Ведущие производители рынка телефонии перестали вкладывать деньги в исследования традиционной телефонии — только в IP-телефонию. Однако ее активное развитие сдерживается слухами об ее низкой безопасности. Попробуем развенчать некоторые сложившиеся мифы о незащищенности IP-телефонии.
architecture_telephony

Архитектура инфраструктуры IP-телефонии состоит из нескольких компонентов:

  • IP-телефоны, подключаемые к локальной сети и предоставляющие помимо самих звонков широкий спектр дополнительных сервисных возможностей. Например, с телефона на своем рабочем месте я могу принять одновременно несколько звонков, получить доступ к корпоративному и персональному телефонному справочнику, узнать расписание поездов и самолетов или прогноз погоды, уточнить персональное расписание встреч, а также просмотреть электронную и прослушать голосовую почту. Надо отметить, что IP-телефоны могут быть выполнены и в виде программного решения, устанавливаемого на компьютер пользователя (например, на ноутбук)
  • сервер управления, отвечающий за установление телефонных соединений и обеспечивающий ряд дополнительных административных функций
  • голосовой шлюз, решающий задачу интеграции инфраструктуры IP-телефонии с имеющимися в компании системами традиционной телефонии и выход в телефонные сети общего пользования (ТфОП)
  • голосовые приложения, облегчающие пользователям решение бизнес-задач, — голосовая почта, голосовые меню, система управления звонками для секретарей и операторов, персональная система управления звонками, связанная с личным расписанием сотрудника, система проведения аудиоконференций, интеллектуальные центры обработки вызовов и т. п.

Каждый из этих компонентов может стать мишенью для хакеров, и поэтому каждый из компонентов должен содержать в себе развитые механизмы защиты.

Итак, начнем развенчание мифов.

Миф 1. IP-телефония не защищает от подслушивания

IP-телефония

«Продвинутые» решения IP-телефонии используют несколько технологий и механизмов, обеспечивающих конфиденциальность телефонных разговоров. Во-первых, это направление голосового трафика в выделенный сегмент сети и разграничение доступа к голосовому потоку путем использования правил контроля доступа на маршрутизаторах и межсетевых экранах. Во-вторых, весь голосовой трафик может быть защищен от несанкционированного прослушивания с помощью технологии построения виртуальных частных сетей (VPN). Протокол IPSec позволяет обезопасить телефонный разговор, осуществляемый даже через сети открытого доступа, например Интернет.

И наконец, некоторые компании реализовали в своих IP-телефонах специально разработанный для обеспечения конфиденциальности голосового потока протокол SecureRTP (SRTP), не позволяющий посторонним проникнуть в тайну телефонных переговоров.

Миф 2. IP-телефония подвержена заражению червями, вирусами и троянцами

IP_telephony_trojan

Для защиты инфраструктуры IP-телефонии от заражения различными вредоносными программами используется целый ряд защитных мер, позволяющих построить эшелонированную оборону, препятствующую не только внедрению, но и распространению червей, вирусов, троянских коней и других типов вредоносной «фауны».

Первой линией обороны является применение наряду с антивирусами межсетевых экранов и систем обнаружения и предотвращения атак, разграничивающих доступ к инфраструктуре IP-телефонии. Вторая линия обороны строится на использовании систем предотвращения атак и антивирусов на оконечных узлах, участвующих в инфраструктуре IP-телефонии.

Последняя по счету, но не последняя по важности линия обороны — инициатива Network Admission Control. В рамках этой инициативы все не соответствующие политике безопасности (в том числе с неустановленными или неактуальными антивирусным ПО, «заплатками» и т. п.) рабочие станции и серверы не смогут получить доступ к корпоративной сети и, в частности, к сегменту IP-телефонии и нанести ущерб ее ресурсам.

Для незащищенных узлов будет доступен только специально выделенный карантинный сегмент сети, в котором они смогут получить последние обновления для своего антивируса, «заплатки» для ОС и т. п.

Миф 3. IP-телефония не защищает от подмены телефонов и серверов управления

integration_vinet_protected

Для защиты от устройств, пытающихся замаскироваться под авторизованные IP-телефоны или несанкционированно подключенных к сетевой инфраструктуре, можно и нужно использовать не только уже упомянутые выше правила контроля доступа на маршрутизаторах и межсетевых экранах, но и развитые средства строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления телефонными соединениями), для подтверждения подлинности которых используются различные стандартные протоколы, включая 802.1x, RADIUS, сертификаты PKI X.509 и т. д.

Миф 4. Злоумышленник с административными правами может нарушить функционирование инфраструктуры IP-телефонии

IP_telephony_administrator

В «серьезных» серверах управления предусмотрены расширенные возможности по наделению системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. К таким правам могут быть отнесены: доступ к конкретным настройкам только на чтение, полное отсутствие доступа к ним, доступ на изменение и т. д.

Кроме того, все производимые администратором действия должны фиксироваться в специальном журнале регистрации и могут быть проанализированы в любой момент в поисках следов несанкционированной активности.

Поскольку инфраструктура IP-телефонии является достаточно разветвленной, то управление конфигурацией IP-телефонов и взаимодействие их с сервером управления должно осуществляться по защищенному от несанкционированного доступа каналу, позволяющему предотвратить любые попытки прочтения или модификации управляющих команд. Для защиты канала управления могут использоваться различные протоколы — IPSec, SSL, TLS и т. д.

Миф 5. IP-телефонию легко вывести из строя

IP_telephony_crash

Несмотря на то что различные компоненты IP-телефонии потенциально подвержены атакам типа «отказ в обслуживании», компании, уделяющие серьезное внимание вопросам сетевой безопасности, предлагают целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать встроенные в сетевое оборудование механизмы обеспечения информационной безопасности и дополнительные решения, например:

  • разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в «голосовом» участке распространенных атак, в том числе и DoS
  • специальные правила контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты
  • системы предотвращения атак на узлах
  • специализированные системы защиты от DoS- и DDoS-атак
  • специальные настройки на сетевом оборудовании, предотвращающие подмену адреса, часто используемую при DoS-атаках, и ограничивающие полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

Миф 6. К IP-телефонам можно осуществить несанкционированный доступ

IP_telephony_options

Сами IP-телефоны содержат целый ряд специальных настроек, препятствующих несанкционированному доступу к ним. К таким настройкам можно отнести, в частности, доступ к функциям телефона только после предъявления идентификатора и пароля или запрет локального изменения настроек и т. д.

С целью предотвращения загрузки на IP-телефон несанкционированно модифицированного ПО и конфигурационных файлов их целостность контролируется электронной цифровой подписью и сертификатами X.509.

Миф 7. Сервер управления можно перегрузить большим числом звонков

IP_telephony_resert

Максимальное число звонков в час на один сервер управления составляет от 100 000 (в зависимости от конфигурации) до 250 000 при использовании кластера управляющих серверов. При этом администратор может использовать специальные настройки, ограничивающие число входящих звонков необходимым значением.

И наконец, в случае потери связи с одним из серверов управления возможна автоматическая перерегистрация IP-телефона на резервном сервере.

Миф 8. В IP-телефонии легко совершить мошенничество

IP_telephony_save

Сервер управления инфраструктурой IP-телефонии содержит ряд возможностей, позволяющих снизить вероятность телефонного мошенничества, таких, как кража услуг, фальсификация звонков, отказ от платежа и т. п.). Так, для каждого абонента можно:

  • заблокировать звонки на определенные группы номеров и с них
  • заблокировать возможность переадресации звонков на различные типы номеров — городские, мобильные, междугородные, международные и т. д.
  • отфильтровывать звонки по различным параметрам и т. д.

Все эти действия осуществляются независимо от того, с какого телефонного аппарата абонент звонит. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не проходит процесс подтверждения своей подлинности, то он может звонить только по заранее определенному списку телефонных номеров, например в скорую помощь, милицию или внутренний отдел поддержки.

Миф 9. Традиционная телефония более защищена, чем IP-телефония

IP_telephony_original

Это самый распространенный миф в области телефонии. Традиционная телефония, разработанная десятилетия назад, обеспечивает более низкий уровень защищенности, чем новая и более совершенная технология IP-телефонии.

В традиционной телефонии гораздо легче подключиться к чужому разговору, подменить номер, «наводнить» звонками и произвести множество других угроз, даже не имеющих аналогов в IP-телефонии (например, war dialing). Защита традиционной телефонии обеспечивается гораздо более дорогими средствами и механизмами, чем в IP-телефонии, в которой эти средства встроены в сами компоненты этой технологии.

Например, для защиты от прослушивания традиционная телефония использует специальные устройства — скремблеры, централизованное управление которыми невозможно; не говоря уже о дороговизне их приобретения и установки перед каждым телефонным аппаратом.

Вопросы безопасности новых информационных технологий (а к ним относится и IP-телефония) сейчас находятся в центре внимания многих. Никто не хочет, внедряя у себя новомодное решение, помогающее бизнесу, привносить в компанию и новые угрозы. Поэтому сейчас информационная безопасность становится во главу угла при выборе новых ИТ-систем. Этой теме посвящаются и различные публикации.

Например, совсем недавно известный журнал NetworkWorld совместно с независимой тестовой лабораторией Miercom провели полномасштабное исследование защищенности ряда известных решений для построения сетей IP-телефонии. С его результатами можно ознакомиться на сайте NetworkWorld. Отметим, что, несмотря на слухи, циркулирующие в среде ИТ-специалистов, насчет низкой защищенности IP-телефонии, на самом деле эта технология гораздо более защищена, чем ее традиционная «сестра». При этом стоимость защиты существенно ниже, а управление намного удобнее и эффективнее, чем в привычной нам телефонии.

Отсюда можно сделать вывод: переход к IP-телефонии, предоставляющей гораздо более привлекательные для бизнеса услуги и функции, — всего лишь вопрос времени. И первый, кто поймет это и осуществит его, станет лидером в своем сегменте рынка.

Оригинал статьи размещен на http://www.voip.kg/

10 мифов о незащищённости IP-телефонии