Принятие VOIP, кажется, набирает обороты, поскольку
интернет трафик и оборудование становится все более доступным,
а также в силу того, что устаревающие системы выходят из
употребления. ИТ профессионалы становятся экспертами в области
телекоммуникаций, и поэтому им необходимо уделять больше
внимания VOIP. Этот переход к интегрированным системам
передачи голосового трафика (Voice into IT/IS) несет в себе
значительное количество моментов безопасности, которые
необходимо четко понимать, чтобы иметь возможность применять
адекватные контрмеры. В этой статье мы рассмотрим, как
применять VOIP решения, не выходя за рамки требований
инфраструктуры безопасности, и те трудности, которых можно
ожидать при применении VOIP.
VOIP сегодня
По мере развития технологии, цены на решения снижаются, а
эти решения оснащаются возрастающим количеством функций; чем
больше людей и организаций принимают на вооружение эти
решения, тем дешевле и проще применять такие решения. К
сожалению, безопасности необходимо время, чтобы поспевать за
развитием технологий, и параметры безопасности зачастую
модифицируются в решениях с запозданием. Такая ситуация
наблюдается в решениях VOIP. В силу всего вышесказанного очень
важно разработать инфраструктуру безопасности, которая бы
делала применяемое решение безопасным. Сегодняшние
компьютерные устройства достаточно мощные для того, чтобы
обрабатывать нынешние способы шифрования, а также шифрование
будущего, что делает зашифровку возможной.
Аутентификация
Прежде чем пользователи смогут воспользоваться службой
VOIP, им нужно будет аутентифицироваться и идентифицировать
себя для службы. Это процесс кажется довольно простым, однако
существуют определенные факторы, которые необходимо понимать,
а также определенные трудности, которые необходимо
преодолевать. Механизм аутентификации должен быть
структурирован таким образом, чтобы сначала идентифицировалось
и аутентифицировалось устройство, а затем пользователь; этого
можно добиться путем изоляции любого устройства в карантине
перед фазой аутентификации. Как только устройство
идентифицировано и аутентифицировано, его можно логически
помещать в канал производственной коммуникации VLAN, на
сегодняшний день политика безопасности на коммутаторах
позволяет использовать шифрование, что означает, что любые
мандаты, предоставленные пользователем, могут оставаться в
зашифрованном, а, следовательно, в безопасном состоянии.
Когда речь заходит об аутентификации, управление
идентификацией тесно взаимосвязано с процессом аутентификации.
Использование существующих словарей аутентификации, таких как
AD, или других словарей типа LDAP, очень важно. В этом случае
инвестиции будут сокращены, а также будет использоваться
унифицированный, уже существующий механизм, что будет
экономить время и улучшать безопасность. Производители очень
стараются, чтобы сделать его безопасным.
Конфиденциальность
Чтобы обеспечить конфиденциальность, техническим средством
управления будет шифрование, оно обеспечит безопасность
коммуникаций, а также не позволит неавторизированным
пользователям вмешиваться в процесс коммуникации. Сложность
проявляется тогда, когда трафик проходит через различные
шлюзы, которые не контролируются вашей организацией. Вот
почему очень важно использовать технологию, которая
соответствует стандартам и легко настраивается. Это обеспечит
зашифрованное состояние VOIP пакета на протяжении всего
периода его существования.
Однако следует остерегаться расширения размера пакета,
которое вызовет задержки, это может случиться в ситуации
неправильного выбора способа шифрования для режима
передачи.
Протоколы
Такие протоколы как RTP, SRTP, ZRTP и MIKEY являются
наиболее распространенными в сегодняшнем применении VOIP, они
защищаются с помощью AES шифрования (в режиме счетчика).
SIP или протокол инициации сеанса (Session Information
Protocol) принимается все большим количеством людей в качестве
предпочитаемого VIOP протокола, в начале 2005 я писал статью,
в которой рассматривался принцип работы этого протокола,
статью можно найти на Session
Initiation Protocols and its Functions. Используя SIP
клиентов, пользователи смогут создавать идентификацию,
связанную с SIP сервером, затем эта идентификация может
использоваться для входа на этот сервер и использовать его в
качестве шлюза для передачи звонков в обоих направлениях.
Удобным является то, что это можно делать из любого места,
локально или удаленно, что делает удаленную работу возможной.
Использование механизмов защиты, предложенных стандартом NISC
от профессионалов ИТ, позволяет применять эти функции для базы
пользователей. После этого пользователи имеют возможность
безопасно входить и взаимодействовать с помощью клиентов SIP
(soft phones), как если бы они располагались в офисе. Такие
производители как Cisco, Mitel, Avaya и многие другие, уже
развернули и продолжают разворачивать решения на базе SIP.
Управление ключами всегда нуждается в особом внимании при
работе с шифрованием, SRTP упрощает процесс управления
ключами, поскольку один главный ключ способен предоставить
ключевой материал для защиты конфиденциальности и целостности,
как для SRTP потока, так и для соответствующего ему SRTCP
потока. В некоторых случаях один основной ключ может защищать
несколько SRTP потоков.
Такие новые протоколы как RSIP (Realm-Specific IP) в
будущем помогут разрешить проблему сложности NAT/IPsec
стандартов. IP Next Layer (IPNL) представляют собой решения,
которые обеспечивают чистый туннель для двух взаимодействующих
узлов. Это сделает будущие взаимодействия более безопасными,
быстрыми и эффективными.
Быстрый совет: При выборе VOIP решения или шлюза
убедитесь, что выбранное вами решение поддерживает H.323.
Сети
Построение безопасной VOIP сети требует понимания
механизмов работы программного и аппаратного обеспечения VOIP,
поскольку существует возможность взлома сети. В целях простоты
гораздо легче будет выделить сеть VOIP в собственную
изолированную сеть, связанную лишь с необходимыми элементами
корпоративной сети посредством таких средств безопасности, как
брандмауэр прикладного уровня. Это позволит быть уверенным в
том, что все точки доступа в сети VOIP будет непросто
использовать, и что механизмы жесткого контроля находятся на
месте для управления потоком трафика между вашей корпоративной
LAN и VOIP сетью.
VPNs между сетями является неотъемлемой частью обеспечения
безопасности рабочего трафика интернета и его целостности.
Беспроводные сети
Беспроводные сети обратили на себя большое внимание в
области безопасности, и тому есть веская причина. Шифрование
VOIP по беспроводной сети является необходимым условием, без
которого взлом сети может быть гарантирован практически на сто
процентов. IPSec является отличной контрмерой при защите
беспроводных сетей. В настоящее время проводятся проекты,
которые концентрируются на безопасности VOIP. К таким проектам
относится Phil Zimmermann’s
zfone project.
Устройства
Устройства и серверы необходимо физически защищать от
несанкционированного использования. Логическая безопасность
тоже очень важна, поскольку в настоящее время решение может
использоваться удаленно. Ваша телефонная учетная запись
представляет собой ресурс, как и прочие данные, и уже
существует масса устрашающих историй о том, как учетные записи
недобросовестно использовались удаленными пользователями. В
силу унифицированного управления идентификацией необходимо
убедиться в том, что ваши пользователи меняют свои пароли на
периодичной основе, согласно описаниям вашей политики
безопасности (административного контроля).
Недавно, в британской телепередаче было показано, как
офисные телефоны были изменены злоумышленниками. В них были
встроены маленькие беспроводные видеокамеры с целью получения
снимков с монитора, содержащих мандаты пользователей.
Еще одной распространенной атакой является подделка сервера
для получения пользовательских мандатов с целью их
последующего использования на подлинном сервере. Контрмерой
такой ситуации является обеспечение физической и логической
безопасности подлинного сервера, при этом сервер должен
аутентифицироваться на ПО пользователя или клиента, прежде чем
пользовать аутентифицируется на сервере.
Обмен сообщениями и хранение
Зачастую должного внимания не уделяется компонентам обмена
сообщениями и хранения в решениях VOIP, в прошлом
распространенной атакой был вход на чью-либо голосовую почту
из удаленного места путем ввода стандартного сетевого пароля
1234 или 0000. Это давало доступ к голосовой почте, и, на
самом деле, элемент удаленного контроля становится возможным
благодаря такой функции. Контрмерой будет принудительная смена
паролей, прежде чем служба будет использоваться, это обеспечит
безопасное функционирование службы. Хранилище также может
подвергнуться атаке, как правило, такие атаки делают решение
уязвимым, эти атаки могут носить как физический, так и
логический характер, поэтому необходимо принимать
соответствующие меры по снижению потенциальных рисков атаки.
Заключение
При рассмотрении безопасности VOIP решения очень важно
соответствовать существующим стандартам, технологии VOIP все
еще находятся в стадии развития, безопасность все еще
подвергается модификациям и не является частью решения в
базовой конфигурации. Если VOIP решение применить правильно,
то в результате можно получить более безопасное, надежное,
эффективное в плане работоспособности и цены решение, которое
будет служить долгие годы.