Наскільки захищені переговори за допомогою IP-телефонії, поступово витесняющей дротяний телефон?
Багатолика IP-телефонія
Термін «IP-телефонія» багато користувачів і фахівці тлумачать по-різному. Для одних це - можливість дешево дзвонити по межгороду із звичайного телефону, що технологічно реалізується шляхом перетворення телефонних сигналів в IP-пакети на спеціалізованих шлюзах. У таких випадках роль альтернативних магістральних каналів зв'язку грає Інтернет. Зараз приблизно половина всіх міжнародних і міжміських дзвінків здійснюється саме так, про що ми часто навіть не здогадуємося. А фахівці до цих пір сперечаються: чи відносити цей спосіб зв'язку до IP-телефонії або ввести окремий термін «інтернет-телефонія».
Для інших IP-телефонія - це Skype і інші програми, що дозволяють з комп'ютера, КПК, коммуникатора або смартфона «дзвонити по Інтернету» родичам і друзям, на комп'ютерах яких встановлене таке ж ПО. Тут основна мета - економія: дзвінок обходиться за ціною інтернет-трафіку. За даними Yankee Group, в світі вже близько 30 млн. чоловік користуються у такий спосіб зв'язки і їх число стрімко росте.
Нарешті, для третіх IP-телефонія - це IP-апарат на робочому столі або софтфон (програмне забезпечення на робочому комп'ютері), який дозволяє дзвонити товаришам по службі, не замислюючись, в якому місті або країні вони знаходяться. Тут знову-таки важлива економія.
Відзначимо, що фахівці намагаються закріпити за корпоративною IP-телефонією термін VOIP (Voice over Internet Protocol), щоб відокремити її від «любительських» варіантів інтернет-телефонії. І, як ні дивно, коли заходить мова про необхідність захисту IP-телефонії, зазвичай мають на увазі лише третій її різновид, корпоративну IP-телефонію. Таке враження, що двом іншим небезпеки зовсім не загрожують!
Погрози типові і особливі
Термін «IP-телефонія» включає два інших - «IP» і «телефонія». І потрібно розуміти, що цей «симбіоз технологій» повною мірою схильний до дії погроз, властивих як телефонії, так і протоколу IP. Використання останнього для транспортування голосу привнесло в IP-телефонію багато проблем захисту, властивих цьому протоколу.
Що в імені тобі моєму?
Підсистема аутентифікації системи IP-телефонії базується на сигнальному протоколі SIP (Session Initiation Protocol, RFC 3261, раніше RFC 2543). Він грає в IP-телефонії ту ж роль, що і SS7 (Signaling System #7) в звичайних телефонних мережах. SIP дозволяє упевнитися, що пристрої, що сполучаються між собою, є саме тими, що повинні взаємодіяти.
Сучасні системи IP-телефонії доповнюють базові можливості цього протоколу, дозволяючи реалізувати складніші схеми аутентифікації абонентів, зокрема по цифрових сертифікатах. Це гарантує аутентифікацію не тільки пристроїв, але і у ряді випадків конкретних абонентів.
Уразливості реалізацій протоколу SIP періодично виявляються, виробники їх усувають, але в багатьох корпоративних мережах дзвінки від чужого імені до цих пір можливі. Річ у тому, що не завжди використовується навіть базовий функціонал SIP. Основне джерело наших проблем - наша ж безпечність!
Шифрувати або не шифрувати?
найпоширеніший спосіб захисту від прослуховування і модифікації IP-трафіку - його шифрування, але в IP-телефонії цей спосіб застосовується достатньо рідко. У чому ж причина того, що зрілі технології VPN (Virtual Private Network) не удостоюються уваги користувачів IP-телефонії?
Для того, щоб відповісти на це питання, потрібно усвідомити, що ж відрізняє передаваний через IP голос від звичного для IP потоку даних. Основна проблема за-ключаєтся в тому, що при передачі голосу на перший план виходить гарантований час доставки. Для підтримки спілкування абонентів в масштабі реального часу затримка проходження пакетів не повинна перевищувати 150-250 мс (саме такі значення стандартні для наземних і супутникових ліній «звичайного» телефонного зв'язку). Гранична затримка, при якій розмова ще можлива (але лише в сімплексному режимі, як при бесіді по рації), для більшості сучасних кодеків складає 400 мс.
Багато це або мало? Визначимо, на що витрачаються дорогоцінні мілісекунди. Самому пристрою для перетворення голосу в цифровий вигляд потрібний 10-30 мс, а для зворотного перетворення 1-5 мс (разом 11-35 мс). Свій внесок вносить процес встановлення і розриву з'єднання: затримка може збільшитися ще на 30 мс. В процесі прийому пакетів система якийсь час «чекає» пропущені пакети, і залежно від настройки устаткування така затримка досягає декількох десятків мілісекунд. При підсумовуванні цих затримок цифра виходить невтішною - навіть без урахування часу проходження пакету по Інтернету між взаємодіючими крапками.
Ще в 2003 р. експерти компанії Stevens Technologies проаналізували середні значення затримок при проходженні IP-пакетами устаткування різних виробників. Результат цих досліджень влив солідну ложку дьогтю в бочку оптимізму прихильників IP-телефонії. Середній час затримки тільки на крайовому устаткуванні що відправляє і приймаючих сторін (без урахування часу передачі пакету через інтернет) склало 121,1 мс! Підкреслимо, що для Інтернету не висувалися вимоги до часу передачі пакету з крапки А в крапку В, тому воно і не оцінювалося.
А з'ясувати масштаб проблеми і зрозуміти, наскільки «все гаразд в Данському королівстві», дозволяє проста перевірка, здійснювана за допомогою команди ping.
.
Очевидно, що в порядку далекий не все. Залежно від відстані між точками з'єднання сумарна затримка легко перевалює рубіж «ідеальних» 150 мс. В більшості випадків вона знаходиться на рівні прийнятних 250 мс, а при великому видаленні (наприклад, при зв'язку з Сіднеєм) робить розмову по IP-телефону надзвичайно скрутною. Зрозуміло, чому виробники IP-телефонів не особливо прагнуть інтегрувати механізми шифрування в своє устаткування: додаткові затримки на шифрування і розшифровку пакетів здатні зробити розмову просто неможливою.
Небагато світло в кінці тунеля додає «виділення» шифрування, тобто використання як пристрої шифрування голосового трафіку зовнішнього по відношенню до IP-телефону устаткування (наприклад, комунікаційного з підтримкою VPN, міжмережевого екрану, спеціалізованого криптошлюза і т.п.). Оскільки таке устаткування має істотно бо’льшую обчислювальну потужність, чим IP-телефон, затримка при передачі пакету теж буде меншою, ніж при шифруванні безпосередньо на IP-телефоні.
Але у цієї медалі є і оборотна сторона: об'єм передаваного трафіку істотне збільшується. IPSec, найбільш поширений з використовуваних при шифруванні протоколів, додає до дуже коротких (декілька десятків байт) пакетів IP-телефонії майже стільки ж байт службової інформації. Правда, із зростанням пропускної спроможності каналів зростання трафіку все менше сприймається як недолік.
Ще одна трудність виникає при необхідності обробки голосового трафіку відповідно до пріоритетів. «Зовнішні» пристрої, як правило, не підтримують пріоритетну обробку такого трафіку, хоча збереження бітів пріоритету, які були вставлені в заголовки пакетів, є «хорошим тоном» і забезпечується практично всіма виробниками.
До того ж VPN-пристрої не завжди вирішують проблему. Наприклад, вони не захищають голосовий трафік усередині компанії, що буває важливо при розмовах керівників, зміст яких зовсім не обов'язково знати кому-небудь ще. Встановлювати окрему шифруючу коробочку біля кожного IP-телефону, звичайно, можна, але економічно недоцільно. Пристрої, які дозволяють уникнути значного збільшення затримок, зазвичай мають швидкодію мінімум на порядок більше продуктивності IP-телефону і стоять відповідно.
Один з варіантів захисту від прослуховування розмов керівництва - виділення IP-телефонів в окремий сегмент (VLAN). Це дозволяє істотно звузити спектр можливостей потенційних зловмисників.
Невсипущі хакери
При словах «відмова в обслуговуванні» зазвичай представляється якийсь злий хакер, нападаючий на мережу, хоча частіше атаку ініціює безтілесний черв'як або троян. Проста з таких програм здатна перехопити запит на завершення з'єднання з одним з абонентів, а потім посилати його в мережу з частотою більше 1000 разів в секунду. В результаті ніхто не може поговорити з цим абонентом, оскільки його телефон старанно перериває всі вхідні дзвінки. Звичайно ж, на ділі все значно складніше і ізощреннєє: атакуються і телефони, і шлюзи, і комутатори, причому не тільки за допомогою таких примітивних способів.
Єдиний дієвий спосіб захисту від таких нападів - установка рішень для захисту від атак Intrusion Detection/Prevention System (IDS/IPS). Вони здатні подавити джерело нападу, наприклад ізоліровав його від вузла, що атакується. Проте спеціалізовані рішення, покликані боротися виключно з напастями IP-телефонії, поки не випускаються.
Сухий залишок
Звичайно, ніхто не відмовлятиметься від технологій, що економлять гроші, лише тому, що разом з новими можливостями вони несуть з собою нові проблеми. Головне - зрозуміти, які з цих проблем можна прийняти як даність, а з якими потрібно обов'язково боротися. Підсумковий список рекомендацій, відсортованих в порядку зростання витрат на їх реалізацію, виглядає так:
- відмова від настройок і паролів за умовчанням у всьому устаткуванні, використовуваному для організації корпоративної IP-телефонії;
- регулярне оновлення прошивок пристроїв і версій програмного забезпечення при випуску виробниками нових релізов;
- використання вбудованих механізмів аутентифікації викликів або установка додаткових засобів аутентифікації (можливо, такі вже є у вашій мережі);
- виділення мережі IP-телефонії в VLAN, кількість яких визначається числом груп взаємодіючих користувачів;
- застосування комунікаційного устаткування і міжмережевих екранів для сегментації мережі IP-телефонії;
- шифрування трафіку найбільш важливих абонентів і IP-розмов між видаленими офісами;
- використання мережевих систем запобігання атакам (IPS) для забезпечення стійкої роботи IP-телефонної мережі.
На жаль, ніхто не може гарантувати, що при виконанні навіть всіх пунктів цього переліку «буде вам щастя». Але ніж більше заходів ви вирішите задіювати, тим менше буде вірогідність того, що ви впишете в історію своєї компанії той день, коли не працювали всі корпоративні IP-телефони. А не потрапити в історію іноді дорогий коштує.
IP-телефонія:
Можливо, раніше до історичних реалій відносилися більш трепетно. Всім, наприклад, відомо, що в 1876 р. саме із слів А.-Г. Бела «Уотсон, йдіть сюди, ви мені потрібні!» почалася історія того, без чого життя людства вже здається немислимим. Це передача мовній інформації у вигляді електромагнітних імпульсів на будь-які відстані, простіше кажучи, телефонія.
У наш час з його великою кількістю революційних відкриттів хронологію появи і розвитку тих або інших напрямів, на жаль, не відстежують так ретельно. Тому народження IP-телефонії приховане туманом версій і ім'я той, хто першим здогадався про можливість передачі голосу за допомогою IP-протоколу, не встановлено, як і точна дата цієї події.
Обговорення технології йшло ще в 70-і роки минулого століття, а перші спроби реалізації датуються 1983 р., коли був організований зв'язок між офісами компанії Bolt, Beranek and Newman, розташованими на східному і західному побережжі США. За допомогою пристрою, названого «мовною воронкою», мова оцифровувалася, отримана інформація пакетувалася і передавалася через інтернет. Якість голосового зв'язку була жахливою (позначалася недосконалість програми перетворення голосу, значні затримки при передачі і втрати пакетів), а тому експерименти були припинені.
Тільки в 1995 р. ізраїльська фірма VocalTec, зібравши воєдино досягнення в областях цифрової обробки сигналів, кодеків і протоколів маршрутизації, поклала початок професійної технології IP-телефонії. Формально IP-телефонія народилася в лютому 1998 г.: тоді МСЕ-Т затвердив перший IP-телефонний протокол - H.323, який і по цей день (із змінами і доповненнями) залишається «обличчям» сучасної IP-телефонії. Потім були розроблені протокол RTP (Real-Time Protocol), покликаний боротися з проблемами втрат пакетів і неможливістю збереження порядку їх прийому із-за різних затримок, протокол SIP і багато що інше.
В 1999 р. IP-телефонія офіційно прийшла до Росії. Саме тоді була створена некомерційна Асоціація незалежних провайдерів інтернет-телефонії, яка об'єднала вітчизняних і зарубіжних провайдерів, плануючих надавати послуги IP-телефонії.
Основні погрози IP-телефонії
Підміна відомостей про користувачів. Сучасні системи корпоративної IP-телефонії мають розширені можливості аутентифікації абонентів, але багато користувачів нехтують їх настройкою. Це дозволяє зловмисникові, що зібрав інформацію про абонентів мережі, робити дзвінки від їх імені.
Підслуховування. Передача голосу по загальній мережі дає шанс зловмисникові прослуховувати телефонні переговори співробітників компанії і її керівників, збирати додаткову інформацію про користувачів (наприклад, паролі доступу до голосових ящиків).
Маніпулювання даними. Хоча IP-дзвінки здійснюються в режимі реального часу, інструментарій хакера дозволяє організовувати атаки типу man-in-the-middle, тобто втручатися в хід телефонних розмов співробітників компанії.
Відмова в обслуговуванні (Denial of Service - DOS). Із-за обмеженості обчислювальних можливостей компонентів корпоративної мережі IP-телефонії (IP-телефонів, шлюзів і т.п.) зловмисники, генеруючи паразитний трафік, що «пожирає» ресурси, можуть робити їх недоступними для співробітників компанії.
0 Відгуків на “У мене задзвонив IP-фон”
Залишити відгук