Реферат на тему Защити свой голос по IP

Алексей Лукацкий

Решения IP-телефонии немыслимы без мер безопасности

IP-телефония постепенно подменяет прежние способы организации телефонной связи. С большой долей уверенности можно предположить, что через пару лет традиционная телефония будет полностью вытеснена своей более современной и функциональной родственницей, работающей по протоколу IP. Это направление по сути не развивается даже традиционными производителями, поскольку все их усилия направлены теперь на IP-телефонию. Впрочем, апологеты дискового антиквариата не спешат инвестировать средства в более современный способ организации телефонной связи, ссылаясь на то, что использовать протокол IP рискованно с точки зрения безопасности.

Действительно, при разработке протокола IP не уделялось должного внимания вопросам информационной безопасности, однако со временем ситуация менялась, и современные приложения, базирующиеся на IP, содержат достаточно защитных механизмов. А уж решения в области IP-телефонии и подавно немыслимы без реализации стандартных технологий аутентификации и авторизации, контроля целостности и шифрования и т. д. Для наглядности рассмотрим эти механизмы по мере того, как они задействуются на различных стадиях организации телефонного разговора, начиная с поднятия телефонной трубки и заканчивая сигналом отбоя.

Телефонный аппарат

С чего начинается обычный телефонный звонок? С поднятия телефонной трубки и набора номера. В IP-телефонии, прежде чем телефон пошлет сигнал на установление соединения, абонент должен ввести свой идентификатор и пароль на доступ к аппарату и его функциям. Такая аутентификация позволяет блокировать любые действия посторонних и не беспокоиться, что чужие пользователи (например, гости компании) будут звонить в другой город или страну за ваш счет.

Установление соединения

После набора номера сигнал на установление соединения поступает на соответствующий сервер управления звонками (в решениях Cisco, например, он называется CallManager), где осуществляется целый ряд проверок с точки зрения безопасности. В первую очередь удостоверяется подлинность самого телефона - как путем использования протокола 8o2.1x, так и с помощью сертификатов на базе открытых ключей, интегрированных в инфраструктуру IP-телефонии. Такая проверка позволяет изолировать несанкционированно установленные в сети IP-телефоны, особенно в сети с динамической адресацией. Явления, подобные пресловутым вьетнамским переговорным пунктам, в IP-телефонии просто невозможны (разумеется, при условии следования правилам построения защищенной сети телефонной связи).

Однако аутентификацией телефона дело не ограничивается необходимо выяснить, предоставлено ли абоненту право звонить по набранному им номеру. Это не столько механизм защиты, сколько мера предотвращения мошенничества. Если инженеру компании нельзя пользоваться междугородной связью, то соответствующее правило сразу записывается в систему управления звонками, и, с какого бы телефона не осуществлялась такая попытка, она будет немедленно пресечена. Кроме того, можно указывать маски или диапазоны телефонных номеров, на которые имеет право звонить тот или иной пользователь.

С чем еще сталкивается рядовой абонент телефонной сети в момент установления соединения? С отсутствием сигнала или голосом автоответчика Телефонная линия перегружена. Первая ситуация возникает в случае дефекта телефонного кабеля или аварии на АТС. Около года назад центр Москвы в течение нескольких дней был лишен телефонной связи по причине пожара на АТС на улице Щепкина. В случае же с IP-телефонией такие проблемы со связью невозможны: при грамотном дизайне сети с резервными соединениями или дублированием сервера управления звонками отказ элементов инфраструктуры IP-телефонии или их перегрузка не оказывает негативного влияния на функционирование сети.

Невидимый функционал

До сих пор. мы рассматривали только те опасности, которым подвержена традиционная телефония и которые могут быть устранены внедрением IP-телефонии. Но переход на протокол IP несет с собой ряд новых угроз, которые нельзя не учитывать. К счастью, для защиты от этих угроз уже существуют хорошо зарекомендовавшие себя решения, технологии и подходы. Большинство из них не требует никаких финансовых инвестиций, будучи уже реализованными в сетевом оборудовании, которое и лежит в основе любой инфраструктуры IР-телефонии.

Самое первое и самое простое, что можно сделать для повышения защищенности телефонных переговоров, когда они передаются по той же кабельной системе, что и обычные данные, это сегментировать сеть с помощью технологии VLAN для устранения возможности прослушивания переговоров обычными пользователями. Хорошая практика использование для сегментов IP-телефонии отдельного адресного пространства (например, из диапазонов, указанных в RFC 1918). И, конечно же, не стоит сбрасывать со счетов правила контроля доступа на маршрутизаторах (Access Control List, ACL) или межсетевых экранах (firewall), применение которых усложняет злоумышленникам задачу подключения к голосовым сегментам.

Механизм VLAN реализуется коммутаторами локальной сети. В зависимости от производителя коммутирующее оборудование позволяет задействовать и множество других механизмов безопасности, уже встроенных в приобретенное сетевое оборудование и повышающих защищенность передачи голосовых данных по протоколу IP:

VLAN ACL (VACL);

DHCP Snooping;

Dynamic ARP Inspection;

IP Source Guard;

Port Security;

Conditional Trust ит. д.

В отличие от традиционной АТС сервер управления звонками в IP-телефонии функционирует под управлением стандартных операционных систем, поэтому ему угрожают все те же опасности, каким подвергаются обычные компьютерные системы: черви, вирусы, шпионское ПО и т. п. Защититься от них помогут традиционные антивирусные средства и персональные системы предотвращения атак. Не верьте, если вам скажут: Наше решение базируется на UNIX, а значит, вирусы ему нипочем. Это миф, выгодный некоторым производителям. Вредоносных программ, грозящих неприятностями узлам UNIX, вполне хватает (например, rootkit).

Общение с внешним миром

Какие бы преимущества IP-телефония ни предоставляла в рамках внутренней корпоративной сети, они будут неполными без возможности осуществления и приема звонков на городские номера. При этом, как правило, возникает задача конвертации IP-трафика в сигнал, передаваемый по телефонной сети общего пользования (ТфОП). Она решается за счет применения специальных голосовых шлюзов (voice gateway), реализующими некоторые защитные функции, а самая главная из них блокирование всех протоколов ТР-телефонии (Н.323, SIP и др.), если их сообщения поступают из неголосового сегмента.

Для защиты элементов голосовой инфраструктуры от возможных несанкционированных воздействий могут применяться специализированные решения межсетевые экраны (МСЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и пограничные контроллеры сеансов (Session Border Controller). Однако не стоит приобретать первое попавшееся устройство, так как протоколы IP-телефонии (например, SIP или RTP) накладывают на их функционал определенные ограничения. В частности, протокол RTP использует динамические порты UDP, открытие которых на межсетевом экране приводит к появлению зияющей дыры в защите. Следовательно, межсетевой экран должен динамически определять используемые для связи порты, открывать их в момент соединения и закрывать по его завершении. Другая особенность заключается в том, что ряд протоколов, например SIP, информацию о параметрах соединения размещают не в заголовке пакета, а в теле данных. Поэтому устройство защиты должно быть способно анализировать не только заголовок, но и тело данных пакета, вычленяя из него все необходимые для организации голосового соединения сведения. Еще одним ограничением является сложность совместного применения динамических портов и NAT.

Некоторые производители выпускают только специализированные защитные шлюзы для обработки трафика VoIP, но, прежде чем приобрести один из них, следует подумать о том, что все равно не удастся обойтись без обычного межсетевого экрана, умеющего анализировать не только протоколы Н.323, SIP и MGCP, но и другие широко распространенные в сетях HTTP, FTP, SMTP, SQL*Net и т. д. Зачем платить дважды? Не лучше ли сразу выбрать МСЭ, который умеет работать и с обычными протоколами и протоколами VoIP?

Заключение

Какие еще аспекты безопасности IP-телефонии заслуживают внимания? Во-первых, необходимо позаботиться о защите административного интерфейса. В обычной телефонии доступ к АТС открывает практически безграничные возможности несанкционированного изменения конфигурации, перехвата звонков и т. п. В развитых серверах управления предусмотрены расширенные функции для наделения системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. Инфраструктура IP-телефонии достаточно разветвленная, поэтому управление ею должно осуществляться по защищенному от несанкционированного доступа каналу, дабы предотвратить любые попытки прочтения или модификации управляющих команд. Для защиты канала могут использоваться различные протоколы SSH, IPSec, SSL, TLS и т. д.

Во-вторых, требуется обеспечить доступность и защиту от атак отказ в обслуживании. С решением этой проблемы помогают справиться как специальные системы защиты от атак DoS и DDoS, так и встроенные в сетевое оборудование механизмы. И, конечно же, нельзя забывать о грамотном дизайне сети, применении резервных соединений, механизмах балансировки нагрузки и т. п.

И наконец, самое главное Для безопасности IP-телефонии - понимание всех рисков, связанных с ней. Только в этом случае можно построить высокоэффективную и недорогую систему защиты голосовых данных, передаваемых по единому кабелю вместе с файлами, электронной почтой и страницами Web. LAN

Список литературы

Журнал LAN 8 2005

Похожие рефераты:

Реферат на тему Четкий голос в пакетах Реферат на тему Обеспечение производительности приложений Доклад: "Последняя миля" оптические решения Доклад: Беспроводной доступ для предприятия Реферат на тему Инженерные аспекты СОРМ Курсовая работа на тему Серверные платформы RISC/UNIX Доклад: Мультисервисные контакт-центры в сетях связи МВД Реферат на тему Частотное регулирование и обеспечение информационной безопасности для оборудования Wi-Fi и WiMAX Реферат на тему Интеллектуальная карта или интеллектуальная платформа: проблема выбора Реферат на тему Серверы младшего уровня Курсовая работа на тему Архитектура и производительность серверных ЦП Реферат на тему Кластерные системы Реферат на тему НМС для серверных системных плат Реферат на тему Нормирование и измерение параметров фидеров проводного вещания Доклад: Стандарты внешней флэш-памяти Курсовая работа на тему Карманные ПК: введение в тему Реферат на тему Сравнение директив безопасности Реферат на тему Сказка о том, как Windows и Linux дружили в одной сети Доклад: Флэш-память: типы и принципы Доклад: WiMAX в России Реферат на тему Строим сеть для видео Реферат на тему Как измерить качество речевой связи Реферат на тему Управление услугами triple play Реферат на тему Симметричный доступ на последней миле Реферат на тему Public Ethernet - широкополосная сеть нового поколения. Взгляд на услуги сквозь призму технологии Реферат на тему Контент-вопрос. Видеоконтент в телекоммуникациях, или Video over Broadband как символ времени Реферат на тему Расцвет БЛВС Реферат на тему Внешняя память компьютера Реферат на тему Характеристики процессора и внутренней памяти компьютера (быстродействие, разрядность, объем памяти и др.) Реферат на тему Функциональная схема компьютера. Основные устройства компьютера и их функции Курсовая работа на тему MatLab Курсовая работа на тему Ethernet Курсовая работа на тему Исторические этапы развития массовых коммуникаций Реферат на тему Flash. Кривые Безье Реферат на тему Технологии 3D-звука Реферат на тему Безопасность www-серверов Реферат на тему Восемь мифов про Java Реферат на тему Основы сканирования изображений Реферат на тему Три способа улучшить юзабилити внешних поисковых серверов Доклад: Логическое проектирование Доклад: Каскадные таблицы стилей Реферат на тему Текстовый процессор Word 7.0 Доклад: Закон Мура Реферат на тему Школа И.С. Брука. Малые и управляющие ЭВМ Доклад: Электронные виды информационных ресурсов в области социально-экономических и гуманитарных знаний (концепция разработки) Доклад: Информация и управление. Обратная связь Доклад: Алгоритм и программа Доклад: Компьютер рисует Доклад: Информатика и информационные технологии Реферат на тему Динамические структуры данных: очереди Реферат на тему Динамические структуры данных: двоичные деревья Реферат на тему Что такое информационная модель, и какие бывают информационные структуры Реферат на тему Компьютерное моделирование Доклад: Сжатие информации Доклад: Статические и динамические информационные модели Реферат на тему Компьютер-связист Доклад: Компьютер и текст Доклад: Как оформляют документы Доклад: Виды программного обеспечения, операционной система Реферат на тему Современные тенденции в развитии интернет-технологий Реферат на тему Подпрограммы (процедуры и функции) Реферат на тему Российский путь в информационные технологии 21 века Реферат на тему Создание баннеров с помощью программы Adobe PhotoShop 7.0 Курсовая работа на тему Организация и применение микропроцессорных систем обработки данных и управления Дипломная работа на тему Создание электронного обучающего комплекса по дисциплине "Инновационный менеджмент" Реферат на тему Зарубежные статистические пакеты: описание, возможности, недостатки, перспективы развития Реферат на тему Микросхемотехника Доклад: Применение контент-анализа в изучении межэтнической напряженности Реферат на тему Проект создания политологического сайта в сети Интернет Доклад: Монитор Доклад: Мышиный король Дуглас: специальность: изобретение чудовищ Доклад: Устройства ЭВМ: КЭШ-память Реферат на тему Лазерный принтер Реферат на тему Проблема критического падения производительности ИТ системы в час пик, при условии нехватки оперативных серверных ресурсов Курсовая работа на тему История возникновения Интернет Доклад: Knowledge blogging Реферат на тему Алгоритм сжатия исторической информации Доклад: Информатика Реферат на тему Экономическая дискриминация и рынок рабочей силы в период индустриализации в нефтяной промышленности Баку Реферат на тему Анализ машиночитаемых документов компьютерными средствами Реферат на тему Отраслевые стандарты исторической науки в информационных технологиях: к постановке проблемы Доклад: Археологический источник и база данных. Выбор модели. Доклад: Десятичные матрицы поиска Реферат на тему Интерактивное исследование неколичественных данных: методика и инструментарий Реферат на тему Структурные методы распознавания сложноорганизованных исторических табличных форм Доклад: Совершенствование концепции обучения в техническом университете на примере подготовки специалистов по САПР Реферат на тему Технология выбора эффективных тактик преподавателя при моделировании процесса обучения Доклад: Некоторые аспекты применения УМК Моделирование цифровых систем на языке VHDL Реферат на тему Некоторые проблемы подготовки специалистов на основе перспективных инфор-мационных технологий Доклад: Бизнес-планирование для Интернет-проекта Реферат на тему О синергетической концепции высшего образования Реферат на тему Проблемы информатизации наукоемких технологий обучения Реферат на тему Информационные технологии как инструмент повышения конкурентоспособности торгового предприятия Реферат на тему Программные средства и приёмы работы на компьютере Реферат на тему О спецкурсе Компьютер для историков философии Реферат на тему Автоматизированные обучающие системы Реферат на тему Контент-анализ Курсовая работа на тему Азы программирования и обучающие программы Реферат на тему Работа с готовыми программными продуктами Реферат на тему Персональный компьютер: углубление знакомства