IP-телефония

IP-телефония, или VoIP

- это система связи, которая обеспечивается передачей голосового сигнала через IP-сети, в частности, через Интернет. Сигнал при этом передается в цифровом виде, при этом обычно происходит его сжатие, с целью уменьшения трафика и удаления избыточности. Впервые VoIP была реализована в 1993 году. IP-телефония привлекает простотой внедрения и своим богатым функционалом. Однако многие компании не спешат переходить на VoIP, отдавая дань предрассудкам и мифам, основные из которых мы и рассмотрим.

IP-телефония подвержена прослушке

Для сохранения конфиденциальности разговоров самые передовые решения в IP-телефонии используют сразу несколько механизмов и технологий. Во-первых, голосовой трафик направляется в специально выделенный сегмент сети, а доступ к голосовому потоку разграничивается на маршрутизаторах и межсетевых экранах с помощью жестких правил доступа. Во-вторых, с помощью построения виртуальных частных сетей (VPN) можно защитить трафик от незаконного прослушивания. Используемый протокол IPSec позволяет защитить телефонный разговор от прослушки, даже если связь осуществляется через открытую сеть, например, Интернет. Некоторые компании для усиления безопасности внедряют в свои IP-телефоны протокол SecureRTP (SRTP), который разработан специально для этих целей, препятствуя усилиям злоумышленников перехватить голосовой трафик.

IP-телефония может быть заражена троянскими программами и вирусами

Собственно говоря, поражению может подвергнуться инфраструктура, обеспечивающую связь. Обычно система телефонии защищена целым набором средств, которые выстраивают эшелонированную оборону против атак зловредных программ. Первой линией вместе с антивирусами являются межсетевые экраны, которые разграничивают доступ к инфраструктуре IP-телефонии снаружи. Следующей линией считают системы обнаружения атак и те же антивирусы, но уже на оконечных узлах IP-телефонии. В конце концов, по инициативе Network Admission Control была выстроена еще одна линия защиты. Согласно правилам все станции и сервера, которые не соответствуют общей политике безопасности (к примеру, отсутствие критических обновлений системы или же неактуальное антивирусное ПО) могут быть лишены доступа к корпоративной сети, а значит, не смогут в случае заражения нанести вред инфраструктуре. Для таких узлов выделяется специальный сегмент сети - карантин, в котором они могут получить нужные для полноценного функционирования обновления.

Подмена телефонов и серверов управления возможна и в IP-телефонии

Лучшим средством защиты от устройств, которые пытаются "прикинуться" авторизованными IP-телефонами, нелегально подключенных к корпоративной сети являются не только маршрутизаторы и межсетевые экраны с прописанными правилами доступа, но и средства строгой аутентификации каждого абонента сети IP-телефонии. Это касается и самого сервера управления телефонными соединениями. Для авторизации используются стандартные протоколы, как раз предназначенные для этого - 802.1x, сертификаты PKI X.509, RADIUS и т. д.

Если злоумышленник получить права администратора, то он сможет нарушить работу все инфраструктуры IP-телефонии

Серьезные сервера, управляющие IP-телефонией, предусматривают наделение системных администраторов ограниченного набора прав, необходимых им для выполнения их непосредственных задач. К примеру, администратор может иметь доступ на чтение настроек, но иметь прав на их изменение, полный доступ к ним. Не стоит забывать о том, что все действия администратора пишутся в журнал регистраций и могут быть в нужный момент быть проанализированы в поисках запретной деятельности. Структура сети, использующую IP-телефонию обычно является достаточно разветвленной, поэтому обычно взаимодействие с сервером управления для управления конфигурационными файлами производится по защищенному от несанкционированного доступа каналу связи, который не дает злоумышленнику перехватить и прочитать управляющие команды. Для этого используются специальные протоколы, обеспечивающие безопасность - SSL, TLS, IPSec и другие.

IP-телефония подвержена частым выходам из строя

Обычно считают, что частые атаки злоумышленников приводят и к частым сбоям в работе сети телефонии, однако это не так. Компании, обеспечивающие сетевую безопасность, предлагают целый ряд мер, которые помогают бороться как с самими атаками, так и их последствиями. Можно использовать уже встроенные в сетевое оборудование средства защиты, а можно использовать и дополнительные решения:
 - разделение корпоративной сети на сегменты передачи данных, не пересекающиеся между собой, что может предотвратить появления в сегменте с "голосовыми" данными атак DoS типа и других;
 - настройку правил доступа к сети и ее сегментах на маршрутизаторах, а также межсетевых экранах по периметру сети;
 - установка на узлах систем предотвращения атак;
 - установка узкоспециализированного ПО, которое защищает от DDoS и DoS атак.
 - специальная настройка сетевого оборудования, которая не дает при DoS атаках подменять адрес, ограничивает полосу трафика, что не дает сгенерировать большой поток данных, выводящий из строя оборудования.

Можно осуществить несанкционированный доступ непосредственно к IP-телефонам

Сами аппараты IP-телефонии не так просты, как кажется. Для предотвращения нелегального доступа к ним, они содержат ряд специальных настроек. К примеру, доступ к функциям аппарата можно получить, лишь предъявив идентификатор и пароль, можно установить запрет на изменения настроек самого аппарата и т.д. Чтобы на телефон несанкционированно не производилась "заливка" модифицированного программного кода и файлов конфигураций целостность таких данных контролируется сертификатами Х.509 и электронной цифровой подписью.

При большом числе звонков сервер управления инфраструктурой IP-телефонии может быть выведен из строя

Количество звонков, который сервер управления может принять составляет от 100000 в час, до 250000 при использовании кластерной структуры этих серверов. Но ничто не мешает администратору применить настройки, ограничивающие фиксированным значением число входящих звонков. В случае же отказа одного из серверов управления, возможно настроить переадресацию звонков на резервный вариант.

Сеть IP-телефонии подвержена мошенничеству

Телефонное мошенничество распространенно, однако сервер, управляющий инфраструктурой IP-телефонии, обладает рядом возможностей в борьбе с кражей услуг, отказов от платежей, фальсификацией звонков и другим. К примеру, любой абонент может:
 - фильтровать звонки по определенным параметрам;
 - заблокировать возможность переадресации своего звонка на определенные группы номеров, к примеру, на междугородние, международные и т.д.;
 - заблокировать вообще входящие или исходящие вызовы на определенные номера.
 И возможность совершения этих мер не зависит от того, с какого аппарат звонить абонент. Защита включается при аутентификации абонента на любом аппарате IP-телефонии. Если же пользователь не подтверждает свою подлинность, то список номеров, по которому он может звонить, обычно ограничен, к примеру, телефон поддержки или же номера милиции, скорой помощи.

IP-телефония менее защищена, чем обычная телефония

А вот это утверждение самое распространенное в мире телефонии. Обычные линии связи, разработанные много десятилетий назад, не обеспечивают того уровня защищенности, который предлагает IP-телефония со своей новой, более совершенной технологией. В обычной телефонии нередки случаи подключения абоненту к чужой телефонной линии, прослушивания чужих разговоров. Злоумышленник легко может совершить подмену номера, "наводнить" звонками и совершить целый ряд действий, которые в принципе невозможны в IP-телефонии. Если для защиты традиционных линий связи используется дорогостоящее оборудование, то в IP-телефонии они уже включены в компоненты самой технологии. К примеру, для защиты от прослушки обычная телефония использует скремблеры. Но централизованное управления этими устройствами невозможно, да и приобретения и установка каждого скремблера перед каждым телефонным аппаратом недешевое удовольствие. В последнее время большое внимание уделяется безопасности информационных технологий вообще и IP-телефонии в частности. Многие боятся с внедрением новых систем получить новые риски нарушения конфиденциальности. Не случайно, в вопросе построения новых систем в ИТ большое внимание уделяется их безопасности. Об этом много пишут, к примеру, журнал NetworkWorld вместе с независимой лабораторией Miercom провели всеобъемлющее тестирование защищенности целого ряда наиболее популярных решений в области IP-телефонии. Результаты подтвердили достаточную защищенность инфраструктуры при грамотно ее настройке и преимущества перед традиционными средствами связи. Стоимость защиты намного меньше, чем у более старшей сестры, управление же сетью на порядок удобнее. Для крупного бизнеса переход к IP-телефонии - лишь вопрос времени, а тот, кто сумеет первым занять эту нишу, несомненно станет лидером в своем сегменте.