Передача голоса по IP (Voice over IP, VoIP) окончательно вышла из детского возраста. По данным Booz Allen Hamilton, уже 40% европейских компаний занимается внедрением у себя VoIP, а до конца года это число вырастет до 60%. До сих пор особое внимание уделялось качеству голоса (Quality of Service, QoS), готовности и параметрам производительности, между тем как безопасностью часто пренебрегали. О критических прецедентах пока еще не сообщалось, поэтому осведомленность о рисках для безопасности в области VoIP довольно невелика. Однако с миграцией на IP в мир телефонии привносятся не только ее преимущества, но и недостатки: телефония становится уязвимой.
Открытая сеть - открытые переговоры?
В отличие от традиционной коммутируемой телефонной сети общего пользования (Public Switched Telephone Network, PSTN) с ее сквозными соединениями VoIP для передачи голосовых данных задействует общедоступную сеть IP. Тот, кто передает или принимает данные по сети IP в незащищенном виде, становится привлекательной целью для хакеров, в том числе когда речь идет о голосовых данных. Соответственно, инфраструктурам VoIP угрожают те же опасности, что и для сетей передачи данных. Но, помимо этого, речь идет о гораздо более чувствительном приложении реального времени. Результаты успешной атаки на сеть передачи голосовых данных более серьезны: задержанное на несколько минут электронное письмо или медленно работающий браузер редко приводят к тяжелым последствиям, в отличие от прерывания телефонного разговора или полного отказа системы коммуникаций.
Риски безопасности в случае VOIP
Для прослушивания и манипулирования инфраструктурами VoIP физический доступ уже не нужен. Во время телефонного разговора по VoIP без использования соответствующих механизмов безопасности конфиденциальность не обеспечивается. Так, хакеры в состоянии не только прослушать, о чем говорят абоненты, но и отфильтровать или добавить отдельные фрагменты в их беседу.
Аналогом спама применительно к IP-телефонии является спит (Spam over Internet Telephony, SPIT), к тому же не стоит забывать о вирусах и "червях". Однако самую большую опасность представляют собой атаки по типу "отказ в обслуживании" (Denial of Service, DoS), поскольку при определенных обстоятельствах с помощью одного-единственного соответствующим образом подготовленного пакета SIP можно вывести из строя всю корпоративную сеть на срок до одних суток.
Надежные переговоры по IP
Сеть передачи данных на предприятии должна быть логически отделена от сети передачи голоса при помощи так называемых виртуальных локальных сетей (Virtual Local Area Network, VLAN). Эта мера усложняет внутренним злоумышленникам прослушивание телефонных разговоров (о действенности подобных мер см. статью Э. Рея и П. Фирса "Безопасность на втором уровне под угрозой" в сентябрьском номере "Журнала сетевых решений/LAN" за этот год). Кроме того, реализация виртуальных сетей позволяет смягчить или обойти возможные проблемы с пропускной способностью
Традиционная телефония, как уже говорилось, использует физическое сквозное соединение и поэтому гораздо лучше защищена от атак, чем телефония на базе сети передачи данных. Таким образом, "виртуальное" сквозное соединение внутри корпоративной сети необходимо построить и в случае VoIP. Это означает, что в пределах распределенной корпоративной инфраструктуры с филиалами или удаленно работающими сотрудниками должна быть создана архитектура, способная противостоять обычным опасностям.
Для передачи голоса по IP она должна, кроме того, отвечать высоким требованиям к приложениям реального времени, поскольку пользователи, как правило, не терпят пауз или задержек в продолжении разговора. Для передачи голосового трафика по общедоступным сетям между отдельными филиалами могут задействоваться существующие частные сети (Virtual Private Network, VPN) - защищенные соединения для передачи данных (см. Рисунок 1). Благодаря прозрачному соединению между ними никаких дополнительных требований к брандмауэрам, если таковые имеются, не возникает. VoIP по VPN обеспечивает в первую очередь безопасность "между телефонными розетками" партнеров по коммуникации. Однако инфраструктура VPN должна быть оптимизирована для применения в среде VoIP.
