Rambler's Top100
Статьи ИКС № 4 2008
Андрей СТЕПАНЕНКО  22 мая 2008

У меня зазвонил IP-фон…

Насколько защищены переговоры посредством IP-телефонии, постепенно вытесняющей проводной телефон? Об этом задумываются очень немногие пользователи IP-фонов, как, впрочем, и абоненты обычных телефонов. А зря. С защищенностью IP-телефонии есть проблемы…

Скажите, почему умерла наша IP-телефония?
Из FAQ с заказчиком

А.Степаненко, директор по маркетигу, ИнформзащитаМноголикая IP-телефония

Термин «IP-телефония» многие пользователи и специалисты толкуют по-разному. Для одних это – возможность дешево звонить по межгороду с обычного телефона, что технологически реализуется путем преобразования телефонных сигналов в IP-пакеты на специализированных шлюзах. В таких случаях роль альтернативных магистральных каналов связи играет Интернет. Сейчас примерно половина всех международных и междугородных звонков совершается именно так, о чем мы зачастую даже не догадываемся. А специалисты до сих пор спорят: относить ли этот способ связи к IP-телефонии или ввести отдельный термин «интернет-телефония».

Для других IP-телефония – это Skype и другие программы, позволяющие с компьютера, КПК, коммуникатора или смартфона «звонить по Интернету» родственникам и друзьям, на компьютерах которых установлено такое же ПО. Тут основная цель – экономия: звонок обходится по цене интернет-трафика. По данным Yankee Group, в мире уже около 30 млн человек пользуются таким способом связи и их число стремительно растет.

Наконец, для третьих IP-телефония – это IP-аппарат на рабочем столе или софтфон (программное обеспечение на рабочем компьютере), который позволяет звонить сослуживцам, не задумываясь, в каком городе или стране они находятся. Здесь опять-таки важна экономия.

Отметим, что специалисты пытаются закрепить за корпоративной IP-телефонией термин VoIP (Voice over Internet Protocol), чтобы отделить ее от «любительских» вариантов интернет-телефонии. И, как ни удивительно, когда заходит речь о необходимости защиты IP-телефонии, обычно имеют в виду лишь третью ее разновидность, корпоративную IP-телефонию. Такое впечатление, что двум другим опасности вовсе не грозят!

Угрозы типичные и особые

Термин «IP-телефония» включает в себя два других – «IP» и «телефония». И нужно понимать, что этот «симбиоз технологий» в полной мере подвержен воздействию угроз, свойственных как телефонии, так и протоколу IP. Использование последнего для транспортировки голоса привнесло в IP-телефонию многие проблемы защиты, присущие этому протоколу.

Что в имени тебе моем?

Подсистема аутентификации системы IP-телефонии базируется на сигнальном протоколе SIP (Session Initiation Protocol, RFC 3261, ранее RFC 2543). Он играет в IP-телефонии ту же роль, что и SS7 (Signaling System #7) в обычных телефонных сетях. SIP позволяет удостовериться, что соединяемые между собой устройства являются именно теми, что должны взаимодействовать.

Современные системы IP-телефонии дополняют базовые возможности этого протокола, позволяя реализовать более сложные схемы аутентификации абонентов, в том числе по цифровым сертификатам. Это гарантирует аутентификацию не только устройств, но и в ряде случаев конкретных абонентов.

Уязвимости реализаций протокола SIP периодически выявляются, производители их устраняют, но во многих корпоративных сетях звонки от чужого имени до сих пор возможны. Дело в том, что не всегда используется даже базовый функционал SIP. Основной источник наших проблем – наша же беспечность!

Шифровать или не шифровать?

Самый распространенный способ защиты от прослушивания и модификации IP-трафика – его шифрование, но в IP-телефонии этот способ применяется достаточно редко. В чем же причина того, что зрелые технологии VPN (Virtual Private Network) не удостаиваются внимания пользователей IP-телефонии?

Для того чтобы ответить на этот вопрос, нужно осознать, что же отличает передаваемый через IP голос от привычного для IP потока данных. Основная проблема за-ключается в том, что при передаче голоса на первый план выходит гарантированное время доставки. Для поддержки общения абонентов в масштабе реального времени задержка прохождения пакетов не должна превышать 150–250 мс (именно такие значения стандартны для наземных и спутниковых линий «обычной» телефонной связи). Предельная задержка, при которой разговор еще возможен (но лишь в симплексном режиме, как при беседе по рации), для большинства современных кодеков составляет 400 мс.

Много это или мало? Определим, на что расходуются драгоценные миллисекунды. Самому устройству для преобразования голоса в цифровой вид требуется 10–30 мс, а для обратного преобразования 1–5 мс (итого 11–35 мс). Свою лепту вносит процесс установления и разрыва соединения: задержка может увеличиться еще на 30 мс. В процессе приема пакетов система некоторое время «ждет» пропущенные пакеты, и в зависимости от настройки оборудования такая задержка достигает нескольких десятков миллисекунд. При суммировании этих задержек цифра получается неутешительной – даже без учета времени прохождения пакета по Интернету между взаимодействующими точками.

Еще в 2003 г. эксперты компании Stevens Technologies проанализировали средние значения задержек при прохождении IP-пакетами оборудования разных производителей. Результат этих исследований влил солидную ложку дегтя в бочку оптимизма сторонников IP-телефонии. Среднее время задержки только на оконечном оборудовании отправляющей и принимающих сторон (без учета времени передачи пакета через Интернет) составило 121,1 мс! Подчеркнем, что для Интернета не выдвигались требования к времени передачи пакета из точки А в точку В, поэтому оно и не оценивалось. А уяснить масштаб проблемы и понять, насколько «всё в порядке в Датском королевстве», позволяет простейшая проверка, осуществляемая при помощи команды ping (таблица).

Очевидно, что в порядке далеко не всё. В зависимости от расстояния между точками соединения суммарная задержка легко переваливает рубеж «идеальных» 150 мс. В большинстве случаев она находится на уровне приемлемых 250 мс, а при большом удалении (например, при связи с Сиднеем) делает разговор по IP-телефону чрезвычайно затруднительным. Понятно, почему производители IP-телефонов не особенно стремятся интегрировать механизмы шифрования в свое оборудование: дополнительные задержки на шифрование и расшифровку пакетов способны сделать разговор просто невозможным.

Немного света в конце туннеля добавляет «выделение» шифрования, т.е. использование в качестве устройств шифрования голосового трафика внешнего по отношению к IP-телефону оборудования (например, коммуникационного с поддержкой VPN, межсетевого экрана, специализированного криптошлюза и т.п.). Поскольку такое оборудование имеет существенно бо’льшую вычислительную мощность, чем IP-телефон, задержка при передаче пакета тоже будет меньшей, чем при шифровании непосредственно на IP-телефоне.

Но у этой медали есть и оборотная сторона: объем передаваемого трафика существенное увеличивается. IPSec, наиболее распространенный из используемых при шифровании протоколов, добавляет к очень коротким (несколько десятков байт) пакетам IP-телефонии почти столько же байт служебной информации. Правда, с ростом пропускной способности каналов рост трафика все меньше воспринимается как недостаток.

Еще одна трудность возникает при необходимости обработки голосового трафика в соответствии с приоритетами. «Внешние» устройства, как правило, не поддерживают приоритетную обработку такого трафика, хотя сохранение битов приоритета, которые были вставлены в заголовки пакетов, является «хорошим тоном» и обеспечивается практически всеми производителями.

К тому же VPN-устройства не всегда решают проблему. Например, они не защищают голосовой трафик внутри компании, что бывает важно при разговорах руководителей, содержание которых совсем не обязательно знать кому-либо еще. Устанавливать отдельную шифрующую коробочку возле каждого IP-телефона, конечно, можно, но экономически нецелесообразно. Устройства, которые позволяют избежать значительного увеличения задержек, обычно имеют быстродействие минимум на порядок большее производительности IP-телефона и стоят соответственно.

Один из вариантов защиты от прослушивания разговоров руководства – выделение IP-телефонов в отдельный сегмент (VLAN). Это позволяет существенно сузить спектр возможностей потенциальных злоумышленников.

Недремлющие хакеры

При словах «отказ в обслуживании» обычно представляется некий злой хакер, нападающий на сеть, хотя чаще атаку инициирует бестелесный червь или троян. Простейшая из таких программ способна перехватить запрос на завершение соединения с одним из абонентов, а затем посылать его в сеть с частотой более 1000 раз в секунду. В результате никто не может поговорить с этим абонентом, так как его телефон старательно прерывает все входящие звонки. Конечно же, на деле все значительно сложнее и изощреннее: атакуются и телефоны, и шлюзы, и коммутаторы, причем не только с помощью столь примитивных способов.

Единственный действенный способ защиты от таких нападений – установка решений для защиты от атак Intrusion Detection/Prevention System (IDS/IPS). Они способны подавить источник нападения, например изолировав его от атакуемого узла. Однако специализированные решения, призванные бороться исключительно с напастями IP-телефонии, пока не выпускаются.

Сухой остаток

Конечно, никто не будет отказываться от технологий, экономящих деньги, лишь потому, что вместе с новыми возможностями они несут с собой новые проблемы. Главное – понять, какие из этих проблем можно принять как данность, а с какими нужно обязательно бороться. Итоговый список рекомендаций, отсортированных в порядке роста затрат на их реализацию, выглядит так:

- отказ от настроек и паролей по умолчанию во всем оборудовании, используемом для организации корпоративной IP-телефонии;
- регулярное обновление прошивок устройств и версий программного обеспечения при выпуске производителями новых релизов;
- использование встроенных механизмов аутентификации вызовов или установка дополнительных средств аутентификации (возможно, таковые уже есть в вашей сети);
- выделение сети IP-телефонии в VLAN, количество которых определяется числом групп взаимодействующих пользователей;
- применение коммуникационного оборудования и межсетевых экранов для сегментирования сети IP-телефонии;
- шифрование трафика наиболее важных абонентов и IP-разговоров между удаленными офисами;
- использование сетевых систем предотвращения атак (IPS) для обеспечения устойчивой работы IP-телефонной сети.

Увы, никто не может гарантировать, что при выполнении даже всех пунктов этого перечня «будет вам счастье». Но чем больше мер вы решите задействовать, тем меньше будет вероятность того, что вы впишете в историю своей компании тот день, когда не работали все корпоративные IP-телефоны. А не попасть в историю иногда дорогого стоит.

Основные угрозы IP-телефонии
  • Подмена сведений о пользователях
Современные системы корпоративной IP-телефонии имеют расширенные возможности аутентификации абонентов, но многие пользователи пренебрегают их настройкой. Это позволяет злоумышленнику, собравшему информацию об абонентах сети, делать звонки от их имени.
  • Подслушивание
Передача голоса по общей сети дает шанс злоумышленнику прослушивать телефонные переговоры сотрудников компании и ее руководителей, собирать дополнительную информацию о пользователях (например, пароли доступа к голосовым ящикам).
  • Манипулирование данными
Хотя IP-звонки осуществляются в режиме реального времени, хакерский инструментарий позволяет организовывать атаки типа man-in-the-middle, т.е. вмешиваться в ход телефонных разговоров сотрудников компании.
  • Отказ в обслуживании (Denial of Service – DoS)
Из-за ограниченности вычислительных возможностей компонентов корпоративной сети IP-телефонии (IP-телефонов, шлюзов и т.п.) злоумышленники, генерируя паразитный трафик, «пожирающий» ресурсы, могут делать их недоступными для сотрудников компании.


А.-Г. Белл (1847–1922)IP-телефония:

Возможно, раньше к историческим реалиям относились более трепетно. Всем, например, известно, что в 1876 г. именно со слов А.-Г. Белла «Уотсон, идите сюда, вы мне нужны!» началась история того, без чего жизнь человечества уже кажется немыслимой. Это передача речевой информации в виде электромагнитных импульсов на любые расстояния, проще говоря, телефония.

В наше время с его обилием революционных открытий хронологию появления и развития тех или иных направлений, увы, не отслеживают столь тщательно. Поэтому рождение IP-телефонии скрыто туманом версий и имя того, кто первым догадался о возможности передачи голоса при помощи IP-протокола, не установлено, как и точная дата этого события.

Обсуждение технологии шло еще в 70-е годы прошлого века, а первые попытки реализации датируются 1983 г., когда была организована связь между офисами компании Bolt, Beranek and Newman, расположенными на восточном и западном побережьях США. При помощи устройства, названного «речевой воронкой», речь оцифровывалась, полученная информация пакетировалась и передавалась через Интернет. Качество голосовой связи было ужасным (сказывалось несовершенство программы преобразования голоса, значительные задержки при передаче и потери пакетов), а потому эксперименты были прекращены.


Только в 1995 г. израильская фирма VocalTec, собрав воедино достижения в областях цифровой обработки сигналов, кодеков и протоколов маршрутизации, положила начало профессиональной технологии IP-телефонии. Формально IP-телефония родилась в феврале 1998 г.: тогда МСЭ-Т утвердил первый IP-телефонный протокол – H.323, который и по сей день (с изменениями и дополнениями) остается «лицом» современной IP-телефонии. Затем были разработаны протокол RTP (Real-Time Protocol), призванный бороться с проблемами потерь пакетов и невозможностью сохранения порядка их приема из-за различных задержек, протокол SIP и многое другое.

В 1999 г. IP-телефония официально пришла в Россию. Именно тогда была создана некоммерческая Ассоциация независимых провайдеров интернет-телефонии, которая объединила отечественных и зарубежных провайдеров, планирующих предоставлять услуги IP-телефонии.


«ИКС» об IP-телефонии и средствах защиты IP:

2007: № 12, с. 68 , 84 ; № 8, с. 42 ; № 7, с. 54 ; № 6, с. 84.
2006: № 1, с. 70.
2005: № 12, с. 68; № 9, с. 87; № 7, с. 53; № 6, с. 79; № 2, с. 62
.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!