НИП «Информзащита»

Безопасность IP-телефонии и видеоконференций

IP-телефония и видеоконференции сейчас переживают бум — о них говорят все. При этом расписываются их несомненные достоинства — сокращение расходов за междугородние и международные переговоры, возможность совместной передачи данных и голоса по одним физическим каналам связи, интеграция с различными приложениями и т.д.

Но как быть с безопасностью этих приложений? Сети IP-телефонии и видеоконференций — хорошая цель для хакеров. Некоторые из них могут подшутить над вами, послав вам голосовое сообщение от имени руководства компании. Кто-то захочет получить доступ к голосовому почтовому ящику вашего руководства или даже перехватить голосовые данные о финансовых сделках, которыми обмениваются сотрудники финансового департамента или бухгалтерии. Ваши конкуренты могут попытаться подорвать вашу репутацию путем выведения из строя шлюзов и диспетчеров, нарушая тем самым доступность телефонных услуг для ваших абонентов, что, в свою очередь, может также привести к нанесению ущерба бизнесу ваших клиентов. Существуют и такие виды мошенничества, как, например, звонки за чужой счет (кража сервиса).

Главная проблема, связанная с IP-телефонией и видеоконференциями, состоит в том, что они слишком открыты, и злоумышленники могут относительно легко совершать атаки на их компоненты. IP-телефония, являясь прямой родственницей обычной телефонии и IP-технологии, вобрала в себя не только их достоинства, но и недостатки. Атаки, присущие обычной телефонии, также могут быть применены и для ее IP-составляющей. Несмотря на то, что случаи таких нападений пока не особенно распространены, хакеры при желании в состоянии их реализовать, т.к. атаки на обычные IP-сети могут быть практически без изменений направлены и на сети передачи оцифрованного голоса и видео. С другой стороны, схожесть обычных IP-сетей и сетей IP-телефонии и видеоконференций подсказывает нам и пути их защиты.

Начинается все с выбора правильной топологии, который помогут сделать специалисты Департамента проектирования и консалтинга компании НИП «ИНФОРМЗАЩИТА». Мы не рекомендуем использовать для VoIP-инфраструктуры концентраторы, которые облегчают злоумышленникам перехват данных. Оцифрованные голос и видео передаются обычно по той же кабельной системе и через то же сетевое оборудование, через которые проходят данные, и поэтому стоит правильно разграничить между ними информационные потоки. Это, например, может быть сделано с помощью механизма VLAN, однако не стоит полагаться только на него. Сервера, входящие в инфраструктуру IP-телефонии и видеоконференций, желательно размещать в отдельном сетевом сегменте. Он должен быть защищен не только с помощью встроенных в коммутаторы и маршрутизаторы механизмов (списков контроля доступа, трансляции адресов и обнаружения атак), которые могут быть настроены нашими специалистами, но и с помощью дополнительно установленных средств защиты, к которым относятся:

  • Межсетевой экран Check Point Firewall-1\VPN-1 Next Generation. Он поддерживает все протоколы IP-телефонии и видеоконференций, включая SIP, H.323 и RTP/RTCP, и эффективно защищает инфраструктуру от несанкционированного доступа. Кроме того, этот межсетевой экран протестирован на совместимость с различными медиа-приложениями, в т.ч. NetMeeting, RealAudio, RealVideo, StreamWorks, VDOLive, Internet Phone, CU-SeeMee и т.д.
  • Системы обнаружения атак: Эти системы позволят не только своевременно идентифицировать нападения на инфраструктуру IP-телефонии и видеоконференций, но и блокировать их, не давая им нанести вред ресурсам корпоративной сети.

Еще один достаточно простой способ защиты инфраструктуры VoIP — контроль MAC-адресов. Не разрешайте IP-телефонам с неизвестными MAC-адресами получать доступ к шлюзам и иным элементам IP-сети, передающей голосовые данные. Это позволит вам предотвратить несанкционированное подключение «чужих» IP-телефонов, которые могут прослушивать ваши переговоры или пользоваться телефонной связью за ваш счет. Контролировать MAC-адреса в сети вам поможет сканер безопасности Internet Scanner, обеспечивающий также решение следующих задач:

  • Инвентаризация сетевых ресурсов и построение карты сети.
  • Анализ и определение настроек сетевого оборудования, серверов и рабочих станций с установленными голосовыми приложениями.
  • Автоматизированное обнаружение и всесторонний анализ «дыр» на VoIP-диспетчерах и в биллинговой системе.
  • Сравнение положений политики безопасности с текущим состоянием постоянно изменяющегося сетевого окружения.
  • Прогнозирование изменения уровня защищенности.
  • Помощь в принятии решений относительно дальнейшего повышения защищенности сети.

Кроме того, Internet Scanner позволяет дистанционно определить наличие в сети «чужих» IP-телефонов.

Для защиты узлов корпоративной системы IP-телефонии и видеоконференций можно использовать системы обнаружения атак с встроенными персональными межсетевыми экранами, которые блокируют любую несанкционированную активность:

  • для защиты VoIP-диспетчера, а также VoIP- и видеошлюза — RealSecure Server;
  • для защиты абонентских пунктов с голосовыми и видео-приложениями — RealSecure Desktop.

К выгодам, получаемым потребителями этой системы, можно отнести:

  • Защиту инфраструктуры IP-телефонии и видеоконференций от посягательств злоумышленников.
  • Снижение издержек на поддержку управляемых средств защиты.
  • Существенное повышение эффективности работы персонала, отвечающего за информационную безопасность.
  • Масштабируемость инфраструктуры обеспечения информационной безопасности VoIP- и видеосети.
  • Управление с одной консоли средствами защиты, находящимися на различных участках корпоративной сети (в т.ч. в удаленных филиалах).


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS