IP телефония

2.) Предварительная регистрация. Могут быть разработаны разные методики. Пользователь сам регистрирует карту на web-интерфейсе, регистрируется карта при продаже и т. д. Ощутимые минусы – это усложнение использования карт, что приведет к снижению показателей продаж, а кроме того регистрация на web-интерфейсе не дает гарантий того, что постороннее лицо не узнает дополнительный пароль, войдя на web-интерфейс по атрибутам пользователя. Причем сегодня, ПО большинства провайдеров позволяет менять такую информацию несколько раз. Теперь представим ситуацию, когда посторонний человек, войдя на страницу через web-интерфейс, меняет там данные в поле дополнительный пароль, а затем связавшись с специалистами технической поддержки, просит запретить им какие-либо изменения, если пользователь не назовет ключевое слово. Специалист вносит это ключевое слово в базу данных и теперь оно не видно на web-интерфейсе, а злоумышленник при возможности меняет еще и ПИН-код. Теперь, когда настоящий пользователь при невозможности получения услуги свяжется с технической поддержкой, то ему вежливо во всем откажут, поскольку ключевого слова он назвать не сможет, более того все дополнительные пароли тоже, так как они изменены.

  Казалось бы, логично было бы ввести обязательную регистрацию карт больших номиналов, но при продаже этим заниматься никто не будет, а продавать такие карты только в своих офисах – это терпеть большие финансовые потери.

  Решения: отказаться от продажи карт больших номиналов физическим лицам (исходя из сегодняшних расценок, в среднем, на карте достаточно иметь 6 расчетных единиц, чтобы пользователь мог общаться час со странами Европы). В этом случае, при любых обстоятельствах, минимальные потери понесет как пользователь, так и провайдер в случае восполнения средств.

  Можно ввести, например корпоративный вариант, когда пакет карт больших номиналов предоставляется юридическим лицам. В этом случае реализовать ту же предварительную регистрацию будет значительно проще. Кроме того, в картах средних и больших номиналов можно предлагать записать по желанию ключевое слово, позвонив в службу технической поддержки, при этом специалист службы может определить подлинность абонента, уточнив, например, где была приобретена карта (в базе данных это видно, а для случайного человека информация остается недоступной) и только при положительном результате выполнить запрос. На web-интерфейсе сделать возможным только одноразовую запись дополнительного пароля.

3.) Приоритет оператора. Рассмотрим следующую ситуацию:

пользователь  пытается установить соединение, воспользовавшись услугами оператора. В ходе выполнения запроса оператор видит, что с данными параметрами соединение уже установлено. В этом случае оператор имеет возможность по ряду дополнительных вопросов попытаться установить является ли данный пользователь настоящим или нет. Если пользователь отвечает на все вопросы верно, то оператор может войти терминальной программой на сервер доступа и сбросить установленное соединение, используя соответствующую команду, после чего посоветовать пользователю сменить ПИН-код на карте (при поддержке этой функции). Существенным минусом такой позиции является то, что увеличивается число служащих, имеющих доступ к центральной базе данных, а также имеющих право использовать специальные терминальные программы, в результате чего страдает общая сетевая политика защиты, о чем пойдет разговор в следующей главе.

  Решение: заставить обращаться в подобных случаях в службу технической поддержки, специалисты которой имеют право и возможности использовать необходимые программные средства, однако, при этом значительно возрастет нагрузка на них.

4.) Определение пользователя по телефонному номеру или использование функции обратного вызова.

  Определение по телефонному номеру может заключаться в следующем: пользователь на web-интерфейсе указывает номер телефона, с которого он будет пользоваться услугой. При попытке авторизации сравнивается номер, с которого звонит пользователь и номер, который указан на web-интерфейсе. Очевидными недостатками является то, что номер можно легко изменить на web-интерфейсе, теряется основное преимущество таких карт – мобильность пользователя, а кроме того требуются значительные затраты оператором на соответствующее станционное оборудование (АОНы и т.д.). Услуга обратного вызова практически нереализуема для IP-телефонии при подключении через обычный телефон и сегодня не используется, а кроме того ей присущи все недостатки, о которых говорилось при идентификации по телефонному номеру.

Вот, пожалуй, этими способами можно частично решить основную проблему доступа к сети IP-телефонии – кражу сервиса. Возможно, кто-то спросит, а как же защита информации? Но в данном случае справедливо выражение «не стоит давать больше, чем требуют». На участке пользователь – сервер доступа оператор по большому счету ответственности за защиту информации никакой не несет, а пользователь сам ее не обеспечивает. Совсем по другому обстоят дела при подключении к сети IP-телефонии другими способами.

3.4.3. Доступ к сети IP-телефонии  через IP-телефон

  Использование для подключения к сети IP-телефонов представляется наиболее защищенным вариантом из предложенных. Дело в том, что при их использовании, как правило в организации устанавливается маршрутизатор, в настройках которого предусмотрена возможность идентификации терминалов по IP-адресам или по локальным MAC-адресам. Канал же между маршрутизатором и RAS-сервером провайдера IP-телефонии может носить защищенный характер, но более подробно об этом будет рассказано в следующей главе. Таким образом основная ответственность за обеспечение безопасности ложится на администратора локальной сети, от провайдера же требуется поддержка соответствующих возможностей устанавливаемых маршрутизаторов (как правило, это оборудование принадлежит провайдеру, хотя и не обязательно), а также предоставление соответствующих прав администратору локальной сети.

  Идентификация оборудования по МАС-адресам выглядит более надежной, чем идентификация по тем же IP-адресам, т.к. осуществить кражу IP-адреса значительно проще (об этом речь пойдет чуть дальше). Тем не менее и в том, и в другом случае взлом уже должен происходить на территории организации, доступ на которую ограничен.

  Для использования идентификации оборудования по МАС-адресам должна поддерживаться на маршрутизаторе функция защитной фильтрации портов, которая блокирует входной поток порта, когда МАС-адрес устройства, пытающегося получить к нему доступ, не совпадает со списком МАС-адресов, указанных для данного порта. Когда защищенный порт получает пакет, МАС- адрес источника пакета сравнивается с адресом надежного источника из списка, указанного в конфигурации порта. Если МАС-адрес устройства, подключенного к порту, отличается от надежного адреса, порт становится недоступным и диспетчеру SNMP посылается прерывание, соответствующее разрыву линии. Надежные МАС-адреса задаются вручную, после чего они сохраняются в энергонезависимом ЗУ.

  Помимо решения проблемы несанкционированного доступа к ресурсам сети, IP-телефоны в состоянии решить и вопрос о защите информации на участке между пользователем и сервером доступа. Так, например, серия IP- телефонов компании Cisco поддерживают встроенное шифрование голосового трафика для защиты от прослушивания. Конечно, подобные методики приводят к увеличению времени между передачей сообщения и его получением на другой стороне, но при выполнении провайдером требований, предъявляемых к качеству передаваемой речи, увеличение задержек от шифровки/дешифровки информации незначительно.

3.4.4. Доступ к сети IP-телефонии с помощью программных средств

  Как уже говорилось, получить доступ к ресурсам сети IP-телефонии пользователь может и при помощи программных средств, установленных у него на ПК, таких, например, как NetMeeting. При этом этот вариант доступа ориентирован в большей степени на частных пользователей. Сегодня многие имеют дома ПК, а программа NetMeeting входит в состав базовых программ

  ОС Windows, поэтому вполне понятен интерес пользователей к такой альтернативе доступа к услугам IP-телефонии. Конечно, с точки зрения обеспечения безопасности такой варрант уступает использованию специальных IP-телефонов, тем более, что зачастую между пользователем и RAS-сервером средою передачи является сеть Public Internet, а не защищенные выделенные каналы, как в предыдущем случае. Но так может показаться только на первый взгляд. Да, в IP-телефонах уже изначально предусмотрены встроенные программно-аппаратные средства защиты передачи информации, но в отличие от доступа к сети IP-телефонии через обычный телефон, при использовании ПК у пользователя есть огромные возможности для того, чтобы защититься самому. Но, тем не менее, какие-то базовые возможности оборудования должен обеспечить и провайдер, чтобы при желании пользователь смог использовать защитные механизмы.

3.4.4.1. Аутентификация РАР  и СНАР

  Важным моментом защиты удаленного доступа является поддержка аутентификации протоколов PAP (Password Authentication Protocol – протокол аутентификации пароля) и CHAP (Challenge Handshake Authentication Protocol – протокол аутентификации с предварительным согласованием вызова). PPP является стандартным протоколом инкапсуляции для транспортировки данных протоколов сетевого уровня (включая IP, но не ограничиваясь им) через каналы ТФОП или ISDN. Протокол PPP позволяет выполнить аутентификацию удаленных клиентов и серверов с помощью PAP и CHAP.

  Аутентификация PAP при использовании протокола PPP обеспечивает удаленному клиенту простую возможность идентифицировать себя с помощью процедуры двухстороннего квитирования, которая выполняется только после установки соединения PPP. После того, как фаза установки соединения завершена, пара «имя пользователя/пароль» посылается аутентифицирующей стороне до тех пор, пока аутентификация не завершена успешно или соединение не будет разорвано. В ходе аутентификации PAP стороны обмениваются следующими сообщениями:

1. Удаленный  клиент устанавливает связь.

2. Удаленный  клиент сообщает серверу сетевого  доступа о том, что используется протокол PPP.

3. Сервер  сетевого доступа, конфигурация которого должна допускать использование PAP, извещает удаленного клиента о применении PAP в ходе этого сеанса связи.

4. Удаленный  клиент посылает имя пользователя  и пароль в формате PAP.

5. Сервер  сетевого доступа сравнивает  имя пользователя и пароль с сохраненными в базе данных и принимает или отвергает их.

  Процедура PAP не является очень надежным методом аутентификации. Имя пользователя и пароль посылаются в виде открытого текста, поэтому с помощью анализатора протокола пароль можно перехватить. Метод PAP не предлагает никакой защиты против атак воспроизведения или атак по методу проб и ошибок. Оборудование и программное обеспечение большинства поставщиков услуг поддерживают PAP, чтобы обеспечить максимальную совместимость.

  Протокол CHAP предлагает более надежный метод аутентификации, чем PAP, поскольку он не предполагает передачу реального пароля по каналу связи. В CHAP для аутентификации используется процедура трехходового квитирования, которая выполняется после установки соединения и затем может повторяться периодически для гарантии аутентичности корреспондента. Процедура инициализации CHAP выполняется по схеме:

1. Соединение  РРР создается в результате  удаленного вызова. Конфигурация сервера сетевого доступа должна предполагать поддержку РРР и CHAP.

2. Сервер  сетевого доступа предлагает  удаленному клиенту использовать CHAP.

3. Удаленный  клиент посылает в ответ согласие.

4. Процедура  трехходового квитирования состоит  из следующих шагов:

• Сервер сетевого доступа посылает сообщение  запроса удаленному клиенту;

• Удаленный  клиент возвращает значение односторонней  функции хеширования;

• Сервер сетевого доступа обрабатывает полученное значение хеширования.     Если оно совпадает со значением, вычисленным сервером, аутентификация считается успешной. Пароли при этом не пересылаются.

  Метод CHAP обеспечивает защиту от атак воспроизведения сообщений путем использования в запросах уникальных и непредсказуемых значений. Применение повторных запросов ограничивает время возможной атаки (повторные запросы реализуются за счет повторного использования процедуры трехходового квитирования). Таким образом, CHAP оказывается предпочтительнее РАР.