Безопасность ip-телефонии — мифы и опровержения

VOIP, IP-телефония — система цифровой связи, обеспечивающей передачу голоса через IP-сети (локальные, интернет). Главные её преимущества — широкий функционал и простота внедрения. Многие с осторожностью относятся к её применению, оставаясь под влиянием устаревших предрассудков и мифов, которые и будут рассмотрены.

IP-телефония легко прослушивается

С момента своего появления IP-телефония обрела несколько технологий для защиты передаваемых данных:

цифровой поток VOIP идёт по специальным выделенным сегментам сети, защищённым от внешних угроз;
доступ к голосовому трафику ограничивается с помощью строгих правил на маршрутизаторах и файерволах (межсетевых экранах):
активно применяются защищённые криптографическими ключами сети VPN (Virtual Private Network), прозрачно работающие в интернете;
дополнительно используются закрытые протоколы шифрования (например, SecureRTP у Cisco).

Для совершения звонка клиент и сервер вначале обмениваются служебными данными, после них начинают передаваться голосовые данные. Для защиты служебных данных применяется протокол TLS (Transport Line Security), а для защиты голосовых данных — протокол SRTP (Secure Real Time Protocol).

Схема шифрования IP-телефонии

Рисунок 1 Шифрование IP-телефонии

TLS — криптографический протокол для обеспечения защиты передаваемых данных между узлами в сети.

Протокол SRTP для защиты голосовых данных не влияет на качество связи — данные передаются в оригинальном виде. При использовании протокола SRTP каждый совершаемый звонок идентифицируется индивидуальным кодом, что делает невозможным его подмену и прослушивание.

При повышенных требованиях к безопасности VOIP звонков используются VPN-туннели. Содержание передаваемых данных в сети VPN доступно только авторизованным абонентам данной сети, у которых есть криптографический ключ, которым зашифрованы передаваемые данные. При этом известны и незначительные недостатки, которые учитывают при построении VPN-сетей:

сложность сетевой структуры из-за использования промежуточных узлов шифрования данных;
повышенная загрузка сетевого оборудования при расчете алгоритмов шифрования каждого передаваемого пакета данных;
возможное снижение качества голосовой связи из-за введения дополнительных задержек на шифрование/дешифрование голосового пакета.

Схема работы CISCO Easy VPN

Рисунок 2 Пример работы CISCO Easy VPN

Возможна подмена телефонных номеров

Ранее были известны ситуации с подключением нелегальных VOIP-телефонов, имитирующих авторизованное устройство. Сейчас успешно работают следующие методы предотвращения несанкционированного доступа:

установка строгих правил доступа в роутерах (в том числе и по MAC-адресу) для легального абонентского устройства с обеспечением его однозначной аутентификации;
обеспечение аналогичной защиты и для сервера доступа (виртуальной IP-АТС) для отсечения доступа нелегальных серверов;
авторизация в сети VOIP с помощью сертификатов RADIUS, X509.

Авторизация RADIUS в роутере CISCO CATALYST

Рисунок 3 Авторизация RADIUS в роутере CISCO CATALYST

Невысокое качество связи VOIP-телефонии

До настоящего времени это один из самых популярных мифов, берущий свое начало со времен медленных интернет-каналов с большими задержками на передачу цифрового сигнала. В то время нередки были проблемы с передачей звука (“металлический” голос, эхо, плавание громкости, выпадения слогов и фраз, делающие речь непонятной). В настоящее время сменилось несколько поколений оборудования, многократно выросли скорости каналов. Теперь, помимо беспроблемной передачи звука, без помех передается и видео.

Невысокая надежность IP-телефонии

Ранее считалось, что из-за хакерских атак на серверы IP-телефонии возможны обрывы связи. Сейчас известны и работает ряд средств защиты серверов, делающих невозможными такие ситуации:

специальные настройки серверов, не дающих при DDOS-атаках осуществлять подмену IP-адреса;
ограничение трафика на атакующий узел при обнаружении от него DDOS-атаки;
установка жестких правил и ограничений для всех абонентов на ключевых серверах и узлах;
разделение сегментов VOIP-сетей и общих сетей передачи данных.

CISCO предлагает подключение сервера системы контроля доступа CISCO ACS (CISCO Secure Access Control Server), который предлагает обеспечить безопасность совершения звонков:

защиту междугородных разговоров от несанкционированного доступа;
предотвращение атак DoS (Denial of Service);
защиту от прослушивания чужих звонков.

Работы CISCO ACS в сети учебного заведения

Рисунок 4 Пример работы CISCO ACS в сети учебного заведения

Невысокий уровень защиты серверов IP-телефонии (VOIP-АТС)

Ранее были известны случаи взлома серверов IP-телефонии. Сейчас известны основные правила, при соблюдении которых такая возможность сведена к минимуму.

Метод защиты	Описание
Сложные пароли	Обычный метод перебора паролей (bruteforce) требует затрат времени и вычислительных мощностей; чем пароль сложнее, тем данный метод взлома менее эффективен.
Запрет гостевого доступа	Запрет доступа в VOIP-сеть без персонального пароля. Отсекаются любые попытки несанкционированного доступа в сеть, совершения звонков.
Отключается сообщение о неверно введенном пароле	По умолчанию многие VOIP-АТС при вводе неправильного пароля выводят сообщение об этом факте. Причем сообщения могут быть различными для зарегистрированного аккаунта и для несуществующего в системе. Известны алгоритмы подбора паролей, потому хакерский скрипт может быстро перебрать короткие имена и получить базу существующих аккаунтов. Отключение данного сообщения значительно усложнит подбор паролей.
Блокировка доступа после нескольких неудачных попыток входа в систему	Скрипты подбора паролей с большой скоростью генерируют различные номера и пароли в попытках подобрать пароль. Блокировка доступа при множественных ошибках доступа отсечёт такие скрипты и уменьшит нагрузку на сервера авторизации.
Использование индивидуального списка доступных направлений для звонков каждого абонента	Если хакер смог зарегистрироваться на VOIP-АТС, у него будет ограничен список возможных направлений звонков. Польза от взлома системы будет небольшой ввиду недоступности дорогих международных звонков.
Периодическая проверка системы на хакерские атаки, сохранность конфигурации сервера	Правильная настройка алгоритмов мониторинга состояния системы повышает надежность работы IP-телефонии. Любое изменение этих параметров от стандартных величин вовремя пресекает попытки вторжения хакеров на сервер.

CISCO предлагает в межсетевых экранах дополнительные системы предотвращения вторжений (IPS) в виде встраиваемых модулей в маршрутизаторы и файерволы серий CISCO ASA 5500, Catalyst 6500.

Межсетевой экран ASA5545-K8 ASA 5545-X

Рисунок 5 Межсетевой экран ASA5545-K8 ASA 5545-X with SW, 8GE Data, 1GE Mgmt, AC, DES

Высокая стоимость оборудования VOIP-телефонии

В прошлом стоимость VOIP-терминалов (телефонов) была весьма высокой. За последние 10-15 лет их стоимость уменьшилась в несколько раз. С активным внедрением операторами связи виртуальных IP-АТС абонентам достаточно приобрести в офис только терминалы (телефоны), коммутацией вызовов будет управлять оператор на виртуальной IP-АТС. Стоимость офисных IP-АТС уменьшилась до приемлемых величин.

IP-телефонная станция Cisco BE 6000

Рисунок 6 IP-телефонная станция Cisco BE 6000

Большие затраты рабочего времени на запуск VOIP-сети

Все предприятия сейчас телефонизированы. В инфраструктуру связи вложены средства, технологии изучены и привычны, осуществлять глобальную перестройку сети связи — затратно как по времени, так и по средствам. Штатный IT-специалист не обладает достаточными знаниями и не обладает свободным временем для осуществления глобальных изменений. Действительно, до недавнего времени настройка, администрирование IP-телефонии были труднодоступны из-за подобных страхов. В настоящее время эти проблемы решены и не представляют особой сложности:

на переходный период устанавливаются аналоговые VOIP-шлюзы, конвертирующие аналоговый сигнал в цифровой и обратно;
установкой и обслуживанием VOIP-сетей занимаются компании-интеграторы.