Більше VOIP, більше безпеки, що потрібно зробити для захисту VOIP
Прийняття VOIP, здається, набирає обертів, оскільки інтернет трафік та обладнання стає все більш доступним, а також через те, що старі системи виходять із вжитку. ІТ-професіонали стають експертами в галузі телекомунікацій, і тому їм необхідно приділяти більше уваги VOIP. Цей перехід до інтегрованих систем передачі голосового трафіку (Voice into IT/IS) несе у собі значну кількість моментів безпеки, які необхідно чітко розуміти, щоб мати можливість застосовувати адекватні контрзаходи. У цій статті ми розглянемо, як застосовувати VOIP рішення, не виходячи за рамки вимог інфраструктури безпеки, і ті труднощі, які можна очікувати при застосуванні VOIP.
VOIP сьогодні
У міру розвитку технології ціни на рішення знижуються, а ці рішення оснащуються зростаючою кількістю функцій; чим більше людей та організацій приймають на озброєння ці рішення, тим дешевше та простіше застосовувати такі рішення. На жаль, безпеці потрібен час, щоб встигати за розвитком технологій, і параметри безпеки найчастіше модифікуються в рішеннях із запізненням. Така ситуація спостерігається у рішеннях VOIP. В силу всього вищесказаного дуже важливо розробити інфраструктуру безпеки, яка робила б застосовуване рішення безпечним. Сьогоднішні комп'ютерні пристрої досить потужні для того, щоб обробляти нинішні способи шифрування, а також шифрування майбутнього, що робить шифрування можливим.
Аутентифікація
Перш ніж користувачі матимуть змогу скористатися службою VOIP, їм потрібно буде автентифікуватися та ідентифікувати себе для служби. Цей процес здається досить простим, проте існують певніфактори, які потрібно розуміти, і навіть певні труднощі, які потрібно долати. Механізм аутентифікації повинен бути структурований таким чином, щоб спочатку ідентифікувався та аутентифікувався пристрій, а потім користувач; цього можна досягти шляхом ізоляції будь-якого пристрою в карантині перед фазою автентифікації. Як тільки пристрій ідентифікований та аутентифікований, його можна логічно поміщати в канал виробничої комунікації VLAN, на сьогоднішній день політика безпеки на комутаторах дозволяє використовувати шифрування, що означає, що будь-які мандати, надані користувачем, можуть залишатися в зашифрованому, а отже, в безпечному стані .
Коли йдеться про аутентифікацію, управління ідентифікацією тісно взаємопов'язане з аутентифікацією. Використання існуючих словників автентифікації, таких як AD, або інших словників типу LDAP, є дуже важливим. У цьому випадку інвестиції будуть скорочені, а також використовуватиметься уніфікований, вже існуючий механізм, що заощаджуватиме час та покращуватиме безпеку. Виробники дуже намагаються зробити його безпечним.
Конфіденційність
Однак слід остерігатися розширення розміру пакета, яке викликає затримки, це може статися в ситуації неправильного вибору способу шифрування режиму передачі.
Такі протоколи як RTP, SRTP, ZRTP та MIKEY є найпоширенішими у сьогоднішньому застосуванні VOIP, вони захищаються за допомогою AES шифрування (в режимі лічильника).
SIP або протокол ініціації сеансу (Session Information Protocol) приймається все більшою кількістю людей як перевагу VIOP протоколу, на початку 2005 я писав статтю, в якій розглядався принцип роботи цьогопротоколу, статтю можна знайти на Session Initiation Protocols and its Functions. Використовуючи SIP клієнтів, користувачі зможуть створювати ідентифікацію, пов'язану з SIP-сервером, потім ця ідентифікація може використовуватися для входу на цей сервер і використовувати його як шлюз для передачі дзвінків в обох напрямках. Зручним є те, що це можна робити з будь-якого місця, локально чи віддалено, що робить віддалену роботу можливою. Використання механізмів захисту, запропонованих стандартом NISC від ІТ-професіоналів, дозволяє застосовувати ці функції для бази користувачів. Після цього користувачі мають можливість безпечно входити та взаємодіяти за допомогою клієнтів SIP (soft phones), ніби вони розташовувалися в офісі. Такі виробники як Cisco, Mitel, Avaya та багато інших вже розгорнули і продовжують розгортати рішення на базі SIP.
Керування ключами завжди потребує особливої уваги при роботі з шифруванням, SRTP спрощує процес управління ключами, оскільки один головний ключ здатний надати ключовий матеріал для захисту конфіденційності та цілісності як для SRTP потоку, так і для відповідного йому SRTCP потоку. У деяких випадках один основний ключ може захищати кілька потоків SRTP.
Такі нові протоколи як RSIP (Realm-Specific IP) у майбутньому допоможуть вирішити проблему складності стандартів NAT/IPsec. IP Next Layer (IPNL) є рішення, які забезпечують чистий тунель для двох взаємодіючих вузлів. Це зробить майбутні взаємодії більш безпечними, швидкими та ефективними.
Швидка порада: При виборі VOIP рішення або шлюзу переконайтеся, що вибране рішення підтримує H.323.
Побудова безпечної VOIP мережі вимагає розуміння механізмів роботи програмного забезпеченняапаратного забезпечення VOIP, оскільки існує можливість зламування мережі. Для простоти набагато легше буде виділити мережу VOIP у власну ізольовану мережу, пов'язану лише з необхідними елементами корпоративної мережі за допомогою таких засобів безпеки, як брандмауер прикладного рівня. Це дозволить бути впевненим у тому, що всі точки доступу в мережі VOIP буде непросто використовувати і що механізми жорсткого контролю знаходяться на місці для управління потоком трафіку між вашою корпоративною LAN і VOIP мережею.
VPNs між мережами є невід'ємною частиною забезпечення безпеки робочого трафіку інтернету та його цілісності.
Бездротові мережі
Бездротові мережі звернули на себе велику увагу в галузі безпеки, тому є вагома причина. Шифрування VOIP по бездротовій мережі є необхідною умовою, без якої зламування мережі може бути гарантований практично на сто відсотків. IPSec є відмінним контрзаходом при захисті бездротових мереж. В даний час проводяться проекти, які концентруються на безпеці VOIP. До таких проектів належить Phil Zimmermann's zfone project.
Пристрої
Ще однією поширеною атакою є підробка сервера для отримання мандатів користувача з метою їх подальшого використання на справжньому сервері. Контрзаходом такої ситуації є забезпечення фізичної та логічної безпеки справжнього сервера, при цьому сервер повинен автентифікуватись на ПЗ користувача або клієнта, перш ніж користуватися автентифікацією на сервері.
Обмін повідомленнями та зберігання
Найчастіше належної уваги не приділяється компонентам обміну повідомленнями та зберігання у рішеннях VOIP, у минулому поширеною атакою був вхід на чиюсь голосову пошту з віддаленого місцяшляхом введення стандартного мережного пароля 1234 або 0000. Це давало доступ до голосової пошти, і насправді елемент віддаленого контролю стає можливим завдяки такій функції. Контрзаходом буде примусова зміна паролів, перш ніж служба використовуватиметься, це забезпечить безпечне функціонування служби. Сховище також може зазнати атаки, як правило, такі атаки роблять рішення вразливим, ці атаки можуть мати як фізичний, так і логічний характер, тому необхідно вживати відповідних заходів щодо зниження потенційних ризиків атаки.
Висновок
При розгляді безпеки VOIP рішення дуже важливо відповідати існуючим стандартам, технології VOIP все ще перебувають у стадії розвитку, безпека все ще піддається модифікаціям і не є частиною рішення базової конфігурації. Якщо VOIP рішення застосувати правильно, то в результаті можна отримати більш безпечне, надійне, ефективне у плані працездатності та ціни рішення, яке служитиме довгі роки.