Рынок IP-телефонии растет, и реселлеры убеждают своих клиентов защитить конвергентные сети передачи голоса и данных

Знаете ли вы, кто такой фрикер? И что еще важнее, знают ли это ваши клиенты? Все больше компаний используют конвергентные решения, позволяющие по одной сети передавать голос и данные. Но при этом они подвергают свой трафик дополнительным рискам. По словам реселлеров, учрежденческие АТС не часто страдают от вирусов, «червей» и атак типа отказа в обслуживании (denial-of-service, DoS), но IP-АТС, особенно работающие под управлением ОС Windows, представляют собой более привычную мишень для хакеров.

Мир телефонии породил особое племя хакеров, орудующих в конвергентных сетях и ищущих возможностей перехвата телефонных разговоров или совершения бесплатных звонков. Этих людей и называют фрикерами (phreakers).

По мере развития рынка IP-телефонии реселлеры осваивают роль доверенных консультантов по технологии, объясняя клиентам, каким рискам подвергается объединенный трафик голоса и данных, передаваемый по IP-сетям. IP-телефония, известная также как передача голоса поверх IP (Voice-over-IP, VoIP), часто преподносится как средство экономии денег, поскольку избавляет от необходимости использования двух различных сетей — речи и данных. Однако сам факт использования одной сети ведет к тому, что в случае отказа системы обработки данных передача речи тоже становится невозможной, говорит Тим Стоун, директор по менеджменту продукции компании Norstan Communications, телекоммуникационного интегратора.

«Риск оказывается гораздо больше, поэтому надо не забывать о безопасности», — подчеркнул Стоун.

Во многих случаях клиенты, особенно мелкие компании, просто не задумываются о проблемах безопасности, связанных с IP-телефонией, поэтому реселлер должен сам поднимать эти вопросы, говорит Джей Айвз, вице-президент реселлерской компании Dynamic Computer Solutions of Topeka, работающей на рынке СМБ. «Заказчики не просят о защите — вероятно, потому, что не подозревают об опасности, — говорит Айвз. — Клиенты начинают беспокоиться лишь тогда, когда мы объясним им суть проблемы».

Сети VoIP подвержены большей угрозе, чем коммутируемые телефонные сети общего пользования (public switched telephone network, PSTN). Это обусловлено рядом факторов, включая сам протокол IP, говорит Офир Аркин, учредитель израильской организации Sys-Security Group, занимающейся исследованиями и консалтингом в области обеспечения безопасности. «Используя для пакетной передачи речи протокол IP, вы подвергаете себя всем рискам, которые связаны с ним», — сказал он. IP-сети широко используются, их нетрудно изучить и затем использовать бреши в защите, добавил Аркин.

По словам реселлеров, сетевые компоненты и серверы, используемые в инфраструктуре IP-телефонии, также хорошо известны хакерам, в отличие от прежних фирменных систем речевой связи.

«Современные решения созданы на базе открытых стандартов, а значит, IP-телефония открыта для атак», — сказал Брюс Такер, президент компании Patriot Technologies, поставщика решений по безопасности.

Более того, IP-телефония имеет особенности, которые делают ее более уязвимой для атак, по сравнению с обычными телефонными сетями, считает Аркин. В частности, служебная информация, которая устанавливает и обслуживает IP-соединение, и сами речевые пакеты передаются по одной и той же сети, тогда как в обычной телефонии сигнальная информация передается по отдельной сети, которая физически изолирована от речевой связи, пояснил он.

«Если я, разведав IP-сеть, пробьюсь к одной информации, то получу доступ и к другой», — сказал Аркин. Получив доступ к сигнальной информации и речевым пакетам, хакер может включиться в соединение, переадресовать его либо вставлять свои пакеты, так что одна или обе стороны будут слышать речевые фрагменты, которые он вставляет.

Еще один уникальный аспект IP-телефонии — это IP-телефон, в котором больше «интеллекта», чем у аппаратов, используемых при обычной телефонной связи. IP-телефон может стать точкой доступа к сети, в отличие от традиционных систем, где более вероятной мишенью является коммутатор, а не сам аппарат, отметил Аркин. В результате все большего распространения протокола SIP (Session Initiation Protocol) для управления сеансом связи IP-телефон приобретает также достаточно «интеллекта», чтобы взаимодействовать с серверами и другим оборудованием в сети, открывая дверь хакерам для доступа к этим компонентам.

В феврале, после того как Координационный центр CERT предупредил о множестве уязвимых мест в некоторых реализациях SIP, которые могут открыть дорогу DoS-атакам или несанкционированному доступу, компании Cisco Systems и Nortel Networks выпустили «заплаты» для некоторых своих продуктов IP-телефонии.

Используя имеющиеся бреши в защите, хакеры и фрикеры подвергают конвергентные сети таким традиционным угрозам, как вирусы и DoS-атаки, а также другим рискам, более известным в мире обычной телефонии, например рискам бесплатных междугородных звонков, прослушивания чужих разговоров, а также выдачи себя за другое лицо. И их мотивы не всегда безобидны.

«Это может быть сделано в личных целях либо ради финансовых выгод. Даже в корпоративной среде я встречал все, что угодно, — от шпионажа до звонков распространителей детской порнографии и наркотиков», — говорит Джоэл Погар, менеджер компании Siemens Enterprise Networks, поставщика телекоммуникационного оборудования. Такие атаки могут быть вызваны и менее негативными мотивами.

Например, сотрудники могут перехватывать звонки в отдел кадров, чтобы узнать, не грозит ли им увольнение. Кроме того, подслушивать могут и просто шутники, добавил Погар.

Реселлеры утверждают, что могут принять адекватные меры по защите клиентов от таких напастей. «Первое, что я спрашиваю: «Какие меры безопасности у вас внедрены?» Это должно быть сочетание VPN, межсетевых экранов и специальных политик и процедур, — говорит Стоун из Norstan. — Единого универсального средства не существует».

В число обычных мер безопасности входит частая смена паролей, которые разрешают дистанционное управление системами IP-АТС через Web. Но поставщики, в том числе Siemens Enterprise Networks и AltiGen Communications, рекомендуют внедрять IP-телефонию, используя виртуальную ЛВС (VLAN), чтобы несколько отделить речевой трафик от остальной сети.

«VLAN ограничивает число способов, с помощью которых атакующий может получить доступ к сети, — говорит Погар. — Данные могут по-прежнему передаваться через те же коммутаторы, но для взлома потребуется больше технических знаний и, возможно, физический доступ».

Реселлеры могут также шифровать речевой трафик и передавать его между офисами или к удаленным пользователям через виртуальную частную сеть (VPN), хотя это может вызвать задержки и, следовательно, ухудшить качество связи. «Характерная особенность защиты сети реального времени состоит в том, что вы должны исключить снижение скорости передачи», — подчеркнул Погар.

Наличие специальных сервисов также может помочь отразить потенциальные угрозы, говорит Кевин Ди Паоло, старший вице-президент компании Frontrunner Network Systems, сетевого интегратора. Его фирма рекомендует такие услуги всем своим клиентам IP-телефонии. «Управляемые услуги становятся еще важнее, когда вы начинаете использовать в глобальной сети все больше ответственных приложений, в частности — речевую связь», — сказал Ди Паоло.

Важно также, чтобы межсетевые экраны клиентов были совместимы с такими протоколами IP-телефонии, как SIP и H.323, и не блокировали VoIP-вызовы, говорят реселлеры.

Согласно прогнозу исследовательской компании Frost & Sullivan, к 2006 г. объем поставок IP-АТС сравняется с объемом продаж учрежденческих АТС (УАТС) и офисных мини-АТС. Этот рост заставляет поставщиков разрабатывать новые технологии, чтобы обеспечить безопасность и качество связи растущего числа VoIP-соединений.

В частности, компания SecureLogix, поставляющая средства защиты сетей пакетной передачи речи, разрабатывает сверхтонкий модуль IP-телефонии для своего решения Enterprise Telephony Management (ETM) System, который защищает от атак через модем, кражи информации, мошенничества с междугородными звонками и несанкционированного доступа, говорит президент SecureLogix Ли Саттерфилд.

Намеченный к выпуску в начале будущего года, новый модуль позволит пакету ETM System использовать динамическую трансляцию сетевых адресов (NAT), а также выявлять и блокировать DoS-атаки, нацеленные на инфраструктуру VoIP, сказал он.

По словам Дэна Фридмана, главного управляющего компании Jasomi Networks, его фирма предлагает блок PeerPoint высотой 1U, который ставится перед межсетевым экраном и управляет трансляцией сетевых адресов, некорректное осуществление которой может приводить к срыву VoIP-вызовов. Сегодня большинство межсетевых экранов совместимо только с версией IP v.4 и не справляется с трансляцией сетевых адресов при VoIP-вызовах. Хотя новые межсетевые экраны, совместимые с версией IP v.6 имеют такие возможности, лишь немногие клиенты готовы к модернизации. Как утверждает Фридман, PeerPoint синхронизирует содержимое с заголовками, обеспечивая нормальное осуществление VoIP-соединений, что позволяет клиентам обойтись без модернизации межсетевых экранов.

И все же заказчики часто не задумываются о необходимости защиты, пока не станут жертвой атаки, указывает Такер. «Они говорят: «Со мной этого никогда не случится. Я думаю, можно рискнуть»».

Некоторые реселлеры заботятся о том, чтобы оградить себя от претензий. Так, компания-интегратор Tri-Tel Communications, по словам ее генерального директора Чэда Морриса, требует от клиентов подписания документа о том, что они предупреждены о рисках при внедрении IP-телефонии. «В документе сказано, что мы довели проблему до их сведения и что у нас есть соответствующие решения, которые можем внедрить у заказчика, если он того захочет», — сказал Моррис.


Версия для печати (без изображений)