InfoWorld, США
Вряд ли вы действительно хотите одновременного выхода из строя сетей передачи голоса и данных
Идея объединения сетей передачи данных и голоса звучит потрясающе, не правда ли? Но только до того момента, как вы начинаете вспоминать о последствиях недавних атак сетевых червей или хакеров, приведших к отказам в работе локальных сетей.
Теперь представьте такой «параноидальный» сценарий. Предположим, хакеры получили доступ к вашим IP-УАТС или шлюзам и начинают делать междугородние и международные звонки, прослушивать голосовую почту генерального директора вашей компании или перенаправлять его звонки конкурентам. Подумайте и о собственных «сообразительных» сотрудниках, которые догадались использовать утилиты типа tcpdump или VOMIT (Voice Over Misconfigured Internet Telephones), чтобы подслушивать звонки. Люди обычно достаточно спокойно относятся к проблемам в сетях передачи данных, но от телефонной системы они ожидают гораздо более высокого уровня надежности и безопасности.
Есть много правил, которым рекомендуется следовать, чтобы значительно снизить вероятность успешного нападения на сегмент голосовой связи, расположенный в сети передачи данных. Однако, прежде всего вы должны понимать, что традиционные УАТС, вообще говоря, также подвержены атакам. Хакеры часто получают доступ к ним, делая звонки на администраторские порты или используя локальные номера либо голосовую почту уже уволенных сотрудников, учетные записи которых еще не были деактивированы. В Web существует множество сайтов, посвященных взлому традиционных телефонных сетей.
Но все же более вероятно, что неожиданные происшествия в сетях передачи данных будут влиять на работу IP-УАТС. Поставщики решений VoIP понимают это и пытаются противопоставить хакерским атакам различные защитные функции, реализуя их в своих продуктах. Большинство из них стараются избегать использования Windows, отдавая предпочтение VxWorks, Linux и другим операционным системам без длинного списка уязвимостей и с меньшим потоком заплат. Обычно они усиливают операционные системы, оставляя только те сервисы, которые необходимы для приложений, а их «серверы» на самом деле представляют собой уже настроенные устройства. В своих системах CallManager компания Cisco Systems, к примеру, использует такую «усиленную» версию Windows NT. Часто производители реализуют и шифрование голосового и служебного трафика, передаваемого по IP-сетям. В Cisco даже интегрируют в свои системы IDS-технологию, приобретенную вместе с компанией Okena.
Одним из самых эффективных способов защиты локальной VoIP-сети является ее отделение от сети передачи данных. Такое разделение не означает необходимости в создании двух параллельных инфраструктур, но подразумевает использование функций поддержки протокола 802.1Q в коммутаторах для организации двух разделенных виртуальных локальных сетей (Virtual LAN, VLAN). В IP-телефоны зачастую встроена поддержка VLAN. Поэтому имеет смысл размещать IP-УАТС во VLAN-сегменте, отделенном от основного сегмента сети (с серверами приложений и настольными ПК), и защищать его сетевым экраном. Как бы ни взаимодействовали между собой два сегмента, этот сетевой экран должен обеспечить дополнительную защиту IP-УАТС от атак.
Следует также проявлять осторожность при определении, кому именно из сотрудников ИТ-подразделения должен быть предоставлен доступ к серверам IP-УАТС, не забывать использовать системы IDS и IPS для мониторинга всех голосовых серверов и сегментов. По возможности лучше избегать применения IP-телефонов на базе ПК, поскольку они-то как раз в первую очередь подвержены атакам вирусов и создают лишние связи между сегментами передачи голоса и данных. Целесообразно также транслировать сетевые адреса между различными сегментами сети, выделив частное адресное пространство для всех устройств IP-телефонии.
Тотальная аутентификация — от получения доступа только с телефонов с известными аппаратными MAC-адресами до персональных идентификаторов, паролей и PIN-кодов — защитит от размещения злоумышленником постороннего телефонного аппарата в корпоративной сети. Кроме того, рекомендуется использовать статические адреса для IP-телефонов, привязанные к MAC-адресам. И, конечно же, устанавливать все необходимые заплатки для систем голосовой почты и серверов обработки вызовов. В обязательном порядке требуется создать и хорошую систему защиты от вирусов. Все эти усилия повысят надежность вашей сети в целом.