Австрия
0,027$
Венгрия
0,028$
Франция
0,022$
Эстония
0,044$
США
0,019$
Главная // Статьи // Кто защитит вашу IP-телефонию?

Кто защитит вашу IP-телефонию?

Вы переезжаете в новый офис, строите собственное здание или решили полностью перестроить ИТ-инфраструктуру? Настало время подумать о переносе вашей телефонии, а также передаваемых данных других типов (например, сигналов от камер видеонаблюдения или охранной системы) в IP-русло, то есть передавать по уже имеющейся или только создающейся структурированной кабельной системе все виды трафика. Логично использовать для этой цели уже зарекомендовавший себя протокол IP, который позволяет с одинаковой эффективностью передавать файлы, почту, телефонные разговоры и даже видео. Я не буду рассказывать обо всех этих вариантах, остановлюсь только на IP-телефонии, которая предлагает большой спектр возможностей для вашего бизнеса - интеграцию с CRM- и ERP-системами, построение центров обработки вызовов, снижение издержек на построение и эксплуатацию телекоммуникационной инфраструктуры и т. п.

"Неужели у этой технологии нет слабых мест? - спросите вы. - А как же безопасность? Ведь переговоры осуществляются по обычному IP-каналу, а он подвержен всяким нехорошим вещам, начиная от вирусов и троянов и заканчивая DoS-атаками и перехватом трафика". Да, вы правы. Такая опасность существует, но только при одном условии - недооценке этой проблемы и неумении решить ее в выбираемой системе. Поэтому в данной статье я хотел бы коснуться именно проблемы безопасности IP-телефонии и помочь составить список вопросов, которые вы должны задать своему поставщику этой новой, важной для бизнеса технологии.

Защита от прослушивания

Основная угроза как для традиционной телефонной связи, так и для ее "IP-сестры" - несанкционированное прослушивание, которое достаточно легко осуществить, если не приняты специальные меры защиты. Устранить эту угрозу можно только посредством шифрования речевых сигналов (данных). Но если в традиционной телефонии решить эту задачу достаточно сложно: необходимо применение специальных устройств - скремблеров, у которых есть серьезные проблемы с администрированием и масштабированием использования, то в IP-телефонии механизм шифрования является встроенным. Конфиденциальность переговоров обеспечивается протоколом SecureRTP или IPSec.

Кстати, вы помните трагедию с "Норд-Остом"? Тогда многие заметили на своих мобильных телефонах значок, свидетельствующий, что переговоры не шифруются (по умолчанию все разговоры по мобильному телефону шифруются с помощью специальных криптографических алгоритмов). Выбирая систему IP-телефонии, уточните, существует ли индикация, отображающая состояние соединения, шифруется или нет?

Защита протоколов сигнализации

Эти протоколы используются для управления инфраструктурой IP-телефонии, и поэтому закономерно требование их защиты. Шифрует ли выбираемая вами система протоколы сигнализации между IP-телефонами и серверами управления? Если нет, то любой злоумышленник сможет нарушить работоспособность вашей телефонной сети. Если же защита конфиденциальности обеспечивается, то уточните - какие алгоритмы и протоколы использует выбранный вами производитель?

Стандартизованы ли они? Если нет, то и гарантии совместимости с другим вашим оборудованием (например коммутаторами и маршрутизаторами) тоже нет. Кроме того, если криптографический алгоритм (протокол) разработан самим производителем и держится в секрете, то бегите от такого производителя как от огня. Как показывает практика, такие алгоритмы не выдерживают серьезного анализа и очень быстро "взламываются".

Помимо защиты взаимодействия между телефонами и серверами управления, необходимо побеспокоиться и об охране канала между серверами управления и шлюзами, обеспечивающими передачу телефонного сигнала между IP-сетью и телефонной сетью общего пользования.

Предохранение от заражения вирусами, червями и троянцами

Поскольку все компоненты IP-телефонной системы взаимодействуют по протоколу IP, а серверы управления всей инфраструктурой работают под управлением стандартных операционных систем, то, разумеется, они подвержены и всем свойственным IP опасностям, включая червей и вирусы. Защититься от них помогут обычные антивирусные программы. Не верьте, если вам скажут, что "наше решение построено на UNIX, а значит, не подвержено вирусам". Это миф, который выгодно культивировать некоторым производителям. Существуют примеры вредоносных программ, действию которых могут быть подвержены и узлы UNIX.

Защита от выведения из строя

IP-телефония построена на стыке протоколов TCP/IP и потому подвержена различным атакам типа "отказ в обслуживании" (denial of service). Следовательно, все компоненты выбираемой системы должны быть защищены от такого нарушения работоспособности. Сделать это можно несколькими способами, лучшим из которых является отражение DoS-атак еще на подступах к компонентам IP-телефонной системы. Эта задача решается с помощью механизмов, "встроенных" в сетевую инфраструктуру - коммутаторов и маршрутизаторов. Возможно применение и специализированных средств, но затрат на них можно избежать, если IP-телефонную систему и сетевое оборудование поставляет один производитель и если о защите речевого трафика вы побеспокоились еще на этапе проектирования сети.

Защита сервера управления IP-телефонией

Далеко не всегда операционная система UNIX, как это пропагандируют некоторые производители IP-телефонных систем, является лучшим с точки зрения защиты выбором для сервера управления. Во-первых, как показывает статистика, число брешей в Linux сравнялось с числом слабых мест в Windows. Во-вторых, для Linux уже существуют вирусы, не говоря о червях и других вредоносных программах. А это, в свою очередь, требует применения антивирусных средств, которые в большом количестве существуют для Windows и почти неизвестны для UNIX (за редкими исключениями).

Но антивирусными программами безопасность сервера управления не ограничивается. Как быть с несанкционированным доступом? А с атаками? Первую проблему решит персональный межсетевой экран (firewall), "навесной" или встроенный в операционную систему. Но межсетевой экран не в состоянии обнаружить атаки - он лишь определяет, с каких адресов можно получить доступ к контролируемому узлу, а с каких нет. Поэтому нужны системы, идентифицирующие несанкционированную активность в уже разрешенном трафике. Возложить решение этой задачи можно на системы обнаружения атак (intrusion detection systems). Но помните, что вендоры по-разному толкуют термин "обнаружение атак". Одни системы обнаруживают лишь совершенные атаки (например путем контроля целостности файлов сервера управления), а другие не только обнаруживают нападения в режиме реального времени, но и блокируют их, не давая нанести ущерб главному компоненту IP-телефонной системы.

Интеграция с сетевой инфраструктурой

Поскольку речь передается по тому же кабелю, что и обычные данные, необходимо обеспечить непересечение этих типов трафика. Эту задачу эффективно решает механизм виртуальной локальной сети (VLAN), который позволяет разделить два и даже более типов трафика (например, третьим типом после данных и речи могут быть сигналы управления) в одном канале передачи данных. Учитывая, что этот механизм реализован в коммутаторах, необходимо заранее побеспокоиться о совместимости уже приобретенного вами коммутационного оборудования и выбираемой IP-телефонной системы. Например, если ваш вендор может обеспечить безопасность, используя только отдельную VLAN для каждого IP-телефона, ищите другого вендора - это ночной кошмар для администратора и с точки зрения масштабирования, и с точки зрения управления.

Помимо VLAN, интеграция с сетевой инфраструктурой позволяет задействовать и множество других механизмов безопасности, уже встроенных в приобретенное сетевое оборудование:

  • списки доступа для виртуальной локальной сети (VLAN ACL, VACL);
  • перехват DHCP-сообщений (DHCP Snooping);
  • динамическую фильтрацию ARP-сообщений (Dynamic ARP Inspection);
  • ослабление угрозы подделки IP-адреса (IP Source Guard);
  • защиту таблицы фильтрации коммутатора (Port Security);
  • Conditional Trust и т. д.

Защита телефонных аппаратов

Привлекательной мишенью для злоумышленников могут стать и сами IP-телефонные аппараты. Задача их защиты может решаться по-разному. Например, с целью предотвращения вызовов с чужого аппарата доступ к нему может быть разрешен только после предъявления имени и пароля пользователя, для предохранения от загрузки в IP-телефоны вредоносного ПО все файлы могут подписываться электронной цифровой подписью и т.п.

Для защиты от устройств, пытающихся замаскироваться под авторизованные IP-телефоны или несанкционированно подключенных к сетевой инфраструктуре, можно использовать не только контроль доступа на маршрутизаторах и межсетевых экранах, но и развитые средства строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления), для подтверждения подлинности которых используются различные стандартизированные протоколы, включая RADIUS, сертификаты PKI X.509 и т. п.

Методы защиты от мошенничества

Для снижения вероятности телефонного мошенничества выбираемая вами система должна иметь следующие возможности:

  • блокировка вызовов как на определенные группы номеров, так и с них;
  • блокировка возможности переадресации вызовов на различные типы номеров - городские, мобильные, междугородные, международные и др.;
  • фильтрация вызовов по различным параметрам и т. д.

Все эти действия должны выполняться независимо от того, с какого телефонного аппарата абонент осуществляет вызов. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не может подтвердить свою подлинность, то ему разрешается звонить только по определенному списку телефонных номеров, например в скорую помощь, милицию или внутренний отдел поддержки.

Защита административного интерфейса

Чтобы защититься от недобросовестных администраторов или злоумышленников, получивших повышенные привилегии на доступ к интерфейсу управления, выбираемая система IP-телефонии должна предусматривать возможность наделения различных системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. Например, доступ к конкретным настройкам только на чтение, запрет доступа к определенным настройкам и т. д. Кроме того, все производимые администратором действия должны регистрироваться в специальном журнале, чтобы в любой момент можно было их проанализировать на предмет следов несанкционированной деятельности.

Если управление конфигурацией IP-телефонов и доступ к серверу управления осуществляются удаленно, обязательно должен использоваться канал с защитой от несанкционированного доступа, предотвращающей любые попытки прочтения или модификации управляющих команд. Для защиты канала управления могут использоваться различные стандартизованные протоколы и алгоритмы - IPSec, TLS, SHA-1 и т. п. Нельзя допускать ситуации, когда пароль администратора передается по сети в открытом виде.

Независимые сертификаты или тесты безопасности

Ну и, наконец, если вы не верите безоговорочно словам производителя, но и сами не можете проверить правдивость его заявлений, то попробуйте обратиться к независимым источникам. Возможно, кто-то до вас протестировал защищенность предлагаемых вам систем IP-телефонии и выдал свое экспертное заключение. Одно из последних таких тестирований, датированное серединой 2004 года, было проведено тестовой лабораторией Miercom и журналом NetworkWorld - с результатами можно ознакомиться на сайте журнала по этому адресу.

Источник: Журнал «Компьютерра»

 

www.voiceip.com.ua © 2007 | Links | Статьи
Главная | О нас | Сервис | Тарифы | Поддержка | Контакты