Системы видеоконференц-связи предоставляют массу новых возможностей, но одновременно являются генераторами проблем обеспечения безопасности.
Казалось бы, потоки видеоинформации ничем не отличаются от других данных, передаваемых по каналам связи, а потому, подключив оборудование ВКС к защищенной сети, можно получить не менее защищенную систему мультимедийного общения. К сожалению, это не так.
Слабые звенья
Чтобы понять специфику защиты трафика ВКС, рассмотрим ряд уникальных характеристик потока видеоданных.
Системы ВКС весьма динамичны: при перезагрузке видеотерминала некоторые сетевые параметры устанавливаются заново, что открывает множество «дыр» для проникновения злоумышленников. В сети ВКС таких уязвимостей гораздо больше, чем в обычной сети передачи данных.
Кроме того, системы ВКС более требовательны к производительности сети, чем обычные приложения в сетях передачи данных. Обеспечение необходимого качества обслуживания — обязательное условие функционирования систем ВКС. Во время загрузки файла могут возникать задержки продолжительностью несколько секунд, которые практически незаметны для пользователя. А при передаче трафика ВКС подобная задержка приведет к существенному ухудшению качества звука и изображения.
Криптографическая защита территориально-распределенной системы ВКС |
Использование традиционных средств обеспечения безопасности, таких как межсетевые экраны, приводит к появлению значительных задержек при передаче видеотрафика, что увеличивает чувствительность системы ВКС к атакам типа «отказ в обслуживании». Для их реализации злоумышленнику не нужно полностью выводить из строя узел системы ВКС — достаточно внести задержку при прохождении пакетов с видеоданными.
Еще одна проблема, которая относится к обеспечению QoS, — джиттер. Он характеризует неоднородность задержек между последовательными пакетами данных и напрямую влияет на качество сигнала в сетях ВКС. Дело в том, что протокол RTP, используемый для транспортировки потоков данных ВКС, базируется на протоколе UDP, который не имеет встроенных механизмов контроля над качеством на транспортном уровне. Пакеты, прибывающие на узел «сборки» неупорядоченно, должны упорядочиваться специальным приложением, что также обуславливает дополнительные временные затраты.
Наконец, нельзя забывать о потерях пакетов. Если уровень потерь приближается к 5%, то качество сеанса видео?конференц-связи существенно деградирует. В этих условиях для успеха атаки типа «отказ в обслуживании» злоумышленнику достаточно внести незначительные помехи в сеть передачи данных.
Щит и меч
Обеспечить целостность и конфиденциальность данных при работе систем ВКС, подключенных к публичным IP-сетям, можно при помощи устройств, которые поддерживают механизмы качества обслуживания и информационной защиты. Речь идет о МСЭ, которые стали в корпоративных сетях неотъемлемой частью инструментов контроля над доступом. При использовании ВКС межсетевые экраны упрощают конфигурирование систем, консолидируя политики безопасности. К сожалению, МСЭ усложняют некоторые аспекты работы системы ВКС, в том числе передачу данных между динамически выделяемыми портами и процедуру установления сессии.
Трансляция сетевых адресов (NAT), применяемая для сокрытия внутренних сетевых адресов, позволяет нескольким компьютерам локальной сети совместно задействовать один и тот же публичный адрес. Механизмы NAT добавляют в защитную систему еще один уровень безопасности, делая локальные сетевые адреса «невидимыми» из сети общего пользования (Internet).
Самым надежным средством обеспечения конфиденциальности и целостности трафика ВКС во время его передачи по транзитным внешним и внутренним каналам (в том числе радиоканалам) является криптографическая защита. До недавнего времени российский рынок испытывал недостаток продуктов, с одной стороны, удовлетворяющих требованиям отечественного законодательства к защите информации, а с другой, соответствующих международным информационным стандартам.
Теперь такие решения начали появляться. Продукты на базе шлюзов безопасности CSP VPN отечественной компании «С-Терра СиЭсПи» созданы на базе международных стандартов IKE/IPSec (RFC 2401-2412) и совместимы на уровне механизмов управления с аналогичной линейкой Cisco Systems. Шлюзы «С-Терра СиЭсПи» используют алгоритмы шифрования, хеширования и электронной цифровой подписи, которые основаны на российских стандартах (ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.11-94, ГОСТ Р34.10-2001) и реализуются встроенными криптобиблиотеками, сертифицированными ФСБ РФ.
Сергей Романовский — руководитель направления информационной безопасности «АМТ Групп»