Больше VOIP, больше безопасности: что нужно сделать для защиты VOIP

Published on Февраль 2, 2009 by   ·   Комментариев нет

Принятие VOIP, кажется, набирает обороты, поскольку интернет трафик и оборудование становится все более доступным, а также в силу того, что устаревающие системы выходят из употребления. ИТ профессионалы становятся экспертами в области телекоммуникаций, и поэтому им необходимо уделять больше внимания VOIP. Этот переход к интегрированным системам передачи голосового трафика (Voice into IT/IS) несет в себе значительное количество моментов безопасности, которые необходимо четко понимать, чтобы иметь возможность применять адекватные контрмеры. В этой статье мы рассмотрим, как применять VOIP решения, не выходя за рамки требований инфраструктуры безопасности, и те трудности, которых можно ожидать при применении VOIP.

VOIP сегодня

По мере развития технологии, цены на решения снижаются, а эти решения оснащаются возрастающим количеством функций; чем больше людей и организаций принимают на вооружение эти решения, тем дешевле и проще применять такие решения. К сожалению, безопасности необходимо время, чтобы поспевать за развитием технологий, и параметры безопасности зачастую модифицируются в решениях с запозданием. Такая ситуация наблюдается в решениях VOIP. В силу всего вышесказанного очень важно разработать инфраструктуру безопасности, которая бы делала применяемое решение безопасным. Сегодняшние компьютерные устройства достаточно мощные для того, чтобы обрабатывать нынешние способы шифрования, а также шифрование будущего, что делает зашифровку возможной.

Аутентификация

Прежде чем пользователи смогут воспользоваться службой VOIP, им нужно будет аутентифицироваться и идентифицировать себя для службы. Это процесс кажется довольно простым, однако существуют определенные факторы, которые необходимо понимать, а также определенные трудности, которые необходимо преодолевать. Механизм аутентификации должен быть структурирован таким образом, чтобы сначала идентифицировалось и аутентифицировалось устройство, а затем пользователь; этого можно добиться путем изоляции любого устройства в карантине перед фазой аутентификации. Как только устройство идентифицировано и аутентифицировано, его можно логически помещать в канал производственной коммуникации VLAN, на сегодняшний день политика безопасности на коммутаторах позволяет использовать шифрование, что означает, что любые мандаты, предоставленные пользователем, могут оставаться в зашифрованном, а, следовательно, в безопасном состоянии.

Когда речь заходит об аутентификации, управление идентификацией тесно взаимосвязано с процессом аутентификации. Использование существующих словарей аутентификации, таких как AD, или других словарей типа LDAP, очень важно. В этом случае инвестиции будут сокращены, а также будет использоваться унифицированный, уже существующий механизм, что будет экономить время и улучшать безопасность. Производители очень стараются, чтобы сделать его безопасным.

Конфиденциальность

Чтобы обеспечить конфиденциальность, техническим средством управления будет шифрование, оно обеспечит безопасность коммуникаций, а также не позволит неавторизированным пользователям вмешиваться в процесс коммуникации. Сложность проявляется тогда, когда трафик проходит через различные шлюзы, которые не контролируются вашей организацией. Вот почему очень важно использовать технологию, которая соответствует стандартам и легко настраивается. Это обеспечит зашифрованное состояние VOIP пакета на протяжении всего периода его существования.

Однако следует остерегаться расширения размера пакета, которое вызовет задержки, это может случиться в ситуации неправильного выбора способа шифрования для режима передачи.

Протоколы

Такие протоколы как RTP, SRTP, ZRTP и MIKEY являются наиболее распространенными в сегодняшнем применении VOIP, они защищаются с помощью AES шифрования (в режиме счетчика).

SIP или протокол инициации сеанса (Session Information Protocol) принимается все большим количеством людей в качестве предпочитаемого VIOP протокола, в начале 2005 я писал статью, в которой рассматривался принцип работы этого протокола, статью можно найти на Session Initiation Protocols and its Functions. Используя SIP клиентов, пользователи смогут создавать идентификацию, связанную с SIP сервером, затем эта идентификация может использоваться для входа на этот сервер и использовать его в качестве шлюза для передачи звонков в обоих направлениях. Удобным является то, что это можно делать из любого места, локально или удаленно, что делает удаленную работу возможной. Использование механизмов защиты, предложенных стандартом NISC от профессионалов ИТ, позволяет применять эти функции для базы пользователей. После этого пользователи имеют возможность безопасно входить и взаимодействовать с помощью клиентов SIP (soft phones), как если бы они располагались в офисе. Такие производители как Cisco, Mitel, Avaya и многие другие, уже развернули и продолжают разворачивать решения на базе SIP.

Управление ключами всегда нуждается в особом внимании при работе с шифрованием, SRTP упрощает процесс управления ключами, поскольку один главный ключ способен предоставить ключевой материал для защиты конфиденциальности и целостности, как для SRTP потока, так и для соответствующего ему SRTCP потока. В некоторых случаях один основной ключ может защищать несколько SRTP потоков.

Такие новые протоколы как RSIP (Realm-Specific IP) в будущем помогут разрешить проблему сложности NAT/IPsec стандартов. IP Next Layer (IPNL) представляют собой решения, которые обеспечивают чистый туннель для двух взаимодействующих узлов. Это сделает будущие взаимодействия более безопасными, быстрыми и эффективными.

Быстрый совет: При выборе VOIP решения или шлюза убедитесь, что выбранное вами решение поддерживает H.323.

Сети

Построение безопасной VOIP сети требует понимания механизмов работы программного и аппаратного обеспечения VOIP, поскольку существует возможность взлома сети. В целях простоты гораздо легче будет выделить сеть VOIP в собственную изолированную сеть, связанную лишь с необходимыми элементами корпоративной сети посредством таких средств безопасности, как брандмауэр прикладного уровня. Это позволит быть уверенным в том, что все точки доступа в сети VOIP будет непросто использовать, и что механизмы жесткого контроля находятся на месте для управления потоком трафика между вашей корпоративной LAN и VOIP сетью.

VPNs между сетями является неотъемлемой частью обеспечения безопасности рабочего трафика интернета и его целостности.

Беспроводные сети

Беспроводные сети обратили на себя большое внимание в области безопасности, и тому есть веская причина. Шифрование VOIP по беспроводной сети является необходимым условием, без которого взлом сети может быть гарантирован практически на сто процентов. IPSec является отличной контрмерой при защите беспроводных сетей. В настоящее время проводятся проекты, которые концентрируются на безопасности VOIP. К таким проектам относится Phil Zimmermann’s zfone project.

Устройства

Устройства и серверы необходимо физически защищать от несанкционированного использования. Логическая безопасность тоже очень важна, поскольку в настоящее время решение может использоваться удаленно. Ваша телефонная учетная запись представляет собой ресурс, как и прочие данные, и уже существует масса устрашающих историй о том, как учетные записи недобросовестно использовались удаленными пользователями. В силу унифицированного управления идентификацией необходимо убедиться в том, что ваши пользователи меняют свои пароли на периодичной основе, согласно описаниям вашей политики безопасности (административного контроля).

Недавно, в британской телепередаче было показано, как офисные телефоны были изменены злоумышленниками. В них были встроены маленькие беспроводные видеокамеры с целью получения снимков с монитора, содержащих мандаты пользователей.

Еще одной распространенной атакой является подделка сервера для получения пользовательских мандатов с целью их последующего использования на подлинном сервере. Контрмерой такой ситуации является обеспечение физической и логической безопасности подлинного сервера, при этом сервер должен аутентифицироваться на ПО пользователя или клиента, прежде чем пользовать аутентифицируется на сервере.

Обмен сообщениями и хранение

Зачастую должного внимания не уделяется компонентам обмена сообщениями и хранения в решениях VOIP, в прошлом распространенной атакой был вход на чью-либо голосовую почту из удаленного места путем ввода стандартного сетевого пароля 1234 или 0000. Это давало доступ к голосовой почте, и, на самом деле, элемент удаленного контроля становится возможным благодаря такой функции. Контрмерой будет принудительная смена паролей, прежде чем служба будет использоваться, это обеспечит безопасное функционирование службы. Хранилище также может подвергнуться атаке, как правило, такие атаки делают решение уязвимым, эти атаки могут носить как физический, так и логический характер, поэтому необходимо принимать соответствующие меры по снижению потенциальных рисков атаки.

Заключение

При рассмотрении безопасности VOIP решения очень важно соответствовать существующим стандартам, технологии VOIP все еще находятся в стадии развития, безопасность все еще подвергается модификациям и не является частью решения в базовой конфигурации. Если VOIP решение применить правильно, то в результате можно получить более безопасное, надежное, эффективное в плане работоспособности и цены решение, которое будет служить долгие годы.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]