Несмотря на солидный возраст технологии VoIP и ее широкое распространение в корпоративном и государственном секторе, использование данной технологии вызывает ряд серьезных проблем, связанных с безопасностью: относительно несложно установить прослушивание VoIP-звонков, относительно несложно изменить содержание VoIP-звонков, система VoIP подвержена DoS-атакам.

Существующие решения проблемы

Использование патентованных (закрытых) аудио кодеков

Некоторые производители предлагают решать вопросы безопасности IP-телефонии путем использования закрытых аудио кодеков. Вся защита строится на том, что злоумышленнику неизвестен алгоритм кодирования звука, но как только алгоритм становится известным, система перестает быть безопасной. Современные тенденции таковы, что большинство производителей использует открытые аудио кодеки. Таким образом, данный способ защиты потерял свою эффективность.

Использование VLAN

При построении системы IP-телефонии принято выделять отдельную сеть VLAN, к которой подключаются все IP-телефоны. Данный способ обладает рядом недостатков:

• Если злоумышленник получит доступ к VLAN системы IP-телефонии, то ему будет доступны для прослушивания все телефонные переговоры.
• Данное решение никак не может обеспечить безопасность системы IP-телефонии, построенной между двумя и более территориально распределенными офисами.

Шифрование и криптографическая аутентификация VoIP

Данный способ обеспечения безопасности на сегодняшний день является наиболее надежным. Защита современных систем IP-телефонии может быть реализована с помощью различных протоколов таких как SRTP, ZRTP и IPSec. Однако, каждый из этих протоколов обладает рядом существенных недостатков:

• SRTP, ZRTP используют «слабую» криптографию — ключи шифрования недостаточной длины или некриптостойкие алгоритмы шифрования.
• IPSec — требует проведения предварительного обмена ключами, часто блокируется различными интернет-провайдерами, в ряде случаев в силу ограничения технологии не позволяет установить защищенное соединение.
• Помимо частных недостатков, все упомянутые способы криптографической защиты IP-телефонии обладают общим недостатком — отсутствие сертификатов ФСБ РФ и ФСТЭК РФ. Из этого следует, что существующие способы защиты IP-телефонии нельзя использовать в государственных учреждениях.

Решение обеспечения безопасности VoIP от ОАО «ИнфоТеКС»

Основой защиты VoIP является VPN-решение ViPNet CUSTOM, которое обладает следующим функционалом:

• Шифрование и фильтрация сигнального и голосового трафика всех участников сети IP-телефонии.
• Обеспечивает беспрепятственное прохождение VoIP-трафика через устройства NAT.
• Поддержка виртуальных адресов, в том числе в протоколах SIP, H.323 и Cisco SCCP (Skinny Client Control Protocol), является решением проблемы пересечения пространства IP-адресов удаленных офисов.

Преимущества

• Позволяет организовать защиту гетерогенных систем IP-телефонии.
• Позволяет организовать защищенное взаимодействие между двумя и более локальными сетями с пересекающейся IP-адресацией без изменения топологии этих сетей.
• Обеспечивает защиту мобильных пользователей IP-телефонии.
• Обеспечивает прохождении VPN-трафика в случае использования NAT или противодействия со стороны провайдера.
• Наличие сертификатов ФСБ и ФСТЭК.

2015. SwitchRay представляет обновленное решение для защиты IP-АТС от фрода

Компания SwitchRay, ведущий поставщик VoIP решений для розничных и оптовых операторов связи, интернет-провайдеров, операторов проводной и беспроводной сети, объявил о доступности новой версии продукта SR-P7000 v1.1 для предотвращения мошенничества на IP-АТС. В отличие от других решений, SR-P7000 v1.1 является независимой и легко совместимой с любым софтсвичом платформой для защиты операторов от потери доходов, вызванной различными формами мошенничества, взломом и прочими нарушениями информационной безопасности.

2013. WebMoney Voice - приложение для безопасной VoIP связи

Платежная система WebMoney выпустила приложение WebMoney Voice (вернее это дополнительный модуль к мобильному клиенту системы), позволяющее проводить безопасные телефонные переговоры через IP-телефонию. WebMoney Voice кодирует данные с использованием специальных алгоритмов и практически исключает возможность перехвата и прослушивания переговоров третьими лицами в любых сетях передачи данных. При этом во время конфиденциального звонка качество звучания голоса собеседника не теряется. За пользование сервисом плата не взимается. В настоящее время приложение доступно для скачивания в Google Play для Android версии 3.0.52 и выше. Планируется выход версий и для других мобильных платформ.

2012. Телфин защищает корпоративные VoIP-коммуникации

Провайдер VoIP-услуг для бизнеса Телфин запустил новый сервис Телфин.VoiceVPN , который предназначен для защиты VoIP-коммуникаций. Дело в том, что технология VoIP предполагает передачу голоса по публичным интернет-каналам, а также в интранете, который не всегда как следует отгорожен от внешней сети. Поэтому, голосовой сигнал может быть перехвачен, и коммерческие секреты - украдены. Телфин.VoiceVPN позволяет и защитить внутреннюю сеть компании от прослушивания, и организовать безопасный канал между отдаленными офисами. Для этого в каждом офисе должен быть установлен VPN-маршрутизатор (который Телфин продает по 3200 руб). Еще 1000 рублей стоит подключение, а потом вы платите абонплату 500 руб/месяц.

2011. БЕЛТЕЛ будет продавать VoIP решения Polycom

Системный интегратор БЕЛТЕЛ объявляет о получении статуса авторизованного реселлера компании Polycom. Полученный статус позволяет компании пополнить свой ассортимент такими продуктами и решениями как аппаратные телефоны для работы с Microsoft Endpoint, голосовые решения на основе IP, а также решениями Video Border Proxy, созданными для предоставления безопасного удаленного доступа к функциям UC, VoIP и Video и обеспечения прохождения мультимедийных данных через корпоративные межсетевые экраны.

2010. PhoneUp повышает безопасность и контролируемость бизнеса

Компания БКС-АйТи представила новый модуль «Приоритет» для своего пакета PhoneUp , расширяющий полномочия определенных групп сотрудников по управлению звонками внутри IP сети, построенной на технологиях Cisco. С помощью нового модуля руководители или сотрудники службы безопасности компании получат возможность прослушивать разговоры путем незаметного подключения к телефону сотрудника, инициировать принудительное соединение с сотрудником (даже если его телефон занят), присоединяться к текущему разговору сотрудника, инициировать запись разговора сотрудника. Кроме нового модуля, пакет PhoneUp включает в себя модули для реализации единого телефонного справочника компании, видеонаблюдения и информирования сотрудников.

2009. WatchGuard XTM обеспечит безопасность IP-телефонии

Важность защиты VoIP коммуникаций от угроз в последнее время заметно растет, и эта тенденция будет только усиливаться, что обусловлено ежегодным ростом объемов VoIP-трафика. Компания WatchGuard Technologies представила новую версию системы обеспечения безопасности корпоративных ip-сетей WatchGuard XTM 8 Series , основными особенностями которой стали инструменты для защиты IP-телефонии. Система обеспечивает защиту VoIP, блокировку приложений мгновенного обмена сообщениями (IM) и P2P-приложений. Особенностью решений WatchGuard XTM 8 Series, кроме того, является обеспечение прикладной защиты для протоколов SIP и H.323, что позволяет маскировать коммерческие VoIP-системы и одновременно укреплять их для отражения атак по сбору директорий, незаконному доступу к проверке вводимых данных и других угроз для VoIP. Решение WatchGuard XTM 8 Series предназначено для крупных компаний, сети которых объединяют от 1 тыс. до 5 тыс. пользователей.

2009. В России проведут спецкурс по безопасности IP-телефонии

Учебный центр «Информзащита» анонсировал спецкурс по безопасности IP-телефонии, посвященный комплексным вопросам анализа защищенности и обеспечения безопасности IP-телефонии. Это уникальный для России курс, в котором рассматриваются современные подходы к построению инфраструктуры IP-телефонии, уязвимости и атаки на ее компоненты, методы защиты, системы мониторинга и методологии анализа защищенности VoIP-сети. Более 50% учебного времени будет отведено на практические работы, в ходе которых моделируются типовые атаки на инфраструктуру IP-телефонии и рассматривается методика использования защитных механизмов. Применяемая в процессе обучения технология виртуализации серверов и рабочих мест позволяет каждому специалисту выполнять практические работы в индивидуальной VoIP-сети. Курс ориентирован на администраторов информационной безопасности, системных и сетевых администраторов, ответственных за эксплуатацию VoIP-приложений, экспертов и аналитиков по вопросам компьютерной безопасности, определяющих требования к защищенности сетевых ресурсов и защите от утечки конфиденциальной информации по техническим каналам.

2009. Евровласти хотят прослушивать Skype

Агентство Евросоюза по координации национальных систем правосудия хочет получить возможность прослушивать системы ip-телефонии, в т.ч. Yahoo Messenger, InternetCalls, Skype. Сейчас деятельность этих voip-провайдеров не регулируется законодательством ЕС и США о прослушивании и хранении данных и, в отличие от телекоммуникационных компаний, они не обязаны сотрудничать с правоохранительными органами. К тому же, шифрование связи, например в Skype, практически делают невозможным его "насильное" прослушивание. В ближайшие недели состоится встреча законодателей стран ЕС по данному вопросу

2008. Cisco защитит унифицированные коммуникации

SIP-защита для унифицированных коммуникаций состоит в использовании протокола SIP в межсетевом экране Cisco IOS Firewall для защиты голосовой связи. Это новшество позволит компаниям принять концепцию распределенного предприятия, повысить производительность труда и минимизировать угрозы, связанные с передачей голоса. Это обновление превращает сетевые решения CISCO Self-Defending Network (самозащищающаяся сеть) в более широкое системное решение, обеспечивающее общую защиту сетей, а также самых разных оконечных устройств, приложений и контента.

2007. VoIP трудно прослушать

Широкое распространение VoIP-услуг приносит проблемы различным спецслужбам. Телефонные звонки по Skype практически невозможно отследить и прослушать, а если используется VPN, то задача усложняется в несколько раз, пишет Australian IT. Быстрое увеличение операторов IP-телефонии и появление доступных способов шифрования данных означает, что времена простого прослушивания телефонных разговоров прошли. Спецслужбы ведут работу в этом направлении, привлекая специалистов и расширяя свои технические возможности. Однако, размер оплаты труда таких специалистов и стоимость оборудования слишком высоки. В этом случае у правительства появляется искушение ввести правила, обязывающие VoIP-провайдеров использовать упрощенные технологии, что, в конечном итоге, может привести к ослаблению сетевой безопасности.

2007. Cisco: профессионалы ИТ-безопасности не боятся VoIP

Опрос, проведённый Vanson Bourne по заказу Cisco, показал, что вирусы стоят на первом месте в списке наиболее важных угроз. В 2007 году первенство им присвоили 55% опрошенных (против 27% в 2006). Несанкционированный доступ к данным назвали главной угрозой 33%, против 50% в прошлом году. Заботой номер один 38% профессионалов ИТ-безопасности назвали сохранность данных, а 33% - необходимость привести процессы в соответствие требованиям регулирующих органов. Ни один из респондентов не выразил «сильной озабоченности» по поводу безопасности VoIP, Asterisk или унифицированных систем связи (интернет плюс проводная связь). При этом половина (49%) согласилась, что при развёртывании IP-коммуникаций необходимо принимать во внимание соображения безопасности. Опрос был проведён среди 100 профессионалов ИТ-безопасности, отвечающих за защиту информации в своих компаниях со штатом более 1 тыс. человек.

2007. Компания Skype стремится повысить безопасность своего ПО

Популярный оператор пиринговой IP-телефонии Skype планирует заключить соглашение о сотрудничестве с компанией, специализирующейся на защите сетей мгновенных сообщений, FaceTime Communications. По данным информационного издания Silicon, Skype таким образом попытается дать больше инструментов контроля над сеансами IP-телефонии с тем, чтобы продвинуть свои услуги в бизнес-секторе. Ожидается, что за этим соглашением последуют ряд других, аналогичных сделок. Намерение Skype сделать свое ПО общедоступным инструментом делового общения, потребовало изменить отношение к проблемам IT-менеджеров предприятий, которые оказались не в состоянии контролировать трафик популярной телефонной системы. По официальным данным Skype приблизительно 30% из 171 млн. зарегистрированных пользователей принадлежат миру бизнеса.

2007. Специалисты по безопасности продолжают пугать будущими проблемами с IP-телефонией

Компании, специализирующиеся на обеспечении безопасности работы компьютеров в сетях, продолжают пугать мировое сообщество потенциальными угрозами, которые вскоре обрушатся на головы многочисленных пользователей IP-телефонии. Отсутствие давно обещанных проблем объясняют недостаточно серьезным развитием этого вида связи, но, опираясь на данные исследований, утверждающих, что к 2010 году число IP-телефонов в бизнесе вырастет более чем в 4 раза, специалисты по безопасности утверждают, что большинство фирм просто не готово к атакам на их VoIP-сети, пишет The Register. При этом производители систем защиты не скрывают, что находятся в ожидании стремительного роста рынка систем безопасности для IP-телефонии, и свои мрачные прогнозы объясняют желанием предупредить об опасности потенциальных клиентов заранее. Специалисты Symantec считают, что главные трудности VoIP-систем будут связаны с фишингом (phishing), Panda Software опасается распространения "червей" через трафик VoIP-модулей IM-клиентов или систем наподобие Skype, а представители ScanSafe утверждают, что VoIP-сети будут особо уязвимы для DoS-атак.

2006. Американские эксперты создают партнерскую группу по безопасности VoIP

Группа американских академиков и промышленных экспертов была недавно создана, чтобы исследовать проблемы безопасности, связанные с технологией VoIP. В партнерскую группу вошли Georgia Tech Information Security Center (GTISC), BellSouth и Internet Security Systems (ISS). Услуги связи переходят на интернет-платформы и значение безопасности повышается в условиях применения новых конвергентных технологий. Исследователи планируют проводить анализ защиты VoIP-протоколов и проблем с аутентификацией, заниматься моделированием VoIP-трафика и поведения устройств, защитой мобильных телефонов и VoIP-приложений. ISS и BellSouth предоставили 300 тыс. долларов на двухлетнюю исследовательскую программу, которая даст возможность GTISC разрабатывать и оценивать решения защиты, а ISS и BellSouth будут иметь доступ к результатам этих исследований.

2006. Session border controller поможет в защите VoIP

Развитие услуг IP-телефонии поднимает со всей остротой новый вопрос, имеющий корни в старых проблемах: о безопасности VoIP. Специалисты предсказывают, что уже к середине 2007 года взлом и вирусные атаки VoIP-сетей будут обычным делом, что не может не тревожить разработчиков VoIP-решений и поставщиков VoIP-услуг. Впрочем, некоторую базовую защиту можно организовать еще на уровне архитектуры сети, используя пограничные контроллеры сессий (session border controllers - SBC), способные предотвращать DDoS-атаки, распространение SPIT (Spam over internet telephony) и вирусных эпидемий, а также вести непрерывное шифрование трафика. Изначально SBC использовались для организации сеансов VoIP-связи позади NAT. Сегодня они умеют выполнять массу защитных функций, благодаря способности исследовать содержимое пакетов в режиме реального времени. В сети контроллеры пограничных сессий скрывают реальный адрес пользователя, что минимизирует возможности DDoS-атаки или взлома, контролируют полосу пропускания, поддерживают QoS, скрывают топологию соседних сетей. В сетях следующих поколений, SBC станет существенным элементом безопасности, наряду с гибкостью и масштабируемостью, отличающийся надежностью и простотой.

2006. Новое шифрование для VoIP на платформе Windows

Новая технология криптографической защиты, позволяющая защитить сеанс VoIP-связи между двумя узлами без обращения к третьей стороне или отдельного хранения ключей, разработана Филом Циммерманом (Phil Zimmermann), легендарным автором ПО шифрования данных PGP. Циммерман заявил, что разработанный им протокол подходит для использования с любой телефонной системой, поддерживающей SIP. С учетом того, что новая версия Zfone работает с Windows, у массового пользователя системами пиринговой IP-телефонии появляется возможность основательно обезопасить свою связь. Технология представлена для утверждения в Internet Engineering Task Force (IETF).

2006. VoIP безопаснее обычной телефонии

При переходе от сетей TDM к VoIP поставщики обслуживания столкнулись с достаточно серьезной проблемой – обеспечением безопасности голосовой связи. Телефонная сеть больше не была изолированной и плохо спроектированная VoIP-система легко могла стать жертвой любой, типичной для интернета, напасти: от DoS-атаки до перехвата данных. К настоящему времени технологий, разработанных для решения этой проблемы, накопилось достаточно для того, чтобы говорить о возможности достижения большей безопасности IP-телефонии по сравнению с обычной телефонной сетью, пишет в своей статье, размещенной в информационном издании Converge, директор по маркетингу компании AudioCodes, Haim Melamed. При этом безопасность отнюдь не какое-то новое понятие для систем телефонии. Для обычных телефонных сетей все нынешние проблемы от прослушивания до отказа в обслуживании также были, в той или иной мере, актуальны. Просто подключение к глобальной сети резко увеличило число потенциальных злоумышленников, получивших возможность произвести несанкционированное действие по отношению к системе связи и обладающих обширным набором отработанных средств. Ранее для этого требовался физический доступ и специальное оборудование, что резко ограничивало число потенциальных преступников.

2006. NetIQ запускает средство защиты VoIP от взлома

Компания NetIQ обнародовала решение защиты VoIP (VoIP Security Solution), которое работает с IP-телефонией от Cisco и защищает от DoS, вирусов, червей, мошенничества с оплатой услуг, подслушивания и других угроз, сообщает NetworkWorld. Новый инструмент дает возможность администраторам иметь в своем распоряжении информацию в режиме реального времени о работе системы, ее доступности и предупреждает о любых угрозах защиты. Решение включает AppManager, который осуществляет мониторинг VoIP-окружения на предмет событий безопасности и изменений конфигурации. AppManager Call Data Analysis исследует записи о неправильных звонках и генерирует отчет, Security Manager for IP Telephony регистрирует и анализирует события защиты. Продажи VoIP Security Solution начнутся позже в этом квартале, стоимость решения рассчитывается исходя из 6 $ за один IP-телефон.

2005. VPN для IP-телефонии от Avaya

Компания Avaya внедрила службу VPN в свое семейство оборудования IP-телефонии. Это позволит бизнес-пользователям безопасно расширить связь своего головного офиса для служащих, работающих дома или временно работающих в небезопасном сетевом окружении. Интеграция нового программного обеспечения VPNremote c IP-телефоном обеспечит служащих связью бизнес класса, которая содержит все функции, необходимые для высокопроизводительных и непрерывных коммуникаций на предприятии. Решение VPNremote для IP-телефонов Avaya 4600 позволяет быстро и рентабельно устанавливать настольные IP-телефоны в домашних или удаленных офисах. Необходимо только, чтобы администратор загрузил программное обеспечение в IP-телефон, а служащий самостоятельно включил его в электрическую розетку, подсоединил к домашнему широкополосному роутеру и ввел пароль.

2005. VoIPShield выпускает инструмент оценки риска использования VoIP систем

Компания VoIPShield System выпустила новое решение оценки уязвимости систем VoIP (таких как Asterisk), которое позволяет организациям предотвращать угрозы прежде, чем они затронут VoIP услуги. Основанный на базе данных угроз, сервис VoIPaudit является всесторонним и масштабируемым. Он может применяться для мониторинга семейства протоколов VoIP, включая протокол установления сеансов (SIP), протокол H.323, протокол Cisco Skinny, протокол Nortel Unistim и др. Коммуникации VoIP являются критическими, и VoIPaudit предлагает беспрецедентный уровень защиты для всего оборудования и устройств в VoIP сети. VoIPaudit предлагается сегодня, по цене от 10 000 $, включающей обучение и поддержку.

2005. VoIPSA делает первые шаги

После начала своей работы в этом году, организация занимающаяся проблемами безопасности IP-телефонии, Voice over IP Security Alliance (VoIPSA), сделала первый серьезный шаг в деле защиты VoIP-услуг: внятно определила список проблем и уязвимостей, которые могут эксплуатироваться злоумышленниками. Проект, называемый VoIP Security Threat Taxonomy, выложен для открытого обсуждения. В нем всесторонне и детализировано даются определения и описания потенциальных угроз безопасности, что является базой для создания систем противодействия, пишет Computer Business. Несмотря на то, что организации известны факты серьезных атак с использованием уязвимостей VoIP довольно простыми средствами, конкретные примеры руководитель VoIPSA Джонатан Зар (Jonathan Zar) приводить отказывается. В списке потенциальных проблем фигурируют разведка, DoS и DDoS-атаки, использование уязвимостей протокола, подслушивание, удаление и модификация звуковых потоков.

2005. Компания Juniper обеспечивает безопасность VoIP

Компания Juniper Networks Inc. анонсировала систему Dynamic Threat Mitigation, позволяющую поставщикам услуг предоставить предприятиям и частным пользователям расширенную защиту сетевых сервисов и гарантировать предоставление услуг, включая VoIP. Система встраивается в маршрутизаторы Juniper (серии М или серии Е), не требуя установки нового оборудования у клиентов. Решение позволяет идентифицировать нападения по пользователю или по приложению, используя динамическое управление политиками и методы обнаружения и предотвращения вторжений (DoS атаки, проникновение червей). Учитывая большое количество услуг, предоставляемых по IP сетям, использование системы Dynamic Threat Mitigation является естественным и прогрессивным шагом.

2005. Безопасность VoIP окажется под серьезной угрозой через два года

Злоумышленники будут представлять угрозу для IP-телефонии со специальным спамом и вирусами уже через два года. Об этом заявили представители известного изготовителя телекоммуникационного оборудования, компании Nortel. Причем компании, использующие в своей деятельности VoIP, видеоконференцсвязь и другие мультимедийные услуги на базе сетевых технологий, должны готовиться к следующему этапу защиты своей инфраструктуры уже сейчас, пишет информационное издание Silicon. Вице-президент компании, Atul Bhatnager, заявил, что пока вмешательство в работу VoIP-обслуживания скорее экзотика, но хакеры быстро набираются опыта и в дальнейшем пользователи IP-телефонии столкнуться с теми же проблемами, что присущи, из-за злоумышленников, обычным сетям передачи данных: спам и DoS-атаки. Правда, двух лет вполне достаточно, чтобы подготовиться и развернуть достаточно защитных систем, способных к глубокому анализу пакетов данных.

2005. Motorola+Skype

Компания Motorola и фирма Skype Technologies, поставщик услуг интернет-телефонии, подписали соглашение о сотрудничестве, о чем было объявлено на проходящем в Каннах конгрессе 3GSM. На первом этапе сотрудничества компании будут вести совместные разработки новых оптимизированных продуктов серии Motorola Skype Ready для IP-телефонии. В продуктовую линейку войдут гарнитура с интерфейсом Bluetooth, устройства громкой связи и аппаратные средства защиты программного обеспечения и данных от несанкционированного доступа. Кроме того, Motorola планирует выпустить ряд моделей мобильных телефонов с функциями интернет-телефона. Трубки будут оснащены ПО для IP-телефонии, разработанным компанией Skype, что позволит телефонам взаимодействовать как с сотовыми сетями, так и с сетями Wi-Fi. Партнерство компаний позволит сделать доступным сервис голосового общения через интернет не только пользователям персональных компьютеров и наладонников. Возможность звонить в любую точку мира, не беспокоясь об огромных счетах за оплату услуг связи, получат и владельцы новых мобильных телефонов Motorola.

2004. Cisco CallManager 4.1: Беспрецедентный уровень безопасности

Компания Cisco Systems объявляет о выпуске новых средств защиты для систем IP-связи. Новое решение - Cisco CallManager 4.1 - обеспечивает повышенный уровень безопасности голосовой связи и в очередной раз подверждает лидерство Cisco в области IP-технологий. Cisco CallManager 4.1 поддерживает шифрование голосовых данных в новых моделях IP-телефонов Cisco 7940G и 7960G, а также более чем в 2,5 млн. уже установленных IP-телефонов Cisco 7940G и 7960G. Шифрование голосовых данных гарантирует неприкосновенность тайны телефонных переговоров, а шифрование информации о сигналах защищает от манипуляций с пакетами телефонной сигнализации. Программное обеспечение Cisco CallManager 4.1 взаимодействует с широким спектром медиашлюзов Cisco, в том числе с семейством Integrated Services Router. Поддержка шифрования информации для медиашлюзов Cisco дополняет мощные средства Voice over Virtual Private Network (V3PN) и средства защиты от угроз, которые уже содержатся в этих платформах.

2002. Вышла новая версия Avaya IP Office 1.3

Компания Avaya представила новую версию своего VoIP решения для малого среднего бизнеса Avaya IP Office 1.3 . Avaya IP Office Release 1.3 включает в себя новое программное и аппаратное обеспечение, отвечающее разнообразным требованиям бизнеса. ПО увеличивает возможности системы, которая может поддерживать более широкий спектр IP-телефонов Avaya, повышает ее защиту и обеспечивает больше сетевых функций. Новое версия позволяет обслуживать до 256 пользователей и поддерживает до двух одновременных конференций (до 64 участников в каждой) или большее число конференций с меньшим числом участников на расширенной аппаратной платформе. Средства защиты предусматривают специальные режимы конференций и управление доступом с помощью PIN-кодов. VoiceMail Pro позволяет автоматизировать набор номера (вызов по имени). Имеются также функции интерактивного голосового меню (IVR) с открытым API интерфейсом.

2002. Avaya представила новое решение для IP телефонии через VPN

Компания Avaya выпустила новую версию решения Avaya VPNremote с расширенной поддержкой открытых сетевых стандартов. Новое решение позволит компаниям быстро и эффективно организовать доступ удаленных сотрудников ко всем возможностям связи, которыми пользуются в офисах организации. IP телефоны Avaya на базе новой версии VPNremote позволяют удаленным сотрудникам работать в сетях Cisco Systems и Juniper Networks. Новые функции Avaya VPNremote для IP телефонов обеспечивают высокий уровень контроля и качества связи. Avaya VPNremote 2.0 – программное решение, дополняющее IP-телефоны Avaya возможностями защищённого доступа в виртуальные частные сети (VPN). Таким образом, удаленные сотрудники компаний получают возможность работы в корпоративной сети с высоким качеством связи. Новая версия Avaya VPNremote поддерживает VPN-среды компаний Cisco Systems и Juniper Networks.

2001. PGPfone - защищенный разговор через VoIP и IM

PGPfone - это программа, которая превращает ваш персональный компьютер или ноутбук в защищенный телефон. Для того, чтобы предоставить возможность вести защищенные телефонные разговоры в реальном времени (по телефонным линиям и каналам Интернет) в нем используется технология сжатия звука и стойкие криптографические протоколы. Звук вашего голоса, принимаемый через микрофон, PGPfone последовательно: оцифровывает, сжимает, шифрует и отправляет тому, кто находится на другом конце провода и также использует PGPfone. Все криптографические протоколы и протокол сжатия выбираются динамически и незаметно для пользователя, предоставляя ему естественный интерфейс, подобный обычному телефону. Для выбора ключа шифрования используются протоколы криптографии с открытым ключом, так что предварительного наличия защищенного канала для обмена ключами не требуется.

IP-телефония все чаще и чаще начинает применяться в компаниях. Она повышает эффективность ведения бизнеса и позволяет осуществлять многие до этого невозможные операции (например, интеграцию с CRM и другими бизнес-приложениями, снижение издержек на построение и эксплуатацию телекоммуникационной инфраструктуры, создание эффективных Call-центров, снижение совокупной стоимости владения системой и т.п.). Однако, активное развитие IP-телефонии сдерживается тем, что вокруг этой технологии циркулирует много слухов о ее низкой безопасности. Компания Cisco Systems доказала, что это не так и данная публикация призвана развенчать сложившиеся мифы о незащищенности IP-телефонии.

Сразу надо заметить, что Cisco - единственный производитель, обеспечивающий защиту инфраструктуры IP-телефонии на всех ее уровнях, начиная от транспортной среды и заканчивая голосовыми приложениями. Это достигается внедрением решений в рамках инициативы Cisco Self-Defending Network. Высокий уровень защищенности решений Cisco Systems подтверждается и независимыми тестовыми лабораториями. В частности, журнал NetworkWorld (http://www.nwfusion.com/reviews/2004/0524voipsecurity.html) протестировал несколько решений по IP-телефониии и только решению Cisco присвоил максимально возможный рейтинг "SECURE" («защищенный»).

1. IP-телефония не защищает от подслушивания разговора

Решения IP-телефонии компании Cisco используют несколько технологий и механизмов, обеспечивающих конфиденциальность проводимых . Во-первых, это выделение голосового трафика в выделенный сегмент сети и разграничение доступа к голосовому потоку путем использования правил контроля доступа на маршрутизаторах и межсетевых экранах. Во-вторых, весь голосовой трафик может быть защищен от несанкционированного прослушивания с помощью технологии построения виртуальных частных сетей (VPN). Протокол IPSec позволяет защитить телефонный разговор, осуществляемый даже через сети открытого доступа, например, Интернет. И, наконец, компания Cisco реализовала в своих IP-телефонах специально разработанный для обеспечения конфиденциальности голосового потока протокол SecureRTP (SRTP), не позволяющий посторонним проникнуть в тайну телефонных переговоров.

2. IP-телефония подвержена заражению червями, вирусами и троянцами

Для защиты инфраструктуры IP-телефонии от заражения различными вредоносными программами компания Cisco предлагает целый ряд защитных мер, позволяющих построить эшелонированную оборону, препятствующую не только внедрению, но и распространению червей, вирусов, троянских коней и других типов вредоносной активности. Первой линией обороны является применение межсетевых экранов и систем обнаружения и предотвращения атак, наряду с антивирусами компаний-партнеров компании Cisco, для разграничения доступа к инфраструктуре IP-телефонии.

Вторая линия обороны строится на использовании антивирусов и систем предотвращения атак на оконечных узлах, участвующих в инфраструктуре IP-телефонии - Cisco IP SoftPhone, Cisco CallManager, Cisco Unity, Cisco IP Contact Center (IPCC) Express, Cisco Personal Assistant, Cisco IP Interactive Voice Response и т.д.

Последняя по счету, но не последняя по важности линия обороны - инициатива Network Admission Control, предложенная компанией Cisco Systems. В рамках этой инициативы все несоответствующие политике безопасности (в т.ч. и с неустановленным антивирусным программным обеспечением) рабочие станции и сервера не смогут получить доступ к корпоративной сети и нанести ущерб ее ресурсам.

3. IP-телефония не защищает от подмены телефонов и серверов управления

Для защиты от устройств, пытающихся замаскироваться под авторизованные IP-телефоны или несанкционированно подключенных к сетевой инфраструктуре, компания Cisco предлагает использовать не только уже упомянутые выше правила контроля доступа на маршрутизаторах и межсетевых экранах, но и развитые средства строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления Call Manager), для подтверждения подлинности которых используются различные стандартизированные протоколы, включая RADIUS, сертификаты PKI Х.509 и т.д.

4. Злоумышленник с административными правами может нарушить функционирование инфраструктуры 1Р-телефонии

В CallManager предусмотрены расширенные возможности по наделению различных системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. К таким правам могут быть отнесены - доступ к конкретным настройкам только на чтение, полное отсутствие доступа к ним, доступ на изменение и т.д.). Кроме того, все производимые администратором действия фиксируются в специальном журнале регистрации и могут быть проанализированы в любой момент в поисках следов несанкционированной активности.

Управление конфигурацией IP-телефонов и взаимодействие их с CallManager осуществляется по защищенному от несанкционированного доступа каналу, предотвращая любые попытки прочтения или модификации управляющих команд. Для защиты канала управления используются различные стандартизованные протоколы и алгоритмы - IPSec, TLS, SHA-1 и т.д.

5. CallManager незащищен, потому что установлен на платформе Windows

Несмотря на то, что сервер управления инфраструкторой IP-телефонии CallManager установлен на платформе Windows, он не имеет присущих этой платформе слабых мест. Это связано с тем, что CallManager работает под управлением защищенной и оптимизированной версии Windows в которой:

• отключены все ненужные сервисы и учетные записи,
• установлены все необходимые и регулярно обновляемые «заплатки»,
• настроена политика безопасности.

Кроме того, CallManager дополнительно защищается специальными скриптами, входящими в дистибутив и автоматизирующими процесс повышения уровня защищенности сервера управления инфраструктурой IP-телефонии. Дополнительный уровень защиты CallManager от вирусов, червей, троянских коней и других вредоносных программ и атак достигается за счет применения антивируса (например, McAfee) и системы предотвращения атак Cisco Secure Agent, которые блокируют все попытки злоумышленников вывести из строя основной компонент сегмента IP-телефонии.

6. IP-телефонию легко вывести из строя

Несмотря на то, что различные компоненты IP-телефонии потенциально подвержены атакам «отказ в обслуживании», решения компании Cisco Systems предлагают целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать как встроенные в сетевое оборудование механизмы обеспечения информационной безопасности, так и дополнительные решения, предлагаемые компанией Cisco Systems:

• Разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в «голосовом» участке распространенных атак, в т.ч. и DoS.
• Применение специальных правил контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты.
• Применение системы предотвращения атак на узлах Cisco Secure Agent.
• Применение специализированной системы защиты от DoS и DDoS-атак Cisco Guard и Cisco Traffic Anomaly Detector.
• Применение специальных настроек на сетевом оборудовании Cisco, предотвращающих подмену адреса, часто используемую при DoS-атаках, и ограничивающих полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

7. К IP-телефонам можно осуществить несанкционированный доступ

Сами IP-телефоны содержат целый ряд специальных настроек, препятствующих несанкционированному доступу к ним. К таким настройкам можно отнести, например, доступ к функциям телефона только после предъявления идентификатора и пароля или запрет локального изменения настроек и т.д.

С целью предотвращения загрузки на IP-телефон несанкционированно модифицированного программного обеспечения и конфигурационных файлов, их целостность контролируется электронной цифровой подписью и сертификатами Х.509.

8. CallMananger можно перегрузить большим числом звонков

Максимальное число звонков в час на один сервер CallManager составляет до 100000 (в зависимости от конфигурации) и это число может быть увеличено до 250000 при использовании кластера CallManager. При этом в CallManager существуют специальные настройки, ограничивающие число входящих звонков необходимым значением. Кроме того, в случае потери связи с одним из CallManager"ов возможна автоматическая перерегистрация IP-телефона на резервном CallManager, а также автоматическая смена маршрута звонка.

9. В IP-телефонии легко совершить мошенничество

Сервер управления инфраструктурой IP-телефонии CallManager содержит ряд возможностей, позволяющих снизить вероятность осуществления телефонного мошенничества в зависимости от его типа (кража услуг, фальсификация звонков, отказ от платежа и т.п.). В частности, для каждого абонента можно:

• заблокировать звонки как на определенные группы номеров, так и с них,
• заблокировать возможность переадресации звонков на различные типы номеров -городские, мобильные, междугородние, международные и т.д.,
• отфильтровывать звонки по различным параметрам,
• и т.д.

При этом все эти действия осуществляются независимо от того, с какого телефонного аппарата абонент осуществляет звонок. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не проходит процесс подтверждения своей подлинности, то он может звонить только по заранее определенному списку телефонных номеров, например, в скорую помощь, милицию или внутренний отдел поддержки.

10.Традиционная телефония более защищена, чем IP-телефония

Это самый распространенный миф, который существует в области телефонии. Традиционная телефония, разработанная десятилетия назад гораздо менее защищена новой и более совершенной технологии IP-телефонии. В традиционной телефонии гораздо легче осуществить подключение к чужому разговору, подмену номера, «наводнение» звонками и множество других угроз, некоторым из которых нет аналогов в IP-телефонии (например, war dialing). Защита традиционной телефонии обеспечивается гораздо более дорогими средствами и механизмами, чем в IP-телефонии, в которой эти средства встроены в сами компоненты этой технологии. Например, для защиты от прослушивания традиционное использует специальные устройства - скремблеры, централизованное управление которыми невозможно; не говоря уже стоимости их приобретения и установки перед каждым телефонным аппаратом.

Код курса БТ19, 2 дня

Статус

Аннотация

Курс посвящен комплексным вопросам анализа защищенности и обеспечения безопасности IP-телефонии (Voice over IP (VoIP) -- системы связи, обеспечивающей передачу речевого сигнала по сети Интернет или по любым другим IP-сетям).Подробно рассматриваются современные подходы к построению инфраструктуры IP-телефонии и ее защита, уязвимости и атаки на ее компоненты. Особое внимание уделяется системам мониторинга и методологии анализа защищенности VoIP-сети.

Более 50% учебного времени уделяется практическим работам по анализу защищенности и настройке компонентов VoIP в соответствии с требованиями безопасности как небольших организаций, так и предприятий с развитой филиальной сетью и территориально распределенными пользователями.

В курсе использованы материалы и рекомендации таких компетентных в области информационной безопасности международных организаций как European Telecommunications Standards Institute (ETSI), International Telecommunication Union (ITU), Voice over IP Security Alliance (VOIPSA) и ряда других.

Применяемая в процессе обучения технология виртуализации серверов и рабочих мест позволяет каждому специалисту индивидуально выполнять практические работы в индивидуальной VoIP-сети. Коллективная работа специалистов осуществляется с применением программных и программно-аппаратных телефонов.

Аудитория:

• Системные и сетевые администраторы, ответственные за эксплуатацию VoIP-приложений
• Администраторы информационной безопасности
• Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов и защите от утечки конфиденциальной информации по техническим каналам.

Предварительная подготовка

• Базовые знания по IP-сетям, основным протоколам и службам стека TCP/IP
• Навыки работы с ОС Windows 2003/2008 и Linux

Вы можете проверить свои знания протоколов стека TCP/IP, запросив в Учебном центре тест для самопроверки.

• БТ05 « »
• БТ03 « »

По окончанию обучения

Вы приобретете знания:

• о современных механизмах и средствах защиты VoIP-сетей
• об уязвимостях протоколов и служб VoIP: SIP, H.323, RTP
• о применении защищенных протоколов TLS, SRTP

Вы сможете:

• применять сетевые анализаторы для мониторинга трафика
• проводить анализ защищиты VoIP-сетей
• обеспечивать безопасное функционирование IP-телефонии и конференцсвязи

Пакет слушателя

• Фирменное учебное пособие
• Версии основных рассматриваемых в курсе средств защиты, дополнительная и справочная информация по тематике курса в электронном виде

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

• Основные понятия и определения VoIP. Терминология. Архитектуры VoIP и их составляющие. Качество передачи речевой информации. Кодеки.
• Основные протоколы VoIP . Архитектура. Анализ протоколов VoIP. Сетевой анализатор Wireshark.
• Уязвимости и атаки на VoIP. Классификация уязвимостей IP-телефонии.
• Инвентаризация VoIP сети. Инвентаризация VoIP приложений. Инвентаризация пользователей.
• Перехват VoIP-трафика . Нарушение маршрутизации. Атака «человек посередине».
• Манипулирование в системах VoIP. Удаление регистрации абонентов. Несанкционированная регистрация. Перехват регистрации.
• Атаки на протокол передачи трафика реального времени RTP (Real-Time Protocol). Микширование речевых сигналов.
• Спам в VoIP-сетях. Организация спама при помощи Asterisk.
• Механизмы обеспечения безопасности IP-телефонии. Уровни информационной инфраструктуры корпоративной сети. Концепция глубокоэшелонированной защиты. Обзор механизмов и средств защиты сетей.
• Планирование защищённой сетевой инфраструктуры IP-телефонии. Выбор местоположения VoIP сервера в сети. Обеспечение сетевой безопасности VoIP сервера. Конфигурирование межсетевого экрана. Использование систем обнаружения атак. Настройка сетевого оборудования.
• Анализ защищенности VoIP. Методология. Системы анализа защищённости. Варианты классификации. Архитектура и принципы работы сканеров. Программа SiVuS (SIP Vulnerability Scanner).
• Криптографическая защита в VoIP сетях. Криптографические методы защиты информации. Виртуальная частная сеть. Общие принципы построения VPN. Управление ключами. Модель инфраструктуры открытых ключей. Формат сертификатов открытых ключей X.509. Использование TLS (Transport Layer Security), SRTP (Secure Real-time Transport Protocol). Настройка Asterisk.
• Аппаратно-программный комплекс шифрования «Континент». Создание VPN на основе АПКШ "Континент". Применение АПКШ «Континент» для защиты VoIP.
• Office Communication Server. Архитектура. Варианты использования. Установка и настройка Office Communication Server.

Итоговый зачет

Практические аспекты защиты корпоративной сети IP-телефонии

С IP-телефонией, как и любой новой технологией, связано множество различных мифов, слухов и домыслов, мешающих ее повсеместному распространению. Многие из них касаются безопасности IP-телефонии. Апологеты традиционной телефонии утверждают, что коль скоро в технологии VoIP в качестве среды передачи используется протокол IP, то к ней применимы и все сетевые атаки, а следовательно, IP-среда для передачи голосового трафика не подходит. С одной стороны, они правы: атаки действительно возможны. Однако аналогичные атаки (прослушивание, фальсификация абонента и другие) применимы и к традиционной телефонии (см. врезку "Стоимость перехвата информации..."). Более того, в случае с традиционной телефонией реализовать эти атаки гораздо проще, а обнаружить и локализовать - намного сложнее. А по стоимости защиты обычные телефонные переговоры отличаются от более современной IP-телефонии на несколько порядков (в худшую сторону). Но, конечно же, чтобы новая технология позволила обмениваться звонками защищенным образом, ее необх одимо правильно внедрить и настроить.

Стоимость перехвата информации
Купить телефонный жучок, радиозакладку или иное устройство съема информации можно на любом радиорынке и даже в Интернет-магазине: нижняя ценовая планка 10-30 дол. (но без гарантии качества). В детективном агентстве такое устройство предложат в аренду за 20-50 дол. плюс залоговая стоимость жучка (хотя эта деятельность и является незаконной). А заказ "прослушки" профессионалам обойдется всего в 50-100 дол. в час. Еще одно удобство для злоумышленников представляет тот факт, что во многих случаях радиозакладки не требуют дополнительных источников питания и тем более их замены, так как "питаются" от самой телефонной линии. Да и сами телефонные линии представляют потенциальную угрозу, поскольку могут использоваться для прослушивания помещений, через которые проходят, за счет различных электромагнитных наводок и излучений.
Про каждый из стандартов и протоколов IP-телефонии (Н.323, SIP, MGCP, Skinny) можно написать не одну статью, но это не входит в задачи данной публикации. Описание механизмов защиты самих протоколов передачи голоса поверх IP (например, протокол Н.235 или SRTP), представляющих собой неотъемлемую часть голосовой инфраструктуры, также не является целью этого обзора. Если начать говорить об общих принципах работы IP-телефонии, то до темы ее защиты можно никогда не добраться. Таким образом, в данной статье будет описан ряд практических аспектов, связанных с защищенным использованием "последовательницы" традиционной телефонии.

Разделение сети на сегменты
Главное, что необходимо сделать при построении инфраструктуры IP-телефонии, - отделить ее от сегментов, в которых передаются обычные данные (файлы, электронная почта и т.д.). Это можно сделать как с помощью технологии виртуальных локальных сетей (VLAN), так и с помощью межсетевых экранов (МЭ). Первый вариант более эффективен и не требует никаких дополнительных инвестиций, так как механизм VLAN реализован в большинстве коммутаторов. Подобная сегментация позволит создать дополнительный рубеж, предупреждающи й прослушивание переговоров обычными пользователями.
Хорошей практикой является использование отдельного адресного пространства для сегментов IP-телефонии (например, из диапазонов, указанных в RFC 1918). Если сеть, передающая голос поверх протокола IP, имеет достаточно большие масштабы, то в ней не обойтись без динамической адресации по протоколу DHCP. В этом случае необходимо использовать два DHCP-сервера: один для голосовой сети, а второй для сети данных.

Фильтрация и контроль доступа
Голосовые шлюзы (Voice Gateway), подключенные к телефонной сети общего пользования (ТфОП), должны отвергать все протоколы IP-телефонии (Н.323, SIP и другие), приходящие из сегмента данных корпоративной сети. Зачастую поддержка протоколов IP-телефонии реализуется в маршрутизаторах с интеграцией сервисов (Integrated Services Router), что позволяет сэкономить на оборудовании, обеспечивая при этом поддержку самых современных технологий. В этом случае встроенный в маршрутизатор пакетный фильтр с контролем состояни я может отслеживать любые нарушения в голосовом обмене и, например, блокировать пакеты, которые не являются частью процедуры установления вызова. Помимо встроенных в компоненты IP-телефонии механизмов фильтрации и контроля доступа существуют и специальные решения, защищающие элементы голосовой инфраструктуры от возможных несанкционированных воздействий. К таким решениям относятся межсетевые экраны (МЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и специализированные пограничные контроллеры (Session Border Controller).

Выбор межсетевого экрана
Для защиты сети IP-телефонии подходит не всякий межсетевой экран - он должен удовлетворять ряду специфичных требований, присущих именно этой технологии передачи голоса. Например, протокол передачи голосовых данных RTP использует динамические UDP-порты, исчисляемые тысячами. Попытка разрешить их все на межсетевом экране приводит к открытию одной большой "дыры" в защите. Следовательно, межсетевой экран должен также динамически определять используемые для связи п орты, открывать их в начале телефонного разговора и закрывать по его окончании.
Вторая особенность заключается в том, что ряд протоколов, например SIP, помещает информацию об используемых параметрах соединения не в заголовок пакета, а в тело данных. Поэтому обычный пакетный фильтр, исследующий только адреса и порты получателя и отправителя, а также тип протокола, в данном случае будет абсолютно бесполезным. Межсетевой экран должен уметь анализировать не только заголовок, но и тело данных пакета, вычленяя из него всю необходимую для организации соединения информацию.

Прикладные шлюзы и пограничные контроллеры
Другая серьезная проблема, решение которой необходимо продумать до приобретения межсетевого экрана, - трансляция сетевых адресов (Network Address Translation, NAT). Коль скоро при установке вызова используются динамические порты, указанные в запросе на установление соединения между абонентами, то технология скрытия топологии сети путем трансляции адресов делает телефонные переговоры нево зможными. Решением проблемы является использование специальных прикладных шлюзов (ALG), выпускаемых в виде выделенных устройств или интегрированных в межсетевые экраны, "понимающие" протоколы с динамическими портами (например, SIP или RTCP). Некоторые производители выпускают только специализированные защитные шлюзы для обработки VoIP-трафика. Но при их выборе следует помнить, что в защите корпоративной сети все равно не обойтись без обычного МЭ, умеющего анализировать не только протоколы Н.323, SIP и MGCP, но и другие распространенные в сетях протоколы: HTTP, FTP, SMTP, SQL*Net и т.д.
Ряд производителей предлагают решение проблемы защиты путем использования специализированных пограничных контроллеров (SBC). По сути, эти устройства во многом аналогичны описанным выше прикладным шлюзам.

Защита от подмены
Динамическая адресация во многих элементах инфраструктуры IP-телефонии дает злоумышленникам большой простор для деятельности: они могут "выдать" свой IP-адрес за IP-телефон, сервер управления звонками и т.д. А значит, перед администратором сети возникает задача аутентификации всех участников телефонных переговоров. Для этого необходимо использовать различные стандартизированные протоколы, включая 802.lx, RADIUS, сертификаты PKI Х.509 и т.д. И, конечно, нельзя сбрасывать со счетов уже упомянутые выше правила контроля доступа на маршрутизаторах и МЭ, усложняющие злоумышленникам задачу подключения к голосовым сегментам.
Указанные методы позволяют эффективно бороться с "левыми" подключениями, в отличие от традиционной телефонии, где эта задача если и решается, то очень дорогостоящими средствами.

Шифрование
Шифрование - наиболее эффективный способ сохранить телефонные переговоры в тайне (см. врезку "Скремблеры и вокодеры..."). Однако такая функциональность влечет за собой ряд сложностей, которые необходимо обязательно учитывать при построении защищенной сети связи.

Скремблеры и вокодеры для защиты традиционной телефонии
Среди средств защиты особняком стоят вокодеры (voice coder) и скремблеры, которые осуществляют шифрование телефонных переговоров. Очевидно, что такие устройства должны быть установлены у всех участников защищенных переговоров. Механизм шифрования встраивается в телефон или поставляется в виде отдельного устройства. В первом случае абонентский терминал становится слишком дорогим (и приходится отказываться от многофункциональных и удобных телефонных аппаратов зарубежного производства), во втором - практически полностью отсутствует возможность масштабирования, и пользование телефоном становится крайне неудобным. Оснастить каждого абонента скремблером или вокодером - задача не из легких. При этом вопрос стоимости также не снимается: цена одного скремблера колеблется от 200 до 500 дол. Если прибавить сюда цену телефонного аппарата и стоимость установки защитных устройств, получатся поистине астрономические цифры. Так что такой способ защиты традиционной телефонии нельзя считать экономичным.
Одна из самых главных проблем - задержка, добавляемая процессом зашифр ования/расшифрования. В случае применения потокового шифрования задержка гораздо ниже, чем при использовании блочных шифров, но полностью от нее избавиться не удастся. Эта проблема решается путем использования более быстрых алгоритмов или включения механизмов QoS в модуль шифрования.
Еще одна трудность - накладные расходы, связанные с увеличением длины передаваемых пакетов. Для протокола IPSec размер добавляемого заголовка составляет около 40 байт, что достаточно много для 50-70-байтовых пакетов IP-телефонии. Впрочем, скорости современных сетей постоянно растут, и с течением времени эта проблема будет снята. А пока оптимальным решением обеих проблем является протокол SecureRTP (SRTP), принятый в качестве стандарта весной 2004г. (RFC 3711).

Защита от нарушения работоспособности
Несмотря на то что различные компоненты IP-телефонии потенциально подвержены атакам "отказ в обслуживании" (о сбоях в традиционной телефонии см. врезку "Перемаршрутизация звонков..."), существует целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать встроенные в сетевое оборудование механизмы обеспечения информационной безопасности, а также дополнительные решения:
разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в "голосовом" участке распространенных атак, в том числе и DoS;
применение специальных правил контроля доступа на маршрутизаторах и МЭ, защищающих периметр корпоративной сети и отдельные ее сегменты;
использование системы предотвращения атак на сервере управления звонками и ПК с голосовыми приложениями;
установку специализированных систем защиты от DoS- и DDoS-атак;
«применение специальных настроек на сетевом оборудовании, которые предотвращают подмену адреса, часто используемую при DoS-атаках, и ограничивают полосу пропускания, не позволяя вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

Перемаршрутизация звонков в традиционной телефонии
Еще од на угроза - перемаршрутизация звонков на другие телефонные номера, сброс собеседника с линии или "прорыв" сигнала "занято". Например, в 1989 г. хакерская группа The Legion of Doom получила контроль над телефонной сетью компании BellSouth, включая возможность прослушивания телефонных каналов связи, перемаршрутизацию вызовов, маскировку под технический персонал станции и даже вывод из строя системы экстренной связи 911. Для расследования этого инцидента были приглашены 42 эксперта, а затраты BellSouth на их работу составили 1,5 млн дол. И это не считая потери репутации и других трудно вычисляемых потерь.

Управление
Для удаленного управления использование защищенных протоколов доступа (например, SSH) является обязательным (в данном случае шифрование вносит гораздо меньше задержек, чем при шифровании голосовых данных). Если же доступ к какому-либо компоненту сети IP-телефонии осуществляется по обычному протоколу (например, по HTTP), то непременным условием такого доступа должно быть применение протоко ла IPSec или SSL. В противном случае любой злоумышленник сможет не только перехватывать все данные с незащищенным элементом, но и подменять их.
Если требование криптографии вступает в конфликт с производительностью, то шифрованием на IP-телефонах или голосовых приложениях на ПК можно пренебречь. Если, конечно, к сети не применяются законодательные требования защиты всей конфиденциальной информации (включая и телефонные разговоры). Например, такое требование для всех федеральных структур США прописано в секции 5131 американского закона Information Technology Management Reform Act of 1996.
При отказе от скрытия голосового трафика его необходимо в обязательном порядке отделить от всех остальных типов передаваемых данных с помощью VLAN. При этом передача голоса между офисами должна быть защищена с помощью криптографических преобразований. Для этих целей можно задействовать встроенный в маршрутизаторы механизм IPSec VPN или установить отдельные шифраторы, сертифицированные в ФСБ России.

Организационные вопросы
Основная проблема безопасности IP-телефонии - не динамически открываемые порты на межсетевом экране, не NAT и не снижение качества голоса в результате шифрования. Все эти вопросы давно и эффективно решаются. Главная беда - "в головах", как говорил профессор Преображенский в "Собачьем сердце", а точнее, в недооценке существующих рисков и в непонимании новых технологий. Например, во многих организациях и компаниях существует классификатор конфиденциальной информации, обрабатываемой в автоматизированной системе. Но только в немногих организациях классифицируются еще и голосовые данные, передаваемые в рамках инфраструктуры IP-телефонии. А между тем информация, не включенная в такой классификатор, находится вне зоны внимания службы информационной безопасности и оказывается совершенно не защищенной.

Заключение
В опубликованном годовом отчете IBM "Security Threats and Attack Trends Report" приведен анализ основных угроз года прошедшего и дается прогноз на 2005 г. По мнению экспертов IBM, увеличение числа сетей IP-телефонии приведет к росту угроз для их существования и бесперебойного функционирования. Поэтому обеспокоиться защитой внедряемой или уже внедренной инфраструктуры IP-телефонии необходимо именно сейчас, чтобы позже не "кусать себе локти". И это не так трудно, как кажется на первый взгляд. Существуют технологии, значительно повышающие защищенность VoIP, и они давно известны специалистам по информационной безопасности. Более того, эти технологии зачастую уже внедрены в компоненты, применяемые в построении среды передачи голоса поверх протокола IP. А значит, надо просто воспользоваться ими.

По материалам ИА "Daily Sec".