RFC 1918 и трансляция адресов

Не рекомендуется использовать для VoIP IP-адреса, доступные из Интернета, это существенно снижает общий уровень безопасности инфраструктуры. Поэтому при возможности используйте адреса, указанные в RFC 1918 (10.x.x.x, 192.168.x.x и т. д.) и немаршрутизируемые в Интернете. Если это невозможно, то необходимо задействовать на межсетевом экране, защищающем вашу корпоративную сеть, механизм трансляции адресов (networkaddresstranslation, NAT).

 

Системы обнаружения атак

Выше уже было рассказано о некоторых атаках, которые могут нарушить работоспособность VoIP-инфраструктуры. Для защиты от них можно использовать хорошо себя зарекомендовавшие и известные в России средства обнаружения атак (intrusiondetectionsystem), которые не только своевременно идентифицируют нападения, но и блокируют их, не позволяя нанести вред ресурсам корпоративной сети. Такие средства могут защищать как целые сетевые сегменты (например, RealSecureNetworkSensor или Snort), так и отдельные узлы (CiscoSecure IDS HostSensor или RealSecureServerSensor). Разносторонность и обширность темы не позволяют подробно рассмотреть обеспечение информационной безопасности IP-телефонии. Но те аспекты, которые мне удалось осветить, все же показывают, что VoIP не такая закрытая и непонятная область, как кажется на первый взгляд. К ней могут быть применены уже известные по обычной телефонии и IP-сетям методы нападения. А относительная легкость их реализации ставит безопасность на первое место наряду с обеспечением качества обслуживания IP-телефонии.

 

5.2. Система безопасности от вандалов (на базе Ценсора)

Охрана "пассивных" шкафов FTTH (PON)

Основная особенность сетей ШПД с технологией PON в том, что между центральным узлом и удаленными абонентскими узлами создается полностью пассивная оптическая сеть, имеющая топологию дерева. В промежуточных узлах дерева располагаются пассивные оптические разветвители (сплиттеры), не требующие питания и обслуживания. Сплиттеры, как правило, размещаются в антивандальных шкафах, которые не представляют интереса для злоумышленников в качестве предмета хищения и наживы. Однако, будучи установленными в подъездах многоквартирных домов, они нередко подвергаются актам вандализма, совершаемым без определённой цели «неблагонадёжным контингентом». Случаются и акты умышленного причинения вреда такому имуществу со стороны недобросовестных конкурентов оператора. Следовательно, вопрос обеспечения безопасности и защиты «пассивных» шкафов стоит не менее остро, чем тот же вопрос в отношении шкафов с активным оборудованием.

Вместе с тем, шкаф FTTH не имеет ни электропитания, ни физического порта Ethernet для связи оборудования с центром – на то он и «пассивный». Обеспечение питания тянет за собой прокладку кабеля, установку источника бесперебойного питания, счётчика электроэнергии и т.д. Создание порта Ethernet из оптического окончания, по сути предназначенного для получения доходов от абонентов, — экономически крайне неэффективно. Не говоря уж о том, что при всех таких организационно-технических мероприятиях система охраны потребует для себя отдельного антивандального шкафа, который по стоимости может превзойти все охраняемые шкафы. Следовательно, принцип охраны с установкой в каждый шкаф самостоятельного устройства мониторинга, требующего питания и канала связи, здесь не подходит. Да это и нецелесообразно, ведь в таком шкафу и контролировать особо нечего – только вскрытие. Так что же, задача не имеет решения? Как оказалось, решение есть, и очень удачное! Причём для операторов ОАО «Связьинвест» и альтернативных операторов, имеющих собственные традиционные сети фиксированной связи, оно выглядит особенно изящно! А предложили его сами Заказчики – Пользователи АПК «ЦЕНСОР».

Реализовать охрану шкафов FTTH (PON) средствами АПК «ЦЕНСОР» можно с помощью существующего оборудования, выпускаемого и поставляемого Заказчикам уже сегодня – на базе уникальной системы охраны колодцев «СОКОЛ» собственной разработки и производства ЗАО НПЦ «Компьютерные Технологии».

Напомним, «СОКОЛ» — это профессиональное российское решение по охране кабельной канализации на базе адресно-параллельного метода контроля датчиков. Система успешно выдержала годовой цикл испытаний на реальных объектах Пермского ТУЭС ПФЭ ОАО «Уралсвязьинформ». Уникальность системы «СОКОЛ» в том, что она позволяет адресным способом контролировать 60 датчиков вскрытия на одной двухпроводной линии длиной 20 км с любым количеством ответвлений (параллельных включений) и любой топологией (звезда, дерево, кольцо, смешанная, линейная). Система выгодно отличается от аналогов высочайшей надёжностью, подтверждённой в ходе эксплуатации, удобством монтажа и обслуживания, наличием защиты от обрывов и КЗ, а также экономичностью.

 

Аппаратно система состоит из объектовых устройств (как правило, это блоки охраны кабелей и колодцев связи БОКС с установленными в них модулями контроля адресных датчиков МКАД), устанавливаемых на АТС в помещениях кросса, и адресных датчиков вскрытия (ДАК), устанавливаемых по периферии, например, в колодцах. Есть также блоки изоляции (БИ), обеспечивающие защиту шлейфов от КЗ. Датчики вскрытия ДАК являются активными, т.е. имеют встроенный микропроцессор и определённый алгоритм работы, а также неполярными с точки зрения подключения к шлейфу. Причём при подключении адрес им присваивается автоматически – не нужно ничего программировать. Адресные датчики работают независимо друг от друга, т.е. при срабатывании одного все остальные остаются под охраной. Кроме того, благодаря возможности организации топологии «звезда» в подсистеме «СОКОЛ» шлейф можно защитить от обрыва: при обрыве в одном месте все датчики остаются под охраной, при обрыве в двух и более местах из под контроля выйдет только отключившийся сегмент. С использованием поставляемых дополнительно блоков изоляции БИ можно защитить шлейф и от короткого замыкания: при КЗ система автоматически отключит повреждённый участок шлейфа, а все остальные датчики будут контролироваться.

 

Таким образом, «СОКОЛ» является просто идеальным средством охраны таких небольших и сгруппированных объектов, как шкафы. А если изучить вопрос поглубже, то ещё и единственно возможным с точки зрения современной техники и логики.

 

 

Действительно, чем, в сущности, отличается охрана колодцев на кабельной трассе от охраны «пассивных» шкафов в подъездах жилых домов? По большому счёту ничем, с той лишь оговоркой, что охранять шкафы в подъездах, пожалуй, даже проще, чем охранять ККС. Следовательно, и дешевле. Это обусловлено и меньшим расходом провода, и отсутствием необходимости герметизации, и простотой монтажа и наладки системы.

Единственный вопрос – как увязать между собой датчики, пусть даже включенные в общий шлейф внутри жилого дома, с блоком контроля, установленным на АТС, которая может находиться за несколько километров? Вот тут-то и становится понятно, почему именно операторам «Связьинвеста» и другим операторам с традиционными сетями такое решение походит больше всего. У таких операторов, как правило, имеется внушительный объём монтированной ёмкости абонентских линий проводной фиксированной связи – медных пар, идущих от станции через распределительные шкафы и коробки прямо в квартиры абонентов. Среди этих пар в большинстве случаев и раньше удавалось найти свободные, а в последние годы, когда наблюдается переход абонентов от фиксированной на другие виды связи, этот ресурс еще больше высвобождается. Словом, проблем с выделением свободных медных пар в абонентских кабелях от АТС до жилых домов, практически нет. Вот как раз такую пару и можно использовать для организации шлейфа охраны шкафов в жилом доме. Достаточно прямо в распределительной коробке КРТП подать эту пару на шлейф сигнализации, а на станции с кросса завести её на блок контроля и всё, система готова!

Получается, что вместо активного охранного оборудования для контроля вскрытия в шкафах PON используются адресные датчики ДАК подсистемы «СОКОЛ», работающие по двухпроводному шлейфу. По шлейфу осуществляется и передача сигналов от датчиков, и одновременно их питание. Герметизация датчиков не требуется, достаточно электроизоляции сращиваемых концов провода. Сами датчики изготовлены таким образом, что не требуют каких-либо сложных операций на этапе монтажа и подключения. Шлейф внутри здания прокладывается однопарным медным проводом, например, КСПВ 2х0,5 или ПРППМ 2х0,9, а то и обычной телефонной «лапшой». Провода могут быть проложены по внутренним коммуникациям здания в удобных для этого местах (в шахтах, стояках, кабель-каналах, подвесных потолках и пр.), а также наружным способом. Не исключено, что как раз «лапша» будет наиболее удобным для этого проводом. А что? Провод крепкий, прибивается на обычные гвозди, имеет подходящие характеристики и сечение, а главное – минимальную цену. Да и в наличии у операторов такой провод есть практически всегда.

В распредкоробке КРТП шлейф подключается к выделенной паре, а та, в свою очередь, к аппаратуре БОКС, установленной на АТС.

 

Возможности блока БОКС по реализации функций подсистемы «СОКОЛ» позволяют контролировать по 60 адресных датчиков на одном двухпроводном шлейфе длиной до 20 км с любым количеством ответвлений и различными топологиями (кольцо, звезда, дерево, линейная, смешанная). Таких шлейфов, в зависимости от комплектации БОКС, может быть от 1 до 4 на одном блоке. Т.е. до 60, 120, 180, 240 адресных точек контроля на одном приборе. Прибор полноценен и в части функций передачи данных, ведь на борту БОКСа имеется штатный порт Ethernet с протоколом TCP/IP, который можно включить в мультисервисную сеть оператора для передачи данных на Сервер и рабочие места.

Получаем адресно-параллельную систему охраны шкафов PON, работающую по одному двухпроводному шлейфу на расстояниях от АТС до шкафа 20 км, имеющую защиту от КЗ и обрывов. Притом система удовлетворяет самым жестким современным критериям и требованиям, предъявляемым операторами к поставщикам:

 

— решение является высокоэффективным: вместо отказа от охраны и экономии «на спичках» (с часто встречающейся позиции в духе «сначала посмотрим, и если будет вандализм, то тогда и будем защищать») оператору теперь проще и выгоднее при минимальных единовременных затратах изначально включить в комплектацию шкафов соответствующие датчики, получив готовое решение со штатной сигнализацией, а не отрывать потом в ходе эксплуатации своих специалистов от основной работы для установки нештатных средств защиты.

 

— решение является простым в монтаже и неприхотливым в обслуживании: максимум технологических операций выполняется на этапе изготовления датчиков и шкафов, а Пользователь может без труда собрать готовую систему с помощью простейших инструментов и материалов, как радиоконструктор, а в дальнейшем так же легко обслуживать её.

 

— решение является недорогим: наличие охранной системы и датчиков существенно не влияет на стоимость шкафа, которую операторы и производители стремятся снизить до минимума ввиду высокой конкуренции на рынке услуг ШПД, кроме того, по-максимуму используются существующие ресурсы оператора связи – медные провода, получающие «вторую жизнь», таким образом, исключаются любые дополнительные расходы.

Стоимость оборудования указана прямо на рисунке, а если взять усреднённые цифры, то стоимость системы в расчёте на один охраняемый шкаф PON лежит в пределах 1000 руб., что в два-три раза экономичнее самого простого решения по охране активных шкафов FTTB. И это не может не радовать, ведь ценовая доступность всех составляющих при строительстве сетей PON – это главный экономический фактор конкурентоспособности услуг ШПД и успеха оператора на рынке.

 

КРАБ

Уникальная технология охраны медных абонентских кабелей в сетях ШПД FTTx

Технология FTTx при построении сетей широкополосного доступа (ШПД) так же распространена, как распространены массовые хищения медножильных кабелей в подъездах жилых домов. Массовые вырезки медных кабелей наносят не только материальный ущерб, связанный с восстановительными работами, простоем сети, непредоставленным трафиком, но и ущерб репутации, имиджу, престижу оператора. А чем хочет и должен заниматься хороший оператор связи? Проводя вольную аналогию со спортом, где надо «быстрее, выше, сильнее», оператор хочет заниматься развитием и повышением качества услуг, увеличением клиентской базы. Тем не менее, ему приходится тратить силы, время и деньги на «лечение травм» – на восстановление повреждений.

ЗАО НПЦ «Компьютерные Технологии» – первый в России разработчик специализированных систем для мониторинга и безопасности сетей связи – всегда был в авангарде производителей оборудования для защиты кабельного хозяйства и ЛКС. Мы предложили и запатентовали технологии охраны магистральных и распределительных кабелей с определением места обрыва по свободным и занятым абонентским парам в составе выпускаемого нами АПК «ЦЕНСОР» – первого профессионального российского решения для комплексного контроля и охраны кабелей связи и ЛКС.

Вновь и вновь заботясь об интересах своих Клиентов – операторов связи и услуг ШПД, подтверждая статус пионера в своей области, мы разработали инновационную и уникальную технологию «КРАБ» для контроля распределительных абонентских кабелей в сетях ШПД FTTx.

Особенностью сетей ШПД FTTx является наличие шкафов с оборудованием, устанавливаемых внутри или вблизи жилых домов и офисных зданий. Со стороны оператора в шкаф заходит волоконно-оптический кабель, а от шкафа до абонентов идут медножильные кабели. Часто устанавливается один шкаф на весь дом или на несколько подъездов, поэтому межподъездные и межэтажные соединения прокладываются многопарным кабелем большой ёмкости, который на промежуточных пассивных коммутаторах (кроссах), установленных в подъездах, распределяется на четырёхпарныеEthernet-кабели типа «витая пара» (UTP cat.5e 4x2x0.53 или аналогичный).

 

 

Новая разработка ЗАО НПЦ «Компьютерные Технологии» направлена на охрану медных распределительных абонентских кабелей типа «витая пара» в сетях ШПД FTTx со скоростью абонентского доступа 100 Мбит/с либо 1 Гбит/с.

Подсистема «КРАБ» состоит из (на рисунке выделено зелёным): специальной патч-панели, устанавливаемой в шкафу FTTx, модуля согласования, выполненного в виде сетевой розетки и устанавливаемого у абонента, и устройства сбора информации УСИ АПК «ЦЕНСОР». В данном случае это УСИ-8F «МАЯК», предназначенное как раз для мониторинга и охраны шкафов ШПД.

Таким образом, подсистема «КРАБ» подходит как новым Клиентам, планирующим закупку УСИ-8F, так и всем Клиентам, уже использующим эти устройства на своих сетях. Вообще, технологию «КРАБ» поддерживают все устройства выпускаемой нами линейки.

Для охраны абонентских кабелей УСИ-8F должно иметь необходимое количество свободных входов общего назначения (по количеству охраняемых кабелей). Всего их 8 на каждом УСИ, поэтому даже при подключении дверного геркона и датчика температуры остаётся еще 6 входов, которые можно использовать для охраны линий связи. При этом надо понимать, что не нужно охранять каждую абонентскую линию, а необходимо охранять хотя бы одну такую линию в каждом межподъездном многопарном кабеле, который чаще всего и становится предметом хищения. Тогда по приблизительным расчетам получаем решение по охране кабелей в 6-8 подъездах жилого дома одним устройством УСИ-8F, что весьма экономично и по стоимости, и по трудозатратам.

Входы УСИ подключаются к патч-панели согласно схеме, прилагающейся к оборудованию. К этой же патч-панели подключается и охраняемый кабель. Уникальность технологии ещё и в том, что для охраны используется именно занятая абонентская линия, и это позволяет экономить линии связи.

Абонент и его оборудование такого подключения никак не ощущают. Контроль линии ведётся без вмешательства в процесс передачи данных, и только на физическом уровне, а аппаратура контроля является полностью «прозрачной» для сквозного прохождения трафика. Для этого применяется специально разработанная в ЗАО НПЦ «Компьютерные Технологии» уникальная схема включения, интегрированная в патч-панель и модуль согласования.

Модуль согласования «КРАБ», выполненный в виде обычной сетевой розетки, устанавливается на конце охраняемого участка кабеля непосредственно в квартире или офисе абонента. К нему подключается сетевой кабель от абонентского оборудования. При этом «продвинутая» схема подключения «КРАБ» позволяет охранять кабель даже когда абонентское оборудование отключено от сети, т.е. удалённый порт не подключен.

При обрыве кабеля на участке от патч-панели до модуля согласования УСИ выдаст соответствующий сигнал в систему, и этот сигнал будет немедленно передан диспетчеру.

Таким образом, у оператора появляется эффективное и бюджетное решение по предотвращению массовых хищений кабелей связи в подъездах жилых домов, а значит и убытков, с этим связанных.

Стоит ли говорить, насколько важным показателем при реализации проектов по FTTx является их прибыльность и экономическая эффективность. Эти показатели могут быть поставлены под угрозу, случись вырезка кабеля, которая потребует от оператора дополнительных затрат на его восстановление. Теперь есть реальное средство для исключения этих рисков и повышения рентабельности проектов по строительству сетей ШПД – это подсистема «КРАБ» аппаратно-программного комплекса «ЦЕНСОР».

Новое устройство УСИ-4х4:

Строительство сетей широкополосного доступа на базе телекоммуникационных шкафов FTTВ (оптика до здания) открывает новые возможности для оператора и новые услуги для абонента. Вместе с тем, у оператора появляется сложное и дорогостоящее сетевое хозяйство, стабильность и рентабельность эксплуатации которого зависят от качества контроля и управления, и надёжности его защиты от внешних угроз.

Для массового мониторинга и управления на сетях ШПД необходимо простое и надёжное решение, обеспечивающее контроль параметров жизнеобеспечения и охраны активных шкафов ШПД FTTB по сети Ethernet с функциями управления и учёта ресурсов, поддержкой открытого протокола SNMP и собственного программного обеспечения. Оно должно обладать преимуществами ведущих существующих решений, а по стоимости быть как минимум вдвое дешевле ближайших российских аналогов.

ЗАО НПЦ «Компьютерные Технологии» успешно справилось с такой задачей, и представляет вниманию Пользователей суперновинку – экономичное устройство сбора информации УСИ-4х4 для мониторинга активных шкафов FTTB!

Новое устройство мониторинга УСИ-4х4 в составе аппаратно-программного комплекса «ЦЕНСОР» предназначено для комплексного технологического контроля и охраны, управления и учёта ресурсов в шкафах ШПД (FTTB) с активным оборудованием.

«Внедорожная» формула «4х4» характеризует основную особенность нового УСИ-4х4: устройство имеет четыре универсальных порта входа/выхода общего назначения, конфигурируемых Пользователем под существующие задачи. Каждый порт может работать в режиме «Вход» – контроль какого-либо датчика, или в режиме «Выход» – управление внешним оборудованием. Таким образом, УСИ-4х4 подходит под любые задачи и требования к мониторингу и охране Интернет-шкафов самых разных Пользователей – настоящий «вездеход»!

 

 

 

Мониторинг активных шкафов ШПД (FTTВ). Подсистема МАЯК-FTTx

Подсистема предназначена для мониторинга и охраны активных шкафов оптических сетей ШПД. МАЯК-FTTx обеспечивает совместимость с существующими у операторов связи системами мониторинга, в том числе других производителей.

Новое объектовое устройство УСИ-8F «МАЯК» (F – Fiber – англ. волокно) предназначено для сбора, временного хранения и передачи в центр по сетям Ethernet с протоколами TCP/IP и SNMP дискретной информации с малогабаритных телекоммуникационных шкафов FTTx.