100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №52 "IP-телефония не защищает от прослушивания"11.08.2009 18:45
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Предыдущий миф касался защищенности традиционной телефонии, которая не способна адекватно защитить современные телефонные переговоры. В качестве альтернативы, которая еще предлагает и новые интересные возможности, была предложена IP-телефония, в которую все серьезные игроки рынка и вкладывают свои исследовательские бюджеты. Но апологеты традиционной телефонии не сдаются и приводят контраргументы, защищающие не себя, а пытающие опорочить технологию «Voice over IP» (VoIP). Им часто вторят и эксперты по безопасности. Рассмотрим некоторые из этих аргументов и посмотрим насколько они соответствуют действительности. Начнем с прослушивания, т.к. именно эта проблема является ключевой и для традиционных телефонных переговоров.
Собственно основной механизм борьбы с этой угрозой совпадает в обеих технологиях телефонной связи - это шифрование телефонного разговора. Однако реализация этого механизма существенно отличается в каждом из сценариев. В традиционной телефонии это реализуется путем использования скремблера или вокодера, которые либо устанавливаются перед телефоном, либо объединяются с ним. В любом случае это не только увеличивает стоимость телефонной связи (скремблер может быть в разы дороже телефонного аппарата), но и делает ее менее гибкой, удобной и совсем не масштабируемой. В случае с более современной IP-телефонией шифрование может быть встроено в каждый телефонный аппарат. Причем встроено изначально, а значит, будучи прозрачным, не вызывает неудобств у пользователя. В этом случае для обеспечения конфиденциальности голосового потока применяется специально разработанный протокол SecureRTP (SRTP), не позволяющий посторонним проникнуть в тайну телефонных переговоров, передаваемых по протоколу IP.
Второй вариант чуть менее удобен, но зато может быть реализован даже в том случае, если протокол SRTP не реализован в IP-телефонах или по тем или иным причинам не включен. Речь идет о технологии построения виртуальных частных сетей (VPN), которая будет с одинаковым успехом шифровать и обычные данные (например, электронную почту или от АБС) и голосовой и видео-контент. Протокол IPSec, на базе которого построено большинство современных VPN-решений, позволяет защитить телефонный разговор, осуществляемый даже через сети открытого доступа, например, Интернет. При этом в качестве алгоритма шифрования могут использоваться как западные (что, как мы уже знаем не запрещено во многих случаях), так и отечественные наработки.
Миф №53 "IP-телефонию легко вывести из строя"12.08.2009 13:40
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Еще один аргумент противников IP-телефонии состоит в том, что раз она построена на базе IP-протокола, то может быть легко выведена из строя случайной или направленной распределенной атакой «отказ в обслуживании» (distributed denial of service, DDoS). Теоретически это верно, как верно и то, что традиционная телефония подвержена той же проблеме (вспомните про попытки дозвониться до друзей и родителей в Новый Год).
Данная угроза является самой сложной в отражении, т.к. построена она на посылке большого количества вполне легитимных и нормально выглядящих порций информации (сетевых пакетов). В качестве аналогии могу напомнить вам час пик в московском метро или утро на железнодорожных станциях в пределах Москвы. Множество людей, которые пытаются пройти через небольшое количество турникетов. Создается пробка и... невозможность попасть в нужное время в нужное место, т.е. условное «выведение пассажиров из строя». По такому же принципу реализуется и атака «отказ в обслуживании» в Интернет и корпоративных сетях.
Несмотря на то, что различные компоненты IP-телефонии потенциально подвержены таким атакам, компании, серьезно занимающиеся вопросами сетевой безопасности, предлагают целый ряд защитных мер, предотвращающих как сами DDoS-атаки, так и их последствия. Для этого можно использовать как встроенные в сетевое оборудование (маршрутизаторы и коммутаторы) механизмы обеспечения информационной безопасности, так и дополнительные решения:
· Разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в «голосовом» участке распространенных атак, включая и DDoS.
· Применение специальных правил контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты.
· Применение системы предотвращения атак на узлах, участвующих в инфраструктуре IP-телефонии.
· Применение специализированных систем защиты от DoS и DDoS-атак.
· Применение специальных настроек на сетевом оборудовании, предотвращающих подмену адреса, часто используемую при DoS-атаках, и ограничивающих полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного, шумового трафика.
Миф №54 "IP-телефония не защищает от подмены телефонов и серверов управления"17.08.2009 12:00
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
В традиционной телефонии не составляет большого труда заменить один телефон на идентичный, но оснащенный подслушивающими устройствами. Т.к. эксклюзивные модели телефонов в 99.99% организаций не используются, то купить за пару тысяч рублей такой же телефонный аппарат не составляет большого труда. А это в свою очередь дает большой простор для деятельности злоумышленников, желающих перехватить чужие телефонные переговоры. В IP-телефонии, построенной на рекомендациях экспертов информационной безопасности, такая возможность сводится практически к нулю.
Для защиты от несанкционированно подключенных к сетевой инфраструктуре устройств или пытающихся замаскироваться под авторизованные IP-телефоны, можно и нужно использовать не только уже упомянутые ранее правила контроля доступа на маршрутизаторах и межсетевых экранах, но и развитые механизмы строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления телефонными соединениями). К ним среди прочих относятся:
• Механизм Port Security, позволяющий «привязать» сетевой адрес (MAC-адрес) IP-телефона к определенному порту коммутатора. И хотя этот механизм достаточно легко реализовать на практике, он недостаточно масштабируем и лишен гибкости.
• Протокол 802.1x, расширяющий возможности по проверке подлинности любых устройств корпоративной сети (не только IP-телефонов) и являющийся достаточно гибким и масштабируемым.
• Самым серьезным с точки зрения безопасности является использование сертификатов открытых ключей, которые позволяют удостовериться, что все участники телефонных переговоров именно те, за кого себя выдают. Размещенные на IP-телефонах сертификаты служат гарантией их подлинности; также как и сертификат на сервере управления.
Таким образом, IP-телефония обеспечивает не только конфиденциальность переговоров, как было отмечено раньше, но и защиту от подмены их участников.