Защита информации в IP-телефонии

     1.5 Стандарт мультимедийных приложений H.323 

     Рекомендации  ITU-T, входящие в стандарт H.323, определяют порядок функционирования абонентских терминалов в сетях с разделяемым ресурсом, не гарантирующих качества обслуживания (QoS). Стандарт H.323 не связан с протоколом IP, однако, большинство реализаций основано на этом протоколе. Набор рекомендаций определяет сетевые компоненты, протоколы и процедуры, позволяющие организовать мультимедиасвязь в пакетных сетях. Стандарт H.323 определяет четыре основных компонента, которые вместе с сетевой структурой позволяют проводить двусторонние (точка-точка) и многосторонние (точка —много точек) мультимедиаконференции.

     Терминал может представлять собой ПК или автономное устройство, способное выполнять мультимедийное приложение. Он обязан обеспечивать звуковую связь и может дополнительно поддерживать передачу видео или данных. Вследствие того, что основной функцией терминала является передача звука, он играет ключевую роль в предоставлении сервиса IP- телефонии.

     H.323 терминал должен поддерживать следующие протоколы:

     – H.245 — для согласования параметров соединения;

     – Q.931 — для установления и контроля соединения;

     – RAS — для взаимодействия с привратником;

     – RTP/RTCP — для оптимизации доставки потокового аудио (видео);

     – семейство протоколов H.450 — для поддержки обязательных в H.323 дополнительных видов обслуживания (ДВО).

     Дополнительными компонентами могут быть другие аудио- и видеокодеки (H.261, H.263, MPEG). Поддержка рекомендации T.120 для совместной работы над документами необязательна.

     Шлюз (gateway) не входит в число обязательных компонентов сети H.323. Он необходим только в случае, когда требуется установить соединение с терминалом другого стандарта. Эта связь обеспечивается трансляцией протоколов установки и разрыва соединений, а также форматов передачи данных. Шлюзы H.323 сетей широко применяются в IP телефонии для сопряжения IP сетей и цифровых или аналоговых коммутируемых телефонных сетей.

     Привратник (gatekeeper) выступает в качестве центра обработки вызовов внутри своей зоны и выполняет важнейшие функции управления вызовами. Зона определяется как совокупность всех терминалов, шлюзов и MCU под управлением данного привратника. Привратник - необязательный компонент сети H.323, однако, если он присутствует в сети, то терминалы и шлюзы должны использовать его услуги.

     Основные:  

     – трансляция адресов — преобразование внутренних адресов ЛВС и телефонных номеров формата E.164 в адреса протоколов IP/IPX;

     – управление доступом — авторизация доступа в H.323 сеть;

     – управление полосой пропускания — разрешение или запрещение запрашиваемой терминалом полосы пропускания.

     Дополнительные:

     – управление процессом установления соединения — при двусторонней конференции привратник способен обрабатывать служебные сообщения протокола сигнализации Q.931, а также может служить ретранслятором таких сообщений от конечных точек;

     – авторизация соединения — допускается отклонение привратником запроса на установление соединения. Основания — ограничение прав или времени доступа, и иные, лежащие вне рамок H.323;

     – управление вызовами — привратник может отслеживать состояние всех активных соединений, что позволяет управлять вызовами, обеспечивая выделение необходимой полосы пропускания и баланс загрузки сетевых ресурсов за счёт переадресации вызовов на другие терминалы и шлюзы.

     Сервер  многосторонней конференции (Multipoint Control Unit) обеспечивает связь трёх или более H.323 терминалов. Все терминалы, участвующие в конференции, устанавливают соединение с MCU. Сервер управляет ресурсами конференции, согласовывает возможности терминалов по обработке звука и видео, определяет аудио и видеопотоки, которые необходимо направлять по многим адресам.

     В результате появления стандарта  H.323, описывающего механизмы взаимодействия устройств обеспечивающих передачу голоса и видео по IP сетям, появилась возможность объединять в сети устройства различных производителей, что эффективно для сетей специальной связи [7].

      1.6 Виды соединений при использовании IP-телефонии

 

      Обычно  в IP-телефонии выделяют пять видов соединений.

     Соединение компьютер – компьютер (в соответствии с рис. 5) - это один из самых распространенных способов соединения для осуществления телефонной связи с использованием интернет-телефонии. Для этого компьютер оснащается мультимедийным набором. Компьютер должен быть подключен к провайдеру IP-телефонии и должен иметь выход в Internet. Этот способ связи, пожалуй, является самым дешевым из всех существующих. На компьютере устанавливается необходимое программное обеспечение. Это такие программы, как Internet Phone, WebPhone, PG Phone, Net2Phone. Процедура инсталляции таких программ простая, а вот процедура настройки требует большой точности и аккуратности.

      Соединение телефон – телефон (в соответствии с рис. 6) - это соединение позволяет осуществить звонок с телефонного аппарата на обычный телефонный аппарат, скажем, находящийся в другой стране мира, через Internet. При этом не надо иметь никакого специального оборудования - только обычный телефон с тональным набором. Для этого достаточно набрать телефонный номер шлюза, дождаться голосового приветствия системы и перевести ваш телефон в тональный режим набора (как правило, это клавиша "звездочка"). Далее следует набрать идентификационный номер. После ответа системы, вводится: код страны, код зоны, номер абонента. Если правильно набран номер абонента, то система, как правило, сообщает вам остаток на вашем лицевом счете. После завершения разговора система билинга исключит из счета стоимость разговора. 

      

 

      Рис. 5 – Сценарий IP-телефонии "компьютер-компьютер" 

Рис. 6 – Соединение абонентов ТфОП через транзитную IP-сеть по

сценарию "телефон-телефон"

      Соединение телефон – компьютер (в соответствии с рис. 7, рис. 8) - это соединение позволяет дозвониться абоненту в то время, как он работает в сети Internet. Для этого на телефонной станции устанавливается переадресация звонка на сервер IP-телефонии в случае сигнала "занято". Как только звонок попадет на сервер IP-телефонии, в необходимом шлюзе произойдет переработка сигнала в цифровые пакеты, которые по сети Internet пойдут на компьютер того абонента, с которым вы хотели бы пообщаться. В ту же секунду абонент получит звуковой сигнал о том, что его вызывают на телефонный разговор.  

      

      Рис. 7 – Вызов абонента ТфОП пользователем IP-сети по сценарию "телефон - компьютер" 

 

Рис. 8 – Пользователя IP-сети вызывает абонент ТФОП по сценарию

"телефон - компьютер"

      Четвёртым видом связи в IP-телефонии является Web-телефон. Сейчас существует хорошая перспектива развития такого вида связи, как Web-телефон. Это может оказаться очень удобным для тех людей, которые для своего бизнеса часто пользуются различными рекламными сайтами в Internet. При помощи данного вида связи вы, например, сможете позвонить агенту той или иной интересующей вас фирмы прямо со страницы Internet-сайта, на котором представлена продукция или услуги данной фирмы. Это позволит не только сократить расходы на телефонные переговоры, но и существенно сэкономить собственное время.

     Звонок  с веб-сайта или «click-to-call» (другое название – «Surf&Call») - это относительно новая услуга IP-телефонии, позволяющая инициировать телефонный разговор с компьютера одним кликом  по кнопке (ссылке) на web-странице. Никакого номера при этом набирать не нужно, а стоимость звонка равна стоимости потраченного трафика. Для осуществления такого разговора может потребоваться установка программы-клиента – обычно это делается автоматически с той же самой страницы. Услуга click-to-call успешно используется в электронной коммерции и позволяет клиентам Интернет-компаний оперативно связаться со службой поддержки. Как вариант, на веб-странице может быть предложено ввести свой номер телефона, на который вам позвонит оператор службы поддержки, так называемый обратный звонок – call back.

     Пятый вид связи - web-call. Пользующаяся огромной популярностью разновидность click-to-call и call back. Суть данного сервиса состоит в том, что, зайдя на сайт провайдера IP-телефонии, клиент вводит свой номер телефона и номер вызываемого им абонента в специальной формочке, и через несколько секунд указанные телефоны соединяются посредством входящего вызова. Поскольку звонок для обоих абонентов тарифицируется как входящий, оплата за него телефонными компаниями не взимается. Стоимость же самой услуги web-call в разы ниже традиционного «межгорода» [8].

      2 Типы угроз в IP-телефонии  

     Конфиденциальность  и безопасность являются обязательными  требованиями для любой телефонной сети. Со временем удалось обеспечить определенный, хотя и далекий от совершенства, уровень безопасности в традиционных сетях. Распространение IP-телефонии и ее претензии на то, чтобы стать основной технологией передачи голоса в недалеком будущем, порождают ряд проблем, с которыми традиционная телефония либо никогда не сталкивалась, либо давно о них забыла, либо уже научилась справляться.

     В корпоративных кругах сегодня существуют как противники, так и сторонники внедрения IP-телефонии в качестве альтернативной технологии передачи голоса. И если первые, как говорится, могут не беспокоиться, то вторые должны осознавать, что новые конвергентные сети и голосовые сервисы привносят также новые уязвимости для сетей.

     Если  говорить о недостатках и уязвимостях  IP-телефонии, прежде всего следует отметить те же «болезни», какими страдают другие службы, использующие протокол IP. Это подверженность атакам червей и вирусов, DoS-атакам (Denial of Service - отказ от обслуживания, является разновидностью хакерской атаки, в результате которой важные системы становятся недоступными. Это достигается путем переполнения системы ненужным трафиком, на обработку которого уходят все ресурсы системной памяти и процессора; система связи должна иметь средства для распознавания подобных атак и ограничения их воздействия на сеть), несанкционированному удаленному доступу и др. Несмотря на то, что при построении инфраструктуры IP-телефонии данную службу обычно отделяют от сегментов сети, в которых «ходят» не голосовые данные, это еще не является гарантией безопасности. Сегодня большое количество компаний интегрируют IP-телефонию с другими приложениями, например с электронной почтой. С одной стороны, таким образом появляются дополнительные удобства, но с другой — и новые уязвимости. Кроме того, для функционирования сети IP-телефонии требуется большое число компонентов, таких, как серверы поддержки, коммутаторы, маршрутизаторы, межсетевые экраны, IP-телефоны и т.д.

     Среди основных угроз, которым подвергается IP-телефонная сеть, можно выделить:

• регистрацию чужого терминала, позволяющую делать звонки за чужой счет;
• подмену абонента;
• внесение изменений в голосовой или сигнальный трафик;
• снижение качества голосового трафика;
• перенаправление голосового или сигнального трафика;
• перехват голосового или сигнального трафика;
• подделка голосовых сообщений;
• завершение сеанса связи;
• отказ в обслуживании;
• удаленный несанкционированный доступ к компонентам инфраструктуры IP-телефонии;
• несанкционированное обновление ПО на IP-телефоне (например, с целью внедрения троянской или шпионской программы);
• взлом биллинговой системы (для операторской телефонии).

     Это далеко не весь перечень возможных проблем, связанных с использованием IP-телефонии. Альянс по безопасности VoIP (VOIPSA) разработал документ, описывающий широкий спектр угроз IP-телефонии, который помимо технических угроз включает вымогательство через IP-телефонию, спам и т. д.

     И все же основное уязвимое место IP-телефонии — это человеческий фактор. Проблема защищенности при развертывании IP-телефонной сети часто отодвигается на задний план, и выбор решения проходит без участия специалистов по безопасности. К тому же специалисты не всегда должным образом настраивают решение, даже если в нем присутствуют надлежащие защитные механизмы, либо приобретаются средства защиты, не предназначенные для эффективной обработки голосового трафика (например, межсетевые экраны могут не понимать фирменный протокол сигнализации, использующийся в решении IP-телефонии). В конце концов, организация вынуждена тратить дополнительные финансовые и людские ресурсы для защиты развернутого решения либо мириться с его незащищенностью [9]. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

      3 Способы и средства защиты информации в VoIP

 

      Исходя  из списка актуальных угроз, возможно создание комплекса мер противодействия. В него могут быть включены списки методов, средств и способов противодействия  угрозам. Все вместе это образует политику информационной безопасности. Политика безопасности – это основополагающий документ, регламентирующий работу системы информационной безопасности (СИБ). Политика безопасности может включать в себя сведения об актуальных угрозах и требования к инструментарию обеспечения защиты информации. Кроме того, в ней могут быть рассмотрены административные процедуры. Примером политики информационной безопасности может быть Доктрина Информационной Безопасности РФ.