Защита на IP гласа

Решенията за IP телефония трябва да се внедряват след вземане на мерки за сигурност IP телефонията постепенно подменя предишните начини за организация на телефонната връзка. Можем уверено да кажем, че след няколко години традиционната телефония ще бъде изцяло изместена от по-съвременния и функционален конкурент, работещ по протокола IP. Тази област на практика не се развива дори от традиционните производители, а всичките им усилия са насочени към IP телефонията. Впрочем, апологетите на „антикварния апарат с шайба” не бързат да инвестират средства в по-съвременния начин за телефонния, защитавайки се с аргумента, че да се използва протокола IP е рисковано начинание от гледна точка безопасност. Действително, при разработката на IP протокола не е отделено нужното внимание на въпросите на информационната сигурност, но с времето ситуацията се измени и съвременните приложения, базиращи на IP, съдържат достатъчно защитни механизми. Решенията в областта на IP телефонията отдавна са немислими без реализация на стандартни технологии за автентификация и оторизация, контрол целостта и кодирането и т.н. За нагледност ще разгледаме тези механизми според това, как се задействат на различните стадии от организацията на телефонния разговор, започвайки с вдигане на телефонната слушалка и приключвайки със сигнала за край. Телефонен апарат С какво започва обикновеното телефонно позвъняване? С вдигане на телефонната слушалка и набиране на номера. В IP телефонията, преди телефонът да прати сигнал за установяване на връзка, абонатът е длъжен да въведе свой идентификатор и парола за достъп до апарата и неговите функции. Такава автентификация позволява да се блокират странични действия и да не се тревожат, че чужди потребители (например, гости на компанията) ще звънят в друг град или страна за ваша сметка. Установяване на връзка След набиране на номера сигналът на установяване на връзка постъпва в съответния сървър за управление на позвъняванията (в решенията на Cisco например той се нарича CallManager), където се осъществяват редица проверки от гледна точка безопасност. На първо място се удостоверява автентификацията на самия телефон — чрез използване на протокола 802.1x или с помощта на сертификати на базата на открити ключове, интегрирани в инфраструктурата за IP телефония. Такава проверка позволява изолиране на несанкционирано установени в мрежата за IP телефония, особено в мрежа с динамично адресиране. Явления, подобни на прословутия “виетнамски разговорен пункт”, в IP телефонията са просто невъзможни (разбира се, при следване правилата за изграждане на защитена мрежа за телефонна връзка). Автентификацията на телефона не ограничава използването му - трябва да се изясни дали абонатът има право да звъни до набрания номер. Това не е само механизъм за защита, а мярка за предотвратяване на мошеничества. Ако инженер от компанията не трябва да ползва междуградска връзка, то съответното правило веднага записва в системата за управление на позвънявания че независимо от какъв телефон се осъществява опитът, той ще бъде пресечен. Освен това може да се указват маски или диапазони от телефонни номера, на които има право да звъни един или друг потребител. С какво се сблъсква редовият абонат при установяване на връзка? С липса на сигнал или автоматичен отговор „Телефонната линия е претоварена”. Първата ситуация възниква в случай на дефект на телефонни кабел или авария на АТЦ. При IP телефонията такива проблеми с връзката са невъзможни: при грамотно проектиране на мрежата с резервни връзки или дублиране на сървъра за управление на позвъняванията отказът на елементи от инфраструктурата за IP телефония или тяхното претоварване не оказват негативно влияние върху функционирането на мрежата. Телефонен разговор Какви опасности ни заплашват по време на телефонния разговор? Макар да звучи банално - подслушване: за злосторниците не е трудно да прихванат гласови данни с помощта на разни устройства, познати на жаргон като “бръмбари”, които на радиопазара могат да се купят за 10—30 долара. При това за прихващане не е задължително физическо включване към телефонната линия — достатъчно е „снемане” на електромагнитни намотки, намиращи се на известно разстояние от нея и възстановяване на телефонните разговори. Използване на скремблери и гласови кодери, разбира се, позволява защита, само че, ако трябва да инсталирате тези устройства, всяко от които струва не по-малко от 400 долара, на всички телефонни апарати? При такива разходи едва ли си струва да се говори за удобство от използване на телефона. В IP телефонията решение на този проблем е предвидено още в началото. Високото ниво на конфиденциалност на телефонната връзка се осигуряват с проверени алгоритми и протоколи (DES, 3DES, AES, IPSec и т.н.) при практически пълна липса на разходи за организация на такава защита — всички необходими механизми (шифроване, контрол целостта, хеширане, обмен на ключове и др.) вече са реализирани в инфраструктурните елементи - от IP телефона до системата за управление на позвънявания. При това защитата може да се приложи с еднакъв успех както за вътрешни разговори, така и за външни (в последния случай всички абонати трябва да ползват IP телефони). С шифрирането, или както понякога го наричат кодирането, са свързани редица обстоятелства, които трябва да се имат предвид при внедряване на VoIP инфраструктура. Първо, появява се допълнително закъснение вследствие шифриране / дешифриране, а второ, растат разходите в резултат на увеличената дължина на предаваните пакети. И едното, и другото се решават чрез прилагане на протокола SecureRTP (RFC 3711), който позволява осигуряване на ефективна защита на разговора без понижаване на качеството. Невидими функции Досега разглеждахме само опасностите, на които е изложена традиционната телефония и които могат да бъдат отстранени с внедряване на IP вариантът. Но преходът към IP протокола носи редица нови заплахи, които трябва да се отчитат. За щастие за защита от тези заплахи вече съществуват добри решения, технологии и подходи. Повечето не изискват финансови инвестиции, тъй като са реализирани в мрежовото оборудване, което е в основата на всяка инфраструктура за IP телефония. Първото и най-просто, което може да се направи за повишаване защитата на телефонните разговори, когато те се предават по същата кабелна система, както и обикновените данни, е сегментиране на мрежата с помощта на технологията VLAN за отстраняване възможностите за подслушване на разговорите на обикновените потребители. Добра практика е използване за сегментите с IP телефония в отделно адресно пространство (напр. от диапазони, указани в RFC 1918). Не трябва да се отхвърлят и правилата за контрол на достъпа в маршрутизаторите (Access Control List, ACL) или междумрежовите екрани (firewall), чиято употреба усложнява задачата на злосторниците за включване към гласовия сегмент. Механизмът VLAN се реализира в комутаторите от локалната мрежа. В зависимост от производителя на комутаторното оборудване могат да стартират и множество други механизми за сигурност, вградени в мрежовото оборудване и повишаващи защитата на предаване на гласови данни по протокола IP, като: VLAN ACL (VACL); DHCP Snooping; Dynamic ARP Inspection; IP Source Guard; Port Security; Conditional Trust и т.н. За разлика от традиционния АТЦ сървърът за управление на позвънявания в IP телефонията функционира под управление на стандартни операционни системи. Затова той е застрашен от същите опасности, както и обикновените компютърни системи - червеи, вируси, шпионски програми и т.н. Защита от тях предлагат традиционни антивирусни средства и персонални системи за предотвратяване на атаки. Не вярвайте, ако ви кажат: „Нашето решение се базира на UNIX, значи вирусите не са опасни за него”. Това е мит - вредни програми, грозящи с неприятности UNIX възлите, има предостатъчно (например rootkit). Общуване с външния свят Каквито и преимущества да ни предоставя IP телефонията в рамките на вътрешната корпоративна мрежа, те ще бъдат непълни без възможностите за осъществяване и приемане на позвънявания към градски номера. При това, по правило, възниква задача за превръщане на IP трафика в сигнал, предаван по телефонна мрежа за обществено ползване (PSTN). Тя се решава чрез използване на специални гласови шлюзове (voice gateway), реализиращи и някои защитни функции, най-важната от които е блокиране на всички протоколи за IP телефония (H.323, SIP и др.), ако техните съобщения постъпват от негласов сегмент. За защита елементите на гласовата инфраструктура от възможни несанкционирани въздействия могат да се ползват специализирани решения — защитни стени, шлюзове за приложния слой (Application Layer Gateway, ALG) и гранични контролери на сесиите (Session Border Controller). Не си струва да се купува първото попаднало устройство, тъй като протоколите за IP телефония (например SIP или RTP) налагат на тези решения определени ограничения. В частност, протоколът RTP използва динамични портове UDP, чието отваряне в защитните стени води до поява на зееща дупка в защитата. Следователно, междумрежовите екрани трябва динамично да определят използваните за връзка портове, да ги отварят в момента на свързването и да ги затварят при завършване на разговора. Друга особеност е в това, че при редица протоколи, например SIP, информацията за параметрите на връзката са поставени не в заглавната част на пакета, а в самото съобщение. Затова устройството за защита трябва да може да анализира не само заглавието, но и основните данни от пакета, извличайки от него всички сведения, необходими за организация на гласовото свързване. Още едно ограничение е сложността при съвместно прилагаме на динамични портове и NAT. Някои производители пускат само специализирани защитни шлюзове за обработка на трафика VoIP, но преди да купите подобни, помислете дали ще можете да се справите без обикновените защитни стени, анализиращи не само протоколите H.323, SIP и MGCP, а и другите — широко разпространените HTTP, FTP, SMTP, SQL*Net и т.н. Защо да плащате два пъти? Не е ли по-добре да изберете стена, която работи и с обикновени, и VoIP протоколи? Заключение Какви аспекти от безопасността на IP телефонията заслужават внимание още? Първо, трябва да се погрижите за защитата на администраторския интерфейс. В обикновената телефония достъпът до АТЦ открива практически безгранични възможности за несанкционирано изменение на конфигурацията, прихващане на позвънявания и т.н. В разгърнатите сървъри за управление са предвидени разширени функции за даване на системните администратори само на такива права, които са им нужни за изпълнение на задълженията им. Инфраструктурата за IP телефония е достатъчно разклонена, затова управлението й трябва да се осъществява по защитен от несанкциониран достъп канал, което да предотврати всеки опит за четене или модификация на управляващите команди. За защита на канала могат да се ползват различни протоколи — SSH, IPSec, SSL, TLS и др. Второ, трябва да се обезпечи достъпността и защитата от атаки тип „отказ от обслужване”. С решаване на тези проблеми се справят както специални системи за защита от DoS и DDoS атаки, така и вградени в мрежовото оборудване механизми. И, разбира се, да не се забравя за грамотното проектиране на мрежата, прилагане на резервни връзки, механизми за баланс на натоварването и т.н. И накрая, най-главното за сигурността на IP телефонията — разбиране на всички рискове, свързани с нея. Само в този случай може да се изгради високоефективна и нескъпа система за защита на гласовите данни, предавани по един кабел — заедно с файлове, електронна поща и Web страници.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!