CobraTelecom, расширяя границы возможного  главная
Наши телефоны:
+7(495) 128-98-63
8 (909) 976-88-46
E-mail:contact@cobratelecom.ru
asterisk@cobratelecom.ru
Система записи и прослушивания разговоров VOIP Объединение удалённых офисов Россия и СНГ мир стал ближе
Ваше имя:

Как с вами связаться:

Текст сообщения:
EXOCAPTCHA

Девять мифов о незащищённости ip-телефони

Девять мифов о незащищённости ip-телефонии

2 ноября, 2005

IP-телефонию все чаще начинают применять в компаниях. Она повышает эффективность ведения бизнеса, позволяет осуществить многие прежде невозможные операции (например, интеграцию с CRM и другими бизнес-приложениями, создание эффективных call-центров и т. п.), а также снизить издержки на построение и эксплуатацию телекоммуникационной инфраструктуры и совокупную стоимость владения системой.

Более того, ведущие производители рынка телефонии перестали вкладывать деньги в исследования традиционной телефонии - только в IP-телефонию. Однако ее активное развитие сдерживается слухами об ее низкой безопасности. Попробуем развенчать некоторые сложившиеся мифы о незащищенности IP-телефонии.


Архитектура инфраструктуры IP-телефонии состоит из нескольких компонентов:

Каждый из этих компонентов может стать мишенью для хакеров, и поэтому каждый из компонентов должен содержать в себе развитые механизмы защиты. Учитывая, что разные производители по-разному подходят к решению этого вопроса, я остановлюсь на подходе только одного из них - компании Cisco Systems и ее архитектуры AVVID (Architecture for Voice, Video and Integrated Data). И этот выбор не случаен. По данным отчета "WorldWide Enterprise Voice Market: Q2 CY2004" консалтинговой фирмы Synergy Research Group, компания Cisco захватила четыре первых места по продаже различных компонентов IP-телефонии.


Итак, начнем развенчание мифов.


Миф 1. IP-телефония не защищает от подслушивания.

"Продвинутые" решения IP-телефонии используют несколько технологий и механизмов, обеспечивающих конфиденциальность телефонных разговоров. Во-первых, это направление голосового трафика в выделенный сегмент сети и разграничение доступа к голосовому потоку путем использования правил контроля доступа на маршрутизаторах и межсетевых экранах. Во-вторых, весь голосовой трафик может быть защищен от несанкционированного прослушивания с помощью технологии построения виртуальных частных сетей (VPN). Протокол IPSec позволяет обезопасить телефонный разговор, осуществляемый даже через сети открытого доступа, например Интернет. И наконец, некоторые компании реализовали в своих IP-телефонах специально разработанный для обеспечения конфиденциальности голосового потока протокол SecureRTP (SRTP), не позволяющий посторонним проникнуть в тайну телефонных переговоров.

Миф 2. IP-телефония подвержена заражению червями, вирусами и троянцами.

Для защиты инфраструктуры IP-телефонии от заражения различными вредоносными программами используется целый ряд защитных мер, позволяющих построить эшелонированную оборону, препятствующую не только внедрению, но и распространению червей, вирусов, троянских коней и других типов вредоносной "фауны".

Первой линией обороны является применение наряду с антивирусами межсетевых экранов и систем обнаружения и предотвращения атак, разграничивающих доступ к инфраструктуре IP-телефонии. Вторая линия обороны строится на использовании систем предотвращения атак и антивирусов на оконечных узлах, участвующих в инфраструктуре IP-телефонии.

Последняя по счету, но не последняя по важности линия обороны - инициатива Network Admission Control. В рамках этой инициативы все не соответствующие политике безопасности (в том числе с неустановленными или неактуальными антивирусным ПО, "заплатками" и т. п.) рабочие станции и серверы не смогут получить доступ к корпоративной сети и, в частности, к сегменту IP-телефонии и нанести ущерб ее ресурсам. Для незащищенных узлов будет доступен только специально выделенный карантинный сегмент сети, в котором они смогут получить последние обновления для своего антивируса, "заплатки" для ОС и т. п.

Миф 3. IP-телефония не защищает от подмены телефонов и серверов управления.

Для защиты от устройств, пытающихся замаскироваться под авторизованные IP-телефоны или несанкционированно подключенных к сетевой инфраструктуре, можно и нужно использовать не только уже упомянутые выше правила контроля доступа на маршрутизаторах и межсетевых экранах, но и развитые средства строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления телефонными соединениями), для подтверждения подлинности которых используются различные стандартные протоколы, включая 802.1x, RADIUS, сертификаты PKI X.509 и т. д.


Миф 4. Злоумышленник с административными правами может нарушить функционирование инфраструктуры IP-телефонии.

В "серьезных" серверах управления предусмотрены расширенные возможности по наделению системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. К таким правам могут быть отнесены: доступ к конкретным настройкам только на чтение, полное отсутствие доступа к ним, доступ на изменение и т. д. Кроме того, все производимые администратором действия должны фиксироваться в специальном журнале регистрации и могут быть проанализированы в любой момент в поисках следов несанкционированной активности.

Поскольку инфраструктура IP-телефонии является достаточно разветвленной, то управление конфигурацией IP-телефонов и взаимодействие их с сервером управления должно осуществляться по защищенному от несанкционированного доступа каналу, позволяющему предотвратить любые попытки прочтения или модификации управляющих команд. Для защиты канала управления могут использоваться различные протоколы - IPSec, SSL, TLS и т. д.

Миф 5. IP-телефонию легко вывести из строя.

Несмотря на то, что различные компоненты IP-телефонии потенциально подвержены атакам типа "отказ в обслуживании", компании, уделяющие серьезное внимание вопросам сетевой безопасности, предлагают целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать встроенные в сетевое оборудование механизмы обеспечения информационной безопасности и дополнительные решения, например:

Миф 6. К IP-телефонам можно осуществить несанкционированный доступ.

Сами IP-телефоны содержат целый ряд специальных настроек, препятствующих несанкционированному доступу к ним. К таким настройкам можно отнести, в частности, доступ к функциям телефона только после предъявления идентификатора и пароля или запрет локального изменения настроек и т. д.

С целью предотвращения загрузки на IP-телефон несанкционированно модифицированного ПО и конфигурационных файлов их целостность контролируется электронной цифровой подписью и сертификатами X.509.

Миф 7. Сервер управления можно перегрузить большим числом звонков.

Максимальное число звонков в час на один сервер управления составляет от 100 000 (в зависимости от конфигурации) до 250 000 при использовании кластера управляющих серверов. При этом администратор может использовать специальные настройки, ограничивающие число входящих звонков необходимым значением. И наконец, в случае потери связи с одним из серверов управления возможна автоматическая перерегистрация IP-телефона на резервном сервере.

Миф 8. В IP-телефонии легко совершить мошенничество.

Сервер управления инфраструктурой IP-телефонии содержит ряд возможностей, позволяющих снизить вероятность телефонного мошенничества, таких, как кража услуг, фальсификация звонков, отказ от платежа и т. п.). Так, для каждого абонента можно:

Все эти действия осуществляются независимо от того, с какого телефонного аппарата абонент звонит. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не проходит процесс подтверждения своей подлинности, то он может звонить только по заранее определенному списку телефонных номеров, например в скорую помощь, милицию или внутренний отдел поддержки.

Миф 9. Традиционная телефония более защищена, чем IP-телефония.

Это самый распространенный миф в области телефонии. Традиционная телефония, разработанная десятилетия назад, обеспечивает более низкий уровень защищенности, чем новая и более совершенная технология IP-телефонии. В традиционной телефонии гораздо легче подключиться к чужому разговору, подменить номер, "наводнить" звонками и произвести множество других угроз, даже не имеющих аналогов в IP-телефонии (например, war dialing). Защита традиционной телефонии обеспечивается гораздо более дорогими средствами и механизмами, чем в IP-телефонии, в которой эти средства встроены в сами компоненты этой технологии. Например, для защиты от прослушивания традиционная телефония использует специальные устройства - скремблеры, централизованное управление которыми невозможно; не говоря уже о дороговизне их приобретения и установки перед каждым телефонным аппаратом. Вопросы безопасности новых информационных технологий (а к ним относится и IP-телефония) сейчас находятся в центре внимания многих. Никто не хочет, внедряя у себя новомодное решение, помогающее бизнесу, привносить в компанию и новые угрозы. Поэтому сейчас информационная безопасность становится во главу угла при выборе новых ИТ-систем. Этой теме посвящаются и различные публикации.

Например, совсем недавно известный журнал NetworkWorld совместно с независимой тестовой лабораторией Miercom провели полномасштабное исследование защищенности ряда известных решений для построения сетей IP-телефонии. С его результатами можно ознакомиться на сайте NetworkWorld.

В заключение хочу отметить, что, несмотря на слухи, циркулирующие в среде ИТ-специалистов, насчет низкой защищенности IP-телефонии, на самом деле эта технология гораздо более защищена, чем ее традиционная "сестра". При этом стоимость защиты существенно ниже, а управление намного удобнее и эффективнее, чем в привычной нам телефонии. Отсюда можно сделать вывод: переход к IP-телефонии, предоставляющей гораздо более привлекательные для бизнеса услуги и функции, - всего лишь вопрос времени. И первый, кто поймет это и осуществит его, станет лидером в своем сегменте рынка.


Автор - А. Лукацкий, PC Week/RE.