Comment faire le filtrage de la couche application pour le réseau vocal

50 0 2 0

Vous louez des services vocaux à vos clients et souhaitez vous assurer que votre réseau n'est en aucun cas vulnérable aux attaques?

C’est le seul moyen d’assurer une disponibilité à 100%. Dans ce qui suit, je vais vous expliquer comment utiliser votre pare-feu Huawei pour mettre en œuvre ce type de scénario. Pour ce test, je vais utiliser un USG2110-A-GW-W => reportez-vous à la version d'affichage ci-dessous:


Logiciel de plate-forme de routage polyvalent Huawei

Version du logiciel: USG2110 V300R001C00SPC900 (logiciel VRP (R), version 5.30)

Droit d'auteur (C) 2008-2013 Huawei Technologies Co., Ltd.

Secospace USG2110-A-GW-W le temps de disponibilité est 0 semaine, 0 jour, 6 heures, 47 minutes


Lors de la discussion sur la mise en œuvre du filtrage de paquets avec état, la première chose à faire est d'utiliser ASPF. ASPF est simple à configurer car il vous suffit de configurer une seule commande (detect [protocol]). Le problème avec ASPF est que, pour le trafic vocal, principalement le trafic SIP, il ne peut détecter que l'adresse de destination et le numéro de port (5080), ajouter une entrée dans la table des sessions de pare-feu et autoriser tout le trafic vers cette destination spécifique avec le numéro de port de destination 5080. En raison de ce comportement, votre réseau devient vulnérable aux attaques DDOS UDP sur le port de destination 5080.

Pour résoudre ce problème, vous devez implémenter DPI (Deep Packet Inspection). Le DPI est une fonctionnalité de sécurité qui filtre les paquets en fonction des données de la couche application et offre une protection contre les attaques DDOS UDP.

J'ai configuré DPI en utilisant l'interface Web et je recommande de faire la même chose car la configuration de la CLI est vraiment complexe. Suivez les étapes ci-dessous pour configurer DPI:

Étape 1: accédez à http://sec.huawei.com et téléchargez le dernier package DPI - veuillez vous reporter aux images ci-dessous:

52f24cbdeefb0.jpg

Choisissez la version du logiciel que vous utilisez sur votre Eudemon.

52f24cde946ab.jpg

Sélectionnez le dernier package DPI et téléchargez-le.


Etape 2: téléchargez le package sur votre Eudemon via FTP / TFTP


Étape 3: Après avoir téléchargé le package sur votre pare-feu, je vous suggère de configurer DPI à partir de l'interface Web car la configuration de la CLI est vraiment complexe. Une fois connecté à l'interface Web, accédez à UTM => Policy

52f24cff786fd.jpg

Étape 4: Ajouter une nouvelle politique en saisissant le nom et appliquer

52f24d2082d1d.jpg

Étape 5: Une fois la stratégie créée, vous devez la configurer pour autoriser uniquement le trafic VOIP et refuser tout autre trafic. Pour cela, appuyez sur le bouton de configuration:

52f24d30e2db7.jpg

Étape 6: Modifiez la stratégie de toutes les autorisations implicites en «Block», puis ajoutez une nouvelle règle:

52f24d47327da.jpg

Étape 7: Configurez la règle pour n’autoriser que le trafic VOIP (vous avez également la possibilité de sélectionner les protocoles spécifiques de la combinaison VOIP à autoriser)

52f24d5b4b7cb.jpg

Étape 8: Une fois cette stratégie créée avec succès, allez à Firewall => Security Policy => Forward Policy et ajoutez une nouvelle règle de transfert inter-zones pour les zones concernées:

52f24d6e838ec.jpg

Étape 9: Ajoutez les zones entre lesquelles le trafic SIP sera transféré, cochez la case Contrôle de l'application, sélectionnez la stratégie de contrôle que vous avez créée (dans ce cas, nommée «test») et Appliquez.

52f24d8537b0c.jpg

Félicitations! Vous avez maintenant un réseau vocal entièrement protégé.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier