1. Новости
Заметки пользователей
01.04.2006 08:15
7826
0
01.04.2006 08:15
PDF
7826
0

VoIP безопаснее обычной телефонии

При переходе от сетей TDM к VoIP поставщики обслуживания столкнулись с достаточно серьезной проблемой – обеспечением безопасности голосовой связи. Телефонная сеть больше не была изолированной и плохо спроектированная VoIP-система легко могла стать жертвой любой, типичной для интернета, напасти: от DoS-атаки до перехвата данных. К настоящему времени технологий, разработанных для решения этой проблемы, накопилось достаточно для того, чтобы говорить о возможности достижения большей безопасности IP-телефонии по сравнению с обычной телефонной сетью, пишет в своей статье, размещенной в информационном издании Converge, директор по маркетингу компании AudioCodes, Haim Melamed.

При этом безопасность отнюдь не какое-то новое понятие для систем телефонии. Для обычных телефонных сетей все нынешние проблемы от прослушивания до отказа в обслуживании также были, в той или иной мере, актуальны. Просто подключение к глобальной сети резко увеличило число потенциальных злоумышленников, получивших возможность произвести несанкционированное действие по отношению к системе связи и обладающих обширным набором отработанных средств. Ранее для этого требовался физический доступ и специальное оборудование, что резко ограничивало число потенциальных преступников.

Сети VoIP построены на хорошо известном протоколе IP, используют обычные сервера и подключены к интернет. Принимая во внимание эти факты, кажется вполне очевидным, что IP-телефония по умолчанию более уязвима, чем голосовые сети TDM. Это действительно так, если сеть спроектирована неправильно. При правильном же проектировании, ситуация меняется самым решительным образом.

Основные проблемы безопасности голосовой связи можно ограничить следующим списком: подслушивание, звонок от чужого имени, звонок за чужой счет, блокирование конкретного телефона и блокирование работы большой части телефонной сети. Рассмотрим эти проблемы подробнее.

Изолированность обычных телефонных сетей привела к тому, что поставщики обслуживания не создавали схем защиты от прослушивания и поэтому стандартный телефон прослушать крайне просто. Единственная защита обычной телефонной сети – физическая изоляция. Ни о каком шифровании речь даже не идет.

Незащищенные специальным образом VoIP-сети прослушать, в принципе, можно, но сделать это будет значительно труднее, чем просто прицепив два проводка к телефонной линии. Специальная же защита, сводящая возможность прослушивания к минимуму, представляет собой, тем не менее, довольно простую и дешевую систему стандартного шифрования, используемого в сетях данных. Хорошо спроектированная сеть, использующая IPSec VPN или SRTP практически полностью защищена от прослушки. Достичь такого же уровня безопасности в обычной телефонной сети почти невозможно и, уж точно, намного дороже.

Обычная телефонная сеть не имеет встроенной системы идентификации абонента. Телефонный аппарат, в лучшем случае, получает сведения о вызывающем абоненте через порт того устройства, к которому он подключен. Это позволяет злоумышленнику сделать звонок от лица другого абонента, просто физически подсоединившись к линии.

Незащищенная VoIP-сеть еще более уязвима в этом смысле, поскольку IP-сети не имеют жесткой географической привязки и выдать себя за другого абонента может кто угодно. Но защитить от этой проблемы VoIP довольно легко. Сети передачи данных накопили большой опыт по идентификации пользователя по сочетанию IP и MAC-адресов, имени пользователя и паролю, создавая VPN-канал и применяя много других самых разных способов, сводящих возможность подделки идентификатора к нулю. Как и в предыдущем пункте, для обычной телефонной сети такой уровень защиты почти невозможен и во много раз более дорог.

Звонки за чужой счет – проблема столь же старая, как и сам телефон. По сути, вся проблематика этого вопроса сводится все к той же идентификации абонента. Т.е. грамотно построенная VoIP-сеть с защитой от мошенничества с идентификаторами, исключает обман с телефонными счетами. Чего, уже по традиции этого текста, нельзя сказать о стандартной телефонии.

Каждый телефонный аппарат в обычной телефонной сети, сконфигурированной по принципу "точка-точка", подключен к определенному коммутатору. Любое нарушение работы этого устройства полностью блокирует работу телефона. Сети VoIP могут быть организованы по гибкой распределенной схеме "многоточие-многоточие". Программный коммутатор VoIP может быть, при необходимости, легко установлен в другом месте без изменения работы системы в целом. Поток голосовых данных в любой момент может быть направлен по другому маршруту. Грамотно спроектированная VoIP-сеть просто не имеет уникальных узлов, отказ которых полностью блокирует обслуживание. Этого достаточно для предотвращения блокировки отдельного телефонного аппарата.

Отказ в обслуживании, инициированный злоумышленниками, пожалуй, единственная серьезная проблема, не затрагивающая обычную телефонную сеть. Изолированность является в этом случае почти 100%-ной защитой.

Незащищенные сети VoIP весьма уязвимы для DoS-атак, равно как и для вирусной угрозы. Однако, продуманная сеть VoIP, фактически, отделена от сетей передачи данных при помощи технологий VLAN и MPLS. Ее сервера должны защищаться также, как и любые другие системы обработки критически важных данных, а некоторая избыточность исполнения должна быть нормой по умолчанию, что гарантирует работу сети при отказе одного из узлов. Стандартные протоколы на основе IP - SNMP, Telnet и HTTP – часто используются для управления сетями IP-телефонии, а значит, также требуют продуманной защиты.

Таким образом, вопреки общепринятому мнению, сети обычной телефонии подобны плохо спроектированным сетям VoIP. Однако, в отличие от телефонной сети, сеть VoIP может быть легко переконфигурирована и хорошо защищена при относительно невысоких затратах. А комплексный уровень защиты сети IP-телефонии для обычного телефона практически недостижим.

Дмитрий

0 комментариев
Оставлять комментарии могут только авторизованные пользователи