Тщательно спланированный взлом может свести на нет экономические и функциональные преимущества VoIP. Чтобы ваши телефоны не молчали, линии необходимо должным образом защитить.
Tехнология передачи речи по протоколу IP (VoIP) традиционно используется для экономии средств при междугородных и международных звонках. Но все чаще VoIP приходит на смену телефонным системам, обеспечивая голосовую связь внутри здания или в соседних офисах. Все дело в качестве — оно улучшилось до такой степени, что уже трудно отличить пакетированную речь от передаваемой с помощью цифровых схем. В результате VoIP способна состязаться с традиционными УАТС не только с точки зрения экономичности, но и управляемости и приложений.
Системы VoIP теперь включают возможности, без которых немыслимы современные телефоны: ожидание вызова, перевод вызова, многопользовательскую конференц-связь и т. д. Кроме того, они реализуют и нестандартные функции, например звонки с ПК или проверка голосовых сообщений с помощью клиента электронной почты. Технология допускает интеграцию речи и данных, обуславливая тем самым появление новых деловых приложений и функций.
В противовес разделению сетей речи и данных, сторонники VoIP призывают к унификации, выдвигая в качестве аргумента снижение затрат на обслуживание. IP-телефоны упрощают установку системы, так как они подключаются к любому разъему Ethernet и затем получают IP-адрес, в отличие от обычных телефонов, которые должны быть подсоединены к назначенному порту телефонной станции. Системы VoIP успешно масштабируются для работы с большими объемами звонков, а задание приоритетов трафика гарантирует, что речевые пакеты будут быстро обрабатываться как на границах сети, так и маршрутизаторами оператора.
Но по мере роста популярности VoIP все чаще возникают сомнения: насколько это безопасно? Вместе с достоинствами протокола IP пакетированная речь перенимает и его недостатки.
Вот лишь краткий перечень потенциальных проблем. Пакетированная речь так же не защищена от любопытных, как и данные, что приводит к серьезным трудностям по обеспечению конфиденциальности. Операционные системы телефонных станций на базе IP и других шлюзовых устройств могут подвергнуться атаке, как и ОС обычных серверов. На пути через брандмауэр речевому трафику угрожает «холодный прием». Наконец, сближение сетей передачи речи и данных открывает перед злоумышленниками лазейку для проникновения из одной в другую. Вирус, поражающий почтовые серверы, наносит ощутимый вред бизнесу, но представьте, какие последуют убытки, если он заодно отключит всю телефонную систему!
И все-таки проблемы, связанные с безопасностью, не должны помешать распространению VoIP. Три компании, о которых говорится далее в статье, используют эту технологию для соединения местных, региональных и международных офисов. Предпринимаемые ими меры можно рассматривать как урок по обеспечению безопасности подобных сетей.
Первая — калифорнийская Digirad, производитель средств визуализации для ядерной медицины. Взаимодействие двух ее главных офисов, находящихся в миле друг от друга, обеспечивает телефонная система Definity от компании Avaya, которая поддерживает и телефоны VoIP, и обычные аппараты. Кроме того, VoIP применяется для организации связи с двумя небольшими региональными представительствами в Тампе, шт. Флорида, и Аллентауне, шт. Пенсивальния (см. Рисунок).
Решение Digirad. В системе VoIP компании Digirad речевой трафик передается как по частным, так и по общедоступным сетям. Для связи с главными офисами Digirad использует каналы T1. Два удаленных офиса связаны с телефонной системой IP PBX туннелями IPSec VPN. Эта же система соединена с общедоступной телефонной системой для звонков за пределы сети VoIP. |
Кристофер Рот, менеджер по информационным технологиям Digirad, сообщил, что указанное решение выбрано по ряду причин: «Мы известны как сторонники передовых идей и стремимся поддерживать такой имидж, помимо всего прочего, путем использования современных технологий связи».
По словам Рота, с помощью VoIP проще наладить связь с отделениями: «Создавая региональный офис, мы предоставляем ему канал T1 и сеть VPN — и коммуникационная система готова».
Следующая компания — Amicus, подразделение CIBC National Bank. Имея главный офис в Мэйтлэнде, шт. Флорида, компания соединила с помощью VoIP около 400 торговых павильонов с центром обработки заказов. Такие павильоны, где работают один-два сотрудника, размещаются в бакалейных магазинах и предназначены для привлечения новых клиентов. Они расположены по всей Флориде и еще нескольким западным штатам. В проекте задействовано оборудование VoIP компании Cisco Systems.
Вопрос о применении VoIP имеет две стороны. «Мы остановились на этом варианте, чтобы снизить затраты на телефонную сеть общего доступа и осуществить стратегическую интеграцию корпоративной телефонной системы в технологическую платформу», — объясняет Ноэль Блэк, директор банка по сетевым операциям.
Наконец, третья организация — Kanbay, глобальный интегратор решений электронного бизнеса в области финансовых услуг, у которой имеются офисы в Северной Америке, Великобритании, Азиатско-Тихоокеанском регионе и Индии. Kanbay развернула пять систем Alcatel OmniPCX 4400s с поддержкой как VoIP, так и привычных телефонов.
VoIP понадобилась для снижения затрат на международные звонки и повышения общего качества связи. Марк Ливингс, директор информационной службы Kanbay, подчеркивает, что качество международных звонков по обычным телефонам всегда было непредсказуемым: «Объединив речь и данные в одной сети, мы получили надежную и устойчивую систему речевого общения».
ХРАНИТЕ КОНФИДЕНЦИАЛЬНОСТЬ
Нередко слова одного из участников телефонного разговора можно услышать через перегородку, но, как правило, обычные звонки довольно трудно перехватить — настолько, что корпорации не усложняют себе жизнь применением скремблеров.
А вот с VoIP все по-другому. Как уже было упомянуто, речь идет о технологии пакетной передачи. Поэтому наряду с пакетами данных в локальных и глобальных сетях, речевые пакеты могут попасть к тем, кому они не предназначены.
Есть несколько путей решения проблемы. Самый простой — направлять речевой трафик по частной сети. Три вышеупомянутые компании так и поступают с большинством звонков VoIP, включая простые соединения «точка-точка» по каналам T1, службу IP VPN телекоммуникационной компании и сеть frame relay поверх ядра ATM.
В чем же причина? Общедоступный Internet не заслуживает доверия — как с точки зрения безопасности, так и надежности. «Я бы не рекомендовал кому-либо реализовать важную речевую службу в общедоступной сети, — замечает Алан Беард, архитектор сети CIBC. — Помимо отсутствия гарантий доступности, характеристики могут варьироваться в широких пределах».
Когда трафик все-таки приходится передавать через Internet, компании используют сети IPSec VPN для аутентификации и шифрования, дабы воспрепятствовать потенциальным злоумышленникам.
Два удаленных офиса Digirad связаны туннельными соединениями с главным офисом по сетям VPN с помощью устройств SonicWALL SOHO. Каждый из них, по утверждению Рот, имеет только два IP-телефона, поэтому они не создают значительного трафика на основном брандмауэре, и, как следствие, задержек из-за шифрования замечено не было.
«VoIP — это целевое приложение для VPN», — считает Джон Дойль, директор Nortel Networks по маркетингу продукции. Помимо обеспечения конфиденциальности вызовов IPSec VPN упрощают прохождение пакетов VoIP через брандмауэр. Вместо открытия и закрытия портов с помощью H.323 и протокола организации сеансов (Session Initiation Protocol, SIP — протокола сигнализации и обеспечения вызовов для трафика мультимедийных пакетов), организация туннеля IPSec через брандмауэр предлагает простое решение, хотя ему и недостает элегантности.
Конечно, возможность прослушивания речевого трафика во время его прохождения по Internet существует, но, по словам экспертов, ее трудно реализовать. После того как пакетированная речь попадает в канал оператора, ее значительно труднее выделить из остального трафика.
Главная проблема с прослушиванием VoIP возникает в локальных сетях. «Если у вас есть нужное оборудование, а его можно купить на любом радиорынке, то перехватить и расшифровать звонки VoIP не составляет труда», — объясняет Дойль. Опыта ему не занимать: как-то Дойль отрядил двух инженеров попробовать перехватить трафик VoIP внутренней сети Nortel. По его словам, это заняло всего лишь одно утро.
Сетевые администраторы пользуются несколькими уловками, чтобы избежать прослушивания VoIP в локальных сетях. Если сотрудники применяют программные телефоны, т. е. ПК с поддержкой передачи речи, то администраторы могут установить клиенты VPN для создания сквозных зашифрованных туннелей.
Однако, как считает Джон Лакура, специалист NetScreen Technologies по стратегическому развитию, такое решение не подходит для IP-телефонов: «Они не обладают вычислительной мощью для обработки IPSec в дополнение к кодированию и декодированию речи». Но, уверен он, выход есть — установить выделенное устройство VPN на столе рядом с IP-телефонами, правда, при большом числе сотрудников финансовые и административные затраты могут оказаться значительными.
Ливингс из Kanbay предлагает другое решение для отваживания злоумышленников — слежение за внутренним сетевым трафиком с помощью системы обнаружения вторжений (Intrusion Detection System, IDS) на предмет выявления подозрительных действий. «Если кто-то переведет сетевую карту в режим приема всех пакетов, мы тут же об этом узнаем, — говорит он. — Такие действия недопустимы».
ПАКЕТИРОВАННАЯ РЕЧЬ И БРАНДМАУЭРЫ
У брандмауэров и VoIP сложные отношения. Как служба реального времени, VoIP не терпит больших задержек. Поэтому брандмауэр должен «оторваться от других дел» для обработки пакетов VoIP, продолжая следить за остальным трафиком.
H.323 и SIP опираются на TCP для пересылки сигналов и осуществления вызовов, а также на UDP при передаче собственно речи. (UDP — это логичный выбор транспорта, так как передавать заново утерянные пакеты в потоке реального времени смысла нет.)
Брандмауэр, «понимающий» H.323 или SIP, динамически открывает и закрывает порты для трафика VoIP лишь на время звонка. Однако VoIP использует также протокол реального времени (Real-Time Protocol, RTP) для доставки речевых пакетов. RTP может использовать любой порт от 1024 до 65534, что, несомненно, не понравится администраторам.
Проблемы возникают по мере увеличения числа звонков. Как поясняет Лакур, речевой трафик влияет на загрузку брандмауэра, поскольку ему необходимо производить достаточно глубокий разбор пакетов для корректной обработки сообщений H.323 и SIP. С увеличением числа звонков брандмауэр должен работать все напряженнее, чтобы не возникало задержек. (Качество речи начинает падать при задержках в 50—100 мс.)
Кроме того, производительность брандмауэра может зависеть от размера пакетов. Сетевое оборудование способно легко справляться с обработкой больших пакетов, но случается, что небольшие пакеты приводят к перебоям. «Обычно трафик VoIP имеет размер от 50 до 200 байт, — поясняет Лакур. — И хотя брандмауэр, в соответствии с заявлением производителя, будет поддерживать интерфейсы со скоростью 100 Мбит/с, ресурсы процессора иссякнут задолго до обещанного срока, если брандмауэр будет наводнен 50-байтовыми пакетами».
Если вы не надеетесь на брандмауэр, то речевой трафик можно направлять по туннелю IPSec VPN. Однако у шлюзов VPN должна быть достаточная вычислительная мощь, чтобы шифрование и дешифровка не создавали больших задержек.
Другой метод — использование отдельного устройства для мультимедийного трафика. Такие компании, как Dynamicsoft, Acme Packet, Kagoor Networks, Jasomi Networks и NetRake, выпускают proxy-серверы и брандмауэры VoIP с соответствующими вычислительными возможностями по обработке мультимедийного трафика. Они указывают корпоративному брандмауэру, какие порты открывать и как решать другие задачи, например транслировать сетевые адреса (NAT).
Одна из рабочих групп IETF занята подготовкой протокола Middlebox Communication Architecture and Framework (кратко MIDCOM) с целью улучшения интеграции подобных устройств с традиционными брандмауэрами (см. врезку «Ресурсы Internet»).
VOIP НА ЗАМКЕ
Оборудование для реализации VoIP на корпоративном уровне — системы IP PBX и другие шлюзы VoIP (например, посредники SIP) — является по своей сути серверами, т. е. имеет все свойственные серверам уязвимости. Так, функционирующий под управлением ОС Windows сервер управления вызовами от компании Cisco оказался беззащитен перед «червем» Nimda, в результате производитель был вынужден выпустить программные исправления.
Подобное обстоятельство учитывалось компанией Kanbay при выборе IP PBX: станция Alcatel 4400 работает под управлением UNIX BSD. «Для платформы Microsoft написано больше вирусов, чем для клона UNIX, поэтому, используя последний, мы чувствуем себя спокойнее», — поясняет Ливингс.
Стандартный подход все еще предполагает содержание систем VoIP под замком, т. е. исключение ненужных служб для сужения спектра атак, постоянное отслеживание появляющихся исправлений и вирусных обновлений, изоляцию серверов VoIP за брандмауэром. Другой способ — запуск сканера уязвимостей в инфраструктуре VoIP на предмет обнаружения брешей, что должно обеспечить достаточную защиту против обычных атак.
Но серверы VoIP — не единственные уязвимые устройства. «В обычных коммутируемых телефонных сетях телефоны — это просто терминалы ввода/вывода, — объясняет Офир Аркин, основатель исследовательской и консультационной компании Sys-Security. — В случае VoIP возрастает интеллектуальность конечных устройств. Они имеют возможность взаимодействовать с компонентами и службами VoIP- или IP-телефонии, а также сетевыми узлами».
Особого внимания требуют ПК с функциями VoIP. «При взаимодействии с программными телефонами вы работаете с голосом и данными на одной и той же платформе, — напоминает Лакур. — Если злоумышленник сможет внедрить «троянского коня» на ваш ПК, то он без труда запустит и программу для атаки на речевую сеть».
В подобном случае лучшей защитой становится логическое разделение речи и данных через VLAN. Хорошая сегментация сети не позволит атаке, направленной на сеть данных, повлиять на важный речевой трафик. Кроме того, она поможет поддержать его высокое качество. «Если кто-либо начнет передавать огромные файлы или играть в Quake, то они не смогут помешать работе моей речевой сети», — убежден Лакур.
И наконец, вы смогли защитить шлюзы VoIP от вирусных атак, но как быть с обычными махинациями по оплате звонков? Телефонные системы подвергались взлому задолго до появления Internet. Телефонные фрикеры находили способы манипулировать системами для совершения бесплатных международных звонков, переадресации счетов другим людям или организациям и т. д. В ответ поставщики оборудования и специалисты по телефонии с учетом накопленного опыта разработали технические решения для адекватного противодействия подобным атакам.
Все может вернуться на круги своя. Отделам ИТ стали передавать функции по обслуживанию телефонии, а выпуском оборудования VoIP занялись поставщики без соответствующего опыта. «Внедряя новую технологию, надо быть осторожным, иначе старые проблемы обязательно всплывут на поверхность», — предостерегает Стив Уикс, директор 3Com по проектированию.
Пример старой проблемы — перевод с одной линии на другую. Суть ее в следующем: злоумышленник набирает номер компании (например, 800) и просит секретаря перенаправить звонок на внешний номер. Секретарь нажимает 9 и набирает указанный номер, а впоследствии компании приходится платить и за линию 800 и за звонок на внешний номер. Опытный специалист по обслуживанию телефонной сети знает, как правильно настроить станцию, чтобы не допустить подобных вещей. Но что произойдет, когда однажды ответственность за всю речевую сеть будет возложена на плечи системного администратора?
Если уж сетевые администраторы создают политики для сетей данных, то они должны так же поступать и с сетями VoIP: пароли по умолчанию должны быть удалены, включая серверы VoIP, IP-телефоны и голосовую почту; для международных и междугородных звонков следует четко определить полномочия — например, нужен ли IP-телефону на складе или в приемной выход на международную сеть?
Как утверждает Грег Цвайг, менеджер продукции 3Com, любое решение по безопасности систем VoIP основано на необходимости учитывать множество незнакомых вещей, с какими сетевым администраторам не приходилось сталкиваться в сети передачи данных.
НОВЫЕ БРЕШИ
Хотя большинство характерных угроз для VoIP те же, что и для сетей данных, новые атаки специально против пакетированной речи не заставят себя ждать. Они базируются на слиянии сетей передачи данных и речи, и им должна противостоять достойная защита.
Офир Аркин, занимающийся вопросами безопасности, опубликовал документы о нескольких потенциальных брешах в системах VoIP. Одна из них использует уязвимость метода регистрации пользователей SIP производителем IP-телефонов PingTel на своем сайте Web. Успешная атака может привести к перехвату регистрации или звонка, при этом злоумышленник способен изменить IP-адрес пользовательского телефона на любой другой. Результат очевиден: звонки по сети VoIP до абонента не дойдут. Кроме того, Аркин продемонстрировал слабые места IP-телефонов Cisco 7960 с поддержкой SIP. Оказалось, что и они уязвимы к перехвату или атаке по типу «отказ в обслуживании» (DoS).
Несмотря на потенциальную опасность, хакеры-подростки или случайные нарушители не сумеют применить для своих целей перечисленные уязвимости. Но их наличие свидетельствует о брешах и в новых корпоративных технологиях. Упомянутые документы иллюстрируют опасности конвергенции, в особенности в случае с PingTel, где регистрация в Internet может привести к атаке на речевую инфраструктуру. (Меры поставщиков по борьбе с этими уязвимостями описаны во врезке «Ресурсы Internet».)
БЕЗОПАСНЫЕ ЗВОНКИ
По мнению некоторых экспертов, VoIP переживает «период спокойствия». Все-таки это относительно новая технология, и у злоумышленников было недостаточно времени, чтобы разобраться с оборудованием и разработать средства атаки.
Но все хорошее когда-нибудь кончается. «Хакеры использовали бреши в телефонных системах, — напоминает Ливингс. — Поиск слабых звеньев в VoIP — естественное развитие событий».
К счастью, многие атаки на VoIP можно предотвратить теми же средствами, что уже стоят на страже сетей данных. Помните, что речевая инфраструктура, пакетированная или цифровая, необходима вашему бизнесу. Если вы будете обращаться с VoIP так же, как и с критически важными данными, система связи будет работать безупречно.
Эндрю Конри-Мюррей — редактор Network Magazine по вопросам бизнеса. С ним можно связаться по адресу: amurray@cmp.com.
? CMP Media LLC
Ресурсы Internet
Исследователь в области безопасности Офир Аркин опубликовал несколько документов об уязвимости популярных IP-телефонов. Ссылки на них имеются на сайте http://www.sys-security.com.
Ответ PingTel на статью Аркина находится по адресу: http://www.pingtel.com/PingtelAtStake AdvisoryResponse.jsp/.
С рекомендациями PingTel по установке IP-телефонов можно ознакомиться по адресу: http://www.pingtel.com/docs/best_practices_20x.txt/.
Ответ Cisco Systems на статью Аркина расположен по адресу: http://www.cisco.com/warp/ public/707/trivial_ip_phones.html.
Cisco Systems предлагает подробную информацию о защите VoIP по адресу: http://www.cisco.com/warp/public/ cc/so/cuso/epso/sqfr/safip_wp.htm.
Документ RFC 3303 (Middlebox Communication Architecture and Framework, или сокращенно MIDCOM) описывает базу для интеграции устройств защиты VoIP сторонних компаний с брандмауэрами. Посетите сайт по адресу: http://www.ietf.org.