Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

IP-телефония и безопасность

Питер Морриси

Существование проблем с безопасностью в телефонии далеко не новость. Не одно десятилетие операторы и абоненты традиционных телефонных сетей страдают от махинаций с оплатой услуг связи. И по сию пору некоторые компании и организации воздерживаются от установки систем IP-телефонии (VoIP) из опасений по поводу низкого уровня их безопасности, тогда как другие ну просто бросаются “в омут с головой”, даже не думая об этой проблеме. По оценкам большинства отраслевых аналитиков, в 2005 г. более половины новых корпоративных телефонов составили IP-телефоны — зна-чит, велики шансы, что и вам придется-таки столкнуться с проблемой безопасности IP-телефонии.

Какого-то универсального, “волшебного” средства эффективной безопасности IP-телефонии не существует, но решение этой задачи должно стать составной частью вашей общей стратегии безопасности. И поскольку VoIP — это приложение, работающее в IP-сети, где уже должны быть реализованы надлежащие методы защиты, то вы должны четко понимать: чем выше безопасность вашей сети в целом, тем труднее будет злоумышленнику организовать подслушивание, атаку типа “отказ в обслуживании” (DoS), “взломать” ОС или приложение системы VoIP.

Также немаловажно, чтобы команда специалистов, отвечающих за безопасность, была вовлечена в проект реализа-ции системы IP-телефонии с самого начала. Тут не время и не место для “территориальных войн” между подразделениями, отвечающими за телефонию (связисты) и за сети передачи данных (сетевики), которые (подразделения), к слову сказать, уже должны бы функционировать как единая организационная структура.

Провести границы

Главные принципы VoIP-безопасности довольно просты: во-первых, не подключайте никакие IP-телефонные компоненты в сеть, пока не убедитесь, что между этими устройствами и Интернетом не будет никаких коммуникаций. И во-вторых, исключите вообще какие бы то ни было коммуникации между ПК, подсоединенными к Интернету, и элементами системы VoIP. Ведь ПК, будучи особенно уязвимыми для нападений, могут использоваться для взлома VoIP-системы или осуществления атаки “отказ в обслуживании” на приложения телефонии. Также с их помощью можно “влезть” в систему IP-телефонии для махинаций с оплатой услуг связи, подслушивания или имитации другого пользователя (impersonating).

Если вы по каким-либо причинам не можете следовать этим правилам, то доведите до сведения всех и каждого информацию о возможных рисках, а также позаботьтесь о принятии соответствующих контрмер для их смягчения. Для этого от вас потребуется ясное понимание всех вопросов, связанных с безопасностью, а также знание системной архитектуры и протоколов VoIP.

Первый ваш шаг в реализации политики безопасности — собрать все IP-телефоны в отдельной виртуальной ЛВС и использовать немаршрутизируемые адреса в соответствии с рекомендацией RFC 1918. Большинство IP-телефонов снабжены встроенным коммутатором, поддерживающим стандарт 802.1p/Q, что позволяет организовать соединение виртуальной ЛВС между настольным ПК и ближайшим коммутатором в аппаратном шкафу. Далее виртуальные ЛВС могут распространяться на всю сеть.

Если ПК пользователя IP-телефонной системы подключен к коммутатору такого телефона, то трафик телефонии и трафик данных могут полностью передаваться по отдельным виртуальным ЛВС от одного терминала до другого (end to end). Учтите, что элементы разных виртуальных ЛВС не смогут друг с другом “общаться”, если только между ними не организована маршрутизация, что и позволяет обособить эти два вида трафика. В качестве дополнительного уровня защиты для предотвращения связи между виртуальными ЛВС можно использовать списки контроля доступа (ACL). Разнесение трафика телефонии и трафика данных в разные виртуальные ЛВС также упрощает обеспечение гарантированного качества обслуживания (QoS) для VoIP-трафика. Ведь это всего лишь вопрос присвоения “телефонной” виртуальной ЛВС более высокого уровня приоритета. Но не забывайте, что при прохождении трафика через маршрутизатор вам потребуются алгоритмы QoS уровня 3.

Хотя механизмы QoS ассоциируются обычно с обеспечением должного качества связи, они играют важнейшую роль и при решении задач безопасности. Для передачи речи и данных из логически отдельных виртуальных ЛВС использу-ется все же общая физическая полоса пропускания. Предположим, что ПК заразился вирусами или “червями” и это привело к переполнению сети трафиком, но при соответствующей настройке механизмов QoS трафик VoIP будет по-прежнему иметь приоритет при прохождении через общие физические каналы и, значит, не “падет жертвой” DoS-атаки. Со своей стороны, списки ACL и межсетевые экраны позволят блокировать доступ из VoIP-системы в Интернет и обратно.

Виртуальные ЛВС позволяют также снизить риск подслушивания телефонных разговоров, но лишь ненамного. Если речевые пакеты перехвачены анализатором, то аудиозапись разговора воспроизвести легко. Виртуальные ЛВС могут предотвратить вторжение извне, но защитить от атаки, инициированной из самой сети, значительно труднее. Любой человек внутри организации может подключить ПК прямо к разъему настенной розетки, сконфигурировать его как элемент виртуальной ЛВС системы VoIP и начать атаку. Лучший способ предотвратить такое проникновение — приобрести IP-телефоны со средствами шифрования, причем такой подход требует, чтобы указанными средствами был снабжен каждый телефон.

Вам также потребуется обеспечить шифрование трафика между телефонами и шлюзами в ТфОП. Ведущие поставщики IP-телефонов — например, компании Avaya и Nortel, уже начали включать в свои устройства средства шифрования и для информационных потоков, и для сообщений сигнализации. Помимо всего прочего, шифрование позволяет предотвратить и другие способы подслушивания — например, при перехвате трафика через зеркальный порт коммутатора Ethernet.

Но, разумеется, за шифрование придется расплачиваться, в данном случае повышением задержки. При работе в ЛВС проблем не возникнет, но они могут появиться при связи через территориально распределенную сеть (WAN). Кроме того, шифрование сигнализации, которое происходит на прикладном уровне, может затруднить работу межсетевых экранов.

Межсетевой экран

Межсетевой экран — вещь, несомненно, важная, но не стоит думать, что он способен справиться со всем на свете. Так, фильтрация трафика VoIP-протоколов может представлять определенные трудности. Хотя стандартом для сигнализации в IP-телефонии уже стал протокол SIP (Session Initiation Protocol), у многих производителей имеются фирменные протоколы сигнализации, которые ваш межсетевой экран может и “не понимать”.

В качестве транспорта для передачи голоса используется протокол RTP (Real Time Protocol), и существует широкий диапазон портов, которые динамически выделяются каждому вызову. А протокол сигнализации сообщает, какой именно RTP-порт должен использоваться для данного вызова. Хороший межсетевой экран извлекает информацию из служебных сообщений протокола сигнализации и открывает именно тот порт, который необходим для IP-адресов конечных точек. Однако не все межсетевые экраны на это способны. Некоторые из них просто открывают весь диапазон портов — значит, нужно заранее выяснить, как именно действует ваш экран.

Некоторым межсетевым экранам приходится иметь дело с частными адресами и механизмом трансляции адресов (Network Address Translation — NAT), что еще больше усложняет задачу защиты системы IP-телефонии, особенно в случае входящих запросов к оконечному устройству с частным адресом. Межсетевой экран, способный “понимать” протокол сигнализации, сможет отследить регистрацию пользователя по текущему адресу и соответственно маршрутизировать входящие запросы. В компании Check Point Software Technologies заверяют, что последняя версия ее системы FireWall-1 с этим справляется.

Другой подход заключается в установке межсетевого экрана, специально спроектированного для IP-телефонии. Например, экран компании Ingate разработан для систем на базе SIP. Недавно Ingate объявила о том, что теперь ее продукты сертифицированы для работы с SIP-продуктами компании Avaya. Убедитесь, что приобретаемая вами система IP-телефонии базируется на SIP, чтобы не оказаться привязанными к фирменным средствам безопасности вашего VoIP-поставщика. Не забывайте также о том, что межсетевые экраны могут привносить дополнительную задержку и быть причиной снижения производительности.

Серверы систем VoIP работают под управлением своих собственных ОС со всеми присущими им уязвимостями — следовательно, необходимо убедиться, что каждый из них снабжен самыми свежими “заплатами”. Не забывайте об обновлении “заплат” и тщательно ограничивайте доступ к этим серверам. Каждый IP-телефон — это тоже компьютер со своими собственными приложениями и ОС, и к ним нужно принимать такие же превентивные меры, а также позаботиться о хорошей системе управления обновлением “заплат”.

Когда приходится делать исключения

Есть некоторые приложения, которые могут заставить вас задуматься об открытии коммуникаций между виртуальными ЛВС телефонии и передачи данных. Например, большинство поставщиков VoIP-решений предлагают клиенты для настольных систем, которые управляют IP-телефонами и предоставляют обширную информацию о статусе и присутствии (presence). У многих компаний также имеются клиенты, позволяющие вести мониторинг присутствия пользователей других систем телефонии и приложений мгновенного обмена сообщениями (IM), а также объявлять о собственной доступности. Для этих средств требуется некоторое прямое взаимодействие между настольной системой и VoIP-системой — значит, нужно обеспечить безопасность такого взаимодействия.

Лучше всего для этого подходит межсетевой экран. Следует установить самый минимальный уровень доступа, так чтобы ПК не мог нечаянно стать платформой для выявления уязвимостей в VoIP-системе. Впрочем, если “черви” “сожрут” всю полосу пропускания сети, то эти приложения окажутся незащищенными, ведь данные поступают с ПК и, следовательно, попадают в виртуальную ЛВС передачи данных. Но если у вас реализованы механизмы QoS, считайте, что трафик IP-телефонов защищен. Когда же вы пользуетесь только программным телефоном на ПК, у вас нет способа обеспечить защиту речевых пакетов на участке между ПК и коммутатором аппаратного шкафа.

Если в вашей организации есть надомные работники, которым нужен доступ к IP-УАТС через Интернет, очевидным решением для предотвращения подслушивания является использование виртуальной частной сети (VPN). Поставщики систем VoIP, например компания Zultys Technologies, предлагают продукты, спроектированные для облегчения VPN-доступа к IP-УАТС. Так, некоторые телефоны Zultys создают прямой VPN-туннель от телефона до УАТС. А клиент для ПК системы Contivity VPN компании Nortel может устанавливать VPN-туннель для телефона через подсоединенный ПК.

Но главное — не подставьте свою IP-УАТС под удар из Интернета. Риск можно свести к минимуму, если открыть доступ только к самым необходимым портам и только при аутентификации через VPN, но только в том случае, если вы требуете дополнительной аутентификации для входа пользователя в VoIP-систему. Вам также, разумеется, понадобится межсетевой экран между IP-УАТС и VPN-шлюзом, который, собственно говоря, и ограничит доступ только к минимально необходимому числу портов.

Неплохо также иметь механизмы для защиты вашей IP-телефонной системы от DoS-атак, нацеленных на прикладной уровень. Когда такая атака идет извне, особой опасности она не представляет, если для доступа в виртуальную ЛВС требуется дополнительная аутентификация. Но она может стать проблемой, когда злоумышленник находится внутри организации. Так, например, при использовании SIP генерация лавины запросов “Register” может “сбить с ног” сервер. Полезными здесь окажутся системы обнаружения (IDS) и предотвращения вторжений (IPS), но только если они “понимают” протокол SIP. Хорошая система IPS сумеет предотвратить даже атаку типа “чужой среди своих”.

Любой настольный ПК, имеющий доступ к системе VPN, должен быть защищен. Многие поставщики сейчас предоставляют централизованно управляемые межсетевые экраны, а также ПО, которое отслеживает “заплаты” к ОС и обновления антивирусных программ. Это особенно важно для удаленных работников, пользующихся программными телефонами.

Так что не стоит откладывать решение проблем безопасности VoIP. При реализации строгой политики безопасности и правильном наборе соответствующих инструментов нет никаких причин отказываться от преимуществ, которые нам дает IP-телефония..





  
2 '2006
СОДЕРЖАНИЕ

бизнес

• ЦОДы: тепло, еще теплее

• Контроль качества аутсорсинга

инфраструктура

• Ячеистые беспроводные сети

• Проводные технологии — на заслуженный отдых!

• Тестируем фиксированные беспроводные системы

• IP-телефония и безопасность

• Архитектура SOA как она есть

• Тестируем шлюзы мобильного обмена сообщениями

• D2D2T — уход от магнитной ленты

сети связи

• Мифы IP-телефонии и реальность call-центров

кабельные системы

• Сварка волокон в сетях FTTP — где и почему?

• Будущее сетей на витой паре

• Короба для кабельных систем

защита данных

• Много шума из-за ничего?

• Усовершенствованный анализ уязвимых мест


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх