Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Защитите свой IP-телефон

Даррин Вудс

Вряд ли вы установите ваш главный сервер в вестибюле, да еще с терминалом, открытым для всеобщего доступа. Тем не менее в отношении УАТС на базе IP многие компании проявляют полную беспечность.

Чтобы обезопасить учрежденческую АТС (УАТС), ее обычно помещают под замок и ограничивают доступ пользователей к ключам и подсоединенным к ней модемам. Если вы всерьез озабочены безопасностью, можете пойти еще дальше и организовать защиту линии от прослушивания. Но времена меняются, и, хотя вопросы физической безопасности по-прежнему остаются актуальными, когда УАТС становится частью IP-сети вашего предприятия, возникает целый круг новых проблем.

Исключите слабое звено

Взаимоотношения между сетевыми администраторами и связистами могут осложниться, даже если лазейкой для проникновения взломщика в корпоративную сеть окажется не УАТС. В некоторых случаях желание иметь полный набор функциональных возможностей УАТС на базе IP, послужившее главной причиной ее покупки, может обернуться против вас. Отключите все ненужные функции — переадресацию, распределение и переопределение вызовов, не раздавайте административный доступ направо и налево и при этом не упускайте из виду физическую безопасность сервисных консолей. Трафик не должен проходить сквозь УАТС. Некоторые станции поставляются с двумя сетевыми платами — в этом случае убедитесь, что трафик не может попасть с одной платы на другую. Кроме того, если поставщик удаленно обновляет ПО и обслуживает вашу УАТС, необходимо серьезнее отнестись к вопросу контроля за внешним доступом.

Многие принципы безопасности УАТС на базе IP аналогичны базовым принципам безопасности сетей передачи данных. Ниже мы их перечисляем.

Обеспечьте парольную защиту всех систем. Чтобы получить доступ к телефонам, будь то обычные настольные аппараты или программные пакеты на компьютерах, пользователи обязаны каждое утро вводить пароли. Открытый доступ к учетной записи может открыть доступ ко всей БД пользователей. Некоторые поставщики, такие, как фирмы AltiGen Communications и Siemens, пытаются помочь в решении этой проблемы. Продукты фирмы AltiGen не позволяют использовать в качестве паролей строки вроде 123456 и внутренние номера телефонов. Siemens в своей серии продуктов HiPath пошла еще дальше — в них для аутентификации используются биометрические устройства и смарт-карты (см. http://w4.siemens.de/networks/hipath/index.htm). Хотя биометрические устройства нельзя считать неуязвимыми, их технология постепенно улучшается, в то время как пароли всегда останутся паролями.

Организуйте корректный выход пользователей из системы, когда они покидают свои рабочие места. Заставить служащих делать это трудно, но, уходя, они должны отсоединять свои IP-телефоны. В отношении программных IP-телефонов это сводится просто к обязательному отключению компьютеров каждый вечер. Напомните вашим пользователям, что если они не будут делать это и кто-нибудь из обслуживающего персонала решит позвонить, например, в Австралию, то платить за разговор будут они (пользователи). Допустим, что, несмотря на все ваши усилия, пользователи все же забывают отключать свои телефоны, тогда можно блокировать исходящие вызовы в вечерние часы и в выходные дни. Большинство поставщиков предпочитают не вводить в свои системы функцию автоматического отключения пользователей, поскольку, помимо того, что это неудобно, в экстренных случаях служащие должны иметь возможность получить помощь.

Защищайтесь от DoS-атак. Атаки типа denial-of-service (DoS), от которых страдают корпоративные сети в последние несколько лет, могут поразить и вашу УАТС. Первой “линией обороны” должен стать ваш корпоративный межсетевой экран, но, кроме этого, следует внимательно следить за всеми выпускаемыми поставщиком исправлениями к ОС, которая используется в вашей УАТС.

Защищать от вирусов нужно не только настольные системы. Любая УАТС, использующая ОС общего назначения, такую, как Windows NT или 2000, должна оснащаться программными средствами защиты от вирусов. Хотя некоторые производители УАТС, например AltiGen, поставляют системы “под ключ”, они часто оставляют выбор антивирусного ПО на усмотрение пользователей.

Полную версию данной статьи смотрите в 13-ом номере журнала за 2002 год.

Проблемы с ОС

Важным критерием выбора УАТС является ОС, на основе которой она работает. Существуют две основные разновидности УАТС: закрытые и открытые. Те, что основываются на фирменных архитектурах, считаются закрытыми, в то время как системы, в которых используются обычные ПК и ОС, называются открытыми. Например, системы фирмы Alcatel используют Unix или Linux; AltiGen, Avaya и Cisco Systems — Windows; 3Com и Mitel Networks — ОС VxWorks фирмы Wind River Systems, а системы NEC и Siemens — фирменные ОС (более подробную информацию по продуктам IP-телефонии можно найти по адресу: http://www.commweb.com).

Каждая разновидность УАТС имеет свои преимущества и недостатки. При использовании УАТС закрытой архитектуры все поступает от одного поставщика, а это означает, что, если возникнут какие-либо вопросы, вам придется иметь дело с одной-единственной компанией. Использование же продуктов от разных поставщиков может привести к созданию сложных в эксплуатации систем и появлению брешей в защите, связанных с проблемами взаимодействия этих продуктов. Поскольку закрытые системы используют нестандартные ОС, тому, кто попытается взломать закрытую УАТС, придется потратить время на изучение ее ОС. И, как всегда, важна своевременная установка исправлений к ОС, на основе которой работает ваша УАТС, в случае как открытой, так и закрытой системы. Положительной стороной открытости системы является более быстрое появление “заплат” к “дырам”, чем в закрытых архитектурах, а это сокращает время нахождения системы в уязвимом состоянии.

Смотрите в оба

Для поддержания безопасности вашей УАТС на базе IP абсолютно необходим мониторинг. Не расслабляйтесь, т. е. возьмите за правило регулярно проверять отчеты. Из них вы можете заблаговременно получить информацию о возможных проблемах. Отчеты сигнализируют не только о наличии подозрительного IP-трафика, но также о звонках, которые не должны были проходить через вашу систему.

Изучайте отчеты каждый день не только на предмет обнаружения явно подозрительных случаев, например международных звонков и звонков в то время, когда никого не должно было быть в офисе, но и на предмет даже самых небольших отклонений от нормы, таких, как чрезмерное количество звонков с одного и того же телефона. Обращайте внимание на звонки в необычные места, а также на те, которые длятся дольше обычного. Рассмотрите возможность использования УАТС, подобных NBX фирмы 3Com, доступ к которым может осуществляться через модуль расширения Network Supervisor.

В таком модуле есть функция выдачи сигналов в реальном масштабе времени, предупреждающих вас об исходящих звонках, не соответствующих норме по длительности или месту назначения.

Что касается управления, то любой доступ для изменения настроек УАТС должен осуществляться через определенные порты TCP/UDP с использованием шифрования. Ограничение административного доступа определенным IP-адресом также может расстроить планы злоумышленников. Чтобы избежать IP-спуфинга, следует “связать” друг с другом MAC- и IP-адреса административного терминала.

Подготовьте план действий

Самой лучшей защитой будет информированность обо всех возможных “дырах” в вашей сети, включая и те, что появляются в системах голосовой связи. Постарайтесь оценить риски, чтобы уточнить уязвимые места вашей УАТС. Исчерпывающее руководство для проведения анализа уязвимости УАТС (в формате PDF) можно найти на Web-узле Национального института стандартов и технологий по адресу: http://www.csrc.nist.gov/publications/nistpubs/800-24/sp800-24pbx.pdf (Special Publication 800-24).

Любую оценку следует начинать с составления списка пользовательских функций УАТС, которые понадобятся вашим служащим, а затем определить, насколько эти сервисы уязвимы для атак.

В процессе оценки рисков не следует забывать, что атаки на базирующуюся на технологии IP УАТС могут осуществляться изнутри сети — например, недовольный вашим отношением к нему или чем-либо еще пользователь вполне способен нарушить работу корпоративной телефонной системы.

Для доступа к УАТС телекомьютеров и сотрудников удаленных филиалов всегда следует использовать технологию VPN. Небольшое дополнительное время задержки — это малая плата за безопасность, которую она обеспечивает.

Какие бы услуги ни предоставляла ваша УАТС, на первом месте всегда должен оставаться постоянный контроль за состоянием ее защиты. Регулярное сканирование с целью выявления уязвимостей должно стать частью ваших обычных обязанностей. При обнаружении брешей важно иметь наготове план действий. Не дожидайтесь отказа УАТС, обдумывайте защиту телефонных служб заранее.

Функции УАТС, способные стать источником головной боли

Мобильные пользователи создают массу проблем для обеспечения безопасности, например: как защитить службу DISA (Direct Inward System Access) так, чтобы обеспечить служащим доступ к корпоративной УАТС без прямого подключения к ней, скажем для получения речевой почты. Хотя уязвимость, обусловленная DISA, существует и в обычных УАТС, эта проблема становится намного серьезнее, когда, злоумышленник, получив доступ к УАТС, может проникнуть в корпоративную ЛВС. Как минимум, он сможет звонить за чужой счет в другие города или даже делать дискредитирующие репутацию фирмы звонки, которые будет трудно отследить.

Очевидно, что служба DISA при неправильном обращении с нею может стать источником больших проблем безопасности и должна использоваться только вместе с системой определения номера звонящего (caller ID) и, если возможно, с идентификаторами SecurID фирмы RSA Security или смарт-картами. Ограничение применения DISA только звонками с определенных телефонных номеров, например с сотового телефона сотрудника отдела продаж, усложнит задачу злоумышленника, но расплачиваться в этом случае придется тем, что вполне легитимные пользователи будут ограничены в своих возможностях доступа к голосовой почте.

В то время как переадресация вызова (call forwarding) переводит с одного телефона на другой только звонки, замещение (substitution) переназначает с телефона на телефон все функции, включая адресную книгу, права доступа и персонализируемые возможности сокращенного набора номеров.

Большинство УАТС позволяют администраторам блокировать определенные вызовы с определенных внутренних номеров и прямо устанавливать, какие именно звонки могут быть сделаны с такого-то номера. Опасность заключается в том, что при замещении можно обходить все эти предосторожности, т. е. оно позволяет служащим перемещать функции, которые им разрешено использовать, на разные телефоны. Например, вашему директору при выходе из здания офиса потребовалось срочно позвонить. Вместо того чтобы возвращаться назад, он, используя замещение, переводит функции своего телефона на телефон в вестибюле и таким образом получает к ним полный доступ.

Все это просто замечательно, если только он не забудет потом восстановить статус-кво. Без этого любой поднявший трубку аппарата в вестибюле сможет получить доступ к телефонной БД и к функциям, доступным директору. Замещение следует устанавливать только на один-единственный звонок и затем автоматически отключать либо не использовать совсем. В самом крайнем случае желательно настроить УАТС так, чтобы один раз в день все автоматически возвращалось в первоначальное состояние. Заметим, что замещение является временной функцией, существующей для удобства. Она не предназначена для использования в случаях, когда служащий переезжает из офиса в офис. Это уже область управления, в которой большие надежды подает технология унифицированных сообщений (см. http://www.internetweek.com/indepth01/indepth022801/htm и http://www.nwc.com/1221/1221f2.html).





  
13 '2002
СОДЕРЖАНИЕ

бизнес

• Большая сеть и большие перемены

• Интеграция с неограниченной расширяемостью

локальные сети

• Маркировать СКС становится проще

• Кабельные системы категории 6 и оборудование Gigabit Ethernet

• Оптические сети - это доступно всем

• Сетевые адаптеры Gigabit Ethernet с обработкой трафика TCP/IP

корпоративные сети

• XML приручает информационный хаос

• Радиосистемы типа “точка—точка”

• SAN против NAS - следующий раунд

услуги сетей связи

• Прольем свет на оптические сети

• Как нести бродбэнд в массы?

защита данных

• Защитите свой IP-телефон

• Аутентификация - основа безопасности

• PremierAccess впереди всех

• ИБП-гиганты

новые продукты

• Новые коммутаторы HardLink -- менее 9 долл. за порт!; Радиорелейные станции Altium MX


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх