и видеоконференции сейчас переживают бум о них говорят все. При этом расписываются их несомненные достоинства сокращение расходов за междугородние и международные переговоры, возможность совместной передачи данных и голоса по одним физическим каналам связи, интеграция с различными приложениями и т.д.
Но как быть с безопасностью этих приложений? Сети IP-телефонии и видеоконференций хорошая цель для хакеров. Некоторые из них могут подшутить над вами, послав вам голосовое сообщение от имени руководства компании. Кто-то захочет получить доступ к голосовому почтовому ящику вашего руководства или даже перехватить голосовые данные о финансовых сделках, которыми обмениваются сотрудники финансового департамента или бухгалтерии. Ваши конкуренты могут попытаться подорвать вашу репутацию путем выведения из строя шлюзов и диспетчеров, нарушая тем самым доступность телефонных услуг для ваших абонентов, что, в свою очередь, может также привести к нанесению ущерба бизнесу ваших клиентов. Существуют и такие виды мошенничества, как, например, звонки за чужой счет (кража сервиса).
Главная проблема, связанная с IP-телефонией и видеоконференциями, состоит в том, что они слишком открыты, и злоумышленники могут относительно легко совершать атаки на их компоненты. IP-телефония, являясь прямой родственницей обычной телефонии и IP-технологии, вобрала в себя не только их достоинства, но и недостатки. Атаки, присущие обычной телефонии, также могут быть применены и для ее IP-составляющей. Несмотря на то, что случаи таких нападений пока не особенно распространены, хакеры при желании в состоянии их реализовать, т.к. атаки на обычные IP-сети могут быть практически без изменений направлены и на сети передачи оцифрованного голоса и видео. С другой стороны, схожесть обычных IP-сетей и сетей IP-телефонии и видеоконференций подсказывает нам и пути их защиты.
Начинается все с выбора правильной топологии, который помогут сделать специалисты Департамента проектирования и консалтинга компании НИП «ИНФОРМЗАЩИТА». Мы не рекомендуем использовать для VoIP-инфраструктуры концентраторы, которые облегчают злоумышленникам перехват данных. Оцифрованные голос и видео передаются обычно по той же кабельной системе и через то же сетевое оборудование, через которые проходят данные, и поэтому стоит правильно разграничить между ними информационные потоки. Это, например, может быть сделано с помощью механизма VLAN, однако не стоит полагаться только на него. Сервера, входящие в инфраструктуру IP-телефонии и видеоконференций, желательно размещать в отдельном сетевом сегменте. Он должен быть защищен не только с помощью встроенных в коммутаторы и маршрутизаторы механизмов (списков контроля доступа, трансляции адресов и обнаружения атак), которые могут быть настроены нашими специалистами, но и с помощью дополнительно установленных средств защиты, к которым относятся:
Межсетевой экран Check Point Firewall-1\VPN-1 Next Generation. Он поддерживает все протоколы IP-телефонии и видеоконференций, включая SIP, H.323 и RTP/RTCP, и эффективно защищает инфраструктуру от несанкционированного доступа. Кроме того, этот межсетевой экран протестирован на совместимость с различными медиа-приложениями, в т.ч. NetMeeting, RealAudio, RealVideo, StreamWorks, VDOLive, Internet Phone, CU-SeeMee и т.д.
Эти системы позволят не только своевременно идентифицировать нападения на инфраструктуру IP-телефонии и видеоконференций, но и блокировать их, не давая им нанести вред ресурсам корпоративной сети.
Еще один достаточно простой способ защиты инфраструктуры VoIP контроль MAC-адресов. Не разрешайте IP-телефонам с неизвестными MAC-адресами получать доступ к шлюзам и иным элементам IP-сети, передающей голосовые данные. Это позволит вам предотвратить несанкционированное подключение «чужих» IP-телефонов, которые могут прослушивать ваши переговоры или пользоваться телефонной связью за ваш счет. Контролировать MAC-адреса в сети вам поможет сканер безопасности Internet Scanner, обеспечивающий также решение следующих задач:
Инвентаризация сетевых ресурсов и построение карты сети.
Анализ и определение настроек сетевого оборудования, серверов и рабочих станций с установленными голосовыми приложениями.
Автоматизированное обнаружение и всесторонний анализ «дыр» на VoIP-диспетчерах и в биллинговой системе.
Сравнение положений политики безопасности с текущим состоянием постоянно изменяющегося сетевого окружения.
Прогнозирование изменения уровня защищенности.
Помощь в принятии решений относительно дальнейшего повышения защищенности сети.
Кроме того, Internet Scanner позволяет дистанционно определить наличие в сети «чужих» IP-телефонов.
Для защиты узлов корпоративной системы IP-телефонии и видеоконференций можно использовать системы обнаружения атак с встроенными персональными межсетевыми экранами, которые блокируют любую несанкционированную активность:
для защиты VoIP-диспетчера, а также VoIP- и видеошлюза RealSecure Server;
для защиты абонентских пунктов с голосовыми и видео-приложениями RealSecure Desktop.
К выгодам, получаемым потребителями этой системы, можно отнести:
Защиту инфраструктуры IP-телефонии и видеоконференций от посягательств злоумышленников.
Снижение издержек на поддержку управляемых средств защиты.
Существенное повышение эффективности работы персонала, отвечающего за информационную безопасность.
Масштабируемость инфраструктуры обеспечения информационной безопасности VoIP- и видеосети.
Управление с одной консоли средствами защиты, находящимися на различных участках корпоративной сети (в т.ч. в удаленных филиалах).