БЕЗОПАСНОСТЬ
По мере распространения систем VoIP должны шире применяться и меры по обеспечению их безопасности. К счастью для администраторов ИТ, существует несколько источников информации, способных помочь им в решении этой задачи.
В книге Дэвида Эндлера
и Марка Кольера рассматриваются
связанные с VoIP риски
Например, в книге "VoIP - легкая добыча для взломщиков: Секреты и решения в области передачи голоса по IP" руководитель исследований в области безопасности компании TippingPoint Дэвид Эндлер и главный технолог компании SecureLogix Марк Кольер показывают неотвратимость угрозы атак на VoIP. Они детально описывают, как атакующий может обнаружить, вычислить, прозондировать существующую сеть передачи голоса и при случае получить в нее доступ. Книга представляет собой хорошую отправную точку для приступающих к использованию VoIP, призывая их укрепить безопасность своих сетей.
Администраторы ИТ, особенно те, кто управляет сетями передачи голоса, но не полностью освоился с данной технологией, обязательно должны прочитать эту книгу. При обеспечении стабильности и безопасности своих сетей они, возможно, слишком полагаются на реселлеров.
Кроме того, Эндлер и Кольер разработали несколько инструментов, позволяющих автоматизировать сканирование сетей с учетом специфики передачи голоса и обнаружение попыток вторжения при использовании широко распространенных оконечных устройств и компонентов инфраструктуры VoIP. Эти инструменты, а также рекомендации по противодействию попыткам взлома через Google и базу данных для хранения записей голосовых сообщений можно найти на дополняющем книгу Web-сайте www. hackingvoip.com.
Авторы демонстрируют приемы, которые можно применять для выявления конфигурации сети VoIP. Например, они выяснили, какое оборудование является мишенью тщательно продуманных запросов с использованием поискового механизма Google с целью обнаружения незащищенных IP-телефонов и резюме ищущих работу специалистов с детальным описанием каждого продукта. Далее они демонстрируют методы анализа, применяемые для выявления компонентов VoIP посредством сбора рекламных баннеров, изучения ответов по протоколу SIP (Session Initiation Protocol) при определенных условиях или даже прослушивания автоматически генерируемых вспомогательных сообщений, чтобы определить типовые извещения, заложенные в ту или иную IP-УАТС.
Еще один хороший информационный ресурс представляет собой сайт VoIPSA (Voice over IP Security Alliance, www.voipsa.org) - Ассоциации безопасности VoIP. Она собрала коллекцию полезных инструментов. Например, Threat Taxonomy перечисляет известные виды атак и распределяет их по более широким категориям, таким как социальные угрозы, прослушивание, перехват и модификация. Ассоциация осуществляет рассылку сообщений о накопленном передовом опыте. Рассылка находится в стадии становления, но является весьма многообещающей.
Состояние сети VoIP зависит от состояния сети передачи данных. Помимо соблюдения требований, предъявляемых к пропускной способности и времени задержки, правильное функционирование VoIP в значительной мере зависит от некоторых унаследованных служб для работы с данными. Например, администраторы сети должны задуматься о защите таких служб, как DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol) и TFTP (Trivial File Transfer Protocol). Эти протоколы составляют основу сети. Но о них легко забыть потому, что в большинстве случаев они просто работают.
Учитывая все сказанное выше, важно изолировать голосовой трафик, поскольку зараженные вредоносным кодом ПК или серверы могут использоваться в качестве стартовой площадки для атак против системы передачи голоса, даже если она сама по себе не имеет выхода в Интернет. Заслуживает внимания идея иметь две отдельные виртуальные локальные сети (VLAN) для передачи голоса и данных. Это в определенной мере изолирует компоненты VoIP от других оконечных устройств. Дополнительное преимущество заключается в том, что будет легче обеспечить высокое качество обслуживания (Quality of Service, QoS).
Тем не менее создателям VoIP, возможно, придется принимать трудные решения относительно использования программных IP-телефонов в сети. Ведь компьютеры, на которых они устанавливаются, тоже необходимо будет отделить от сети передачи голоса.
Применение шифрования
Обеспечение безопасности переговоров посредством шифрования (голосового трафика, сигнализации или того и другого) отвергается многими пользователями VoIP по той причине, что их первоочередной целью традиционно было обеспечение качества передачи голоса, а не безопасности переговоров. Множество инструментов, широко применяемых для мониторинга и оценки качества передачи голоса, неэффективны в случае зашифрованных потоков. И конечно, сотрудники ИТ-подразделений не могут записать и проиграть зашифрованные голосовые сообщения, чтобы вручную обеспечить качество звучания.
Однако на подходе несколько новых инструментов, позволяющих оценить качество звука, замеряя показатели, извлекаемые из зашифрованного потока, в частности время задержки и дрожание. Например, на конференции RSA в Сан-Франциско в феврале нынешнего года компания AirMagnet продемонстрировала продукт AirMagnet VoFi Analyzer, который помимо прочего обладает способностью определять значения MOS (Mean Opinion Score) по характеристикам, полученным без непосредственного доступа к содержанию переговоров.
Все упомянутые в статье инструменты помогут закрыть свои системы VoIP. Но если говорить в более широком плане, то им следует глубже знакомиться с тонкостями этого дела. Точно так же, как они научились применять инструменты для оценки и тестирования устойчивости к взлому сетей передачи данных, администраторы должны повышать свою квалификацию, чтобы учитывать все особенности VoIP.
Техническому аналитику Эндрю Гарсиа можно писать по адресу: andrew_garcia@ziffdavis.com.
