Прослушать чужие разговоры при передаче голоса по IP намного проще, чем в случае классической телефонии. Это утверждение касается и корпоративных сетей, но в первую очередь относится к соединениям через Internet. Конечно, для обеспечения конфиденциальности можно применять те же методы, что и при защите традиционной передачи данных, а именно — шифрование или VPN. Однако их внедрение должно отвечать специальным требованиям к качеству голосовой связи.
Cистемы передачи голоса по IP, равно как и традиционные телефонные системы, ни в коем случае нельзя считать защищенными от прослушивания. До сих пор для прослушивания телефонных разговоров использовались микропередатчики (миниатюрные подслушивающие устройства) или «отводы». В принципе, этими же методами можно пользоваться и в IP-телефонии, правда, с небольшими изменениями в способе действия. Многие коммерческие анализаторы сигнализации и качества передачи речи предлагают функцию декодирования голосовых данных. Открытая документация на применяемые стандарты (к примеру, Н.323) позволяет реализовать такую возможность.
Из сигнальной информации, курсирующей между конечным пунктом и привратником, можно извлечь IP-адреса и данные о получателе, после чего голосовые пакеты, передаваемые посредством протокола передачи данных в реальном времени (Real Time Transmission Protocol, RTP), можно будет перехватить, на их пути между конечными пунктами и декодировать при помощи соответствующего голосового кодека. Наряду с копированием и, соответственно, перехватом пакетов в сети, в Н.323 можно использовать еще одну возможность контроля — конференцию через узел управления многосторонней связью (Multipoint Control Unit, MCU). По окончанию прослушивания сигнальных данных MCU вмешивается посредством конференции, а потом микширует и копирует голосовые пакеты, так что их можно декодировать. Такое включение конференции обычно невозможно не заметить, поскольку время задержки увеличивается, а качество передачи речи в большинстве случаев снижается.
В любом случае сигнальные и голосовые пакеты необходимо изолировать. Для этого существует масса возможностей, выбор которых зависит от предполагаемой среды передачи — Internet, Intranet или Extranet. Каждую из них рассмотрим по отдельности. Поскольку сеть Extranet чаще всего строится при помощи зашифрованных соединений, этот аспект описывается в разделе «VoIP и VPN».
Рисунок 1. Комплексный сценарий конвергентной коммуникационной инфраструктуры. |
ПРОСЛУШИВАНИЕ В INTRANET
Под Intranet понимают частную сеть IP, по размерам и покрытию сравнимую с классической телекоммуникационной системой. Если применяется единая сеть с концентраторами, то данные сигнализации, а также соответствующие голосовые данные доступны на каждом порту. Подслушивающее устройство или самопрограммируемый инструмент можно установить в любом месте сети и прослушивать все данные.
Чтобы получить приемлемую производительность и качество передачи речи, IP-телефонию не стоит применять в сетях на базе концентраторов — лучше всего она функционирует в коммутируемых сетях (на канальном или сетевом уровне). В этом случае сигнальные, а также голосовые пакеты обычно поступают только на те порты, которым они адресованы. Таким образом, посторонним сложнее получить доступ к пакетам. В большинстве коммутаторов для поиска ошибок предусмотрена возможность активации зеркалирования портов, а значит, соответствующие пакеты можно копировать и впоследствии декодировать. Перехватывать пакеты в сети и изменять направление их движения способны так называемые сетевые перехватчики. Следовательно, как сигнальные, так и голосовые пакеты необходимо шифровать (Signaling Encryption, Media Encryption).
ПРОСЛУШИВАНИЕ В INTERNET
В общедоступной сети Internet пользователь практически не может влиять на маршрут пакета. Теоретически на любом узле необходимые пакеты можно скопировать. По сравнению с мультиплексорами и телефонными коммутаторами для голосовой связи, узлы Internet защищены хуже. Хакеры уже взламывали их, после чего могли манипулировать всеми проходящими через узлы пакетами или копировать их. Кроме того, закон о телекоммуникациях требует, чтобы спецслужбы имели возможность прослушивания в рамках оперативно-розыскной деятельности.
Поэтому незашифрованную передачу голосовых данных через общедоступную сеть Internet нельзя назвать безопасной. Вдобавок, в отличие от телефонной сети, идентифицировать позвонившего практически невозможно. В крайнем случае это достигается дополнительными мерами. Однако это обстоятельство не должно стать причиной отказа от передачи незашифрованных голосовых данных через Internet. Для страниц Web с предоставлением голосовых услуг этот метод передачи вполне целесообразен. Таким образом, основную область применения представляют, помимо прочего, функции подсказки на страницах Web — в качестве дополнения или замены режима текстового диалога.
VOIP И VPN
Виртуальные частные сети организуются, как правило, с помощью стандартных решений на базе IPSec. Они позволяют безопасно передавать данные по незащищенным транспортным сетям. Для шифрования используются обычный или тройной стандарт шифрования данных (Data Encryption Standard, DES; Triple DES, 3DES). Устройства для шифрования называют шлюзами VPN. Они могут быть реализованы в виде специализированного аппаратного или программного обеспечения на маршрутизаторе или брандмауэре. При этом различают виртуальные частные сети между узлами (Site-to-Site-VPN, S2S-VPN) и виртуальные сети для удаленного доступа (Remote VPN). S2S-VPN с обеих сторон имеет по шлюзу VPN между надежной и ненадежной областями. Речь идет о постоянном соединении двух площадок. В случае же VPN для удаленного доступа шлюз стоит только с одной стороны, а с противоположной стороны защищенного соединения находится компьютер с клиентом Remote VPN. Таким образом мобильный пользователь может общаться с офисом по незащищенной сети Internet.
Рисунок 2. Шифрование сигнальных данных VoIP защищает от манипуляций и играет важную роль при обеспечении надежности соединений. |
Расшифровка DES (ключ 56 бит) при современном уровне техники занимает приблизительно 3,5 с, в то время как 3DES (ключ 112 бит) в 256 раз надежнее и посредством применения исключительно математических методов может быть взломан за 28,7 млрд лет. Эти цифры свидетельствуют о принципиальной надежности метода DES при условии секретности ключа. Шифрование VPN подходит для любого трафика IP, в том числе и голосового. С его помощью IP-телефония не поддается прослушиванию в транспортной сети, а сигнализация — манипулированию. При использовании VoIP со стандартными виртуальными частными сетями IPSec необходимо принимать во внимание следующие обстоятельства:
- аппаратные шлюзы VPN должны иметь достаточную производительность шифрования 3DES, чтобы нагрузка на шлюз не приводила к вариациям времени задержки. Предельно допустимая вариация задержки составляет 20 мс;
- шлюзу VPN для шифрования и расшифровки требуется некоторое время (приблизительно от 5 до 20 мс). Оно добавляется к полной задержке системы, которая при передаче голоса из конца в конец не должна превышать 150 мс, причем от 40 до 50 мс изначально отводится для кодеков и стеков IP. Тем самым на задержку сети остается всего 100 мс (известная команда ping выдает удвоенное время задержки);
- шлюз VPN должен понимать содержащиеся в заголовке IP теги 802.1p и/или значения точки кода дифференцированной услуги (Differentiated Service Code Point, DSCP), или байт типа услуги (Type of Dervice, ToS), а также как минимум предоставлять туннели для передачи (см. также «Глоссарий»). Еще лучше маркировать этими значениями пакеты IPSec, чтобы транспортная сеть могла таким образом узнать, что эти пакеты имеют приоритет, и обрабатывала их соответствующим образом;
- в качестве кодеков следует использовать G.729 и его варианты, поскольку он представляет собой компромисс между пропускной способностью, задержкой шифрования и качеством речи. Причем скорость передачи данных должна составить от 20 до 30 Кбит/с в каждом направлении;
- нельзя применять никаких видов преобразования адресов (NAT, NAPT, dNAT), так как у большинства шлюзов VPN нет посредника приложений стандарта Н.323, а адресная информация имеется и на более высоком уровне, чем сетевой. Поэтому маршрутизация может проводиться только между узлами, где поддерживаются VPN, что заметно усложняет конфигурацию VPN;
- в случае динамической реализации VoIP с автоматическим обнаружением привратников сеть и шлюзы VPN должны поддерживать многоадресную рассылку по IP и посредников DHCP;
- если пропускная способность между узлами достаточна для VPN, то при использовании G.711 в качестве кодека повышенное время задержки (130 мс) и возросшая доля потерянных пакетов (2%) могут быть терпимы. Скорость передачи данных в одном направлении должна составлять от 80 до 90 Кбит/с.
VOIP И БРАНДМАУЭРЫ
Рисунок 3. Без шифрования потока голосовых данных трафик VoIP может быть перехвачен и декодирован посредством любого прослушивающего устройства. |
Брандмауэры служат для защиты сетей передачи данных снаружи (Internet) и изнутри (Intranet). Поэтому они применяются как в Internet, так и внутри сетей между отдельными площадками. Технология VoIP сама по себе достаточно незащищена и предоставляет множество возможностей для атаки. Однако в Intranet, да еще на базе коммутируемой сети, многие слабые места уже устранены. При помощи специализированного аппаратного шлюза VPN можно установить защищенную связь между офисами. Однако шлюз VPN не должен быть реализован в виде программного обеспечения на брандмауэре, поскольку в таком случае вариация времени задержки будет зависеть не только от нагрузки процессов VPN, но и от общего трафика данных.
Совместную работу брандмауэров и систем VoIP рекомендуется как можно тщательнее проверить и постоянно контролировать. По возможности брандмауэры не следует устанавливать на пути данных VoIP — в зависимости от нагрузки они значительно увеличивают время задержки в сети. Из-за сильно изменяющейся нагрузки на пропускную способность повышается также время задержки голосового трафика. Эти колебания, в свою очередь, заметным образом отражаются на вариации времени обработки. Если используются шлюзы VPN при трансляции адресов (NAT, NAPT, dNAT), появляется еще одно затруднение: брандмауэр с трансляцией адресов не может корректно обслуживать пакеты VoIP без посредника приложений Н.323. Однако для некоторых брандмауэров такой посредник существует. В таком случае трансляция адресов больше не представляет проблемы.
БЕЗОПАСНОСТЬ СЕРВЕРА VOIP
Наряду с защитой от прослушивания, а также использованием виртуальных частных сетей и брандмауэров большое значение имеет общая надежность (готовность и защита доступа) сервера VoIP. При этом под серверами VoIP подразумеваются все компоненты Н.323 в сети, за исключением конечных пунктов. Основными составляющими сервера VoIP являются подпроцессы привратника, шлюза и управления многосторонней связью. Они могут быть собраны в одной системе или распределены по всей сети. Наличие такой децентрализованной архитектуры обеспечивает возможность функционирования системы VoIP, несмотря на отказ одного из компонентов.
ЗАКЛЮЧЕНИЕ
Даже если описанное исполнение не охватывает все вероятные аспекты, наиболее значительные опасности, как надеемся, нам удалось перечислить. Важно осознавать и учитывать эти опасности при внедрении системы VoIP. Результатом станут открытые коммуникационные системы, которые будут отвечать необходимым требованиям к безопасности.
Михаэль Вайнгартнер — архитектор конвергентных решений немецкого представительства компании Avaya. С ним можно связаться через сайт http://www.avaya.com.
? AWi Verlag
Глоссарий
Байт типа услуг (Type of Service, ToS) применяется в IPv4 и описан в RFC 791.
Динамическая трансляция сетевых адресов (dynamic Network Address Translation, dNAT) обеспечивает динамическое (не статическое) соответствие внутренних IP-адресов (М) внешним IP-адресам (N); условием этого обычно является M:N (M>N).
Значение кода дифференцированной услуги (Differentrated Services Code Point, DSCP) служит для описания приоритетов в целях обеспечения качества услуг (Quality of Service, QoS). Протокол известен также под названием DiffServ и базируется на байте типа услуг (ToS) в IPv4.
Посредник приложений Н.323 служит для защиты сети, среди прочего он осуществляет фильтрацию пакетов и ограничивает доступ к ресурсам медиа-сервера или шлюза.
Привратник отвечает за регистрацию конечных пунктов, а также за разрешение на установление соединения и за сигнализацию установления соединения (маршрутизация вызовов посредством привратника).
Протокол передачи данных в реальном времени (Real-time Transmission Protocol, RTP) от IETF устанавливает формат и опции передачи для различных кодеков, снабжает пакеты данными об отправителе и получателе, а также порядковым номером. До сих пор ни в IP, ни в UDP для RTP не зарезервировано кодового значения заголовка протокола. Поэтому голосовые пакеты в сети достаточно сложно распознать. Обычно RTP работает непосредственно через порты UDP.
Теги 802.1p описывают назначение приоритетов в соответствии со стандартами IEEE.
Трансляция сетевых адресов (Network Address Transtation, NAT) — метод для преобразования IP-адресов (в основном внутренних) одной сети в IP-адреса (в основном внешних) другой. Тем самым NAT дает возможность большинству компьютеров в локальной сети использовать, с одной стороны, IP-адрес маршрутизатора доступа к Internet для выхода в глобальную сеть, а с другой, скрывает локальную сеть за зарегистрированным в Internet IP-адресом маршрутизатора.
Трансляция сетевых адресов/портов (Network Address/Point Transiation, NAPT) предусматривает преобразование не только адресов, но и портов.
Узел управления многосторонней связью (Multipoint Control Unit, MCU) в сети может быть реализован централизованно или децентрализованно. Он координирует участие в конференциях и микширует аудиоданные. При этом каждый конечный пункт отправляет свои данные MCU, который для каждого участника генерирует собственный поток голосовых данных.
Шлюз функционирует как преобразователь между различными стандартами передачи голосовых данных. Например, шлюз трансляции стандарта Н.323 в стандарт Н.320 (из локальной сети в ISDN) или шлюз между Н.323 и Н.323 в форме транскодера (преобразование аудиотрафика между аудиостандартами).