Реферати

Реферат: Захисти свій голос по IP

Людство як суб'єкт історії. Прояву людської сутності. Історія як синонім поняття "соціум". Биологизаторская і социологизаторская концепції трактування природи людини. Людська діяльність і її наслідки: глобальні проблеми людства, рецепти виживання.

Грошова система, грошові знаки. Правове регулювання грошового пристрою в РФ. Грошова система й емісійне право в РФ. Сутність і функції грошей. Види грошей. Поняття грошового обігу. Основи організації безготівкових розрахунків. Розрахунки пластиковими картками.

Особливості застосування спрощеної системи оподатковування. Загальна характеристика спрощеної системи оподатковування. Правові основи застосування УСН, установленої для організацій і індивідуальних підприємців. Організація і ведення податкового обліку при її застосуванні, зміни, внесені на 2009 рік.

Фінансовий ризик як об'єкт керування. Поняття, види, методи і процес керування фінансовим ризиком. Способи зниження окремих видів ризиків. Інвестиційний, страховий і банківський, підприємницький (виробничий, комерційний, фінансовий) і споживчий ризики і їхня характеристика.

Антарктичні оазиси як природний комплекс. Історія відкриття й освоєння антарктичних оазисів, гіпотези їхнього походження, фізико-географічна характеристика природних комплексів, найбільш перспективні напрямки дослідження. Розташування, вік, флора, фауна, рельєф і клімат оазису Бангера.

Олексій Лукацкий

Рішення IP-телефонії немислимі без заходів безпеки

IP-телефонія поступово підміняє колишні способи організації телефонного зв'язку. З великою часткою упевненості можна передбачити, що через пару років традиційна телефонія буде повністю витіснена своєю більш сучасною і функціональною родичкою, працюючою по протоколу IP. Цей напрям по суті не розвивається навіть традиційними виробниками, оскільки всі їх зусилля направлені тепер на IP-телефонію. Проте, апологети «дискового» антикваріату не поспішають інвестувати кошти в більш сучасний спосіб організації телефонного зв'язку, посилаючись на те, що використати протокол IP ризиковано з точки зору безпеки.

Дійсно, при розробці протоколу IP не приділялося належної уваги питанням інформаційної безпеки, однак згодом ситуація мінялася, і сучасні додатки, що базуються на IP, містять досить захисних механізмів. А уже рішення в області IP-телефонії і поготів немислимі без реалізації стандартних технологій аутентификація і авторизації, контролю цілісності і шифрування і т. д. Для наглядності розглянемо ці механізми по мірі того, як вони задіються на різних стадіях організації телефонної розмови, починаючи з підняття телефонної трубки і закінчуючи сигналом відбій.

Телефонний апарат

З чого починається звичайний телефонний дзвінок? З підняття телефонної трубки і набору номера. У IP-телефонії, перш ніж телефон пошле сигнал на встановлення з'єднання, абонент повинен ввести свій ідентифікатор і пароль на доступ до апарату і його функцій. Така аутентификація дозволяє блокувати будь-які дії сторонніх і не турбуватися, що чужі користувачі (наприклад, гості компанії) будуть дзвонити в інше місто або країну за ваш рахунок.

Встановлення з'єднання

Після набору номера сигнал на встановлення з'єднання поступає на відповідний сервер управління дзвінками (в рішеннях Cisco, наприклад, він називається CallManager), де здійснюється цілий ряд перевірок з точки зору безпеки. Насамперед упевняється автентичність самого телефону - як шляхом використання протоколу 8o2.1 х, так і за допомогою сертифікатів на базі відкритих ключів, інтегрованих в інфраструктуру IP-телефонії. Така перевірка дозволяє ізолювати несанкціоновано встановлені в мережі IP-телефони, особливо в мережі з динамічною адресацією. Явища, подібні горезвісним вьетнамским переговорним пунктам, в IP-телефонії просто неможливі (зрозуміло, при умові проходження правилам побудови захищеної мережі телефонного зв'язку).

Однак аутентификація телефону справа не обмежується - необхідно з'ясувати, чи надано абоненту право дзвонити по набраному ним номеру. Це не стільки механізм захисту, скільки міра запобігання шахрайству. Якщо інженеру компанії не можна користуватися міжміським зв'язком, то відповідне правило відразу записується в систему управління дзвінками, і, з якого б телефону не здійснювалася така спроба, вона буде негайно кладена край. Крім того, можна вказувати маски або діапазони телефонних номерів, на які має право дзвонити той або інакший користувач.

З чим ще стикається рядовий абонент телефонної мережі в момент встановлення з'єднання? З відсутністю сигналу або голосом автовідповідача «Телефонна лінія переобтяжена». Перша ситуація виникає у разі дефекту телефонного кабеля або аварії на АТС. Біля року тому центр Москви протягом декількох днів був позбавлений телефонному зв'язку внаслідок пожежі на АТС на вулиці Щепкина. У випадку ж з IP-телефонією такі проблеми зі зв'язком неможливі: при грамотному дизайні мережі з резервними з'єднаннями або дублюванням сервера управління дзвінками відмова елементів інфраструктури IP-телефонії або їх перевантаження не впливає негативного чином на функціонування мережі.

Телефонну розмову

Які ще небезпеки підстерігають під час телефонногд розмови? Хоч би банальне прослуховування: зловмиснику не складає труднощів перехопити голосові дані за допомогою жучка, який на радиоринке можна купити за 10-30 доларів. При цьому для перехоплення навіть необов'язково фізично підключатися до телефонної лінії - досить «зняти» електромагнітні наводки, знаходячись на деякій відстані від неї, і відновити телефонні переговори. Використання скремблерів і вокодеров, звісно, дозволяє захиститися, тільки ось як бути, якщо вам треба встановити ці пристрої, кожне з яких стоїть не менше 400 доларів, на всі телефонні апарати? При таких витратах навряд чи захочеться говорити про зручність використання телефону.

У IP-телефонії розв'язання цієї проблеми передбачалося з самого початку. Високий рівень конфіденційності телефонного зв'язку забезпечують перевірені алгоритми і протоколи (DES, 3DES, AES, IPSec і т. п.) при практично повній відсутності витрат на організацію такого захисту - всі необхідні механізми (шифрування, контролю цілісності, хеширования, обміну ключами і інш.) вже реалізовані в інфраструктурних елементах, починаючи від IP-телефону і закінчуючи системою управління дзвінками. При цьому захист може бути з однаковим успіхом застосовуватися як для внутрішніх переговорів, так і для зовнішніх (в останньому випадку всі абоненти повинні користуватися IP-телефонами).

Однак з шифруванням, або, як іноді говорять в Росії, кодуванням, пов'язаний ряд моментів, про які необхідно пам'ятати, впроваджуючи інфраструктуру VoIP. По-перше, з'являється додаткова затримка внаслідок шифрування/дешифруючого, а по-друге, зростають накладні витрати внаслідок збільшення довжини пакетів, що передаються. І те і інше вирішується шляхом застосування протоколу SecureRTP (RFC 3711); який дозволяє забезпечити ефективний захист розмови без зниження її якості.

Невидимий функционал

Досі. ми розглядали тільки ті небезпеки, яким схильна традиційна телефонія і які можуть бути усунені впровадженням IP-телефонії. Але перехід на протокол IP несе з собою ряд нових загроз, які не можна не враховувати. На щастя, для захисту від цих загроз вже існують добре рішення, що зарекомендували себе, технології і підходи. Більшість з них не вимагає ніяких фінансових інвестицій, будучи вже реалізованими в мережевому обладнанні, яке і лежить в основі будь-якої інфраструктури IР-телефонії.

Саме перше і саме просте, що можна зробити для підвищення захищеності телефонних переговорів, коли вони передаються за тією ж кабельною системою, що і звичайні дані, - це сегментировать мережа за допомогою технології VLAN для усунення можливості прослуховування переговорів звичайними користувачами. Хороша практика - використання для сегментів IP-телефонії окремого адресного простору (наприклад, з діапазонів, вказаних в RFC 1918). І, звичайно ж, не варто скидати з рахунків правила контролю доступу на маршрутизаторах (Access Control List, ACL) або міжмережевих екранах (firewall), застосування яких ускладнює зловмисникам задачу підключення до голосових сегментів.

Механізм VLAN реалізовується комутаторами локальної мережі. У залежності від виробника коммутирующее обладнання дозволяє задіяти і безліч інших механізмів безпеки, вже вбудованих в придбане мережеве обладнання і підвищуючих захищеність передачі голосових даних по протоколу IP:

VLAN ACL (VACL);

DHCP Snooping;

Dynamic ARP Inspection;

IP Source Guard;

Port Security;

Conditional Trust ит. д.

На відміну від традиційної АТС сервер управління дзвінками в IP-телефонії функціонує під управлінням стандартних операційних систем, тому йому загрожують всі ті ж небезпеки, яким зазнають звичайні комп'ютерні системи: «черв'яки», віруси, шпигунське ПО і т. п. Захиститися від них допоможуть традиційні антивірусні кошти і персональні системи запобігання атакам. Не вірте, якщо вам скажуть: «Наше рішення базується на UNIX, а означає, віруси йому нипочем». Це міф, вигідний деяким виробникам. Шкідливих програм, що загрожують прикрощами вузлам UNIX, цілком вистачає (наприклад, rootkit).

Спілкування із зовнішнім світом

Які б переваги IP-телефонія ні надавала в рамках внутрішньої корпоративної мережі, вони будуть неповними без можливості здійснення і прийому дзвінків на міські номери. При цьому, як правило, виникає задача конвертації IP-трафіка в сигнал, що передається по телефонній мережі загального користування (ТфОП). Вона вирішується за рахунок застосування спеціальних голосових шлюзів (voice gateway), реалізуючий деякі захисні функції, а сама головна з них - блокування всіх протоколів ТР-телефонії (Н.323, SIP і інш.), якщо їх повідомлення поступають з неголосового сегмента.

Для захисту елементів голосової інфраструктури від можливих несанкціонованих впливів можуть застосовуватися спеціалізовані рішення - міжмережеві екрани (МСЕ), шлюзи прикладного рівня (Application Layer Gateway, ALG) і прикордонні контроллери сеансів (Session Border Controller). Однак не варто придбавати перший пристрій, що попався, оскільки протоколи IP-телефонії (наприклад, SIP або RTP) накладають на їх функционал певні обмеження. Зокрема, протокол RTP використовує динамічні порти UDP, відкриття яких на міжмережевому екрані приводить до появи зяючої діри в захисті. Отже, міжмережевий екран повинен динамічно визначати порти, що використовуються для зв'язку, відкривати їх в момент з'єднання і закривати по його завершенні. Інша особливість полягає в тому, що ряд протоколів, наприклад SIP, інформацію про параметри з'єднання розміщують не в заголовку пакету, а в тілі даних. Тому пристрій захисту повинен бути здібно аналізувати не тільки заголовок, але і тіло даних пакету, вичленяя з нього всі необхідні для організації голосового з'єднання зведення. Ще одним обмеженням є складність спільного застосування динамічних портів і NAT.

Деякі виробники випускають тільки спеціалізовані захисні шлюзи для обробки трафіка VoIP, але, перш ніж придбати один з них, потрібно подумати про те, що все одно не вдасться обійтися без звичайного міжмережевого екрана, що уміє аналізувати не тільки протоколи Н.323, SIP і MGCP, але і інші - широко поширені в мережах HTTP, FTP, SMTP, SQL*Net і т. д. Навіщо платити двічі? Чи Не краще відразу вибрати МСЕ, який уміє працювати і із звичайними протоколами і протоколами VoIP?

Висновок

Які ще аспекти безпеки IP-телефонії заслуговують уваги? По-перше, необхідно потурбуватися про захист адміністративного інтерфейса. У звичайній телефонії доступ до АТС відкриває практично безмежні можливості несанкціонованої зміни конфігурації, перехоплення дзвінків і т. п. У розвинених серверах управління передбачені розширені функції для наділення системних адміністраторів тільки тими правами, які ним потрібні для виконання своїх обов'язків. Інфраструктура IP-телефонії досить розгалужена, тому управління нею повинно здійснюватися по захищеному від несанкціонованого доступу каналу, щоб запобігти будь-яким спробам прочитання або модифікаціям керуючих команд. Для захисту каналу можуть використовуватися різні протоколи - SSH, IPSec, SSL, TLS і т. д.

По-друге, потрібно забезпечити доступність і захист від атак «відмова в обслуговуванні». З розв'язанням цієї проблеми допомагають справитися як спеціальні системи захисту від атак DoS і DDoS, так і вбудовані в мережеве обладнання механізми. І, звичайно ж, не можна забувати про грамотний дизайн мережі, застосування резервних з'єднань, механізми балансування навантаження і т. п.

І нарешті, саме головне Для безпеки IP-телефонії - розуміння всіх ризиків, пов'язаних з нею. Тільки в цьому випадку можна побудувати високоефективну і недорогу систему захисту голосових даних, що передаються по єдиному кабелю - разом з файлами, електронною поштою і сторінками Web. LAN

Список літератури

Журнал LAN №8 2005