوئیچینگ بسته

1.2 لایه های معماری تلفن IP

1.3 رویکردهای مختلف برای ساخت شبکه های تلفن IP

1.3.1 شبکه مبتنی بر H.323

1.3.2 شبکه مبتنی بر SIP

1.3.3 شبکه مبتنی بر MGCP

1.4 مقایسه رویکردهای ساخت شبکه تلفن IP

1.5 انواع سیستم های تلفن IP (سناریوها)

2. انواع تهدیدات در تلفن IP و روش های مقابله با آنها

2.1 انواع تهدیدات در تلفن IP

2.2 روش های حفاظت از اطلاعات رمزنگاری

2.3 استراق سمع

2.4 دسترسی به امنیت شبکه

2.5 فن آوری های احراز هویت

3. تضمین امنیت از نظر بررسی حقوق دسترسی به منابع (AAA). مقایسه پروتکل های TACACS+ و RADIUS

3.1 احراز هویت غیر مستقیم

3.2 فناوری های AAA مبتنی بر پروتکل TACACS+

3.2.1 پروتکل TACACS+

3.2.2 ویژگی های پروتکل TACACS+

3.2.3 فرآیندهای AAA در پروتکل TACACS+

3.3 فناوری های AAA مبتنی بر پروتکل RADIUS

3.3.1 پروتکل RADIUS

3.3.2 ویژگی ها و قابلیت های پروتکل RADIUS

3.3.4 فرآیند حسابرسی RADIUS

3.3.5 مقایسه ویژگی های پروتکل TACACS+ و RADIUS

3.3.6 تناقضات فنی با ویژگی های نظری پروتکل های TACACS و RADIUS

نتیجه

فهرست منابع استفاده شده

معرفی

تلفن IP دارای مزایای کافی برای گسترش به زودی در سراسر کشور ما است. با در نظر گرفتن جنبه های اقتصادی و پیام نورسلطان آبیشویچ نظربایف رئیس جمهور قزاقستان به مردم قزاقستان "دهه جدید، بهبود اقتصادی جدید، فرصت های جدید برای قزاقستان": "اقتصادهای پیشرو جهان در شرایط دشوارتری فعالیت خواهند کرد. محیط رقابتی و اقدامات پیشگیرانه برای آماده شدن برای چرخه اقتصادی بعدی، افزایش بهره وری نیروی کار، سرمایه گذاری در زیرساخت ها و مخابرات، تقویت سیستم های مالی، بهبود کارایی مدیریت دولتی و ایجاد فضای مساعد برای توسعه کسب و کار انجام خواهد داد.

VoIP یک سیستم ارتباطی است که انتقال سیگنال صوتی را از طریق اینترنت یا هر شبکه IP دیگر فراهم می کند. سیگنال از طریق یک کانال ارتباطی به شکل دیجیتال منتقل می شود و به عنوان یک قاعده، قبل از انتقال به منظور حذف افزونگی تبدیل (فشرده) می شود.

دورانی که اپراتورها نسبت به استفاده از IP-تلفن دلهره داشتند، با در نظر گرفتن سطح امنیت این گونه شبکه ها، گذشته است. امروزه می توان گفت که IP-telephony به نوعی استاندارد در ارتباطات تلفنی تبدیل شده است. این به دلیل راحتی، قابلیت اطمینان نسبی و هزینه نسبتا پایین تلفن IP در مقایسه با ارتباط آنالوگ. می توان استدلال کرد که IP-telephony کارایی کسب و کار را افزایش می دهد و اجازه می دهد تا عملیات هایی که قبلاً غیرقابل دسترسی هستند مانند ادغام با برنامه های تجاری مختلف.

اگر از کاستی ها و آسیب پذیری های تلفن IP صحبت کنیم، قبل از هر چیز باید به همان "بیماری هایی" توجه کنیم که سایر سرویس های استفاده کننده از پروتکل IP از آن رنج می برند. این مستعد بودن در برابر حملات کرم و ویروس، حملات DoS، دسترسی غیرمجاز از راه دور و غیره است.

علیرغم این واقعیت که هنگام ساخت یک زیرساخت تلفن IP، این سرویس معمولاً از بخش های شبکه ای که داده های غیر صوتی "در آن می رود" جدا می شود، این هنوز تضمینی برای امنیت نیست. امروز تعداد زیادی ازشرکت ها در حال ادغام تلفن IP با سایر برنامه ها مانند ایمیل هستند. از یک طرف، راحتی های اضافی در این راه ظاهر می شود، اما از طرف دیگر، آسیب پذیری های جدید. علاوه بر این، تعداد زیادی مولفه برای عملکرد یک شبکه تلفن IP مورد نیاز است، مانند سرورهای پشتیبانی، سوئیچ ها، روترها، فایروال ها، تلفن های IP و غیره.

از جمله تهدیدات اصلی که شبکه تلفن IP در معرض آنها قرار دارد عبارتند از:

ثبت ترمینال شخص دیگری که به شما امکان می دهد با هزینه شخص دیگری تماس برقرار کنید.

جایگزینی مشترک؛

پایان دادن به یک جلسه ارتباطی؛

خود داری از خدمات؛

دسترسی غیرمجاز از راه دور به اجزای زیرساخت تلفن IP؛

به روز رسانی غیرمجاز نرم افزار در تلفن IP (مثلاً به منظور معرفی تروجان یا جاسوس افزار).

هک سیستم صورتحساب (برای تلفن اپراتور).

این تمام لیست نیست مشکلات احتمالیمرتبط با استفاده از تلفن IP. اتحاد امنیت VoIP (VOIPSA) سندی را ایجاد کرده است که طیف گسترده ای از تهدیدات تلفن IP را توصیف می کند که علاوه بر تهدیدات فنی، شامل اخاذی از طریق تلفن IP، هرزنامه و غیره می شود.

و با این حال، آسیب‌پذیری اصلی تلفن IP، عامل انسانی است که دندان‌ها را در معرض خطر قرار داده است. مسئله امنیت در استقرار IP شبکه تلفناغلب به پس زمینه منتقل می شود و انتخاب راه حل بدون مشارکت متخصصان امنیتی صورت می گیرد. علاوه بر این، متخصصان همیشه راه حل را به درستی پیکربندی نمی کنند، حتی اگر مکانیسم های حفاظتی مناسبی داشته باشد، یا ابزارهای حفاظتی خریداری شده باشند که برای پردازش موثر ترافیک صوتی طراحی نشده باشند (به عنوان مثال، فایروال ها ممکن است پروتکل سیگنالینگ اختصاصی مورد استفاده در IP را درک نکنند. راه حل تلفن). در نهایت، سازمان مجبور به صرف منابع مالی و انسانی اضافی برای حفاظت از راه حل مستقر شده یا تحمل ناامنی آن است.

1 . ساخت شبکهIP-تلفن

1.1 فن آوری های حمل و نقل سوئیچینگ بسته

اکثر فروشندگان با طیف گسترده ای از محصولات تلفن بسته در موقعیت "تکنولوژیک خنثی" هستند و به مشتری اجازه می دهند تا فناوری را انتخاب کند که به بهترین وجه با استراتژی یکپارچه سازی آنها سازگار است. فناوری‌های اصلی برای انتقال صدای بسته - فریم رله، ATM و مسیریابی بسته IP - در کارایی استفاده از کانال‌های ارتباطی، میزان پوشش بخش‌های مختلف شبکه، قابلیت اطمینان، مدیریت، حفاظت اطلاعات و دسترسی و همچنین هزینه متفاوت است. .

شکل 1.1. سخنرانی در دستگاه خودپرداز

شکل 1.2. گفتار روی فریم رله

شکل 1.3. سخنرانی از طریق IP

فناوری حمل و نقل ATM چندین سال است که با موفقیت در شبکه‌های ستون فقرات عمومی و شبکه‌های شرکتی استفاده می‌شود و اکنون به طور فعال برای دسترسی پرسرعت از طریق کانال‌های xDSL (برای دفاتر کوچک) و SDH/Sonet (برای شرکت‌های بزرگ) استفاده می‌شود.

مزایای اصلی این فناوری بلوغ، قابلیت اطمینان و در دسترس بودن ابزارهای پیشرفته مدیریت عملیاتی شبکه است. از نظر مکانیسم های اثربخشی برای مدیریت کیفیت خدمات و نظارت بر استفاده از منابع شبکه بی نظیر است. با این حال، شیوع محدود و هزینه بالای تجهیزات اجازه در نظر گرفتن ATM را نمی دهد بهترین انتخاببرای سازماندهی اتصالات تلفنی سرتاسر از یک گره انتهایی به گره دیگر. قرار بود فناوری فریم رله همان نقشی را در تلفن بسته ایفا کند که مبادلات شبه الکترونیکی در تلفن سوئیچ مداری: آنها نمونه ای از یک تکنیک موثر کنترل شده با برنامه را نشان دادند، اما فرصت های محدودپیشرفتهای بعدی.

بسیاری از شبکه‌های شرکتی به کاربران سرویس‌های Frame Relay کم‌هزینه تبدیل شده‌اند که عملکرد قابل پیش‌بینی را ارائه می‌دهند و اکثر آنها از انتخاب خود کاملاً راضی هستند. در کوتاه مدت، فناوری صدا روی فریم رله برای سازماندهی دسترسی چند سرویس و کانال های ارتباطی از راه دور کاملاً مؤثر خواهد بود. اما شبکه های Frame Relay چندان رایج نیستند: به عنوان یک قاعده، اتصالات بدون سوئیچ در حالت نقطه به نقطه در عمل استفاده می شود.

فناوری انتقال اطلاعات صوتی از طریق شبکه‌ها با مسیریابی بسته IP، اول از همه، با تطبیق پذیری خود جذب می‌شود - گفتار می‌تواند در هر نقطه از زیرساخت شبکه به جریان بسته‌های IP تبدیل شود: در ستون فقرات شبکه اپراتور، در لبه یک شبکه توزیع جغرافیایی، در شبکه شرکتیو حتی مستقیماً در ترمینال کاربر نهایی. در نهایت، این فناوری به پرکاربردترین فناوری تلفن بسته تبدیل خواهد شد، زیرا می‌تواند تمام بخش‌های بازار را پوشش دهد و در عین حال سازگاری بالایی با برنامه‌های جدید دارد. علیرغم تطبیق پذیری پروتکل IP، پذیرش سیستم های تلفن IP به دلیل این واقعیت که بسیاری از اپراتورها آنها را به اندازه کافی قابل اعتماد، مدیریت ضعیف و بسیار کارآمد نمی دانند، محدود شده است. اما یک زیرساخت شبکه به خوبی طراحی شده با مکانیسم های موثر برای تضمین کیفیت خدمات، این کاستی ها را ناچیز می کند. به ازای هر پورت، هزینه سیستم های IP-telephony در سطح (یا کمی کمتر) از هزینه سیستم های Frame Relay است و مطمئناً کمتر از هزینه تجهیزات ATM است. در عین حال، از قبل واضح است که قیمت محصولات تلفن IP سریعتر از سایر محصولات کاهش می یابد و رقابت در این بازار تشدید شده است.

1.2 لایه های معماری تلفن IP

معماری فناوری Voice over IP را می توان به عنوان دو صفحه ساده کرد. صفحه پایین شبکه اصلی با مسیریابی بسته IP است، صفحه بالا معماری کنترل خدمات تماس باز (درخواست ارتباط) است.

سطح پایین تر، به بیان ساده، ترکیبی از پروتکل های اینترنتی معروف است: این RTP (پروتکل حمل و نقل در زمان واقعی) است که در بالای UDP (پروتکل داده های کاربر) عمل می کند، که به نوبه خود در واقع در پشته پروتکل TCP / IP بالای پروتکل IP.

بنابراین، سلسله مراتب RTP/UDP/IP نوعی مکانیسم انتقال برای ترافیک صوتی است. همچنین در اینجا متذکر می شویم که در شبکه های دارای مسیریابی بسته IP برای انتقال داده، همیشه مکانیزم هایی برای ارسال مجدد بسته ها در صورت از دست رفتن ارائه می شود.

هنگام انتقال اطلاعات در زمان واقعی، استفاده از چنین مکانیزم‌هایی فقط وضعیت را بدتر می‌کند، بنابراین، برای انتقال اطلاعاتی که به تاخیر حساس هستند، اما نسبت به تلفات حساسیت کمتری دارند، مانند اطلاعات گفتاری و ویدیویی، تحویل اطلاعات RTP / UDPD / IP. مکانیزم استفاده می شود. توصیه‌های ITU-T تاخیر در یک جهت را مجاز می‌سازد که بیش از 150 میلی‌ثانیه نباشد. اگر ایستگاه دریافت کننده درخواست ارسال مجدد بسته IP را داشته باشد، تاخیرها بسیار طولانی خواهند بود.

حالا بیایید به صفحه کنترل بالایی برای ارائه درخواست های ارتباطی برویم. به طور کلی، کنترل خدمات تماس شامل تصمیم گیری در مورد اینکه مکالمه کجا باید مسیریابی شود و چگونه ارتباط بین مشترکین باید برقرار شود.

ابزار چنین مدیریتی است سیستم های تلفنسیگنالینگ، با سیستم هایی که توسط مبادلات مرحله-دهه پشتیبانی می شوند شروع می شود و ترکیبی از توابع مسیریابی و عملکردهای ایجاد یک کانال مکالمه سوئیچ شده را در جستجوگران مرحله-دهه ای فراهم می کند. اصول سیگنال دهی بیشتر به سیستم های سیگنال دهی از طریق کانال های سیگنالینگ اختصاصی، به سیگنال دهی چند فرکانس، به پروتکل های سیگنال دهی کانال مشترک شماره 7 و انتقال عملکردهای مسیریابی به گره های پردازش خدمات مربوطه شبکه هوشمند تکامل یافته است.

در شبکه های سوئیچ بسته، وضعیت پیچیده تر است. یک شبکه مسیریابی بسته IP اساساً طیف گسترده ای از پروتکل های مسیریابی را به طور همزمان پشتیبانی می کند.

این پروتکل ها امروزه عبارتند از: RIP - Routing Information Protocol، IGRP - Interior Gateway Routing Protocol، EIGRP - Enhanced Interior Gateway Routing Protocol، IS-IS - Intermediate System-to-Intermediate System، OSPF - Open Shortest Path First، BGP - Border Gateway Protocol. و ... به همین ترتیب، تعدادی پروتکل برای تلفن IP ایجاد شده است.

رایج ترین پروتکل مشخص شده در ITU-T H.323 است، به ویژه به این دلیل که زودتر از سایر پروتکل ها استفاده می شد، که علاوه بر این، قبل از معرفی H.323 اصلا وجود نداشت.

یکی دیگر از پروتکل های هواپیمای کنترل خدمات تماس، SIP، بر هوشمندسازی و پشتیبانی بیشتر دستگاه های پایانی و دروازه ها متمرکز است. خدمات اضافیبرای کاربران

پروتکل دیگری - SGCP - از سال 1998 به منظور کاهش هزینه دروازه ها با پیاده سازی توابع پردازش هوشمند تماس در تجهیزات متمرکز توسعه یافته است. پروتکل IPDC بسیار شبیه به SGCP است، اما مکانیسم های کنترل عملیاتی (OAM&P) بسیار بیشتری نسبت به SGCP دارد. در اواخر سال 1998، گروه کاری MEGACO IETF پروتکل MGCP را توسعه داد که عمدتاً بر اساس پروتکل SGCP بود، اما با برخی موارد اضافه شده OAM&P.

گروه کاری MEGACO به همین جا بسنده نکرد، به بهبود پروتکل کنترل دروازه ادامه داد و پروتکل MEGACO را توسعه داد که عملکردی تر از MGCP دارد.

1.3 رویکردهای مختلف برای ساخت شبکه های تلفن IP

برای اینکه مشخص شود پروتکل‌ها دقیقاً چه تفاوتی با یکدیگر دارند، معماری شبکه‌های ساخته شده بر اساس این پروتکل‌ها و رویه‌های ایجاد و خاتمه اتصال با استفاده از آنها را به اختصار مرور می‌کنم.

1.3 .1 شبکه مبتنی بر پروتکل H.323

اولین رویکرد برای ساخت شبکه های تلفن IP بر اساس استاندارد شده توسط اتحادیه بین المللی مخابرات (ITU) در توصیه H.323 پیشنهاد شد. شبکه‌های مبتنی بر پروتکل‌های H.323 به سمت یکپارچگی با شبکه‌های تلفنی گرایش دارند و می‌توان آن‌ها را به‌عنوان شبکه‌های ISDN روی شبکه‌های داده در نظر گرفت.

به طور خاص، رویه برقراری اتصال در چنین شبکه‌های تلفن IP بر اساس توصیه Q.931 است و مشابه رویه مورد استفاده در شبکه‌های ISDN است.

توصیه H.323 مجموعه نسبتاً پیچیده‌ای از پروتکل‌ها را ارائه می‌کند که در نظر گرفته شده‌اند کاری بیش از انتقال اطلاعات صوتی از طریق شبکه‌های IP سوئیچ‌شونده بسته انجام دهند. هدف آن اطمینان از عملکرد برنامه های چند رسانه ای در شبکه هایی با کیفیت خدمات غیر تضمینی است. ترافیک صوتی تنها یکی از کاربردهای H.323 به همراه ویدئو و دیتا است.

گزینه ساخت شبکه های تلفن IP که توسط اتحادیه بین المللی مخابرات در توصیه H.323 پیشنهاد شده است، برای آن دسته از اپراتورهای شبکه تلفن محلی که علاقه مند به استفاده از شبکه سوئیچ بسته (شبکه IP) برای ارائه راه دور و بین المللی هستند، مناسب است. خدمات ارتباطی پروتکل RAS که بخشی از خانواده پروتکل های H.323 است، کنترل استفاده از منابع شبکه را فراهم می کند، از احراز هویت کاربر پشتیبانی می کند و می تواند هزینه خدمات را تامین کند.

شکل 1.4 معماری شبکه را بر اساس توصیه H.323 نشان می دهد. دستگاه های اصلی شبکه عبارتند از: ترمینال (Terminal)، دروازه (Gateway)، دروازه (Gatekeeper) و دستگاه مدیریت کنفرانس ها (Multipoint Control Unit - MCU).

شکل 1.4. معماری شبکه H.323

ترمینال H.323 یک پایانه کاربر شبکه تلفن IP است که ارتباط صوتی (چند رسانه ای) دو طرفه را با یک ترمینال، دروازه یا دستگاه کنترل کنفرانس H.323 دیگر فراهم می کند.

دروازه تلفن IP انتقال ترافیک صوتی را از طریق شبکه ها با مسیریابی بسته IP با استفاده از پروتکل H.323 پیاده سازی می کند. هدف اصلی دروازه تبدیل اطلاعات صوتی دریافتی از PSTN به فرمی مناسب برای انتقال از طریق شبکه با مسیریابی بسته IP است. علاوه بر این، دروازه پیام های سیگنالینگ DSS1 و SS7 را به پیام های سیگنالینگ H.323 تبدیل می کند و تبدیل معکوس را مطابق با توصیه ITU H.246 انجام می دهد.

تمام هوش شبکه IP تلفنی در دروازه بان متمرکز است.

این شبکه که مطابق با توصیه H.323 ساخته شده است، دارای معماری منطقه ای است (شکل 1.5). دروازه‌بان وظایف مدیریت یک منطقه از شبکه تلفن IP را انجام می‌دهد که شامل: پایانه‌ها، دروازه‌ها، دستگاه‌های کنترل کنفرانس ثبت‌شده در این دروازه‌بان است. قطعات مجزا از منطقه شبکه H.323 می توانند از نظر جغرافیایی پراکنده شوند و از طریق روترها به یکدیگر متصل شوند.

شکل 1.5. منطقه شبکه H.323

مهمترین وظایف دروازه بان عبارتند از:

ثبت ترمینال و سایر دستگاه ها؛

کنترل دسترسی کاربران سیستم به خدمات تلفن IP با استفاده از سیگنال RAS.

تبدیل کاربر فراخوان شده (نام آگهی شده مشترک، شماره تلفن، آدرس ایمیل و غیره) به آدرس حمل و نقل شبکه های دارای مسیریابی بسته IP (آدرس IP + شماره پورت TCP).

کنترل، مدیریت و رزرو پهنای باند شبکه؛

انتقال پیام های سیگنالینگ H.323 بین پایانه ها.

در یک شبکه IP تلفنی که الزامات توصیه ITU H.323 را برآورده می کند، می توان چندین دروازه بان با استفاده از پروتکل RAS با یکدیگر تعامل داشته باشند.

علاوه بر عملکردهای اساسی تعریف شده توسط H.323، دروازه بان ممکن است مسئول احراز هویت کاربر و صدور صورت حساب برای اتصالات تلفنی باشد. دستگاه کنترل کنفرانس توانایی سازماندهی ارتباط بین سه یا چند شرکت کننده را فراهم می کند.

توصیه H.323 سه نوع کنفرانس را ارائه می دهد (شکل 1.6): متمرکز (یعنی مدیریت شده توسط یک MCU که هر شرکت کننده کنفرانس در حالت نقطه به نقطه با آن ارتباط برقرار می کند)، غیرمتمرکز (زمانی که هر شرکت کننده کنفرانس به بقیه موارد خود متصل می شود. شرکت کنندگان در حالت نقطه به نقطه).گروهی از امتیازات) و مختلط.

مزیت کنفرانس متمرکز تجهیزات ترمینال نسبتاً ساده است، نقطه ضعف آن هزینه بالای دستگاه کنترل کنفرانس است.

کنفرانس غیرمتمرکز به تجهیزات ترمینال پیچیده تری نیاز دارد و مطلوب است که شبکه IP از انتقال بسته های IP در حالت چندپخشی (IP Multicasting) پشتیبانی کند. اگر این حالت در شبکه پشتیبانی نمی شود، ترمینال باید اطلاعات صوتی را به هر یک از شرکت کنندگان دیگر در کنفرانس در حالت نقطه به نقطه ارسال کند.

دستگاه کنترل کنفرانس از یک عنصر اجباری تشکیل شده است - کنترل کننده کنفرانس (کنترل کننده چند نقطه - MC) و علاوه بر این، ممکن است شامل یک یا چند پردازنده برای پردازش اطلاعات کاربر (پردازنده چند نقطه - MP) باشد. کنترلر ممکن است از نظر فیزیکی با یک دروازه‌بان، دروازه یا دستگاه کنترل کنفرانس، و دومی نیز به نوبه‌ی خود، با یک دروازه‌بان یا دروازه‌بان هم‌جا قرار گیرد.

طراحی. 1.6. انواع کنفرانس در شبکه های H.323

کنترلر کنفرانس برای سازماندهی کنفرانس از هر نوع استفاده می شود. تبادل اطلاعات بین شرکت‌کنندگان کنفرانس را در مورد حالت‌های پشتیبانی شده توسط پایانه‌هایشان سازماندهی می‌کند و نشان می‌دهد که شرکت‌کنندگان کنفرانس در چه حالتی می‌توانند اطلاعات را انتقال دهند، و این حالت می‌تواند در طول کنفرانس تغییر کند، مثلاً زمانی که یک شرکت‌کننده جدید به آن متصل می‌شود.

از آنجایی که می تواند چندین کنترلر در شبکه وجود داشته باشد، برای هر کنفرانس جدید ایجاد شده، الف رویه خاصشناسایی کنترل کننده ای که این کنفرانس را مدیریت خواهد کرد.

هنگام سازماندهی یک کنفرانس متمرکز، علاوه بر کنترلر MS، باید از یک پردازنده MP استفاده شود که اطلاعات کاربر را پردازش می کند. پردازنده MP وظیفه سوئیچینگ یا میکس کردن صدا، ویدئو و جریان داده را بر عهده دارد. یک کنفرانس غیرمتمرکز نیازی به پردازنده ندارد.

عنصر دیگری از شبکه H.323 وجود دارد، پراکسی H.323، i.e. سرور پروکسی. این سرور در لایه برنامه کار می کند و می تواند بسته های اطلاعاتی که بین دو برنامه رد و بدل می شود را بررسی کند.

سرور پروکسی می تواند تعیین کند که تماس با کدام برنامه (H.323 یا غیره) مرتبط است و اتصال مناسب را ایجاد کند. سرور پروکسی عملکردهای کلیدی زیر را انجام می دهد:

اتصال از طریق امکانات دسترسی تلفنی یا شبکه های محلی پایانه هایی که از پروتکل رزرو منابع (RSVP) پشتیبانی نمی کنند. دو سرور پروکسی از این قبیل می توانند یک اتصال تونلی را در یک شبکه IP با یک کیفیت خدمات مشخص ایجاد کنند.

مسیریابی ترافیک H.323 جدا از ترافیک معمولی داده.

اطمینان از سازگاری با NAT، زیرا تجهیزات H.323 مجاز به قرار دادن در شبکه‌هایی با فضای آدرس شبکه خصوصی هستند.

حفاظت دسترسی - فقط برای ترافیک H.323 در دسترس است.

پروتکل RAS (وضعیت پذیرش ثبت نام) نقاط پایانی و سایر دستگاه ها را قادر می سازد تا با دروازه بان تعامل داشته باشند.

وظایف اصلی پروتکل عبارتند از: ثبت یک دستگاه در سیستم، کنترل دسترسی آن به منابع شبکه، تغییر پهنای باند در حین ارتباط، نظرسنجی و نشان دادن وضعیت فعلی دستگاه. به عنوان یک پروتکل حمل و نقل، یک پروتکل با تحویل غیر تضمینی اطلاعات UDP استفاده می شود.

پروتکل H.225.0 (Q.931) از رویه هایی برای ایجاد، حفظ و خاتمه اتصال پشتیبانی می کند. به عنوان یک پروتکل حمل و نقل، یک پروتکل با برقراری اتصال و تحویل تضمینی اطلاعات TCP استفاده می شود.

طبق پروتکل H.245، اطلاعات بین شرکت کنندگان اتصال رد و بدل می شود که برای ایجاد کانال های منطقی ضروری است. این کانال ها اطلاعات صوتی بسته بندی شده در بسته های RTP/UDP/IP را انتقال می دهند.

اجرای رویه های ارائه شده توسط پروتکل RAS مرحله اولیه برقراری اتصال با استفاده از سیگنالینگ H.323 است. مرحله سیگنال دهی H.225.0 (Q.931) و تبادل پیام های کنترلی H.245 دنبال می شود. اتصال به ترتیب معکوس از بین می رود: اول از همه، کانال کنترل H.245 و کانال سیگنالینگ H.225.0 بسته می شوند، پس از آن، دروازه بان از طریق کانال RAS در مورد آزاد شدن پهنای باند اشغال شده قبلی مطلع می شود.

پیچیدگی پروتکل H.323 در شکل 1.7 نشان داده شده است که یک سناریوی ساده شده برای برقراری ارتباط بین دو کاربر را نشان می دهد. این سناریو چنین فرض می کند کاربران نهاییاز قبل آدرس های IP یکدیگر را می دانند. به طور معمول، مراحل بیشتری وجود دارد، زیرا دروازه‌بان‌ها و دروازه‌ها در برقراری ارتباط مشارکت دارند.

بیایید قدم به قدم این سناریوی ساده شده را مرور کنیم.

1) نقطه پایانی کاربر A یک درخواست اتصال - یک پیام SETUP - به کاربر نقطه پایانی B در پورت TCP 1720 ارسال می کند.

2) ترمینال B کاربر فراخوانده شده به پیام SETUP با یک پیام ALERTING پاسخ می دهد که نشان می دهد دستگاه رایگان است و کاربر تماس گرفته شده در حال سیگنال دادن به تماس ورودی است.

3) پس از اینکه کاربر B تماس را پذیرفت، یک پیام CONNECT با شماره پورت TCP کانال کنترل H.245 برای تماس گیرنده A ارسال می شود.

4) دستگاه های ترمینال در کانال H.245 در مورد انواع کدک های گفتاری مورد استفاده (G.729، G.723.1 و غیره) و همچنین سایر عملکردهای تجهیزات تبادل اطلاعات می کنند و تعداد پورت های RTP را به یکدیگر اطلاع می دهند. کدام اطلاعات باید منتقل شود؛

5) کانال های منطقی برای انتقال اطلاعات گفتار باز می شود.

6) اطلاعات صوتی در پیام های پروتکل RTP در هر دو جهت منتقل می شود. علاوه بر این، انتقال اطلاعات با استفاده از پروتکل RTCP کنترل می شود.

شکل 1.7. سناریوی ایجاد اتصال H.323 ساده شده

رویه مدیریت تماس فوق بر اساس پروتکل H.323 نسخه 1 است. نسخه 2 پروتکل H.323 اجازه می دهد تا اطلاعات لازم برای ایجاد کانال های منطقی مستقیماً در پیام SETUP H.225.0 بدون استفاده از پروتکل H.245 حمل شود. .

این روش نامیده می شود شروع سریع» (Fast Start) و به شما این امکان را می دهد که تعداد چرخه های تبادل اطلاعات را هنگام برقراری ارتباط کاهش دهید. شبکه های H.323 علاوه بر سازماندهی یک اتصال اولیه، ارائه خدمات اضافی را مطابق با توصیه های ITU H.450.X فراهم می کنند.

موضوع مهم دیگری که باید به آن اشاره کرد کیفیت خدمات در شبکه های H.323 است. ترمینالی که درخواست مجوز دسترسی از دروازه‌بان می‌کند، ممکن است از فیلد transportQoS در پیام RAS ARQ برای نشان دادن توانایی خود در رزرو منابع شبکه استفاده کند.

توصیه H.323 پروتکل رزرو منابع (RSVP) را به عنوان وسیله ای برای ارائه کیفیت تضمین شده خدمات تعریف می کند که به پایانه ها برای پشتیبانی از RSVP نیاز دارد. متأسفانه، RSVP به هیچ وجه به طور جهانی مورد استفاده قرار نمی گیرد، و شبکه های H.323 را بدون مکانیزم اساسی برای ارائه کیفیت تضمین شده خدمات باقی می گذارد. این - یک مشکل رایجشبکه های IP-telephony، مشخصه نه تنها برای شبکه های H.323.

1.3.2 شبکه مبتنی بر پروتکلSIP

رویکرد دوم برای ساخت شبکه های تلفن IP که توسط گروه کاری IETF MMUSIC در RFC 2543 پیشنهاد شده است، مبتنی بر استفاده از پروتکل SIP - Session Initiation Protocol است.

SIP یک پروتکل مبتنی بر متن است که بخشی از معماری چند رسانه ای جهانی است که توسط گروه ضربت مهندسی اینترنت (IETF) توسعه یافته است.

این معماری همچنین شامل پروتکل رزرو منابع (RSVP، RFC 2205)، پروتکل حمل و نقل بلادرنگ (RTP، RFC 1889)، پروتکل جریان بیدرنگ، RTSP، RFC 2326)، پروتکل شرح جلسه (SDP، RFC 2327)، اعلام جلسه پروتکل (SAP). با این حال، عملکرد پروتکل SIP مستقل از هر یک از این پروتکل ها است.

لازم به ذکر است که اگرچه امروزه پروتکل H.323 بیشترین استفاده را دارد، اما تعداد فزاینده ای از تولیدکنندگان در تلاش هستند تا از پروتکل SIP در محصولات جدید خود پشتیبانی کنند.

تا اینجای کار، اینها پدیده های مجزایی هستند و نمی توانند با پروتکل H.323 رقابت کنند. با این حال، با توجه به نرخ رشد محبوبیت پروتکل SIP، به احتمال زیاد در آینده نزدیک راه حل های مبتنی بر آن جایگاه قابل توجهی را در بازار تلفن IP اشغال خواهد کرد.

روش SIP برای ساخت شبکه های تلفن IP بسیار ساده تر از H.323 است، اما برای سازماندهی تعامل با شبکه های تلفن مناسب تر است. این عمدتا به این دلیل است که پروتکل سیگنالینگ SIP که بر اساس پروتکل HTTP است، به خوبی با سیستم های سیگنالینگ مورد استفاده در PSTN مطابقت ندارد. بنابراین پروتکل SIP بیشتر برای ارائه دهندگان خدمات اینترنتی مناسب است تا سرویس تلفن IP را ارائه دهند و این سرویس تنها بخشی از بسته خدمات خواهد بود.

با این حال، SIP از خدمات شبکه هوشمند (IN) مانند نگاشت نام، حمل و نقل و مسیریابی پشتیبانی می کند که برای استفاده از SIP به عنوان یک پروتکل سیگنالینگ شبکه عمومی که در آن اولویت اپراتور ارائه طیف گسترده ای از خدمات تلفنی است، ضروری است.

یکی دیگر از ویژگی های مهم پروتکل SIP پشتیبانی از تحرک کاربر است. توانایی آن برای دسترسی به خدمات سفارش داده شده در هر نقطه و از هر ترمینال، و همچنین توانایی شبکه برای شناسایی و احراز هویت کاربر هنگامی که از مکانی به مکان دیگر نقل مکان می کند.

این ویژگی SIP منحصر به فرد نیست و به عنوان مثال پروتکل H.323 نیز تا حد زیادی از این قابلیت پشتیبانی می کند. اکنون زمان آن فرا رسیده است که این ویژگی به اصلی ترین ویژگی جذاب شبکه های IP-telephony نسل بعدی تبدیل شود. این حالت کار به ثبت نام کاربر از راه دور در سرور شناسایی و احراز هویت نیاز دارد.

بیایید مستقیماً به معماری شبکه ها بر اساس پروتکل SIP برویم (شکل 1.8).

شکل 1.8. مثال شبکه مبتنی بر SIP

یک شبکه SIP شامل سه عنصر اساسی است: عوامل کاربر، پروکسی ها و سرورهای تغییر مسیر.

عامل های کاربر (User Agent یا SIP Client) برنامه های کاربردی تجهیزات ترمینال هستند و شامل دو جزء هستند: یک عامل کاربر - مشتری (User Agent Client - UAC) و یک عامل کاربر - سرور (User Agent Server - UAS) که در غیر این صورت به عنوان مشتری و سرور شناخته می شود. به ترتیب.

مشتری UAC درخواست های SIP را آغاز می کند، به عنوان مثال. به عنوان تماس گیرنده عمل می کند سرور UAS درخواست ها را می پذیرد و پاسخ ها را برمی گرداند. به عنوان طرف فراخوان عمل می کند.

علاوه بر این، دو نوع سرور شبکه SIP وجود دارد: سرورهای پروکسی (سرورهای میانجی) و سرورهای تغییر مسیر.

سرورهای SIP می توانند هم در حالت حالت اتصالات فعلی (stateful) و هم در حالت بدون حالت اتصالات فعلی (stateless) کار کنند.

یک سرور SIP که در حالت بدون حالت کار می کند، می تواند به تعداد زیادی از کاربران به طور خودسرانه خدمت کند، برخلاف دروازه بان H.323، که می تواند همزمان با تعداد محدودی از کاربران کار کند.

یک سرور پروکسی (Proxy-server) "از طرف دیگر مشتریان" عمل می کند و شامل عملکردهای یک کلاینت (UAC) و یک سرور (UAS) است. این سرور هدر درخواست را قبل از ارسال به سرورهای دیگر تفسیر می کند و می تواند بازنویسی کند (شکل 1.9). پیام‌های پاسخ به جای مشتری، همان مسیر را دنبال می‌کنند تا به پروکسی برگردند.

شکل 1.9. شبکه SIP با سرور پروکسی

شکل 1.9 الگوریتم برقراری ارتباط با استفاده از پروتکل SIP با مشارکت یک سرور پراکسی را نشان می دهد:

1) سرور پروکسی یک درخواست اتصال INVITE از تجهیزات کاربر تماس گیرنده دریافت می کند.

2) سرور پروکسی مشتری را با استفاده از سرور موقعیت مکانی تعیین می کند.

3) سرور پروکسی یک درخواست INVITE را برای کاربر فراخوان ارسال می کند.

4) تجهیزات کاربر فراخوانده شده، کاربر فراخوانده شده را از تماس دریافتی مطلع می کند و پیامی مبنی بر پردازش درخواست INVITE به سرور پروکسی برمی گرداند (کد 100). سرور پروکسی نیز به نوبه خود این اطلاعات را به تجهیزات کاربر تماس گیرنده ارسال می کند.

5) هنگامی که مشترک تماس گرفته شده تماسی دریافت می کند، تجهیزات او به سرور پروکسی (کد 200) اطلاع می دهد که اطلاعات پذیرش تماس را به تجهیزات کاربر تماس گیرنده ارسال می کند.

6) طرف تماس گیرنده با ارسال یک درخواست ACK که پروکسی آن را به طرف تماس گرفته شده ارسال می کند، اتصال را تأیید می کند. برقراری اتصال کامل شده است، مشترکین می توانند اطلاعات صوتی را مبادله کنند.

سرور Redirect مکان فعلی طرف تماس را تعیین می کند و آن را به کاربر تماس گیرنده گزارش می دهد (شکل 1.10). برای تعیین موقعیت فعلی مشترک فراخوانی شده، سرور فورواردینگ به سرور مکان اشاره می کند که اصول آن در RFC 2543 مشخص نشده است.

الگوریتم برقراری ارتباط با استفاده از پروتکل SIP با مشارکت سرور تغییر مسیر به شرح زیر است:

1) سرور تغییر مسیر یک درخواست اتصال INVITE از تماس گیرنده دریافت می کند و با سرور مکان تماس می گیرد که آدرس فعلی کلاینت فراخوانده شده را صادر می کند.

2) سرور تغییر مسیر این آدرس را به طرف تماس می دهد. برخلاف سرور پراکسی، سرور تغییر مسیر یک درخواست INVITE را به تجهیزات کاربر فراخوان ارسال نمی کند.

3) تجهیزات کاربر تماس گیرنده تکمیل تراکنش با سرور تغییر مسیر را با یک درخواست ACK تأیید می کند.

5) تجهيزات كاربري كه تماس گرفته شده است، تماس ورودي را به دومي اطلاع مي دهد و پيغامي را به تجهيزات تماس مي گيرد مبني بر اينكه درخواست INVITE در حال پردازش است (كد 100).

6) هنگامی که مشترک تماس گرفته شده تماس را دریافت می کند، تجهیزات کاربر تماس گیرنده مطلع می شود (کد 200) برقراری ارتباط کامل شده است، مشترکین می توانند اطلاعات صوتی را مبادله کنند.

شکل 1.10. شبکه SIP با سرور تغییر مسیر

همچنین یک گزینه اتصال بدون سرور وجود دارد، زمانی که یک ترمینال می تواند مستقیماً درخواستی را به ترمینال دیگر ارسال کند.

سیگنالینگ SIP به عوامل کاربر و سرورهای شبکه امکان مکان یابی، صدور درخواست ها و مدیریت اتصالات را می دهد.

INVITE - درخواست یک کاربر یا سرویس را برای شرکت در یک جلسه ارتباطی دعوت می کند و حاوی توضیحاتی در مورد پارامترهای این ارتباط است. با این درخواست کاربر می تواند کارکرد ترمینال شریک ارتباطی خود را مشخص کند و با استفاده از تعداد محدودی پیام و تاییدیه دریافت آنها، یک جلسه ارتباطی را آغاز کند.

ACK - درخواست دریافت پاسخ به فرمان INVITE از طرف فراخوان را تأیید می کند و تراکنش را تکمیل می کند.

OPTIONS - درخواست به شما امکان می دهد اطلاعاتی در مورد عملکرد عوامل کاربر و سرورهای شبکه به دست آورید. با این حال، این درخواست برای سازماندهی جلسات ارتباطی استفاده نمی شود.

BYE - این درخواست توسط طرف های تماس گیرنده و فراخوان برای پایان دادن به اتصال استفاده می شود. قبل از از بین بردن اتصال، عوامل کاربر این درخواست را به سرور ارسال می کنند که نشان دهنده قصد آنها برای پایان دادن به اتصال است.

لغو - این درخواست به عوامل کاربر و سرورهای شبکه اجازه می دهد تا هر درخواست ارسال شده قبلی را در صورتی که پاسخ به آن هنوز دریافت نشده است لغو کنند.

1. 3.3 مبتنی بر شبکهMGCP

سومین رویکرد برای ساخت شبکه های تلفن IP بر اساس استفاده از پروتکل MGCP نیز توسط کمیته IETF، کارگروه MEGACO پیشنهاد شده است.

هنگام توسعه این پروتکل، گروه کاری MEGACO بر یک معماری شبکه متکی بود که شامل بلوک های عملکردی اصلی از سه نوع بود (شکل 1.11):

دروازه - دروازه رسانه (MG)، که عملکرد تبدیل اطلاعات صوتی دریافتی از PSTN با نرخ انتقال ثابت را به فرمی مناسب برای انتقال از طریق شبکه با مسیریابی بسته IP (رمزگذاری و بسته بندی اطلاعات صوتی به بسته های RTP / UDP / IP انجام می دهد. و همچنین تبدیل معکوس)؛

کنترل کننده دروازه - Call Agent، که وظایف مدیریت دروازه ها را انجام می دهد.

دروازه سیگنالینگ - دروازه سیگنالینگ (SG)، که تحویل اطلاعات سیگنالی را که از PSTN به کنترل کننده دروازه می رسد و انتقال اطلاعات سیگنالینگ را در جهت مخالف فراهم می کند.

بنابراین، تمام هوش یک دروازه توزیع شده عملکردی در کنترل کننده متمرکز می شود که عملکردهای آن می تواند بین چندین پلت فرم کامپیوتری توزیع شود.

شکل 1.11. معماری شبکه بر اساس پروتکل MGCP

دروازه سیگنالینگ عملکرد STP - نقطه عبور شبکه سیگنالینگ SS7 را انجام می دهد. خود دروازه ها فقط وظایف تبدیل اطلاعات گفتار را انجام می دهند. یک کنترلر چندین دروازه را به طور همزمان مدیریت می کند.

در یک شبکه می توان چندین کنترلر وجود داشته باشد. فرض بر این است که آنها با یکدیگر هماهنگ هستند و به طور مداوم دروازه های درگیر در اتصال را کنترل می کنند. با این حال، MEGACO پروتکلی برای همگام سازی کنترلرها تعریف نمی کند.

در تعدادی از کارهای اختصاص داده شده به مطالعه قابلیت های پروتکل MGCP، پیشنهاد شده است که از پروتکل های H.323، SIP یا ISUP / IP برای این منظور استفاده شود. پیام های پروتکل MGCP توسط پروتکل بدون تحویل تضمینی پیام های UDP انجام می شود. گروه کاری SIGTRAN IETF در حال حاضر در حال توسعه مکانیزمی برای کار متقابل بین یک کنترل کننده دروازه و یک دروازه سیگنالینگ است.

دروازه سیگنالینگ باید بسته های سه سطح پایین سیستم سیگنالینگ SS7 (سطوح زیرسیستم انتقال پیام MTP) را دریافت کند که از PSTN می آیند و پیام های سیگنالینگ سطح بالایی، کاربر، را به کنترل کننده دروازه ارسال می کند. دروازه سیگنالینگ همچنین باید بتواند پیام های سیگنالینگ Q.931 ورودی را از PSTN از طریق شبکه IP منتقل کند.

تمرکز گروه کاری SIGTRAN بر توسعه کارآمدترین مکانیسم برای انتقال اطلاعات سیگنالینگ از طریق شبکه های IP است.

لازم به ذکر است که دلایل متعددی وجود دارد که باعث می شود استفاده از پروتکل TCP برای این منظور کنار گذاشته شود. گروه کاری SIGTRAN پیشنهاد می کند که از پروتکل انتقال کنترل جریان (SCTP) برای انتقال اطلاعات سیگنالینگ استفاده شود که مزایای زیادی نسبت به پروتکل TCP دارد که اصلی ترین آنها کاهش قابل توجه زمان تحویل اطلاعات سیگنالینگ و در نتیجه، زمان برقراری اتصال - یکی از مهمترین پارامترهاکیفیت خدمات.

اگر PSTN از سیگنال دهی از طریق کانال های سیگنالینگ اختصاصی (VSC) استفاده می کند، سیگنال ها ابتدا همراه با اطلاعات کاربر به دروازه انتقال می رسند و سپس بدون وساطت دروازه سیگنالینگ به کنترل کننده دروازه منتقل می شوند.

توجه داشته باشید که پروتکل MGCP یک پروتکل داخلی برای تبادل اطلاعات بین بلوک های عملکردی یک دروازه توزیع شده است که به صورت خارجی توسط یک دروازه نمایش داده می شود. پروتکل MGCP یک پروتکل master/slave است. این به این معنی است که کنترل کننده دروازه اصلی است و خود دروازه دستگاه slave است که باید تمام دستورات دریافتی از کنترل کننده Call Agent را اجرا کند.

راه حل فوق مقیاس پذیری شبکه و سهولت مدیریت شبکه را از طریق کنترل کننده دروازه فراهم می کند. لازم نیست دروازه‌ها دستگاه‌های هوشمند باشند، به قدرت پردازنده کمتری نیاز دارند و در نتیجه ارزان‌تر می‌شوند. علاوه بر این، پروتکل های سیگنالینگ جدید یا خدمات تکمیلی بسیار سریع معرفی می شوند، زیرا این تغییرات فقط بر کنترل کننده دروازه تأثیر می گذارد و نه خود دروازه ها.

رویکرد سوم پیشنهاد شده توسط IETF (گروه کاری MEGACO) برای استقرار شبکه‌های تلفن IP جهانی برای جایگزینی شبکه‌های تلفن سنتی مناسب است.

الگوریتم های ایجاد و از بین بردن اتصال با استفاده از پروتکل MGCP را در نظر بگیرید. مثال اول تعامل پروتکل MGCP با پروتکل SS7 را پوشش می دهد (شکل 1.12).

شکل 1.12. ایجاد و از بین بردن اتصال با استفاده از پروتکل MGCP (مثال 1)

1) درخواست اتصال از مرکز تلفن PBX-A به دروازه سیگنالینگ SG1 از طریق یک کانال سیگنالینگ مشترک در قالب یک پیام IAM پروتکل ISUP دریافت می شود. در شکل 1.12، دروازه سیگنالینگ SG1 و SG2 به ترتیب با دروازه های حمل و نقل TGW1 و TGW2 تراز شده اند. SG1 یک پیام IAM را به کنترل کننده دروازه ارسال می کند، که درخواست را پردازش می کند و تعیین می کند که تماس باید از طریق TGW2 به PBX-B هدایت شود.

2) کنترلر پورت دروازه TGW1 (کانال گفتگو) را رزرو می کند. برای این منظور دستور CreateConnection را به گیت وی ارسال می کند. توجه داشته باشید که پورت دروازه TGW1 فقط می تواند اطلاعات را دریافت کند (حالت "revonly")، زیرا هنوز از آدرس و نحوه انتقال اطلاعات آگاه نیست.

3) در پاسخ به این دستور، TGW1 شرحی از پارامترهای جلسه را برمی گرداند.

4) پس از دریافت پاسخ از TGW1، کنترلر یک دستور CRCX را به TGW2 دوم ارسال می کند تا یک پورت در این دروازه رزرو کند.

5) TGW2 پورتی را انتخاب می کند که در اتصال شرکت می کند و دریافت فرمان CRCX را تایید می کند. با کمک دو دستور CRCX، یک کانال مکالمه یک طرفه برای انتقال ایجاد می شود تماس گیرندهسیگنال های صوتی یا پیام ها و اعلان های گفتاری. در عین حال، پورت دروازه TGW2 در حال حاضر نه تنها می تواند اطلاعات را دریافت کند، بلکه می تواند اطلاعات را نیز منتقل کند، زیرا شرح پارامترهای ارتباطی را از دروازه مقابل دریافت کرده است.

7) Exchange B به پیام IAM با یک تایید ACM پاسخ می دهد که بلافاصله به Exchange A ارسال می شود.

8) پس از اینکه مشترک تماس گرفته شده تماس را پذیرفت، PBX-B یک پیام ANM به کنترل کننده دروازه ارسال می کند.

10) TGW1 تغییر حالت را انجام می دهد و تأیید می کند.

11) کنترل کننده یک پیام ANM را به Exchange-A ارسال می کند و پس از آن مرحله مکالمه اتصال آغاز می شود.

12) تکمیل مرحله مکالمه به شرح زیر اتفاق می افتد. در مورد ما، تماس گیرنده B ابتدا تلفن را قطع می کند. PBX-B یک پیام REL را از طریق دروازه سیگنالینگ به کنترل کننده دروازه ارسال می کند.

13) با دریافت پیام REL، کنترل کننده دروازه، تماس با طرف تماس را قطع می کند.

14) گیت وی قطع شدن اتصال را تایید می کند و آمار جمع آوری شده در حین اتصال را برای کنترل کننده ارسال می کند.

15) کنترل کننده دروازه یک پیام RLC به تبادل-B برای تایید انتشار می فرستد.

16) به طور موازی، کنترل کننده ارتباط با طرف تماس را قطع می کند

17) Gateway TGW1 پایان اتصال را تایید می کند و داده های آماری جمع آوری شده در طول اتصال را به کنترل کننده ارسال می کند.

18) PBX-A با ارسال پیام RLC قطع شدن اتصال را تایید می کند و پس از آن اتصال از بین رفته در نظر گرفته می شود.

شکل 1.13. ایجاد و از بین بردن اتصال با استفاده از پروتکل MGCP (مثال 2)

مثال دوم تعامل پروتکل MGCP با پروتکل های SS7 و H.323 را نشان می دهد (شکل 1.13).

1) یک درخواست اتصال (پیام IAM) از مرکز تلفن PBX-A به دروازه سیگنالینگ SG1 از طریق یک کانال سیگنالینگ مشترک دریافت می شود. در شکل 1.13، دروازه سیگنالینگ SG1 نیز با دروازه انتقال TGW1 قرار گرفته است. SG1 پیام IAM را به کنترل کننده دروازه می فرستد، که درخواست را پردازش می کند و تعیین می کند که تماس باید به ترمینال کاربر فراخوانده شده، ترمینال H.323 هدایت شود.

2) کنترل کننده دروازه، پورت دروازه TGW1 (کانال گفتگو) را رزرو می کند. برای این منظور دستور CreateConnection را به گیت وی ارسال می کند. و در این مثال، پورت دروازه TGW1 فقط می تواند اطلاعات را دریافت کند (حالت "revonly").

3) در پاسخ به فرمان دریافتی، TGW1 شرحی از پارامترهای ارتباطی را برمی گرداند.

4) با دریافت پاسخ از TGW1، کنترلر یک پیام ARQ را با آدرس نام مستعار طرف فراخوان به دروازه‌بان H.323 ارسال می‌کند.

5) در پاسخ به پیام ARQ، دروازه‌بان یک پیام ACF ارسال می‌کند که آدرس انتقال کانال سیگنالینگ خود را نشان می‌دهد.

6) کنترلر درخواست اتصال SETUP را با استفاده از رویه Fast Start به آدرس انتقال کانال سیگنالینگ دروازه‌بان ارسال می‌کند. دروازه‌بان پیام SETUP را به ترمینال فراخوانی شده ارسال می‌کند.

7) ترمینال فراخوان درخواست پذیرش را به منابع شبکه ARQ ارسال می کند.

8) در پاسخ به درخواست ARQ، دروازه بان یک تاییدیه درخواست ACF را ارسال می کند.

9) ترمینال فراخوانی شده یک پیام ALERTING می فرستد که دروازه بان آن را به کنترل کننده دروازه ارسال می کند. این به کاربر فراخوان یک هشدار بصری یا شنیداری از یک تماس دریافتی می دهد و به کاربر تماس گیرنده نشان می دهد که کاربر فراخوان بیکار است و در حال سیگنال دادن به تماس است.

10) کنترل کننده پیام ALERTING را به یک پیام ACM تبدیل می کند که بلافاصله به Exchange-A ارسال می شود.

11) پس از اینکه کاربر تماس گرفته شده تماس ورودی را پذیرفت، کنترلر یک پیام CONNECT دریافت می کند.

12) کنترل کننده دروازه حالت recvonly را در TGW1 به حالت Full Duplex تغییر می دهد.

13) TGW1 تغییر حالت اتصال را انجام می دهد و تأیید می کند.

14) کنترل کننده یک پیام ANM به PBX-A ارسال می کند، پس از آن مرحله مکالمه اتصال آغاز می شود، در طی آن، تجهیزات کاربر تماس گیرنده اطلاعات صوتی بسته بندی شده در بسته های RTP / UDP / IP را به آدرس انتقال کانال RTP ارسال می کند. پایانه مشترک فراخوانده شده، و اطلاعات صوتی بسته بندی شده را به آدرس حمل و نقل کانال RTP پایانه تماس گیرنده ارسال می کند. کانال RTCP انتقال اطلاعات را از طریق کانال RTP کنترل می کند.

15) پس از پایان فاز مکالمه، مرحله تخریب اتصال آغاز می شود. تجهیزات کاربری که شروع کننده خاتمه اتصال است باید انتقال اطلاعات صوتی را متوقف کند، کانال های منطقی را ببندد و یک پیام RELEASE COMPLETE ارسال کند، پس از آن کانال سیگنالینگ بسته می شود.

16) Gatekeeper یک پیام RELEASE به PBX-A ارسال می کند تا اتصال را قطع کند.

17) علاوه بر این، کنترلر یک فرمان DLCX را به دروازه ارسال می کند.

18) گیت وی قطع شدن اتصال را تایید می کند و داده های آماری جمع آوری شده در حین اتصال را برای کنترل کننده ارسال می کند.

19) پس از انجام اقدامات فوق، کنترلر و تجهیزات پایانه به دروازه بان اطلاع می دهند که پهنای باند اشغال شده آزاد است. برای این منظور، هر یک از شرکت کنندگان در اتصال، یک DRQ از طریق کانال RAS برای دروازه‌بان ارسال می‌کند، که دروازه‌بان باید یک تأییدیه DCF برای آن ارسال کند.

20) تایید قطع اتصال RLC از PBX-A می آید و پس از آن اتصال از بین رفته در نظر گرفته می شود.

لازم به ذکر است که الگوریتم تعامل پروتکل های SIP و MGCP تفاوت چندانی با الگوریتم شرح داده شده در بالا ندارد.

گروه کاری MEGACO IETF به کار خود برای بهبود پروتکل کنترل دروازه ادامه می دهد که پروتکل عملکردی تری نسبت به MGCP، پروتکل MEGACO ایجاد کرده است.

اتحادیه بین المللی مخابرات، در پیش نویس نسخه 4 توصیه H.323، اصل تجزیه دروازه را معرفی کرد. بلوک های عملکردی دروازه توزیع شده توسط کنترل کننده دروازه - Media Gateway Controller - با استفاده از پروتکل MEGACO سازگار با H.323، که در توصیه H.248 پروتکل کنترل دروازه نامیده می شود، کنترل می شود.

پیام‌های پروتکل MEGACO با پیام‌های پروتکل MGCP متفاوت است، اما رویه‌های برقراری و خاتمه اتصال با استفاده از هر دو پروتکل یکسان هستند، بنابراین شرح روش برقراری اتصال بر اساس پروتکل MEGACO در اینجا ارائه نشده است.

1.4 مقایسه رویکردهای ساخت شبکه تلفن IP

ip telefony احراز هویت رمزنگاری tacacs+

در حال حاضر پروتکل های H.323 و MGCP برای ساخت شبکه های تلفن IP با عملکرد خوب و سازگار با PSTN مناسب هستند. همانطور که قبلا ذکر شد، پروتکل SIP تا حدودی بدتر با سیستم های سیگنالینگ مورد استفاده در PSTN تعامل دارد.

رویکرد مبتنی بر MGCP یک مزیت بسیار مهم نسبت به رویکرد پیشنهاد شده توسط ITU در توصیه H.323 دارد: پشتیبانی کنترل کننده از دروازه های سیگنالینگ SS7 و سایر انواع سیگنالینگ، و همچنین انتقال شفاف اطلاعات سیگنالینگ از طریق شبکه تلفن IP.

عیب اصلی سومین رویکرد ارائه شده در این بند ناقص بودن استانداردها است.

اجزای عملکردی دروازه های توزیع شده توسط سازندگان مختلف تجهیزات مخابراتی عملاً ناسازگار هستند.

عملکردهای کنترل کننده دروازه به خوبی تعریف نشده است. مکانیسم های انتقال اطلاعات سیگنالینگ از دروازه سیگنالینگ به کنترل کننده و بالعکس استاندارد نشده است.

معایب شامل عدم وجود یک پروتکل استاندارد برای تعامل بین کنترلرها است. علاوه بر این، پروتکل MGCP یک پروتکل کنترل دروازه است، اما برای کنترل اتصالات مربوط به تجهیزات پایانه کاربر (تلفن های IP) طراحی نشده است.

این بدان معناست که در شبکه ای که بر اساس پروتکل MGCP ساخته شده است، یک دروازه بان یا سرور SIP باید برای کنترل تجهیزات ترمینال حضور داشته باشد.

همچنین شایان ذکر است که در برنامه های کاربردی موجوداستفاده از پروتکل MGCP (و همچنین پروتکل SIP) مانند ارائه خدمات ارتباطی بین‌المللی و از راه دور، به دلیل اینکه اکثریت قریب به اتفاق شبکه‌های تلفن IP امروزه بر پایه پروتکل H.323. اپراتور باید یک شبکه تلفن IP جداگانه بر اساس پروتکل MGCP (یا SIP) بسازد که با سرمایه گذاری قابل توجهی همراه است. در عین حال، یک اپراتور مخابراتی با تجهیزات H.323 می تواند به شبکه های تلفن IP موجود بپیوندد.

در آخرین رویکرد ذکر شده (در پیش نویس نسخه 4 H.323)، ITU-T اصل تجزیه دروازه را که در رویکرد سوم استفاده می شود، معرفی کرد.

بلوک های عملکردی دروازه توزیع شده توسط کنترل کننده دروازه - MGC (کنترل کننده دروازه رسانه) با استفاده از پروتکل MEGACO/H.248 کنترل می شود. نسخه پیش نویس 4 H.323 همچنین انتقال شفاف سیگنالینگ SS7 و سایر سیگنال‌ها را از طریق شبکه‌های تلفن IP و پردازش تمام سیگنال‌ها توسط دروازه‌بان بدون تبدیل به پیام‌های سیگنالینگ H.225.0 فراهم می‌کند.

اطلاعات ارائه شده در این فصل به هیچ وجه برای نتیجه گیری نهایی در مورد چشم انداز استفاده از یک یا آن پروتکل تلفن IP کافی نیست، اگرچه اولین تصور ممکن است قبلا شکل گرفته باشد. در فصل‌های بعدی، نویسندگان سعی می‌کنند اطلاعات عمیق‌تری در مورد این موضوع ارائه کنند، اما متعهد می‌شوند که هیچ دیدگاهی را به خواننده تحمیل نکنند، بلکه هر آنچه لازم است را به او بدهند تا خودش بتواند نتیجه‌گیری مناسب را به دست آورد. .

1.5 گزینه های سیستمتلفن IP(اسکریپت ها)

سه حالت متداول برای تلفن IP وجود دارد:

- "کامپیوتر-کامپیوتر"؛

- "رایانه-تلفن"؛

- "تلفن-تلفن".

سناریوی "کامپیوتر به کامپیوتر" بر اساس اجرا می شود کامپیوترهای استاندارد, مجهز به امکانات چند رسانه ای و متصل به اینترنت .

اجزای مدل IP تلفنی کامپیوتر به کامپیوتر در شکل 1.14 نشان داده شده است. در این سناریو، سیگنال‌های گفتاری آنالوگ از میکروفون مشترک A توسط یک مبدل آنالوگ به دیجیتال (ADC)، معمولاً با سرعت 8000 نمونه در ثانیه، 8 بیت در نمونه، و در مجموع 64 کیلوبیت بر ثانیه دیجیتالی می‌شوند.

سپس نمونه‌های داده‌های گفتاری دیجیتالی شده توسط یک رمزگذار فشرده می‌شوند تا پهنای باند مورد نیاز برای انتقال آنها را به نسبت 4:1، 8:1 یا 10:1 کاهش دهد. الگوریتم های فشرده سازی گفتار به تفصیل در فصل بعدی مورد بحث قرار می گیرند. داده‌های خروجی پس از فشرده‌سازی به بسته‌هایی تبدیل می‌شوند که سربرگ‌های پروتکل به آن‌ها اضافه می‌شوند و پس از آن بسته‌ها از طریق شبکه IP به سیستم تلفن IP که به مشترک B سرویس می‌دهد، منتقل می‌شوند.

هنگامی که بسته ها توسط سیستم مشترک B دریافت می شوند، هدرهای پروتکل حذف می شوند و داده های صوتی فشرده شده به دستگاهی ارسال می شود که آن را به شکل اصلی خود از حالت فشرده خارج می کند، پس از آن داده های صوتی مجدداً با استفاده از یک دیجیتال به شکل آنالوگ تبدیل می شوند. مبدل آنالوگ (DAC) و وارد تلفن مشترک B می شود.

برای اتصال معمولی بین دو مشترک سیستم تلفن IP، هر دو عملکرد انتقال و دریافت به طور همزمان در هر انتها اجرا می شوند.

شبکه IP نشان داده شده در شکل 1.14 به این معنی است شبکه جهانیاینترنت یا شبکه شرکتی اینترانت سازمانی. شرح پروتکل های مورد استفاده در شبکه های IP، از جمله پروتکل هایی برای انتقال اطلاعات صوتی از طریق شبکه IP.

شکل 1.14 سناریوی تلفن IP میزبان به کامپیوتر

برای پشتیبانی از سناریوی کامپیوتر به کامپیوتر، برای یک ISP مطلوب است که یک سرور جداگانه (gatekeeper) داشته باشد که نام های کاربری را به آدرس های IP پویا ترجمه کند. سناریو به خودی خود کاربرانی را هدف قرار می‌دهد که به شبکه عمدتاً برای انتقال داده نیاز دارند و نرم‌افزار تلفن IP فقط گاهی برای صحبت با همکاران مورد نیاز است.

استفاده موثر اتصال تلفنیسناریوی دسکتاپ به رایانه معمولاً با افزایش بهره‌وری شرکت‌های بزرگ همراه است، برای مثال، هنگام سازماندهی یک ارائه مجازی در یک شبکه شرکتی با توانایی نه تنها برای دیدن اسناد در یک سرور وب، بلکه همچنین برای بحث در مورد محتوای آنها با استفاده از یک تلفن IP

اسناد مشابه

در نظر گرفتن ویژگی های توسعه یک مجموعه برای خودکارسازی تجزیه و تحلیل تلاش های نفوذ و کنترل خارجی اتصالات محلیبرای سرور تلفن مشخصات کلی پروتکل SSH، نسخه های اصلی. تجزیه و تحلیل احراز هویت اولیه رمز عبور.

مقاله ترم، اضافه شده در 2013/02/22


چشم انداز توسعه تلفن IP (تلفن اینترنتی). اینترنت و پروتکل IP تاریخچه توسعه IP-telephony. مزایای استفاده از تلفن IP شاخص کیفیت تلفن IP. سیستم پرداخت خدمات تلفن IP، صورتحساب و مدیریت.

مقاله ترم، اضافه شده 05/16/2008


ساختار پروتکل TCP/IP. تعامل سیستم های سوئیچینگ مدار و بسته. ویژگی های یک شبکه سوئیچ بسته. خدمات ارائه شده توسط OJSC "MGTS" با استفاده از یک شبکه سوئیچ بسته. محاسبه اثربخشی اجرای شبکه طراحی شده.

پایان نامه، اضافه شده در 2012/05/22


مفاهیم اولیه تلفن IP، ساختار شبکه های تلفن IP. ساختار شبکه ASU راه حل های سیستم های سیسکو برای تلفن IP. روترهای سیسکوسیستم های. سوئیچ کاتالیست سری 2950. تلفن IP. راه اندازی شبکه VPN روش ها و وسایل حفاظت از اطلاعات

پایان نامه، اضافه شده 09/10/2008


منشاء مفهوم ساختار سلسله مراتبی چند سطحی شبکه تلفن. فناوری الکترونیکی که امکان انتقال تمامی وسایل تلفن را به پایه عنصر. توسعه IP-telephony، ارائه انتقال صدا از طریق شبکه های سوئیچینگ بسته.

چکیده، اضافه شده در 1389/06/12


استفاده از آدرس IP در پروتکل TCP / IP، نقش آن در سازماندهی اتصال به اینترنت. مفهوم ماسک زیر شبکه. داده های مورد نیاز برای پیکربندی پروتکل TCP/IP. مکانیزمی برای آزمایش پیکربندی و اتصال به شبکه ها با استفاده از ابزارهای کمکی.

ارائه، اضافه شده در 11/02/2014


هماهنگی سناریوهای مختلف تلفن IP. اجرای انتقال صدا و تصویر با استفاده از IP-telephony. راه های مشاهده تصویری که به مخاطب منتقل می شود. اندازه بافرهای صدا و تاخیر تماس مشترک.

کار کنترل، اضافه شده در 2011/02/20


مبانی تلفن IP: روش های ارتباطی، مزایا و استانداردها. توسعه طرح کانال ارتباطی اصلی برای سازماندهی تلفن IP. توابع یک نقطه کنترل موبایل توسعه یک طرح برای یک کانال ارتباطی پشتیبان برای سازماندهی تلفن IP.

مقاله ترم، اضافه شده 10/11/2013


فناوری IP-telephone و Wi-Fi. نیاز به موبایل شبکه اداری IP-telephony، طرح طراحی آن. راه اندازی سرور Yeastar MyPBX 400 برای اتصال به Zebra Telecom. محاسبه هزینه های سرمایه ای و هزینه های عملیاتی.

پایان نامه، اضافه شده در 2013/02/19


تاریخچه فعالیت شبکه تلفن شهر مسکو. ساختار پروتکل TCP/IP. تعامل سیستم های سوئیچینگ مدار و بسته. ویژگی های یک شبکه سوئیچ بسته. خدمات یک شبکه آینده نگر، کارایی اقتصادی اجرای آن.

تلفن IP به طور فزاینده ای در شرکت ها مورد استفاده قرار می گیرد. بهره وری کسب و کار را بهبود می بخشد و به شما امکان می دهد بسیاری از عملیات های قبلا غیرممکن را انجام دهید (به عنوان مثال، ادغام با CRM و سایر برنامه های تجاری، کاهش هزینه های ساخت و راه اندازی زیرساخت های مخابراتی، ایجاد مراکز تماس کارآمد، کاهش هزینه کل مالکیت سیستم و غیره). با این حال، توسعه فعال IP-telephony با این واقعیت که شایعات زیادی پیرامون این فناوری در مورد امنیت پایین آن منتشر می شود، محدود شده است. سیسکو سیستم ثابت کرده است که اینطور نیست و این نشریه قصد دارد افسانه های رایج در مورد ناامنی تلفن IP را از بین ببرد.

لازم به ذکر است که سیسکو تنها سازنده ای است که از زیرساخت تلفن IP در تمام سطوح آن، از محیط حمل و نقل گرفته تا برنامه های صوتی. این امر با پیاده سازی راه حل هایی در ابتکار شبکه دفاع از خود سیسکو به دست می آید. سطح بالاامنیت راه حل های سیسکو سیستمز نیز توسط آزمایشگاه های تست مستقل تایید شده است. به طور خاص، مجله NetworkWorld (http://www.nwfusion.com/reviews/2004/0524voipsecurity.html) چندین راه حل IP تلفنی را آزمایش کرده است و تنها راه حل Cisco بالاترین رتبه ممکن "امن" را دریافت کرده است.

1. IP-telephony در برابر استراق سمع محافظت نمی کند

راه حل های تلفن IP سیسکو از چندین فناوری و مکانیسم برای اطمینان از محرمانه بودن ارتباطات استفاده می کنند. اولاً، این تخصیص ترافیک صوتی به بخش اختصاصی شبکه و کنترل دسترسی به جریان صوتی با استفاده از قوانین کنترل دسترسی در روترها و فایروال ها. ثانیا، تمام ترافیک صوتی را می توان با استفاده از فناوری شبکه خصوصی مجازی (VPN) در برابر استراق سمع غیرمجاز محافظت کرد. پروتکل IPSec به شما اجازه می دهد تا یک مکالمه تلفنی را حتی از طریق شبکه های دسترسی باز مانند اینترنت ایمن کنید. و در نهایت، سیسکو در تلفن های IP خود پروتکل SecureRTP (SRTP) را پیاده سازی کرد، که به طور ویژه برای اطمینان از محرمانه بودن جریان صوتی طراحی شده است، که اجازه نمی دهد افراد خارجی به راز مکالمات تلفنی نفوذ کنند.

2. IP-telephony مستعد آلودگی با کرم ها، ویروس ها و تروجان ها است

برای محافظت از زیرساخت تلفن IP شما در برابر آلودگی توسط بدافزارهای مختلف، سیسکو مجموعه ای از اقدامات محافظتی را ارائه می دهد که به شما امکان می دهد یک دفاع لایه ای ایجاد کنید که نه تنها از معرفی، بلکه از گسترش کرم ها، ویروس ها، اسب های تروجان و سایر انواع فعالیت های مخرب جلوگیری می کند. . اولین خط دفاعی استفاده از فایروال ها و سیستم های تشخیص نفوذ و پیشگیری به همراه آنتی ویروس های شریک سیسکو برای محدود کردن دسترسی به زیرساخت تلفن IP است.

خط دوم دفاعی مبتنی بر استفاده از آنتی ویروس ها و سیستم های پیشگیری از حمله بر روی گره های انتهایی شرکت کننده در زیرساخت تلفن IP است - Cisco IP SoftPhone، Cisco CallManager، Cisco Unity، Cisco IP Contact Center (IPCC) Express، Cisco Personal Assistant، Cisco. پاسخ صوتی تعاملی IP و غیره

آخرین اما نه کم اهمیت، خط دفاعی ابتکار کنترل پذیرش شبکه سیسکو سیستمز است. به عنوان بخشی از این ابتکار، تمام ایستگاه های کاری و سرورهایی که از خط مشی امنیتی پیروی نمی کنند (از جمله آنهایی که نرم افزار آنتی ویروس نصب نشده دارند) نمی توانند به شبکه شرکت دسترسی داشته باشند و به منابع آن آسیب وارد کنند.

3. IP-telephony در برابر جایگزینی تلفن ها و سرورهای کنترل محافظت نمی کند

برای محافظت در برابر دستگاه هایی که سعی می کنند خود را به عنوان تلفن های IP مجاز پنهان کنند یا غیرمجاز به زیرساخت شبکه متصل هستند، سیسکو پیشنهاد می کند نه تنها از قوانین کنترل دسترسی که قبلاً در بالا ذکر شد در روترها و فایروال ها استفاده شود، بلکه از ابزارهای پیشرفته برای احراز هویت قوی همه مشترکین نیز استفاده شود. زیرساخت IP تلفن (از جمله سرور مدیریت تماس) که از پروتکل های استاندارد شده مختلفی برای احراز هویت استفاده می کند، از جمله گواهی های RADIUS، PKI X.509 و غیره.

4. یک مهاجم با حقوق اداری می تواند عملکرد زیرساخت تلفن 1P را مختل کند

CallManager گزینه های پیشرفته ای را ارائه می دهد تا به مدیران سیستم های مختلف فقط حقوقی را که برای انجام وظایف خود نیاز دارند، بدهد. چنین حقوقی ممکن است شامل - دسترسی فقط خواندنی به تنظیمات خاص، عدم دسترسی کامل به آنها، دسترسی به تغییر و غیره باشد. علاوه بر این، تمام اقدامات انجام شده توسط مدیر در یک گزارش ویژه ثبت می شود و می تواند در هر زمان در جستجوی آثار فعالیت غیرمجاز تجزیه و تحلیل شود.

مدیریت پیکربندی تلفن های IP و تعامل آنها با CallManager از طریق یک کانال محافظت شده از دسترسی غیرمجاز انجام می شود و از هرگونه تلاش برای خواندن یا تغییر دستورات کنترل جلوگیری می کند. برای محافظت از کانال کنترل، پروتکل ها و الگوریتم های استاندارد شده مختلفی استفاده می شود - IPSec، TLS، SHA-1 و غیره.

5. CallManager امن نیست زیرا بر روی پلتفرم ویندوز نصب شده است

با وجود اینکه سرور مدیریت زیرساخت تلفن IP CallManager بر روی پلتفرم ویندوز نصب شده است، اما ضعف ذاتی در این بستر ندارد. این به این دلیل است که CallManager یک سیستم امن و بهینه را اجرا می کند نسخه های ویندوزکه در آن:

• تمام سرویس ها و حساب های غیر ضروری غیرفعال هستند،
• تمام "وصله های" لازم و به طور منظم به روز شده نصب شده است،
• سیاست امنیتی پیکربندی شده

6. IP-telephony به راحتی غیرفعال می شود

اگرچه اجزای مختلف تلفن IP به طور بالقوه مستعد حملات انکار سرویس هستند، راه حل های سیستم سیسکو طیف وسیعی از اقدامات حفاظتی را برای جلوگیری از حملات DoS و پیامدهای آن ارائه می دهند. برای این کار می توانید از مکانیزم های تعبیه شده در تجهیزات شبکه برای ارائه استفاده کنید امنیت اطلاعاتو راه حل های اضافی ارائه شده توسط Cisco Systems:

• جداسازی شبکه شرکتی به بخش های غیر همپوشانی انتقال صدا و داده، که از ظاهر شدن حملات رایج در بخش "صدا" جلوگیری می کند. و DoS.
• استفاده از قوانین کنترل دسترسی ویژه روی روترها و فایروال ها که از محیط شبکه شرکت و بخش های جداگانه آن محافظت می کند.
• پیاده سازی سیستم پیشگیری از حمله بر روی هاست های Cisco Secure Agent.
• استفاده از سیستم تخصصی حفاظت در برابر حملات DoS و DDoS Cisco Guard و Cisco Traffic Anomaly Detector.
• اعمال تنظیمات خاص به تجهیزات شبکهسیسکو، که از جعل آدرس، که اغلب در حملات DoS استفاده می‌شود، جلوگیری می‌کند و پهنای باند را محدود می‌کند، که اجازه نمی‌دهد منابع مورد حمله توسط جریان زیادی از ترافیک بی‌فایده غیرفعال شوند.

تلفن های IP خود دارای تعدادی تنظیمات ویژه هستند که از دسترسی غیرمجاز به آنها جلوگیری می کند. این تنظیمات شامل، برای مثال، دسترسی به عملکردهای تلفن تنها پس از ارائه شناسه و رمز عبور، یا ممنوعیت تغییر تنظیمات محلی و غیره است.

به منظور جلوگیری از بارگیری غیرمجاز نرم افزار و فایل های پیکربندی در تلفن IP، یکپارچگی آنها توسط امضای دیجیتال الکترونیکی و گواهی های X.509 کنترل می شود.

8. CallManager را می توان با تعداد زیادی تماس بارگیری کرد

حداکثر تعداد تماس در هر ساعت به ازای هر سرور CallManager تا 100000 (بسته به پیکربندی) است و در صورت استفاده از Cluster CallManager می توان این تعداد را تا 250000 افزایش داد. در عین حال تنظیمات خاصی در CallManager وجود دارد که تعداد تماس های دریافتی را به مقدار مورد نیاز محدود می کند. علاوه بر این، در صورت قطع ارتباط با یکی از CallManager ها، امکان ثبت مجدد خودکار تلفن IP در CallManager پشتیبان و همچنین امکان پذیر است. تغییر خودکارمسیر تماس

9. کلاهبرداری در تلفن IP آسان است

سرور مدیریت زیرساخت تلفن IP CallManager دارای تعدادی ویژگی است که بسته به نوع آن احتمال کلاهبرداری تلفنی را کاهش می دهد (سرقت خدمات، جعل تماس ها، امتناع از پرداخت و غیره). به طور خاص، برای هر مشترک می توانید:

• مسدود کردن تماس ها به و از گروه های خاصی از شماره ها،
• مسدود کردن توانایی ارسال تماس به انواع مختلف شماره ها - شهری، تلفن همراه، راه دور، بین المللی و غیره،
• فیلتر کردن تماس ها با پارامترهای مختلف،
• و غیره.

10. تلفن سنتی امنیت بیشتری نسبت به تلفن IP دارد

این رایج ترین افسانه ای است که در زمینه تلفن وجود دارد. تلفن سنتی که چندین دهه پیش توسعه یافته است، توسط فناوری جدید و پیشرفته‌تر تلفن IP بسیار کمتر محافظت می‌شود. در تلفن سنتی، اتصال به مکالمه شخص دیگری، جعل شماره، "سیل" با تماس ها و بسیاری از تهدیدات دیگر که برخی از آنها هیچ مشابهی در تلفن IP ندارند (مثلاً شماره گیری جنگ) بسیار آسان تر است. حفاظت از تلفن سنتی با ابزارها و مکانیسم‌های بسیار گران‌تری نسبت به تلفن IP که در آن این ابزارها در خود اجزای این فناوری تعبیه شده‌اند، فراهم می‌شود. به عنوان مثال، برای محافظت در برابر استراق سمع، دستگاه سنتی از دستگاه های خاصی استفاده می کند - اسکرامبلرها، که نمی توانند به طور مرکزی کنترل شوند. ناگفته نماند هزینه تهیه و نصب آنها در مقابل هر تلفن.

دورانی که اپراتورها نسبت به استفاده از IP-تلفن دلهره داشتند، با در نظر گرفتن سطح امنیت این گونه شبکه ها، گذشته است. امروزه می توان گفت که IP-telephony به نوعی استاندارد واقعی در ارتباطات تلفنی تبدیل شده است. این به دلیل راحتی، قابلیت اطمینان و هزینه نسبتا پایین تلفن IP در مقایسه با ارتباطات آنالوگ است. می توان استدلال کرد که IP-telephony کارایی کسب و کار را افزایش می دهد و اجازه می دهد تا عملیات هایی که قبلاً غیرقابل دسترسی هستند مانند ادغام با برنامه های تجاری مختلف.

اگر از کاستی ها و آسیب پذیری های تلفن IP صحبت کنیم، قبل از هر چیز باید به همان "بیماری هایی" توجه کنیم که سایر سرویس های استفاده کننده از پروتکل IP از آن رنج می برند. این مستعد بودن در برابر حملات کرم و ویروس، حملات DoS، دسترسی غیرمجاز از راه دور، و غیره است. در عین حال تضمین امنیت امروزه تعداد زیادی از شرکت ها در حال ادغام تلفن IP با برنامه های کاربردی دیگر مانند ایمیل هستند. از یک طرف، راحتی های اضافی در این راه ظاهر می شود، اما از طرف دیگر، آسیب پذیری های جدید. علاوه بر این، عملکرد یک شبکه تلفن IP به تعداد زیادی مؤلفه مانند سرورهای پشتیبانی، سوئیچ ها، روترها، فایروال ها، تلفن های IP و غیره نیاز دارد. در عین حال، اغلب از سیستم عامل های غیر تخصصی برای پشتیبانی از عملیات استفاده می شود. یک شبکه IP به عنوان مثال، اکثر سانترال های IP بر روی سیستم عامل های معمولی و معروف (ویندوز یا لینوکس) ساخته شده اند که از نظر تئوری دارای تمام آسیب پذیری های مختص این سیستم ها هستند.

برخی از IP PBX ها از DBMS و وب سرورهایی استفاده می کنند که آسیب پذیری های خاص خود را دارند. و اگر چه برای جهانی سیستم عاملیا پشته پروتکل، می توانید از ابزارهای حفاظتی شناخته شده استفاده کنید - آنتی ویروس ها، فایروال های شخصی، سیستم های پیشگیری از حمله و غیره، عدم "تیز کردن" چنین ابزارهایی برای کار با برنامه های تلفن IP می تواند بر سطح امنیت تأثیر منفی بگذارد.

از جمله تهدیدات اصلی که شبکه تلفن IP در معرض آنها قرار دارد عبارتند از:

• ثبت ترمینال شخص دیگری که به شما امکان می دهد با هزینه شخص دیگری تماس برقرار کنید.
• تغییر مشترک؛
• ایجاد تغییرات در ترافیک صوتی یا سیگنالینگ؛
• کاهش کیفیت ترافیک صوتی؛
• تغییر مسیر ترافیک صوتی یا سیگنال؛
• رهگیری ترافیک صدا یا سیگنال؛
• پیام های صوتی جعلی؛
• خاتمه جلسه ارتباط؛
• خود داری از خدمات؛
• دسترسی غیرمجاز از راه دور به اجزای زیرساخت تلفن IP؛
• به روز رسانی غیرمجاز نرم افزار در تلفن IP (به عنوان مثال، به منظور تزریق تروجان یا جاسوس افزار).
• هک سیستم صورتحساب (برای تلفن اپراتور).

این تمام لیست مشکلات احتمالی مرتبط با استفاده از تلفن IP نیست. اتحاد امنیت VoIP (VOIPSA) سندی را ایجاد کرده است که طیف گسترده ای از تهدیدات تلفن IP را توصیف می کند که علاوه بر تهدیدات فنی، شامل اخاذی از طریق تلفن IP، هرزنامه و غیره می شود.

و با این حال، آسیب‌پذیری اصلی تلفن IP، عامل انسانی است که دندان‌ها را در معرض خطر قرار داده است. مسئله امنیت در هنگام استقرار شبکه تلفن IP اغلب به پس زمینه منتقل می شود و انتخاب راه حل بدون مشارکت متخصصان امنیتی صورت می گیرد. علاوه بر این، متخصصان همیشه راه حل را به درستی پیکربندی نمی کنند، حتی اگر مکانیسم های حفاظتی مناسبی داشته باشد، یا ابزارهای حفاظتی خریداری شده باشند که برای پردازش موثر ترافیک صوتی طراحی نشده باشند (به عنوان مثال، فایروال ها ممکن است پروتکل سیگنالینگ اختصاصی مورد استفاده در IP را درک نکنند. راه حل تلفن). در نهایت، سازمان مجبور به صرف منابع مالی و انسانی اضافی برای حفاظت از راه حل مستقر شده یا تحمل ناامنی آن است.

چه چیزی بسازیم؟

از نقطه نظر مدیریت و عملکرد، چنین معماری تلفن IP ترجیح داده می شود، جایی که تمام اجزای حفاظتی در عناصر خود شبکه تعبیه شده است. اگر شبکه تلفن IP را بدون استفاده در نظر بگیریم وجوه اضافیحفاظت، سپس با استفاده از مکانیسم های حفاظتی تعبیه شده در سوئیچ های شبکه، می توان به ساخت حفاظت نسبتاً پایدار در برابر حملات در محیط دست یافت. عملکرد داخلی به شما امکان می دهد:

• توانایی ایجاد شبکه های محلی مجازی (VLAN) با استفاده از قابلیت های داخلی سوئیچ ها.
• استفاده از مکانیزم های داخلی فیلتر و کنترل دسترسی؛
• محدود کردن و ارائه پهنای باند تضمین شده، که می تواند به طور موثر حملات DoS را سرکوب کند.
• محدود کردن تعداد دستگاه‌های با آدرس‌های MAC مختلف متصل به یک پورت؛
• جلوگیری از حملات به مصرف مجموعه آدرس های سرویس DHCP؛
• جلوگیری از مسدود شدن جداول ARP و "سرقت" آدرس ها.
• جلوگیری از حملات از آدرس های ناشناس؛
• استفاده از لیست های کنترل دسترسی که آدرس گره هایی را که می توانند داده ها را به تلفن های IP منتقل کنند محدود می کند.

علاوه بر این، سیستم کنترل تماس تعبیه شده در معماری شبکه IP، که می تواند به یک شبکه محلی اختصاصی ویژه جدا شده از شبکه کاری سازمان متصل شود، نشان دهنده یک "خط" اضافی در حفاظت است. معایب شامل این واقعیت است که عملکردهای حفاظتی تعبیه شده در تجهیزات شبکه همیشه سطح مناسبی از امنیت را فراهم نمی کند و ممکن است برای افزایش آن نیاز به سرمایه گذاری اضافی در ارتقاء تجهیزات باشد.

با وجود استفاده از پروتکل IP، تلفن IP همیشه نمی تواند به اندازه کافی توسط راه حل های سنتی محافظت شود. این به دلیل این واقعیت است که آنها ویژگی های آن را در نظر نمی گیرند - انتقال ترافیک در زمان واقعی، کنترل کیفیت و ترافیک در سطح برنامه، و غیره. در حالت ایده آل، زمانی که برنامه های تلفن IP و امنیت آنها به طور جدایی ناپذیری به هم مرتبط و یکپارچه شوند. پلت فرم، از جمله زیرساخت شبکه. این به شما امکان می دهد اثربخشی محافظت را افزایش دهید و هزینه های آن را کاهش دهید. در غیر این صورت، شما باید چهار زیرساخت مستقل یا تقریباً بدون همپوشانی ایجاد کنید: LAN، شبکه تلفن IP، امنیت LAN و زیرساخت امنیتی تلفن IP.

استفاده از فایروال های تخصصی به طور قابل توجهی امنیت شبکه تلفن IP را افزایش می دهد، به عنوان مثال، با فیلتر کردن ترافیک بر اساس وضعیت اتصال ( بازرسی دولتی) که فقط به ترافیک ضروری و اتصالات ایجاد شده در یک جهت خاص (از سرور به مشتری یا بالعکس) اجازه عبور می دهد. علاوه بر این، فایروال این توانایی را فراهم می کند:

• فیلتر کردن مدیریت ترافیک ایجاد اتصالات تلفن IP؛
• انتقال ترافیک مدیریتی از طریق NAT و تونل های شبکه؛
• رهگیری TCP، که بررسی هایی را برای بستن جلسات TCP فراهم می کند، که به شما امکان می دهد در برابر تعدادی از حملات انکار سرویس (DoS) دفاع کنید.

هنگام طراحی شبکه ای که قرار است از ابزارهای امنیتی اضافی مانند سیستم تشخیص نفوذ یا پیشگیری استفاده کند، باید توجه ویژه ای به انتخاب سازنده چنین ابزارهایی داشت، زیرا موضوع مدیریت یک شبکه IP ناهمگن همیشه قابل حل نیست. کارآمد و سریع و تقریباً همیشه نیاز به سرمایه گذاری جدی اضافی دارد.

ترجیحاً سازنده ای را انتخاب کنید که شبکه از قبل روی تجهیزات آن کار می کند، زیرا پشتیبانی و مدیریت دستگاه ها در این مورد به صورت متمرکز و با هزینه کمتر انجام می شود.

محافظت از گوش دادن

پیشرفته ترین راه برای مقابله با چنین دستکاری استفاده از تلفن های IP با رمزگذاری داخلی است. علاوه بر این، رمزگذاری ترافیک بین تلفن‌ها و دروازه‌ها حفاظت بیشتری را فراهم می‌کند. تقریباً همه فروشندگان امروزی، مانند Avaya، Nortel و Cisco، رمزگذاری داخلی را برای ترافیک و سیگنالینگ ارائه می دهند. رمزگذاری ترافیک منطقی ترین راه حل برای محافظت در برابر مکالمات است، اما چنین عملکردی مشکلاتی را نیز به همراه دارد که باید هنگام ایجاد یک اتصال ایمن در نظر گرفته شوند. مشکل اصلی ممکن است تاخیر اضافه شده توسط فرآیند رمزگذاری و رمزگشایی ترافیک باشد. هنگام کار در یک شبکه محلی، چنین مشکلی، به عنوان یک قاعده، خود را احساس نمی کند، اما هنگام برقراری ارتباط از طریق یک شبکه توزیع شده جغرافیایی، می تواند باعث ناراحتی شود. علاوه بر این، رمزگذاری سیگنالی که در لایه برنامه اتفاق می افتد می تواند کار کردن فایروال ها را دشوار کند. در مورد رمزگذاری جریان، تاخیر بسیار کمتر از استفاده از رمزهای بلوکی است، اگرچه خلاص شدن از شر آنها به طور کامل امکان پذیر نخواهد بود. راه حل مشکل می تواند الگوریتم های سریعتر یا گنجاندن مکانیسم های QoS در ماژول رمزگذاری باشد.

QoS

محافظت در برابر جایگزینی تلفن ها و سرورهای مدیریتی

حفاظت از DoS

• تقسیم شبکه شرکت به بخش‌های غیر همپوشانی انتقال صدا و داده، که از نمایش حملات رایج، از جمله DoS، در بخش "صدا" جلوگیری می‌کند.
• قوانین کنترل دسترسی ویژه روی روترها و فایروال هایی که از محیط شبکه شرکت و بخش های جداگانه آن محافظت می کنند.
• سیستم پیشگیری از حمله بر روی سرور کنترل تماس و رایانه شخصی با برنامه های صوتی.
• سیستم های حفاظتی تخصصی در برابر حملات DoS و DDoS؛
• تنظیمات ویژه در تجهیزات شبکه که از جعل آدرس جلوگیری می کند و پهنای باند را محدود می کند، که اجازه نمی دهد منابع مورد حمله توسط جریان بزرگی از ترافیک بی فایده غیرفعال شوند.

محافظت از تلفن های IP

حفاظت از تقلب در شبکه تلفن IP

استانداردهای تلفن IP

نتیجه

از جمله الزامات اولیه برای اطمینان از امنیت شبکه تلفن IP، نیاز به جداسازی داده های صوتی و معمولی است. یعنی تلفن IP باید از شبکه ای که در آن داده های دیگر با استفاده از VLAN ها منتقل می شود جدا شود. تقسیم بندی به شما امکان می دهد یک مرز اضافی ایجاد کنید که از حملات و سوء استفاده ها، از جمله مواردی که در شبکه داخلی منشا می گیرند، جلوگیری می کند. علاوه بر این، هنگام طراحی یک شبکه تلفن IP، ارائه پهنای باند مناسب و به یاد داشته باشید که از مکانیزم های QoS برای اولویت بندی ترافیک تلفن IP استفاده کنید.

و در نهایت، استفاده از ابزارهای حفاظتی متمرکز بر ویژگی های عملکرد تلفن IP نه تنها به جلوگیری از "حفره" در امنیت شبکه ساخته شده، مانند "سوء تفاهم" ترافیک IP توسط ابزارهای حفاظتی، بلکه همچنین جلوگیری می کند. هزینه های مالیبرای نوسازی تجهیزات موجود یا خرید وسایل حفاظتی جدید.