В рубрику "Дайджест" | К списку рубрик | К списку авторов | К списку публикаций
Страны Евросоюза находятся сегодня в авангарде внедрения технологии VoIP. Компании и организации, активно применяющие решения передачи голоса, видео и мульти-медии по IP-протоколу, в максимальной степени используют преимущества данных технологий для повышения своей продуктивности и снижения финансовых расходов. Однако при отсутствии мер по обеспечению безопасности применение систем VoIP может поставить всю корпоративную инфраструктуру под угрозу.
Незащищенная VoIP-сеть таит в себе следующие потенциальные проблемы:
В случае подключения корпоративной сети к Интернету без использования брандмауэра не может быть и речи о защищенности сетевой инфраструктуры компании. При подключении к локальной сети (LAN) через брандмауэр всем компьютерам внутри LAN раздаются адреса, специально выделенные для сетей без доступа в Интернет, а на программном или аппаратном маршрутизаторе соединения от компьютеров с внутренними адресами транслируются в фиктивные соединения с компьютером, имеющим реальный общий IP-адрес.
Альтернативные решения (например, технология Traversal, которая позволяет трафику VoIP проходить через брандмауэр или пограничные контроллеры сессий) могут быть ограничены в своей эффективности.
Большинство компаний и организаций уже имеют в своих сетях брандмауэр, обеспечивающий защиту LAN, а также организуют соединение распределенных объектов и пользователей с помощью технологии создания виртуальных частных сетей VPN. Современные сетевые архитектуры хорошо работают в VoIP-средах различных поставщиков. Однако все еще имеются причины, по которым брандмауэры зачастую не оправдывают ожиданий в области функционирования технологии VoIP.
Прежде всего брандмауэр должен "понимать" VoIP-протоколы, которым необходимо обеспечить защиту. В настоящее время лишь немногие производители предлагают на рынке программы поиска вирусов и предотвращения вторжения, а также другие сервисы по обеспечению защиты VoIP-трафика.
VoIP охватывает большое количество комплексных стандартов, поэтому при реализации данной технологии часто можно столкнуться с программными проблемами.
Без принятия должных мер безопасности VoIP-решения могут стать весьма уязвимыми для хакерских атак. Например, нарушитель может перехватить звонок и изменить его параметры/адрес, что дает ему возможность искажения передаваемой информации, хищения персональных данных, перенаправления вызовов и др. Нарушители способны перехватывать разговоры, которые передаются по сети, даже без модификации VoIP-пакетов. Простая атака "отказ в обслуживании" (denial-of-service attack), направленная на ключевые точки доступа незащищенной сети, может разорвать или, хуже, исказить передачу голосовых сообщений и данных.
Кроме того, существует проблема интероперабельности (эксплуатационная совместимость) и поддержки протокола при внедрении VoIP в существующую инфраструктуру сетевой безопасности. По причине возрастающей сложности систем пакетной передачи речевого сигнала по протоколу IP пакетам VoIP сложно проходить через многие типы брандмауэров. Последним приходится обрабатывать протоколы передачи сигналов, составляющих сообщения разных форматов, используемых различными системами. Даже если два производителя используют один и тот же комплект протоколов, это еще не означает, что те будут совместимы друг с другом. Для создания безопасной сетевой инфраструктуры брандмауэр также должен взаимодействовать со всеми устройствами VoIP (IP-телефоны, видеофоны, устройства видеокон-ференц-связи, серверы-посредники SIP и контроллеры зоны H.323).
До недавнего времени у пользователя была возможность либо предпочесть совместимость в ущерб вопросам безопасности, либо выбрать безопасность в ущерб совместимости. Подобный выбор в большинстве случаев является неприемлемым вариантом, что стало мощным стимулом для развития всеобщих стандартов технологии VoIP.
Кроме того, при реализации VoIP-проектов на крупных объектах зачастую требуется изолировать трафик, например тех или иных департаментов, чтобы конфиденциальные данные (включая голосовые) передавались изолированными потоками. Так, скажем, в больницах или отелях данные административного или финансового характера, личные сведения о пациентах/постояльцах и другая информация должны передаваться изолировано друг от друга, а также иметь защиту от внешних сетевых атак.
Таким образом, при построении VoIP-систем потребитель стремится добиться простоты управления при администрировании и обеспечении безопасности голосовой сети, или VLAN, а также получить гибкие возможности по изоляции, фильтрации и управлению информацией, передаваемой по сетям.
По материалам журнала
Опубликовано: Журнал "Системы безопасности" #4, 2006
Посещений: 6109
В рубрику "Дайджест" | К списку рубрик | К списку авторов | К списку публикаций
