Защити свой голос по IP
Защити свой голос по IPАлексей ЛукацкийРешения IP-телефонии немыслимы без мер безопасностиIP-телефония постепенно подменяет прежние способы организации телефонной связи. С большой долей уверенности можно предположить, что через пару лет традиционная телефония будет полностью вытеснена своей более современной и функциональной родственницей, работающей по протоколу IP. Это направление по сути не развивается даже традиционными производителями, поскольку все их усилия направлены теперь на IP-телефонию. Впрочем, апологеты «дискового» антиквариата не спешат инвестировать средства в более современный способ организации телефонной связи, ссылаясь на то, что использовать протокол IP рискованно с точки зрения безопасности.Действительно, при разработке протокола IP не уделялось должного внимания вопросам информационной безопасности, однако со временем ситуация менялась, и современные приложения, базирующиеся на IP, содержат достаточно защитных механизмов. А уж решения в области IP-телефонии и подавно немыслимы без реализации стандартных технологий аутентификации и авторизации, контроля целостности и шифрования и т. д. Для наглядности рассмотрим эти механизмы по мере того, как они задействуются на различных стадиях организации телефонного разговора, начиная с поднятия телефонной трубки и заканчивая сигналом отбоя.Телефонный аппаратС чего начинается обычный телефонный звонок? С поднятия телефонной трубки и набора номера. В IP-телефонии, прежде чем телефон пошлет сигнал на установление соединения, абонент должен ввести свой идентификатор и пароль на доступ к аппарату и его функциям. Такая аутентификация позволяет блокировать любые действия посторонних и не беспокоиться, что чужие пользователи (например, гости компании) будут звонить в другой город или страну за ваш счет.Установление соединенияПосле набора номера сигнал на установление соединения поступает на соответствующий сервер управления звонками (в решениях Cisco, например, он называется CallManager), где осуществляется целый ряд проверок с точки зрения безопасности. В первую очередь удостоверяется подлинность самого телефона - как путем использования протокола 8o2.1x, так и с помощью сертификатов на базе открытых ключей, интегрированных в инфраструктуру IP-телефонии. Такая проверка позволяет изолировать несанкционированно установленные в сети IP-телефоны, особенно в сети с динамической адресацией. Явления, подобные пресловутым вьетнамским переговорным пунктам, в IP-телефонии просто невозможны (разумеется, при условии следования правилам построения защищенной сети телефонной связи).Однако аутентификацией телефона дело не ограничивается — необходимо выяснить, предоставлено ли абоненту право звонить по набранному им номеру. Это не столько механизм защиты, сколько мера предотвращения мошенничества. Если инженеру компании нельзя пользоваться междугородной связью, то соответствующее правило сразу записывается в систему управления звонками, и, с какого бы телефона не осуществлялась такая попытка, она будет немедленно пресечена. Кроме того, можно указывать маски или диапазоны телефонных номеров, на которые имеет право звонить тот или иной пользователь.С чем еще сталкивается рядовой абонент телефонной сети в момент установления соединения? С отсутствием сигнала или голосом автоответчика «Телефонная линия перегружена». Первая ситуация возникает в случае дефекта телефонного кабеля или аварии на АТС. Около года назад центр Москвы в течение нескольких дней был лишен телефонной связи по причине пожара на АТС на улице Щепкина. В случае же с IP-телефонией такие проблемы со связью невозможны: при грамотном дизайне сети с резервными соединениями или дублированием сервера управления звонками отказ элементов инфраструктуры IP-телефонии или их перегрузка не оказывает негативного влияния на функционирование сети.Телефонный разговорКакие еще опасности подстерегают во время телефонногд разговора? Хотя бы банальное прослушивание: злоумышленнику не составляет труда перехватить голосовые данные с помощью жучка, который на радиорынке можно купить за 10—30 долларов. При этом для перехвата даже необязательно физически подключаться к телефонной линии — достаточно «снять» электромагнитные наводки, находясь на некотором расстоянии от нее, и восстановить телефонные переговоры. Использование скремблеров и вокодеров, конечно, позволяет защититься, только вот как быть, если вам нужно установить эти устройства, каждое из которых стоит не меньше 400 долларов, на все телефонные аппараты? При таких затратах вряд ли захочется говорить об удобстве использования телефона.В IP-телефонии решение этой проблемы предусматривалось с самого начала. Высокий уровень конфиденциальности телефонной связи обеспечивают проверенные алгоритмы и протоколы (DES, 3DES, AES, IPSec и т. п.) при практически полном отсутствии затрат на организацию такой защиты — все необходимые механизмы (шифрования, контроля целостности, хэширования, обмена ключами и др.) уже реализованы в инфраструктурных элементах, начиная от IP-телефона и заканчивая системой управления звонками. При этом защита может быть с одинаковым успехом применяться как для внутренних переговоров, так и для внешних (в последнем случае все абоненты должны пользоваться IP-телефонами).Однако с шифрованием, или, как иногда говорят в России, кодированием, связан ряд моментов, о которых необходимо помнить, внедряя инфраструктуру VoIP. Во-первых, появляется дополнительная задержка вследствие шифрования/дешифрования, а во-вторых, растут накладные расходы в результате увеличения длины передаваемых пакетов. И то и другое решается путем применения протокола SecureRTP (RFC 3711); который позволяет обеспечить эффективную защиту разговора без снижения ее качества.Невидимый функционалДо сих пор. мы рассматривали только те опасности, которым подвержена традиционная телефония и которые могут быть устранены внедрением IP-телефонии. Но переход на протокол IP несет с собой ряд новых угроз, которые нельзя не учитывать. К счастью, для защиты от этих угроз уже существуют хорошо зарекомендовавшие себя решения, технологии и подходы. Большинство из них не требует никаких финансовых инвестиций, будучи уже реализованными в сетевом оборудовании, которое и лежит в основе любой инфраструктуры IР-телефонии.Самое первое и самое простое, что можно сделать для повышения защищенности телефонных переговоров, когда они передаются по той же кабельной системе, что и обычные данные, — это сегментировать сеть с помощью технологии VLAN для устранения возможности прослушивания переговоров обычными пользователями. Хорошая практика — использование для сегментов IP-телефонии отдельного адресного пространства (например, из диапазонов, указанных в RFC 1918). И, конечно же, не стоит сбрасывать со счетов правила контроля доступа на маршрутизаторах (Access Control List, ACL) или межсетевых экранах (firewall), применение которых усложняет злоумышленникам задачу подключения к голосовым сегментам.Механизм VLAN реализуется коммутаторами локальной сети. В зависимости от производителя коммутирующее оборудование позволяет задействовать и множество других механизмов безопасности, уже встроенных в приобретенное сетевое оборудование и повышающих защищенность передачи голосовых данных по протоколу IP:VLAN ACL (VACL);DHCP Snooping;Dynamic ARP Inspection;IP Source Guard;Port Security;Conditional Trust и т. д.В отличие от традиционной АТС сервер управления звонками в IP-телефонии функционирует под управлением стандартных операционных систем, поэтому ему угрожают все те же опасности, каким подвергаются обычные компьютерные системы: «черви», вирусы, шпионское ПО и т. п. Защититься от них помогут традиционные антивирусные средства и персональные системы пред...
Другие файлы:
Защити свой главный актив
В книге "Защити свой главный актив" известный американский юрист Майкл А. Лектер рассказывает широкому кругу читателей, что такое интеллектуальная соб...
Грицев Дмитрий - WordPress Security. Защити свой блог от проблем
Содержание:...
Голос человека
Многие люди в немалой степени обязаны своим успехом именно голосу. Так же как и о внешнем виде, люди судят о голосе политического деятеля в течение пе...
Праздник покойной души
Очень ошибочно утверждение, что с ума сходить лучше в одиночку. Все-таки, когда в коллективе, чувствуешь себя как то увереннее... И поэтому Людмила пр...
