ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Захисти свій голос по IP
         

     

    Інформатика, програмування

    Захисти свій голос по IP

    Олексій Лукацький

    Рішення IP-телефонії немислимі без заходів безпеки

    IP-телефонія поступово підмінює попередні способи організації телефонного зв'язку. З великою часткою впевненості можна припустити, що через пару років традиційна телефонія буде повністю витіснена своєї більш сучасною та функціональної родичкою, що працює по протоколу IP. Цей напрямок по суті не розвивається навіть традиційними виробниками, оскільки всі їхні зусилля спрямовані тепер на IP-телефонію. Втім, апологети «дискового» антикваріату не поспішають інвестувати кошти в більш сучасний спосіб організації телефонного зв'язку, посилаючись на те, що використовувати протокол IP ризиковано з точки зору безпеки.

    Дійсно, при розробці протоколу IP не приділялося належної уваги питанням інформаційної безпеки, проте з часом ситуація змінювалася, і сучасні програми, що базуються на IP, містять достатньо захисних механізмів. А вже рішення в області IP-телефонії і поготів немислимі без реалізації стандартних технологій аутентифікації та авторизації, контролю цілісності та шифрування і т. д. Для наочності розглянемо ці механізми по міру того, як вони задіяні на різних стадіях організації телефонного розмови, починаючи з підняття телефонної трубки і закінчуючи сигналом відбою.

    Телефонний апарат

    З чого починається звичайний телефонний дзвінок? З підняття телефонної трубки і набору номера. У IP-телефонії, перш ніж телефон пошле сигнал на встановлення з'єднання, абонент повинен ввести свій ідентифікатор та пароль на доступ до апарату і його функцій. Така аутентифікація дозволяє блокувати будь-які дії сторонніх і не турбуватися, що чужі користувачі (наприклад, гості компанії) будуть дзвонити в інше місто чи країну за ваш рахунок.

    Встановлення з'єднання

    Після набору номера сигнал на встановлення з'єднання надходить на відповідний сервер управління дзвінками (в рішеннях Cisco, наприклад, він називається CallManager), де здійснюється цілий ряд перевірок з точки зору безпеки. У першу чергу засвідчується справжність самого телефону - як шляхом використання протоколу 8o2.1x, так і за допомогою сертифікатів на базі відкритих ключів, інтегрованих в інфраструктуру IP-телефонії. Така перевірка дозволяє ізолювати несанкціоновано встановлені в мережі IP-телефони, особливо в мережі з динамічною адресацією. Явища, подібні горезвісним в'єтнамським переговорних пунктах, в IP-телефонії просто неможливі (зрозуміло, за умови дотримання правил побудови захищеної мережі телефонного зв'язку).

    Однак аутентифікацією телефону справа не обмежується - необхідно з'ясувати, надано чи абоненту право телефонувати по набраним ім номером. Це не стільки механізм захисту, скільки міра запобігання шахрайства. Якщо інженерові компанії не можна користуватися міжміським зв'язком, то відповідне правило відразу записується в систему управління дзвінками, і, з будь-якого телефону не здійснювалася така спроба, вона буде негайно припинена. Крім того, можна вказувати маски або діапазони телефонних номерів, на які має право дзвонити той чи інший користувач.

    З чим ще стикається пересічний абонент телефонної мережі в момент встановлення з'єднання? З відсутністю сигналу або голосом автовідповідача «Телефонна лінія перевантажена ». Перша ситуація виникає у разі дефекту телефонного кабелю або аварії на АТС. Близько року тому центр Москви протягом декількох днів був позбавлений телефонного зв'язку за причини пожежі на АТС на вулиці Щепкіна. У випадку ж з IP-телефонією такі проблеми зі зв'язком неможливі: при грамотному дизайні мережі з резервними сполуками або дублюванням сервера управління дзвінками відмова елементів інфраструктури IP-телефонії або їх перевантаження не надає негативного впливу на функціонування мережі.

    Телефонна розмова

    Які ще небезпеки чатують під час телефонногд розмови? Хоча б банальне прослуховування: зловмиснику не складає труднощів перехопити голосові дані за допомогою жучка, який на радіоринку можна купити за 10-30 доларів. При цьому для перехоплення навіть необов'язково фізично підключатися до телефонної лінії -- досить «зняти» електромагнітні наведення, перебуваючи на деякій відстані від неї, і відновити телефонні переговори. Використання скремблер і вокодером, звичайно, дозволяє захиститися, тільки от як бути, якщо вам потрібно встановити ці пристрої, кожне з яких коштує не менше 400 доларів, на всі телефонні апарати? При таких витратах навряд чи захочеться говорити про зручність використання телефону.

    В IP-телефонії рішення цієї проблеми передбачалося з самого початку. Високий рівень конфіденційності телефонного зв'язку забезпечують перевірені алгоритми і протоколи (DES, 3DES, AES, IPSec і т. п.) при практично повній відсутності витрат на організацію такого захисту - всі необхідні механізми (шифрування, контролю цілісності, хешування, обміну ключами та ін) вже реалізовані в інфраструктурних елементах, починаючи від IP-телефону і закінчуючи системою управління дзвінками. При цьому захист може бути з однаковим успіхом застосовуватися як для внутрішніх переговорів, так і для зовнішніх (в останньому випадку всі абоненти повинні користуватися IP-телефонами).

    Однак з шифруванням, або, як іноді говорять у Росії, кодуванням, пов'язана низка моментів, про які необхідно пам'ятати, впроваджуючи інфраструктуру VoIP. По-перше, з'являється додаткова затримка внаслідок шифрування/дешифрування, а по-друге, ростуть накладні витрати в результаті збільшення довжини переданих пакетів. І те й інше вирішується шляхом застосування протоколу SecureRTP (RFC 3711); який дозволяє забезпечити ефективний захист розмови без зниження її якості.

    Невидимий функціонал

    До сих пір. ми розглядали тільки ті небезпеки, яким схильна традиційна телефонія та які можуть бути усунені впровадженням IP-телефонії. Але перехід на протокол IP несе з собою ряд нових загроз, які не можна не враховувати. До щастя, для захисту від цих загроз вже існують добре зарекомендували себе рішення, технології та підходи. Більшість з них не вимагає ніяких фінансових інвестицій, будучи вже реалізованими в мережевому обладнанні, що і лежить в основі будь-якої інфраструктури ІР-телефонії.

    Самое перший і найпростіше, що можна зробити для підвищення захищеності телефонних переговорів, коли вони передаються з тієї ж кабельної системі, що і звичайні дані, - це сегментувати мережу за допомогою технології VLAN для усунення можливості прослуховування переговорів звичайними користувачами. Хороша практика - Використання для сегментів IP-телефонії окремого адресного простору (наприклад, з діапазонів, зазначених у RFC 1918). І, звичайно ж, не варто скидати з рахунків правила контролю доступу на маршрутизаторах (Access Control List, ACL) або міжмережевих екранах (firewall), застосування яких ускладнює зловмисникам завдання підключення до голосових сегментами.

    Механізм VLAN реалізується комутаторами локальної мережі. Залежно від виробника комутуючі обладнання дозволяє задіяти і безліч інших механізмів безпеки, вже вбудованих в придбане мережеве обладнання і підвищують захищеність передачі голосових даних по протоколу IP:

    VLAN ACL (VACL);

    DHCP Snooping;

    Dynamic ARP Inspection;

    IP Source Guard;

    Port Security;

    Conditional Trust і т. д.

    В відміну від традиційної АТС сервер управління дзвінками в IP-телефонії функціонує під керуванням стандартних операційних систем, тому йому загрожують все ті ж небезпеки, яким піддаються звичайні комп'ютерні системи: «Черв'яки», віруси, шпигунські програми і т. п. Захиститися від них допоможуть традиційні антивірусні засоби та персональні системи запобігання атак. Не вірте, якщо вам скажуть: «Наше рішення базується на UNIX, а значить, віруси йому хоч би що ». Це міф, вигідний деяким виробникам. загрожують неприємностями вузлів UNIX, цілком вистачає (наприклад, rootkit).

    Спілкування з зовнішнім світом

    Які б переваги IP-телефонія ні надавала в рамках внутрішньої корпоративної мережі, вони будуть неповними без можливості здійснення та отримання дзвінків на міські номери. При цьому, як правило, виникає задача конвертації IP-трафіку в сигнал, що передається по телефонній мережі загального користування (ТМЗК). Вона вирішується за рахунок застосування спеціальних голосових шлюзів (voice gateway), реалізують деякі захисні функції, а найголовніша з них - блокування всіх протоколів ТР-телефонії (Н.323, SIP та ін), якщо їхні повідомлення надходять з неголосовий сегмента.

    Для захисту елементів голосового інфраструктури від можливих несанкціонованих впливів можуть застосовуватися спеціалізовані рішення - міжмережеві екрани (МСЕ), шлюзи прикладного рівня (Application Layer Gateway, ALG) і прикордонні контролери сеансів (Session Border Controller). Однак не варто купувати перший-ліпший пристрій, тому що протоколи IP-телефонії (наприклад, SIP або RTP) накладають на їх функціонал певні обмеження. Зокрема, протокол RTP використовує динамічні порти UDP, відкриття яких на міжмережеві екрані призводить до появи зяючої діри в захисті. Отже, міжмережевий екран повинен динамічно визначати використовувані для зв'язку порти, відкривати їх в момент з'єднання і закривати по його завершенні. Інша особливість полягає в тому, що ряд протоколів, наприклад SIP, інформацію про параметри з'єднання розміщують не в заголовку пакету, а в тілі даних. Тому пристрій захисту повинен бути здатний аналізувати не лише назву, а й тіло даних пакету, виокремлюючи з нього всі необхідні для організації голосового з'єднання відомості. Ще одним обмеженням є складність спільного застосування динамічних портів і NAT.

    Деякі виробники випускають лише спеціалізовані захисні шлюзи для обробки трафіку VoIP, але, перш ніж придбати один з них, варто подумати про те, що все одно не вдасться обійтися без звичайного брандмауера, що вміє аналізувати не тільки протоколи Н.323, SIP і MGCP, але й інші - широко поширені в мережах HTTP, FTP, SMTP, SQL * Net і т. д. Навіщо платити двічі? Чи не краще відразу вибрати МСЕ, яка вміє працювати і зі звичайними протоколами і протоколами VoIP?

    Висновок

    Які ще аспекти безпеки IP-телефонії заслуговують на увагу? По-перше, необхідно подбати про захист адміністративного інтерфейсу. У звичайній телефонії доступ до АТС відкриває практично безмежні можливості несанкціонованої зміни конфігурації, перехоплення дзвінків і т. п. У розвинених серверах управління передбачені розширені функції для наділення системних адміністраторів тільки тими правами, які їм потрібні для виконання своїх обов'язків. Інфраструктура IP-телефонії досить розгалужена, тому керування нею повинно здійснюватися по захищеному від несанкціонованого доступу каналу, щоб запобігти будь-які спроби прочитання або модифікації керуючих команд. Для захисту каналу можуть використовуватися різні протоколи - SSH, IPSec, SSL, TLS і т. д.

    По-друге, потрібно забезпечити доступність і захист від атак «відмова в обслуговуванні». З вирішенням цієї проблеми допомагають впоратися як спеціальні системи захисту від DoS атак і DDoS, так і вбудовані в мережеве обладнання механізми. І, звичайно ж, не можна забувати про грамотному дизайні мережі, застосуванні резервних з'єднань, механізми балансування навантаження і т. п.

    І нарешті, найголовніше Для безпеки IP-телефонії - розуміння всіх ризиків, пов'язаних з нею. Тільки в цьому випадку можна побудувати високоефективну і недорогу систему захисту голосових даних, переданих по єдиному кабелю -- разом з файлами, електронною поштою та сторінками Web. LAN

    Список літератури

    Журнал LAN № 8 2005

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status