Cómo hacer filtrado de capa de aplicaciones para red de voz

81 0 0 0

 ¿Alquila servicios de voz a sus clientes y quiere asegurarse de que su red no es vulnerable de alguna manera a los ataques?

 Esta es la única manera de asegurar la disponibilidad al 100% así que, en el siguiente post le diré como usar su firewall de Huawei para implementar éste tipo de escenario. Para esta prueba usaré un USG2110-A-GW-W. Consulte la versión de visualización de abajo:

 

 Software de la plataforma de enrutamiento versátil de Huawei                                     

 Versión de software: Software USG2110 V300R001C00SPC900 (VRP (R), versión 5.30)  

 Copyright (C) 2008-2013 Huawei Technologies co., Ltd.                          

 El tiempo de actividad de Secospace USG2110-A-GW-W es de 0 semana, 0 día, 6 horas, 47 minutos

 

 La primer idea cuando se discute la implementación de filtrado de paquetes de estado es usando ASPF.

 ASPF es simple de configurar, pues solo necesita configurar un comando (detectar [protocolo) .El problema con ASPF es que para el tráfico de voz, principalmente tráfico SIP, solo puede detectar la dirección de destino y el número de puerto (5080), agregar una entrada en la tabla de sesiones de firewall y permitir todo el tráfico a ese destino específico con el puerto de destino 5080. Debido a este comportamiento, su red se vuelve vulnerable a los ataques UDP de DDOS en el puerto de destino 5080.

 Para corregir esto, es necesario implementar DPI (Deep Packet Inspection). DPI es una característica de seguridad que filtra paquetes basados en los datos de la capa de aplicación y proporcionará protección contra ataques UDP DDOS.

 Configure DPI usando la interfaz web y recomiendo hacer lo mismo que la configuración de CLI, que es realmente compleja. Siga los siguientes pasos para configurar DPI:

 

 Paso 1: Vaya a http://sec.huawei.com y descarga el paquete DPI más reciente, por favor, consulte las siguientes imágenes:


052809tep4ijdoj4klj1d3.png?image.png




 Elija la versión de software que está ejecutando en su Eudemon.



053136ppol4bbefaezlb4w.png?image.png


 Seleccione el último paquete DPI y descárguelo.

 

 Paso 2: Carga el paquete en tu Eudemon vía FTP/TFTP.

 

 Paso 3: Después de subir el paquete a su firewall, sugiero configurar DPI desde la interfaz web, ya que la configuración de CLI es realmente compleja. Una vez conectado a la interfaz web, vaya a UTMPolicy.


053156y75yoj03w0f3m77z.png?image.png


 Paso 4: Agregar una nueva política introduciendo el nombre y Aplicar.



053216rkqgbuw66uukl3zl.png?image.png


 Paso 5: Una vez creada la política, debe configurarla para permitir solo el tráfico VOIP y denegar cualquier otro tráfico, para esto pulse el botón de configuración:


053247lopa1a04jjk31***.png?image.png


 Paso 6: Cambie el permiso implícito de todas las políticas a bloquear y luego añada una nueva regla:



053306ldqaeg9lsfsqle6f.png?image.png


 Paso 7: Configure la regla para solo para permitir el tráfico VOIP (también tiene la opción de seleccionar los protocolos específicos VOIP).



053327c77wwiiriqzs78ri.png?image.png


 Paso 8: Después de que esta política se haya creado con éxito, vaya a FirewallSecurity PolicyForward Policyy agregue una nueva regla de reenvío entre zonas para las zonas afectadas:



053416e9ivmjkdxvnirhu1.png?image.png


 Paso 9: Agregue las zonas entre las que se reenviará el tráfico SIP, verifique el cuadro de control de la aplicación, seleccione la Política de control que ha creado (en este caso, nombra a test como) y aplique.



053444rghg1rbgo893tr33.png?image.png


 ¡Felicidades! Ahora tiene una red de voz totalmente protegida.



  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba