Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

IP-телефония и безопасность

Алан Перси

Итак, наконец-то вы решились на внедрение системы IP-телефонии (VoIP). Но одна мысль все-таки продолжает терзать вас: насколько конфиденциальны будут ваши деловые телефонные разговоры? Если программный сетевой анализатор, который вы абсолютно бесплатно “скачали” из Интернет, способен “просматривать” SIP- и UDP-пакеты, то не может ли он принять целый RTP-поток и воспроизвести ваш телефонный разговор?

Любому, кто озабочен этим вопросом, лучше изучить положение дел в данной области еще до внедрения IP-телефонии. Но давайте начнем с традиционной ТфОП и попытаемся разобраться, насколько она “конфиденциальна”?

Представим себе в меру опытного злоумышленника, которому наличие униформы и набор инструментов ремонтника позволили добраться до распределительной коробки вашей УАТС. Тогда он сможет легко установить устройство прослушивания, используя для этого специальный ударный инструмент (punch block tool) и два зажима типа “крокодил”. Более того, нашему диверсанту, возможно, даже не понадобится проникать внутрь здания: к соединительным линиям АТС очень легко подключиться и вне здания (например, забравшись на телефонный столб).

Полную версию данной статьи смотрите в 7-ом номере журнала за 2004 год.

Здравый взгляд на безопасность классических систем TDM говорит нам о том, что если большинство компаний и не страдают от нелегального прослушивания телефонных разговоров, то причина этого в том, что у них просто нет врагов или их деловые разговоры не представляют никакого интереса для промышленного шпионажа.

Некоторые организации, которые все же имеют серьезный повод к беспокойству на этот счет, ограничили использование беспроводных трубок в составе УАТС (и потеряли всякий интерес к технологии беспроводных ЛВС из-за ее несоответствия их требованиям безопасности). И лишь совсем немногие корпорации шифруют свои разговоры, передаваемые через системы TDM-телефонии. Следует заметить, что незашифрованная электронная почта также передается без особой конфиденциальности. Имитация работы DNS- или почтовых серверов позволяет хакерам практически незаметно перехватывать входящую электронную почту, хоть это сделать и не так легко, как прикрепить зажимы типа “крокодил”.

Все разговоры, проходящие через УАТС компании, если и не записываются полностью, то по крайней мере фиксируются (кто, когда и куда звонил). Любой, кто имеет право просматривать телефонные счета предприятия, сможет обнаружить, когда и с какими компаниями осуществлялись переговоры. Это является одной из причин, заставляющих гендиректоров компаний все еще тратить время и деньги на дальние перелеты, чтобы лицом к лицу поговорить со своими наиболее важными деловыми партнерами.

Существующие решения

В настоящее время ситуация такова, что IP-телефония просто использует существующую систему безопасности сетей передачи данных, основанную на сочетании межсетевых экранов, алгоритмов виртуальных частных сетей (VPN) и, в некоторых случаях, систем обнаружения вторжения (IDS). В большинстве случаев все это обеспечивает вполне приемлемую безопасность для всех сетевых приложений, значительно затрудняя доступ к системам и средствам связи компании и отражая атаки практически всех хакеров, за исключением, быть может, наиболее высококвалифицированных и хорошо “вооруженных”.

Следует признать, что уровень безопасности телефонной связи далеко не абсолютный, он напрямую зависит от сложности применяемых технических средств, а значит, и от их стоимости. Степень защищенности, приемлемая, скажем, для местного цветочного магазина, может не подходить юридической фирме или учреждению здравоохранения. Поэтому при организации системы безопасности IP-телефонной связи первым шагом является определение того, какая степень защиты необходима вашему предприятию.

Одно из преимуществ IP-телефонии — возможность гибкого выбора степени защиты в соответствии с потребностями конкретного пользователя. Она может предусматривать, например, в самой обычной корпоративной сети авторизацию для каждого IP-телефона — ранее подобная процедура применялась только в call-центрах.

Технология SSL (Secure Socket Layer) и другие механизмы VPN-туннелирования дают возможность ограничить доступ к IP-УАТС, предоставляя его только авторизованным удаленным работникам. Вообще говоря, IP-телефония служит прекрасным дополнением к технологиям VPN, поскольку они вместе позволяют обеспечить защищенную телефонную связь с любыми удаленными (зачастую мобильными) IP-абонентами. Целый ряд компаний производят VPN-шлюзы, установив которые в своей демилитаризованной зоне (DMZ), предприятия предоставят защищенный доступ к центральным ресурсам (в том числе к IP-УАТС) своим удаленным сотрудникам. Клиентское программное обеспечение VPN шифрует данные, речь и служебные пакеты для туннелирования через Интернет в частную корпоративную сеть. На своей стороне VPN-шлюз дешифрует приходящие пакеты.

Таким образом VPN-технологии могут обеспечить защиту любых приложений — от электронной почты до телефонии. Сейчас на рынке имеются VoIP-оптимизированные межсетевые экраны, оснащенные “интеллектом” протоколов SIP и H.323. Они пропускают RTP-потоки и служебные сообщения сигнализации VoIP, причем с приемлемой для речевой связи производительностью.

Безопасность VoIP в будущем

Инициаторами разработки дополнительных средств защиты VoIP-систем сегодня выступают две основные заинтересованные стороны. Это правительственные организации и операторы сетей кабельного телевидения, которые все активнее начинают предоставлять услуги телефонии. Особая заинтересованность правительственных ведомств совершенно очевидна: она связана с применением технологии VoIP в военных и других государственных системах, требующих сквозного шифрования речи, передаваемой с проводных и беспроводных IP-телефонов. Кабельные же операторы мотивированы тем обстоятельством, что их инфраструктуры используют разделяемую среду передачи, а значит, имеют повышенную уязвимость в части перехвата информации.

Большие усилия по повышению защищенности VoIP-связи в настоящее время сосредоточены на технологии VPN-шлюзов. И хотя последние обеспечивают безопасный доступ удаленных пользователей к корпоративным системам (включая IP-УАТС), их функции по шифрованию/дешифрованию трафика значительно увеличивают время задержки при разговоре. Поэтому такие организации, как CableLabs — Научно-исследовательский консорциум кабельных операторов, стараются совершенствовать VPN-технологии с целью улучшения обслуживания трафика IP-телефонии.

Одно из технических решений, находящихся сейчас в процессе разработки, предполагает внедрение в VPN-шлюзы и IP-телефоны средств, способных параллельно осуществлять шифрование и пакетирование речевой информации. Это упростит подключение удаленных офисов и повысит безопасность всей корпоративной сети.

Технологии шифрования, безусловно, увеличат стоимость шлюзов и телефонов вследствие усложнения ПО и увеличения вычислительных ресурсов, необходимых для соответствующих алгоритмов. Но несмотря на это, кабельные операторы и правительственные агентства сохранят спрос на шлюзы, а также проводные и беспроводные телефоны, в которых используется технология шифрования, засекречивающая речевую связь на всем пути между конечными точками.

Развитие и внедрение описываемых функций будет идти по пути превращения “мечей в орала” — от правительственных/военных систем к обычным офисным компонентам VoIP. Вероятнее всего, массовое использование технологий шифрования в шлюзах и даже IP-телефонах начнется в 2005—2006 гг.

Наши рекомендации

С чего же вы как специалист, ответственный за развертывание систем VoIP на предприятии, должны начать решение вопросов безопасности?

Во-первых, определите, какой уровень безопасно-сти телефонной связи нужен вашему предприятию. Будьте реалистом и постарайтесь максимально объективно оценить отношение затрат на обеспечение безопасности к возможным потерям в случае нарушения конфиденциальности телефонных переговоров.

Во-вторых, исследуйте инфраструктуру существующей сети передачи данных с целью ее оптимизации для систем VoIP. Возможно, незначительная программная или аппаратная модернизация позволит вам повысить производительность сети и достичь надлежащего уровня безопасности. Типичный пример: включение в маршрутизаторах/коммутаторах “интеллекта” третьего уровня для локализации речевого трафика в виртуальной ЛВС.

В-третьих, если ваша организация нуждается в дополнительных средствах безопасности, постоянно следите за появлением соответствующих функций в интересующем вас оборудовании вслед за принятием стандартов на алгоритмы шифрования, аутентификации и т. п.

И еще, не позволяйте скептикам пугать вас. Технология VoIP уже завоевала “место под солнцем” в офисах компаний, открыв новые возможности для улучшения коммуникаций, повышения производительности труда и снижения затрат. Она вполне вписывается в те нормы обеспечения безопасности связи, которым в настоящее время следуют большинство предприятий.

И если вы решите модернизировать свою сеть, дополнив ее средствами безопасности VoIP, в придачу вы повысите уровень защиты всех сетевых приложений..


А вы знали, что Пиво Paulaner самое лучшее




  
7 '2004
СОДЕРЖАНИЕ

бизнес

• Эффективность работы региональных операторов

• Определены российские ИТ-лидеры

• Novell и Red Hat идут в наступление

• Широкополосные услуги: стратегия и тактика внедрения

• Allied Telesyn ставит на "тройной выигрыш"

инфраструктура

• Linux-практикум

• Red Hat побеждает благодаря RHEL 3.0

• Антенны для устройств беспроводных ЛВС

• Информационная безопасность корпоративной БЛВС

информационные системы

• Держите ваши данные синхронизированными

• Комфорт телефонного общения

сети связи

• IP-телефония и безопасность

• Ethernet на просторе

• Семь "смертных грехов" VoIP

кабельные системы

• Технологии оконцевания оптоволокна

• Проектирование систем громкоговорящего оповещения

защита данных

• Естественный отбор

• Защита от выбросов напряжения


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх