Защити свой голос по IP

Заказать работу

Алексей Лукацкий

Решения IP-телефонии немыслимы без мер безопасности

IP-телефония постепенно подменяет прежние способы организации телефонной связи. С большой долей уверенности можно предположить, что через пару лет традиционная телефония будет полностью вытеснена своей более современной и функциональной родственницей, работающей по протоколу IP. Это направление по сути не развивается даже традиционными производителями, поскольку все их усилия направлены теперь на IP-телефонию. Впрочем, апологеты «дискового» антиквариата не спешат инвестировать средства в более современный способ организации телефонной связи, ссылаясь на то, что использовать протокол IP рискованно с точки зрения безопасности.

Действительно, при разработке протокола IP не уделялось должного внимания вопросам информационной безопасности, однако со временем ситуация менялась, и современные приложения, базирующиеся на IP, содержат достаточно защитных механизмов. А уж решения в области IP-телефонии и подавно немыслимы без реализации стандартных технологий аутентификации и авторизации, контроля целостности и шифрования и т. д. Для наглядности рассмотрим эти механизмы по мере того, как они задействуются на различных стадиях организации телефонного разговора, начиная с поднятия телефонной трубки и заканчивая сигналом отбоя.

Телефонный аппарат

С чего начинается обычный телефонный звонок? С поднятия телефонной трубки и набора номера. В IP-телефонии, прежде чем телефон пошлет сигнал на установление соединения, абонент должен ввести свой идентификатор и пароль на доступ к аппарату и его функциям. Такая аутентификация позволяет блокировать любые действия посторонних и не беспокоиться, что чужие пользователи (например, гости компании) будут звонить в другой город или страну за ваш счет.

Установление соединения

После набора номера сигнал на установление соединения поступает на соответствующий сервер управления звонками (в решениях Cisco, например, он называется CallManager), где осуществляется целый ряд проверок с точки зрения безопасности. В первую очередь удостоверяется подлинность самого телефона - как путем использования протокола 8o2.1x, так и с помощью сертификатов на базе открытых ключей, интегрированных в инфраструктуру IP-телефонии. Такая проверка позволяет изолировать несанкционированно установленные в сети IP-телефоны, особенно в сети с динамической адресацией. Явления, подобные пресловутым вьетнамским переговорным пунктам, в IP-телефонии просто невозможны (разумеется, при условии следования правилам построения защищенной сети телефонной связи).

Однако аутентификацией телефона дело не ограничивается — необходимо выяснить, предоставлено ли абоненту право звонить по набранному им номеру. Это не столько механизм защиты, сколько мера предотвращения мошенничества. Если инженеру компании нельзя пользоваться междугородной связью, то соответствующее правило сразу записывается в систему управления звонками, и, с какого бы телефона не осуществлялась такая попытка, она будет немедленно пресечена. Кроме того, можно указывать маски или диапазоны телефонных номеров, на которые имеет право звонить тот или иной пользователь.

С чем еще сталкивается рядовой абонент телефонной сети в момент установления соединения? С отсутствием сигнала или голосом автоответчика «Телефонная линия перегружена». Первая ситуация возникает в случае дефекта телефонного кабеля или аварии на АТС. Около года назад центр Москвы в течение нескольких дней был лишен телефонной связи по причине пожара на АТС на улице Щепкина. В случае же с IP-телефонией такие проблемы со связью невозможны: при грамотном дизайне сети с резервными соединениями или дублированием сервера управления звонками отказ элементов инфраструктуры IP-телефонии или их перегрузка не оказывает негативного влияния на функционирование сети.

Телефонный разговор

Какие еще опасности подстерегают во время телефонногд разговора? Хотя бы банальное прослушивание: злоумышленнику не составляет труда перехватить голосовые данные с помощью жучка, который на радиорынке можно купить за 10—30 долларов. При этом для перехвата даже необязательно физически подключаться к телефонной линии — достаточно «снять» электромагнитные наводки, находясь на некотором расстоянии от нее, и восстановить телефонные переговоры. Использование скремблеров и вокодеров, конечно, позволяет защититься, только вот как быть, если вам нужно установить эти устройства, каждое из которых стоит не меньше 400 долларов, на все телефонные аппараты? При таких затратах вряд ли захочется говорить об удобстве использования телефона.

В IP-телефонии решение этой проблемы предусматривалось с самого начала. Высокий уровень конфиденциальности телефонной связи обеспечивают проверенные алгоритмы и протоколы (DES, 3DES, AES, IPSec и т. п.) при практически полном отсутствии затрат на организацию такой защиты — все необходимые механизмы (шифрования, контроля целостности, хэширования, обмена ключами и др.) уже реализованы в инфраструктурных элементах, начиная от IP-телефона и заканчивая системой управления звонками. При этом защита может быть с одинаковым успехом применяться как для внутренних переговоров, так и для внешних (в последнем случае все абоненты должны пользоваться IP-телефонами).

Однако с шифрованием, или, как иногда говорят в России, кодированием, связан ряд моментов, о которых необходимо помнить, внедряя инфраструктуру VoIP. Во-первых, появляется дополнительная задержка вследствие шифрования/дешифрования, а во-вторых, растут накладные расходы в результате увеличения длины передаваемых пакетов. И то и другое решается путем применения протокола SecureRTP (RFC 3711); который позволяет обеспечить эффективную защиту разговора без снижения ее качества.

Невидимый функционал

До сих пор. мы рассматривали только те опасности, которым подвержена традиционная телефония и которые могут быть устранены внедрением IP-телефонии. Но переход на протокол IP несет с собой ряд новых угроз, которые нельзя не учитывать. К счастью, для защиты от этих угроз уже существуют хорошо зарекомендовавшие себя решения, технологии и подходы. Большинство из них не требует никаких финансовых инвестиций, будучи уже реализованными в сетевом оборудовании, которое и лежит в основе любой инфраструктуры IР-телефонии.

Самое первое и самое простое, что можно сделать для повышения защищенности телефонных переговоров, когда они передаются по той же кабельной системе, что и обычные данные, — это сегментировать сеть с помощью технологии VLAN для устранения возможности прослушивания переговоров обычными пользователями. Хорошая практика — использование для сегментов IP-телефонии отдельного адресного пространства (например, из диапазонов, указанных в RFC 1918). И, конечно же, не стоит сбрасывать со счетов правила контроля доступа на маршрутизаторах (Access Control List, ACL) или межсетевых экранах (firewall), применение которых усложняет злоумышленникам задачу подключения к голосовым сегментам.

Механизм VLAN реализуется коммутаторами локальной сети. В зависимости от производителя коммутирующее оборудование позволяет задействовать и множество других механизмов безопасности, уже встроенных в приобретенное сетевое оборудование и повышающих защищенность передачи голосовых данных по протоколу IP:

VLAN ACL (VACL);

DHCP Snooping;

Dynamic ARP Inspection;

IP Source Guard;

Port Security;

Conditional Trust и т. д.

В отличие от традиционной АТС сервер управления звонками в IP-телефонии функционирует под управлением стандартных операционных систем, поэтому ему угрожают все те же опасности, каким подвергаются обычные компьютерные системы: «черви», вирусы, шпионское ПО и т. п. Защититься от них помогут традиционные антивирусные средства и персональные системы предотвращения атак. Не верьте, если вам скажут: «Наше решение базируется на UNIX, а значит, вирусы ему нипочем». Это миф, выгодный некоторым производителям. Вредоносных программ, грозящих неприятностями узлам UNIX, вполне хватает (например, rootkit).

Общение с внешним миром

Какие бы преимущества IP-телефония ни предоставляла в рамках внутренней корпоративной сети, они будут неполными без возможности осуществления и приема звонков на городские номера. При этом, как правило, возникает задача конвертации IP-трафика в сигнал, передаваемый по телефонной сети общего пользования (ТфОП). Она решается за счет применения специальных голосовых шлюзов (voice gateway), реализующими некоторые защитные функции, а самая главная из них — блокирование всех протоколов ТР-телефонии (Н.323, SIP и др.), если их сообщения поступают из неголосового сегмента.

Для защиты элементов голосовой инфраструктуры от возможных несанкционированных воздействий могут применяться специализированные решения — межсетевые экраны (МСЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и пограничные контроллеры сеансов (Session Border Controller). Однако не стоит приобретать первое попавшееся устройство, так как протоколы IP-телефонии (например, SIP или RTP) накладывают на их функционал определенные ограничения. В частности, протокол RTP использует динамические порты UDP, открытие которых на межсетевом экране приводит к появлению зияющей дыры в защите. Следовательно, межсетевой экран должен динамически определять используемые для связи порты, открывать их в момент соединения и закрывать по его завершении. Другая особенность заключается в том, что ряд протоколов, например SIP, информацию о параметрах соединения размещают не в заголовке пакета, а в теле данных. Поэтому устройство защиты должно быть способно анализировать не только заголовок, но и тело данных пакета, вычленяя из него все необходимые для организации голосового соединения сведения. Еще одним ограничением является сложность совместного применения динамических портов и NAT.

Некоторые производители выпускают только специализированные защитные шлюзы для обработки трафика VoIP, но, прежде чем приобрести один из них, следует подумать о том, что все равно не удастся обойтись без обычного межсетевого экрана, умеющего анализировать не только протоколы Н.323, SIP и MGCP, но и другие — широко распространенные в сетях HTTP, FTP, SMTP, SQL*Net и т. д. Зачем платить дважды? Не лучше ли сразу выбрать МСЭ, который умеет работать и с обычными протоколами и протоколами VoIP?

Заключение

Какие еще аспекты безопасности IP-телефонии заслуживают внимания? Во-первых, необходимо позаботиться о защите административного интерфейса. В обычной телефонии доступ к АТС открывает практически безграничные возможности несанкционированного изменения конфигурации, перехвата звонков и т. п. В развитых серверах управления предусмотрены расширенные функции для наделения системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. Инфраструктура IP-телефонии достаточно разветвленная, поэтому управление ею должно осуществляться по защищенному от несанкционированного доступа каналу, дабы предотвратить любые попытки прочтения или модификации управляющих команд. Для защиты канала могут использоваться различные протоколы — SSH, IPSec, SSL, TLS и т. д.

Во-вторых, требуется обеспечить доступность и защиту от атак «отказ в обслуживании». С решением этой проблемы помогают справиться как специальные системы защиты от атак DoS и DDoS, так и встроенные в сетевое оборудование механизмы. И, конечно же, нельзя забывать о грамотном дизайне сети, применении резервных соединений, механизмах балансировки нагрузки и т. п.

И наконец, самое главное Для безопасности IP-телефонии - понимание всех рисков, связанных с ней. Только в этом случае можно построить высокоэффективную и недорогую систему защиты голосовых данных, передаваемых по единому кабелю — вместе с файлами, электронной почтой и страницами Web. LAN

Список литературы

Журнал LAN №8 2005

Другие материалы

  • Организация защиты информации и функции служб безопасности на предприятии
  • ... подразделением Предприятия непосредственно подчиненным по вопросам безопасности и защиты информации Руководителю Предприятия или Заместителю Секретаря ПРЕДПРИЯТИЯ, который отвечает за обеспечение безопасности информации. Штатность или позаштатность Службы безопасности Предприятия определяется ...

  • Актуальные вопросы правового регулирования в сфере защиты и поддержки конкуренции и антимонопольного контроля
  • ... 3. Полномочия по изданию нормативных и ненормативных правовых актов в сфере антимонопольного контроля 1. Система органов антимонопольного контроля Существуют специализированные органы, уполномоченные осуществлять государственную поддержку конкуренции и антимонопольный контроль: - Федеральная ...

  • Проблема административно-правовой защиты
  • ... , свидетельствующей о реальном участии гражданина в избирательном процессе как в целом, так и на каждом его этапе в отдельности. Проблема административно-правовой защиты избирательных прав граждан относится к числу наиболее острых для российской действительности. Острота ...

  • Средства защиты информации
  • ... комплексы, созданные на основе отдельных криминалистических методик идентификации человека, по нашему мнению, могут быть отнесены в раздел криминалистических средств защиты информации как одного из видов профилактики НСД. Известно, чтобы получить доступ к системе, ее пользователь должен пройти два ...

  • Организация сети передачи голоса по IP протоколу на базе распределенной локальной вычислительной сети АГУ
  • ... локальной вычислительной сети, а также с каждого номера ЦАТС АГУ для звонков по IP протоколу в любую страну мира. Однако используя операторов города Астрахань, мы получаем не значительную выгоду в междугородних и международных звонках. Организации сети передачи голоса по IP протоколу на базе ...

  • Механизм защиты прав человека в свете законодательства Канады, Колумбии и России
  • ... провинции Квебек определяет данное понятие, законодательство других провинций ориентируется на федеральную Хартию прав и свобод человека и гражданина Канады (1982 год). Интересна точка зрения законодателей Колумбии на понятие и механизм защиты прав человека. По основному закону Колумбии (1991 года) ...

  • Усовершенствование модема путем защиты передачи данных
  • ... расчет Целью экономического расчета дипломного проекта является усовершенствование модема путем защиты передачи данных, определение величины экономического эффекта от использования разработанной программы защиты передачи данных "Северодонецкая автошкола" качественная и количественная ...

  • Оказание юридической помощи и защита по уголовным делам
  • ... , некоммерческое добровольное профессиональное объедине­ние квалифицированных юристов, обладающих статусом ад­воката, созданное для оказания юридической помощи физи­ческим и юридическим лицам в целях защиты их прав и за­конных интересов. Основные черты адвокатуры: 1.     & ...

  • Защита избирательных прав граждан
  • ... Действующий ГПК не содержит четкого регулирования этого вопроса, а судьи на практике допускают ошибки, лишая граждан права на обращение в суд за защитой избирательных прав. Восполнить пробел процессуального законодательства могла бы норма следующего содержания: "Рассмотрение жа­лобы на решение ...

  • Защита прав потребителей и лицензирование предпринимательской деятельности
  • ... и решениями ГКИ РФ не запрещены для приватизации. 3) не зарегистрированы в порядке, установленном Законом РСФСР "О предприятиях и предпринимательской деятельности", или уставы которых составлены на основе законодательства СССР. На основании решения трудового коллектива и ...

  • Защита в уголовном процессе как служение общественное
  • ... нашей редакционной комиссии 1863 года. V. Слабость сознания общественного значения защиты в нашем законодательстве Если, таким образом, защита в уголовном процессе мыслима только как форма общественного служения, то правильной постановки ее и надлежащей деятельности мешают все те факторы, ...

  • Правовые формы защиты инвесторов на рынке ценных бумаг
  • ... (ст. 284 НК) и др. Упрощенная система налогообложения и учета не распространяется на профессиональных участников рынка ценных бумаг, а для бухучета операций с ценными бумагами установлен особые правила. 3.2 Правовые формы защиты инвесторов ИСТОЧНИКИ ПРАВОВОГО РЕГУЛИРОВАНИЯ ВЫПУСКА И ОБРАЩЕНИЯ ...

  • Метод массовой постановки певческого голоса
  • ... инерции "выдают" вибрато, как только создаётся певческая установка. Но если при этом сомкнуть связки, сразу появляется певческий голос с вибрато. Обратные связи фонационного происхождения. Возможность массовой постановки голоса "В 1954 году с Томатисом нами был поставлен следующий ...

  • Структура капитала как метод защиты от враждебного поглощения
  • ... действия может предпринимать компания, для того чтобы избежать враждебного поглощения? Именно здесь на сцену и выходит структура капитала. Оказывается, структура капитала корпорации может быть использована как один из методов блокирования (а если не блокирования, то снижения вероятности) попыток ее ...

Каталог учебных материалов

Свежие работы в разделе

Наша кнопка

Разместить ссылку на наш сайт можно воспользовавшись следующим кодом:

Контакты

Если у вас возникли какие либо вопросы, обращайтесь на email администратора: admin@kazreferat.info