Transcript ppt - Netmode

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ
ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙ
ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ
ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ –
ΣΗΜΑΤΟΔΟΣΙΑ & ΕΥΦΥΗ ΔΙΚΤΥΑ
Β. Μάγκλαρης
[email protected]
www.netmode.ntua.gr
07/03/2014
ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ
http://en.wikipedia.org/wiki/Digital_signature
(επανάληψη)
2
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509
http://www.verisign.com.au/repository/tutorial/digital/intro1.shtml
(επανάληψη)
•
•
•
Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του
αποστολέα (subject) από μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή
Πιστοποίησης, Certification Authority – CA
Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της
(ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web
browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)
Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2ο (ή
και 3ο, 4ο …πιστοποιητικό) από ιεραρχικά δομημένες CA
ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ
(επανάληψη)
Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων
σε 2 φάσεις ανά σύνοδο (session) μεταξύ client – trusted server:
• Κυρίαρχο σχήμα στο Internet
– Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ.
PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP
– Secure Sockets Layer, SSL: Ταυτοποίηση Web server από τους χρήστες –
clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με
συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP
over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προεγκατεστημένο client S/W)
• Φάση hand-shaking (αρχική φάση)
– Ταυτοποίηση (authentication) του server από client μέσω server trusted
certificate (SSL) ή server key fingerprint (hashed SSH server public key)
– Δημιουργία (συμμετρικών) κλειδιών (session keys) ανά σύνοδο με ανταλλαγή
κρυπτο-μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key
Cryptography
• Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα)
– Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με
δεδομένα που αφορούν στη σύνοδο
ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ
(SSL/TLS - Secure Sockets Layer / Transport Layer Security)
(επανάληψη)
• 1η Φάση: Handshaking
– Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή
(Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed
ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα
πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI
– Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί
στονS κρυπτογραφημένο με το Δημόσιο Κλειδί του S
• 2η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί
– Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS - U
• ΠΑΡΑΤΗΡΗΣΗ:
– Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή
υπογραφή), μόνο ο S (Server Based Authentication)
– Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server
Based Authentication) απαιτείται μετάδοση από το secure channel Digital
Identity του Client (συνήθως User_Name/Password ή όπου υπάρχουν Client
Certificates)  έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο
LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS –
UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi
roaming…)
5
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2)
(επανάληψη)
• UA 1  MTA 1 (Session 1)
– User Agent  Message Transfer Agent
– SMTP (TCP Session 1)
– Δυνατότητα SSL/TLS security
• MTA 1  MTA 2 (Session 2)
– SMTP (TCP Session 2)
– Δυνατότητα κρυπτογράφησης (αν υποστηρίζεται από το Μail S/W – π.χ.
sendmail)
• MTA 2 (Mail Server)  UA 2 (Session 3)
– Πρωτόκολλα POP/IMAP (TCP Session 3)
– Δυνατότητα SSL/TLS
6
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2)
(επανάληψη)
7
ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (1/3)
Firewalls
• Τι είναι ένα Firewall:
"Ένα σύστημα ή συνδυασμός συστημάτων που ελέγχουν την
πρόσβαση και παρέχουν έναν βαθμό ασφάλειας μεταξύ δικτύων"
Marcus J. Ranum, δημιουργός του πρώτου firewall
• Λειτουργία
Δρομολογητής που ελέγχει την κίνηση (Screening router / Bastion
Host). Μπορεί να συνδυαστεί με την ύπαρξη ιδιωτικών εσωτερικών
διευθύνσεων και μετάφραση στο σύνορο (Network Address
Translation).
Ο πιο απλός Firewall είναι ο δρομολογητής με σωστά στημένες ACLs
• Για να χρησιμοποιήσουμε Firewall χρειάζεται να σχεδιαστεί
κατάλληλα το δίκτυο, σύμφωνα με τις πολιτικές ασφαλείας
ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (2/3)
Firewalls
• Βασικοί κανόνες
<RuleGroup>
<Action> Deny ή Allow
<Protocol> IP, TCP, UDP, ICMP, κ.λπ.
<SrcPort> <DstPort>
<SrcIP> <SrcMask> Πηγή - Ξεχωριστές διευθύνσεις IP ή
ομαδοποιήσεις τους
<DstIP> <DstMask> Προορισμός
Παράδειγμα (από δρομολογητή Cisco):
access-list 100 permit tcp any host 171.16.23.1 eq 80
Οι σύγχρονοι Firewall έχουν πολλά επιπλέον χρήσιμα χαρακτηριστικά
• Γραφικό περιβάλλον
• Ορισμό ομάδων κανόνων
• Ορισμό περιοχών προστασίας και ομάδων χρηστών
• Διαδικασία ενημέρωσης κανόνων μέσω εξυπηρετητών και σύμφωνα με τις
εταιρικές πολιτικές ασφαλείας κ.λπ.
ΣΥΣΤΗΜΑΤΑ ΔΙΚΤΥΑΚΗΣ ΠΡΟΣΤΑΣΙΑΣ (3/3)
Firewalls
• Πολιτικές πρόσβασης
Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless
allowed") – χρησιμοποιείται για ισχυρή προστασία, συνήθως στην
εισερχόμενη κίνηση ενός δικτύου.
Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") – δίνει
μεγαλύτερη ελευθερία
Επιπλέον:
• Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCP Three Way
Handshake (Established)
• Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις
προέλευσης (προστασία από το spoofing)
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (1/3)
Διαδίκτυο
Δρομολογητής
Πρόσβασης
Firewall
Εσωτερικό
Δίκτυο
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (2/3)
Διαδίκτυο
Δρομολογητής
Πρόσβασης
Το Firewall αποτελεί το σημείο
υλοποίησης της πολιτικής
ασφάλειας του οργανισμού:
•
•
Έλεγχος συνδέσεων
Έλεγχος πρόσβασης ανά
περιοχή
Firewall
Εσωτερικό
Δίκτυο
Web
Άλλες
Υπηρεσίες
"Αποστρατικοποιημένη Ζώνη"
Demilitarized Zone - DMZ
Παρέχει αυξημένη πρόσβαση σε κάποια
συστήματα του δικτύου χωρίς να θέτει σε
κίνδυνο το υπόλοιπο
ΠΑΡΑΔΕΙΓΜΑΤΑ ΧΡΗΣΗΣ - Firewalls (3/3)
Διαδίκτυο
Web
Server
Mail
Server
Εσωτερικό
Δίκτυο (2)
Δρομολογητής
Πρόσβασης
X
Το Firewall υλοποιεί
πολιτικές πρόσβασης
ανάμεσα στα διάφορα
τμήματα του οργανισμού
Πραγματικές
διευθύνσεις
Firewall /
NAT
Reverse
Web
Proxy
Μη πραγματικές
Εσωτερικό
Δίκτυο (1) Διευθύνσεις IP, τύπου
10.1.x.x
Mail
Relay
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (1/4)
Intrusion Detection Systems – IDS
• Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας,
είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι
τεχνικά δύσκολη και οικονομικά ασύμφορη.
• Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο
Υπολογιστικό σύστημα (Host based IDS)
Δίκτυο (Network Based IDS)
• Μεθοδολογίες ανίχνευσης
Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές"
("signatures") γνωστών περιστατικών ασφαλείας – Misuse Detection
Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση
από τις συνηθισμένες τιμές τους – Anomaly Detection
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (2/4)
Το IDS Snort
• Σύστημα IDS που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας
υπογραφές γνωστών επιθέσεων στα πακέτα που παρακολουθεί.
– Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου
– Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα
• Σύστημα ανοιχτού κώδικα (Open Source Project)
• Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα
Παράδειγμα κανόνα (προσπάθεια παράνομης εκτέλεσης εντολών με το
cmd.exe στον εξυπηρετητή WEB-IIS):
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-IIS cmd.exe access"; flow:to_server,established;
uricontent:"cmd.exe"; classtype:web-application-attack;)
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (3/4)
Βασική Αρχιτεκτονική IDS
ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ (4/4)
Παράμετροι Αποτίμησης Ποιότητας IDS
• Ακρίβεια: Τί συχνότητα εμφάνισης έχουν οι εσφαλμένα θετικές
ανιχνεύσεις (false positives) δηλαδή η θεώρηση νόμιμων
λειτουργιών ως επιθέσεις
• Απόδοση: Πόσο γρήγορα μπορεί να συλλέξει στοιχεία και να
επεξεργαστεί αναφορές. Ειδικά σε περιπτώσεις όπου υπάρχει
μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που
παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας)
• Πληρότητα Ανίχνευσης: Το ποσοστό επιθέσεων που θα καταφέρει
να ανιχνεύσει.
• Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS
• Ταχύτητα κατάληξης σε συμπεράσματα
ΕΙΔΙΚΑ ΘΕΜΑΤΑ:
Αντιμετώπιση Επιθέσεων DDoS
ΕΙΔΙΚΑ ΘΕΜΑΤΑ:
Πηγές Πληροφοριών για τη Κατάσταση Δικτύου
Υπάρχουσες τεχνικές παθητικής
παρακολούθησης δικτύων:
– Packet capture
– SNMP
– Netflow
 Διάφοροι περιορισμοί: ευκολία
χρήσης, χρονική ακρίβεια,
δυνατότητες μέτρησης,
απαιτούμενοι πόροι (υπολογιστική
ισχύς, μνήμη)
ΕΙΔΙΚΑ ΘΕΜΑΤΑ:
Ανίχνευση
Επίθεσης TCP SYN
Τα μετρικά bps, pps δεν
είναι πάντα
αποτελεσματικά.
Καλό μετρικό είναι SFR
(μέτρηση με packet
capture) και πλήθος flows
με μόνο SYN flag (μέτρηση
με Netflow) λόγω
συμμετρίας του TCP.
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (1)
• Επίπεδο Μεταφοράς Δεδομένων – Data Plane
– Προώθηση (forwarding) μέσω καναλιών σταθερού εύρους: Μεταγωγή
κυκλώματος - circuit switching π.χ. Τηλεφωνία PSTN Public Switched
Telephone Network, ISDN Integrated Services Network 2B+D, 30B+D (για
μεταγωγή καναλιών PCM @ 64 Kbps), κινητή τηλεφωνία GSM
– Προώθηση με ημι-μόνιμα κυκλώματα cross-connects, π.χ. ευφυείς
πολυπλέκτες TDM (64Kbps – 34 Mbps), δακτύλιοι SDH/SONET με εφεδρία
(έως 10 Gbps) & οπτικοί πολυπλέκτες χρώματος DWDM (έως 80 χρώματα, 10
-100 Gbps/χρώμα)
•
•
Διαμόρφωση πλαισίων TDM: ITU-T SDH/GFP framing (από STM-1=155 Mbps 
STM-, εφεδρεία ring protection, VC-4 (150 Mbps) virtual concatenation (π.χ. VC-4-7v
= 7 x VC-4  1 Gbps)
Optical Digital Wrapper (ITU-T G.709: 2.5, 10, 40 Gbps + Forward Error Correction FEC)
– Κωδικοποίηση σε πακέτα/πλαίσια Ethernet, WiFi (IEEE 802.11), MPLS, ΤCP/IP
– Προώθηση πακέτων δεδομένων δια μέσου μεταγωγέων (switches) &
δρομολογητών (routers): Μεταγωγή πακέτου – packet switching για
δυναμική κατανομή δικτυακών πόρων με στατιστική πολυπλεξία
•
•
•
Μεταγωγή επιπέδου 3 (TCP/IP, Internet)
Μεταγωγή επιπέδου 2 (Ethernet)
Μεταγωγή επίπεδου 2 ½ (MPLS)
ΣΥΓΧΡΟΝΕΣ ΟΠΤΙΚΕΣ ΙΕΡΑΡΧΙΕΣ TDM:
SONET (ANSI T1.105) & SDH (ITU-T G.707, G.708)
Περιοδικότητα Πλαισίου: 125 μsec από φωνή PCM 64 Kbps
SONET
SDH
Frame Format (Synchronous
(Synchronous
Digital
Optical
Hierarchy)
Networking)
SONET
Optical
Carrier Level
LINE RATE
(Mbps)
STS-1
-
OC-1
51.85
STS-3
STM-1
OC-3
155.52
STS-12
STM-4
OC-12
622.08
STS-48
STM-16
OC-18
2488.32
STS-192
STM-64
OC-192
9953.28
22
ΑΥΤΟΜΑΤΗ ΑΝΤΙΔΡΑΣΗ ΣΕ ΒΛΑΒΕΣ ΟΠΤΙΚΩΝ ΔΑΚΤΥΛΙΩΝ SDH
1+1 SDH Protection
Χρόνος Αντίδρασης
σε Βλάβη: 50 msec
ΠΡΙΝ ΤΗ ΒΛΑΒΗ
ΜΕΤΑ ΤΗ ΒΛΑΒΗ (FIBER CUT)
1:1 SDH Protection
23
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (2)
• Επίπεδο Ελέγχου – Control Plane
– Σηματοδοσία κατανομής καναλιού - ελέγχου μεταγωγής – δρομολόγησης
μονίμων συνδέσεων circuit switching
• Σηματοδοσία in-band signaling (π.χ. ψηφιακή τηλεφωνία)
• Σηματοδοσία για αυτόματη αποκατάσταση βλάβης σε δακτυλίους SDH (εντός 50 msec)
• Σηματοδοσία κοινού καναλιού, εξαρτημένη από τις γραμμές των υπό έλεγχο καναλιών –
associated common channel signaling (π.χ. GSM & πρόσβαση ISDN - D Channel)
• Σηματοδοσία κοινού καναλιού, ανεξάρτητη από την δρομολόγηση της υπό έλεγχο κλήσης
(π.χ. μέσω δικτύου κοινής σηματοδοσίας – common channel signaling network – σε ψηφιακά
τηλεφωνικά δίκτυα κορμού, έλεγχος διασύνδεσης παρόχων τηλεφωνίας με πρωτόκολλο SS7)
– Σηματοδοσία ελέγχου μεταγωγής – δρομολόγησης – δέσμευσης πόρων μέσα
από συνδέσεις data-plane δικτύων packet switching (TCP/IP, Internet)
• Σηματοδοσία με μορφή πεδίων επικεφαλίδων (π.χ. πεδία επικεφαλίδων Ethernet, TCP/IP,
MPLS) στα υπό έλεγχο πακέτα δεδομένων (τύπου associated in-band signaling)
• Αυτόνομα πακέτα υλοποίησης πρωτοκόλλων (π.χ. DNS, ARP, δρομολόγησης μέσα σε
αυτόνομο σύστημα OSPF, δρομολόγησης μεταξύ αυτονόμων συστημάτων BGP),
διακινούμενα μαζί με πακέτα δεδομένων (in-band signaling)
• Σηματοδοσία για video – voice conference over IP: H323 (Multi-Conference Unit, MCU)
– Σηματοδοσία για Ευφυή Προγραμματιζόμενα Δίκτυα Νέας Γενιάς (Software
Defined Networking - SDN)
• Έλεγχος συνυπαρχόντων σε κοινές δικτυακές υποδομές (substrate) αλλά «απομονωμένων»
εικονικών δικτύων VPN ανά κοινότητες σε επίπεδα 2 (VLAN), 3 (IP VPN) ή και 4 (εφαρμογές
– πόρτες TCP/UDP)
• Σηματοδοσία - έλεγχος - ευφυΐα έξω από το δίκτυο διακίνησης δεδομένων (out-of-band
signaling), π.χ. OpenFlow Controllers προγραμματιζόμενα ανά “ιδιοκτήτη” εικονικού δικτύου,
έξω από το δίκτυο δεδομένων αλλά με αμφίδρομη πρόσβαση σε πολιτικές δρομολόγησης
μεταγωγέων δεδομένων των εικονικών δικτύων
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (3)
• Επίπεδο Διαχείρισης – Management Plane
– Τηλεφωνικά δίκτυα (σταθερά & κινητά): Κλειστά διαχειριστικά συστήματα ανάλογα
με τον προμηθευτή τηλεπικοινωνιακού εξοπλισμού κέντρων μεταγωγής,
εξοπλισμού πολυπλεξίας SDH κλπ.
• Μοντέλο OS/NE (Operation System / Network Element)
– Διαχείριση δικτύων TCP/IP (Internet – Intranet – Extranet) μέσω SNMP (UDP)
• Μοντέλο Manager/Agent (Network Management System - NMS / Management
Information Base - MIB)
– [Διαχείριση δικτύων μέσω πρωτοκόλλων OSI: CMIP/CMIS]
– Δίκτυα ενοποιημένων τηλεπικοινωνιακών υπηρεσιών: Συστήματα διαχείρισης
TMN (Telecommunications Management Network) βασισμένα σε πρωτόκολλα
OSI
– Διαχείριση οπτικών δικτύων DWDM: Με χρήση scripts, Java - JMX, Web Services,
Q3 - TL1 - Corba…
– Διαχειριστικές λειτουργίες OSI, CFAPS (υλοποίηση σε πλατφόρμα OS ή NMS)
•
•
•
•
•
Configuration (Διαχείριση Διάρθρωσης)
Fault (Διαχείριση Βλαβών)
Accounting (Λογιστική Διαχείριση)
Performance (Διαχείριση Απόδοσης)
Security (Διαχείριση Ασφαλείας)
ΠΑΡΑΔΟΣΙΑΚΟΣ ΟΡΙΣΜΟΣ ΕΥΦΥΟΥΣ
ΤΗΛΕΦΩΝΙΚΟΥ ΔΙΚΤΥΟΥ
IN, Intelligent Network
Εξαγωγή ευφυΐας έξω από το ψηφιακό τηλεπικοινωνιακό δίκτυο
κορμού, σε εξωτερικές βάσεις δεδομένων για παροχή υπηρεσιών
προστιθέμενης αξίας:
–
–
–
–
Προσαρμογή σε ανάγκες συνδρομητών
Δυνατότητα αυτοδιαχείρισης συνδρομητών
Εκμετάλλευση πολλαπλών παρόχων από συνδρομητές,
βελτιστοποίηση διασύνδεσης δικτύων
Βελτιστοποίηση παροχής υπηρεσιών (π.χ. δρομολόγηση ελαχίστου
κόστους – least cost routing μέσα από εναλλακτικές λύσεις παρόχων,
περιαγωγή - roaming)
ΠΑΡΑΔΕΙΓΜΑΤΑ ΥΠΗΡΕΣΙΩΝ ΕΥΦΥΟΥΣ
ΤΗΛΕΦΩΝΙΚΟΥ ΔΙΚΤΥΟΥ
•
•
•
•
•
•
•
Τηλεφώνημα χωρίς χρέωση (800 ΧΧΧ...)
Υπηρεσίες πληροφόρησης (900 ΧΧΧ ...)
Χρέωση με πιστωτική κάρτα
Universal Personal Telecommunications
Τηλε-ψηφοφορία
Εταιρικά Εικονικά Δίκτυα (VPN)
Φραγές, προωθήσεις, διασκέψεις, χρεώσεις καλουμένου, Caller ID
κλπ.
• Δυναμική δρομολόγηση κλήσεων ελαχίστου κόστους
• Φορητότα αριθμού (Number Portability)
ΕΞΕΛΙΞΗ ΤΗΛΕΦΩΝΙΑΣ:
Από Μονολιθικό Μονοπώλιο σε Απελευθερωμένη Αγορά
Εναλλακτικών Ευφυών Λύσεων
POTS (Plain Old Telephone Service), PSTN (Public Switched Telephone
Network), ISDN (Integrated Services Digital Network), GSM/GPRS (κινητή
τηλεφωνία 2ας γενιάς)
– SPC Stored Program Control – 1960/70
– CCS Common Channel Signaling Network
• Σηματοδοσία – πριν την εγκατάσταση κλήσης (call setup)
• Σηματοδοσία ξεχωριστή από την κλήση
• Προδιαγραφή SS7 (Signaling System 7) της CCITT, (Comité Consultatif
International Téléphonique et Télégraphique υπό τον ΟΗΕ, από το 1993 ITU
– T, International Télécommunications Union – Secteur de
Télécommunications) για μετάδοση συμβατής σηματοδοσίας μεταξύ
διασυνδεμένων παρόχων – 1970/80
– IN/1 (Intelligent Network) – 1980/1990
• Service Control Point (SCP) – εξωτερικές βάσεις δεδομένων (π.χ. για 800XXX…, 900-xxxx κλπ.)
• ITU: IN CS-1 (Capability Set 1)
• Bellcore (USA): AIN (Advanced Intelligent Network)
– 3G, UMTS κινητή τηλεφωνία 3ης γενιάς
– VoIP (Voice over IP), H.323 (ITU - T) ή SIP (Internet – IETF) signaling
ΑΡΧΙΤΕΚΤΟΝΙΚΗ IN (Intelligent Network)
ΙΝ - ΕΝΝΟΙΕΣ
Intelligence => Πρόσβαση σε διάφορες databases =(εφαρμογές)
Operator implements service logic (IN Service)
STP
SCP
MAP
INAP
CAP
Service Control Point
(στοιχείο δικτύου - Network Element
ΝΕ - που περιέχει κάποια ειδική
υπηρεσία database ή registry)
ISUP
SSP
Exchange
Service Switching Point
(επιτρέπει την υλοποίηση service
triggering σε ένα ψηφιακό τηλεφωνικό
κέντρο του δικτύου κορμού)
ΤΥΠΙΚΗ ΚΛΗΣΗ ΜΕ ΔΙΑΔΙΚΑΣΙΑ ΙΝ
3.
SCP
2.
4.
SSP
5.
1.
Exchange
Exchange
1. Υποδοχή κλήσης στο (Τ/Κ) Exchange
Τυπικά παραδείγματα triggers:
2. Ενεργοποίηση Trigger στη κλήση Βασικού
τύπου στο SSP
Τμήμα ή καλούμενος αριθμός
Access code ή ώρα κλήσης
Time (hour, day) ή Τοποθεσία
(άλλος πάροχος) (mobile system)
3. SSP ζητά πληροφορία από SCP (database)
4. SCP επιστρέφει πληροφορία
5. Δρομολόγηση κλήσης στο επόμενο Τ/Κ
ΦΟΡΗΤΟΤΑ ΑΡΙΘΜΟΥ
DN: Directory Number
STP: Signaling Transfer Point
SSP: Service Switching Point (Client-ΕXC)
SCP: Service Control Point (Data Base)
LNP: Local Number Portability (Φορητότητα)
ΣΗΜΕΡΙΝH ΚΑΤΑΣΤΑΣΗ
•
•
•
•
SS7 & IN σε περιβάλλον εναλλακτικών παρόχων σταθερής και κινητής
τηλεφωνίας
Περιαγωγή (roaming), φορητότητα αριθμών, GSM  3G
ISDN Signaling  VoIP SIP (Session Initiation Protocol, IETF)
IP Telephony (Real-time Transport Protocol - RTP over UPD, RTP Control
Protocol – RTCP over TCP)
– Σαν υπηρεσία των ISPs ή
– Σαν «ελεύθερη» υπηρεσία στο Internet, π.χ. Skype: Αρχιτεκτονική peer-to-peer
(p2p) overlay (εξέλιξη Kazaa), proprietary voice/video coding
– Σηματοδοσία: ITU Η.323  IETF SIP (TCP/UDP port 5060), διαλειτουργικότητα
με SS7, μεταφορά υπηρεσιών IN σε περιβάλλον IP
– Υποστήριξη VoIP μέσω ευφυών κινητών τηλεφώνων (iPhone, Android): Viber
(σύνδεση TCP τηλέφωνου με Viber servers για SIP-like signaling, TCP Port 5242
ή 4244)
•
Video Conferencing σε IP
– H.323 Multi-Conferencing Unit (MCU)  SIP Gateway, Skype p2p
– Real-Time Transport (RTP), fast video coding
•
IPTV: Set-top Box σε τηλεοπτική συσκευή ή Multimedia PC
– Broadcasting (HD)TV, Video on Demand, Streaming
ΔΙΕΥΘΥΝΣΕΙΣ H.323 - SIP
• Η.323: Αριθμοί τύπου Ε.164 (μέγιστο 15 αριθμοί), IP, email, URI
(Universal Resource Identifier: URL – Universal Resource Locator
ή/και URN Universal Resource Name)
http://en.wikipedia.org/wiki/Uniform_resource_identifier
– Αντιστοίχιση IP, H.323 Name (email, [email protected]) με
GDS (Global Dialing Scheme, π.χ. 0011892106544721) μέσω
εξυπηρετητών αριθμοδότησης - Gatekeepers (π.χ. Public Gatekeeper
pgk.vc.dfn.de)
• SIP: Μόνο URI και χρήση DNS
– Παράδειγμα: sip:username:password@host:5860, ή TLS secure
sips:username:password@host:5061)
34
ΣΥΓΚΛΗΣΗ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ
• Υπηρεσίες Triple-Play (Internet, Voice, Video) πάνω σε
ενοποιημένα δίκτυα IP
• Converging σε IP Multimedia System (IMS)
• Ανοικτό θέμα: Διασύνδεση Επιπέδων Ελέγχου σε περιβάλλον
πολλαπλών διαχειριστικών περιοχών
ΑΠΟ ΤΙΣ ΠΟΛΛΕΣ ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΔΙΑΣΥΝΔΕΣΗ ΕΠΙΠΕΔΩΝ
ΕΛΕΓΧΟΥ ΠΟΛΛΑΠΛΩΝ ΑΥΤΟΝΟΜΩΝ ΔΙΚΤΥΩΝ (Multi-domain
Control Protocols) ΟΙ ΜΟΝΕΣ ΠΟΥ ΕΧΟΥΝ ΠΕΤΥΧΕΙ ΜΕΧΡΙ ΣΗΜΕΡΑ
ΕΙΝΑΙ ΔΥΟ:
• SS7 (διεθνής τηλεφωνία)
• BGP (Internet)
35
ΕΝΟΠΟΙΗΜΕΝΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗ IMS
Άποψη της ITU-T & Τηλεπικοινωνιακών Παρόχων
(TELCO Operators) για Converged Networking
Media Server
Application Server
Internet
Mb
Gi
PS
SIP phone
HSS
ISC
Mb
Gi/Mb
IM-MGW
UE
GGSN
SGSN
Gm
Go
Cx
Mp
Mb
TDM
ISUP
IMS
Mw
P-CSCF
Mg
CSCF
Signaling
CSCF — Call Session Control Function
IM-MGW — IM-Media Gateway
MGCF — Media Gateway Control Function
MRF — Media Resource Function
Mb
MRF
SIP
PSTN
Mn
MGCF
CPE