100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №52 "IP-телефония не защищает от прослушивания"11.08.2009 18:45
Миф №53 "IP-телефонию легко вывести из строя"12.08.2009 13:40
Миф №54 "IP-телефония не защищает от подмены телефонов и серверов управления"17.08.2009 12:00
Подобный материал:
1   ...   34   35   36   37   38   39   40   41   ...   69

Миф №52 "IP-телефония не защищает от прослушивания"11.08.2009 18:45


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Предыдущий миф касался защищенности традиционной телефонии, которая не способна адекватно защитить современные телефонные переговоры. В качестве альтернативы, которая еще предлагает и новые интересные возможности, была предложена IP-телефония, в которую все серьезные игроки рынка и вкладывают свои исследовательские бюджеты. Но апологеты традиционной телефонии не сдаются и приводят контраргументы, защищающие не себя, а пытающие опорочить технологию «Voice over IP» (VoIP). Им часто вторят и эксперты по безопасности. Рассмотрим некоторые из этих аргументов и посмотрим насколько они соответствуют действительности. Начнем с прослушивания, т.к. именно эта проблема является ключевой и для традиционных телефонных переговоров.

Собственно основной механизм борьбы с этой угрозой совпадает в обеих технологиях телефонной связи - это шифрование телефонного разговора. Однако реализация этого механизма существенно отличается в каждом из сценариев. В традиционной телефонии это реализуется путем использования скремблера или вокодера, которые либо устанавливаются перед телефоном, либо объединяются с ним. В любом случае это не только увеличивает стоимость телефонной связи (скремблер может быть в разы дороже телефонного аппарата), но и делает ее менее гибкой, удобной и совсем не масштабируемой. В случае с более современной IP-телефонией шифрование может быть встроено в каждый телефонный аппарат. Причем встроено изначально, а значит, будучи прозрачным, не вызывает неудобств у пользователя. В этом случае для обеспечения конфиденциальности голосового потока применяется специально разработанный протокол SecureRTP (SRTP), не позволяющий посторонним проникнуть в тайну телефонных переговоров, передаваемых по протоколу IP.

Второй вариант чуть менее удобен, но зато может быть реализован даже в том случае, если протокол SRTP не реализован в IP-телефонах или по тем или иным причинам не включен. Речь идет о технологии построения виртуальных частных сетей (VPN), которая будет с одинаковым успехом шифровать и обычные данные (например, электронную почту или от АБС) и голосовой и видео-контент. Протокол IPSec, на базе которого построено большинство современных VPN-решений, позволяет защитить телефонный разговор, осуществляемый даже через сети открытого доступа, например, Интернет. При этом в качестве алгоритма шифрования могут использоваться как западные (что, как мы уже знаем не запрещено во многих случаях), так и отечественные наработки.

Миф №53 "IP-телефонию легко вывести из строя"12.08.2009 13:40


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Еще один аргумент противников IP-телефонии состоит в том, что раз она построена на базе IP-протокола, то может быть легко выведена из строя случайной или направленной распределенной атакой «отказ в обслуживании» (distributed denial of service, DDoS). Теоретически это верно, как верно и то, что традиционная телефония подвержена той же проблеме (вспомните про попытки дозвониться до друзей и родителей в Новый Год).

Данная угроза является самой сложной в отражении, т.к. построена она на посылке большого количества вполне легитимных и нормально выглядящих порций информации (сетевых пакетов). В качестве аналогии могу напомнить вам час пик в московском метро или утро на железнодорожных станциях в пределах Москвы. Множество людей, которые пытаются пройти через небольшое количество турникетов. Создается пробка и... невозможность попасть в нужное время в нужное место, т.е. условное «выведение пассажиров из строя». По такому же принципу реализуется и атака «отказ в обслуживании» в Интернет и корпоративных сетях.

Несмотря на то, что различные компоненты IP-телефонии потенциально подвержены таким атакам, компании, серьезно занимающиеся вопросами сетевой безопасности, предлагают целый ряд защитных мер, предотвращающих как сами DDoS-атаки, так и их последствия. Для этого можно использовать как встроенные в сетевое оборудование (маршрутизаторы и коммутаторы) механизмы обеспечения информационной безопасности, так и дополнительные решения:

· Разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в «голосовом» участке распространенных атак, включая и DDoS.

· Применение специальных правил контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты.

· Применение системы предотвращения атак на узлах, участвующих в инфраструктуре IP-телефонии.

· Применение специализированных систем защиты от DoS и DDoS-атак.

· Применение специальных настроек на сетевом оборудовании, предотвращающих подмену адреса, часто используемую при DoS-атаках, и ограничивающих полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного, шумового трафика.

Миф №54 "IP-телефония не защищает от подмены телефонов и серверов управления"17.08.2009 12:00


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

В традиционной телефонии не составляет большого труда заменить один телефон на идентичный, но оснащенный подслушивающими устройствами. Т.к. эксклюзивные модели телефонов в 99.99% организаций не используются, то купить за пару тысяч рублей такой же телефонный аппарат не составляет большого труда. А это в свою очередь дает большой простор для деятельности злоумышленников, желающих перехватить чужие телефонные переговоры. В IP-телефонии, построенной на рекомендациях экспертов информационной безопасности, такая возможность сводится практически к нулю.

Для защиты от несанкционированно подключенных к сетевой инфраструктуре устройств или пытающихся замаскироваться под авторизованные IP-телефоны, можно и нужно использовать не только уже упомянутые ранее правила контроля доступа на маршрутизаторах и межсетевых экранах, но и развитые механизмы строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления телефонными соединениями). К ним среди прочих относятся:

• Механизм Port Security, позволяющий «привязать» сетевой адрес (MAC-адрес) IP-телефона к определенному порту коммутатора. И хотя этот механизм достаточно легко реализовать на практике, он недостаточно масштабируем и лишен гибкости.

• Протокол 802.1x, расширяющий возможности по проверке подлинности любых устройств корпоративной сети (не только IP-телефонов) и являющийся достаточно гибким и масштабируемым.

• Самым серьезным с точки зрения безопасности является использование сертификатов открытых ключей, которые позволяют удостовериться, что все участники телефонных переговоров именно те, за кого себя выдают. Размещенные на IP-телефонах сертификаты служат гарантией их подлинности; также как и сертификат на сервере управления.

Таким образом, IP-телефония обеспечивает не только конфиденциальность переговоров, как было отмечено раньше, но и защиту от подмены их участников.