¿Alquila servicios de voz a sus clientes y quiere asegurarse de que su red no es vulnerable de alguna manera a los ataques?
Esta es la única manera de asegurar la disponibilidad al 100% así que, en el siguiente post le diré como usar su firewall de Huawei para implementar éste tipo de escenario. Para esta prueba usaré un USG2110-A-GW-W. Consulte la versión de visualización de abajo:
Software de la plataforma de enrutamiento versátil de Huawei
Versión de software: Software USG2110 V300R001C00SPC900 (VRP (R), versión 5.30)
Copyright (C) 2008-2013 Huawei Technologies co., Ltd.
El tiempo de actividad de Secospace USG2110-A-GW-W es de 0 semana, 0 día, 6 horas, 47 minutos
La primer idea cuando se discute la implementación de filtrado de paquetes de estado es usando ASPF.
ASPF es simple de configurar, pues solo necesita configurar un comando (detectar [protocolo) .El problema con ASPF es que para el tráfico de voz, principalmente tráfico SIP, solo puede detectar la dirección de destino y el número de puerto (5080), agregar una entrada en la tabla de sesiones de firewall y permitir todo el tráfico a ese destino específico con el puerto de destino 5080. Debido a este comportamiento, su red se vuelve vulnerable a los ataques UDP de DDOS en el puerto de destino 5080.
Para corregir esto, es necesario implementar DPI (Deep Packet Inspection). DPI es una característica de seguridad que filtra paquetes basados en los datos de la capa de aplicación y proporcionará protección contra ataques UDP DDOS.
Configure DPI usando la interfaz web y recomiendo hacer lo mismo que la configuración de CLI, que es realmente compleja. Siga los siguientes pasos para configurar DPI:
Paso 1: Vaya a http://sec.huawei.com y descarga el paquete DPI más reciente, por favor, consulte las siguientes imágenes:
Elija la versión de software que está ejecutando en su Eudemon.
Seleccione el último paquete DPI y descárguelo.
Paso 2: Carga el paquete en tu Eudemon vía FTP/TFTP.
Paso 3: Después de subir el paquete a su firewall, sugiero configurar DPI desde la interfaz web, ya que la configuración de CLI es realmente compleja. Una vez conectado a la interfaz web, vaya a UTMPolicy.
Paso 4: Agregar una nueva política introduciendo el nombre y Aplicar.
Paso 5: Una vez creada la política, debe configurarla para permitir solo el tráfico VOIP y denegar cualquier otro tráfico, para esto pulse el botón de configuración:
Paso 6: Cambie el permiso implícito de todas las políticas a bloquear y luego añada una nueva regla:
Paso 7: Configure la regla para solo para permitir el tráfico VOIP (también tiene la opción de seleccionar los protocolos específicos VOIP).
Paso 8: Después de que esta política se haya creado con éxito, vaya a FirewallSecurity PolicyForward Policyy agregue una nueva regla de reenvío entre zonas para las zonas afectadas:
Paso 9: Agregue las zonas entre las que se reenviará el tráfico SIP, verifique el cuadro de control de la aplicación, seleccione la Política de control que ha creado (en este caso, nombra a test como) y aplique.
¡Felicidades! Ahora tiene una red de voz totalmente protegida.