100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №55 "IP-телефония подвержена заражению червями, вирусами и троянцами"24.08.2009 10:53
Миф №56 "В IP-телефонии легко совершить мошенничество"28.08.2009 15:37
Миф №57 "Злоумышленник с административными правами может нарушить функционирование инфраструктуры IP-телефонии"04.09.2009 14:09
Подобный материал:
1   ...   35   36   37   38   39   40   41   42   ...   69

Миф №55 "IP-телефония подвержена заражению червями, вирусами и троянцами"24.08.2009 10:53


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Этот миф проистекает из того факта, что «АТС» (сервер управления), которая управляет телефонными звонками, обычно строится на базе распространенных операционных систем - Windows или Linux. Это позволяет некоторым экспертам делать вывод, что заразить такой сервер управления ничего не стоит и вся телефонная сеть будет быстро выведена из строя.

Разумеется, зерно истины в этом мифе существует и это одна из немногих угроз, которая применима только к IP-, а не традиционной телефонии. Но, как и во многих других мифах, надо четко отделять зерна от плевел и понимать, где миф имеет под собой почву, а где это не более чем уловка. Как сложно себе представить сервер АБС, выставленный в Интернет, так и сервер управления IP-телефонией обычно защищается не менее серьезно.

Для защиты инфраструктуры IP-телефонии от заражения различными вредоносными программами используется целый ряд защитных мер, позволяющих построить эшелонированную оборону, препятствующую не только внедрению, но и распространению червей, вирусов, троянских коней и других типов вредоносной программ. Первой линией обороны является антивирус, который защищает сервер управления от локального или удаленного заражения.

Вторая линия обороны заключается в сегментации сети и отделении IP-АТС от всех остальных узлов. При этом усилить эту линию можно применением межсетевых экранов и систем обнаружения и предотвращения атак, разграничивающих доступ к инфраструктуре IP-телефонии и отражающих любые несанкционированные действия против нее.

Третья линия обороны строится на использовании персональных систем предотвращения атак (HIPS) и антивирусов на оконечных узлах, участвующих в инфраструктуре IP-телефонии.

Последняя по счету, но не последняя по важности линия обороны - инициатива Network Admission Control (контроль сетевого доступа), в рамках которой все несоответствующие политике безопасности (в т.ч. с неустановленным или неактуальным антивирусным программным обеспечением, с неустановленными «заплатками» и т.п.) рабочие станции, сервера и иные устройства не смогут получить доступ к корпоративной сети и, в частности, к сегменту IP-телефонии, и нанести ущерб их ресурсам. Незащищенные узлы получат доступ только в специально выделенный карантинный сегмент сети, в котором они смогут получить последние обновления для своего антивируса, заплатки для своей операционной системы и т.п., чтобы привести себя в соответствие с требованиями компании.

В заключение можно отметить, что данный миф может стать реальностью только в одном случае - потребитель IP-телефонии сам отказывается от применения защитных мер и подставляет свою телефонную систему под удар вредоносных программ.

Миф №56 "В IP-телефонии легко совершить мошенничество"28.08.2009 15:37


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Многие компании часто сталкиваются с тем, что сотрудники, не имея на то никаких привилегий, совершают междугородние и международные звонки, «ставя» свою компанию на деньги. Вычислить таких сотрудников непросто – ведь они могут совершать несанкционированные звонки с любого аппарата, который находится в компании. Попытки «привязать» возможность осуществления дорогостоящих звонков к телефонному номеру (а, следовательно, к телефонному аппарату) ни к чему не приводит, т.к. сотрудник всегда может позвонить именно с того телефона, у которого такая возможность есть. Как быть? В традиционной телефонии эта проблема не решается, в отличие от ее «IP-сестры», которой хоть и присуща подмена адресов (решаемая при помощи уже описанных методов проверки подлинности), но не мошенничество со звонками.

Сервер управления инфраструктурой IP-телефонии (IP-АТС, CallManager и другие названия в зависимости от производителя) может содержать ряд возможностей, позволяющих снизить вероятность осуществления телефонного мошенничества в зависимости от его типа (кража услуг, фальсификация звонков, отказ от платежа и т.п.). В частности, для каждого абонента можно:

• заблокировать звонки, как на определенные группы номеров, так и с них;

• заблокировать возможность переадресации звонков на различные типы номеров - городские, мобильные, междугородние, международные и т.д.;

• отфильтровывать звонки по различным параметрам;

• и т.д.

При этом все эти действия осуществляются независимо от того, с какого телефонного аппарата абонент осуществляет звонок. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не проходит процесс подтверждения своей подлинности, то он может звонить только по заранее определенному ограниченному списку телефонных номеров, например, в скорую помощь, милицию, внутренний отдел поддержки или службу безопасности.

Миф №57 "Злоумышленник с административными правами может нарушить функционирование инфраструктуры IP-телефонии"04.09.2009 14:09


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Этот миф проистекает из того факта, что IP-АТС представляет собой обычную программу, как «Опердень банка» или Windows, у которых есть пользователи с административными правами, которые в свою очередь могут нарушить функционирование всей инфраструктуры IP-телефонии. И причин тут может быть несколько - от грядущего увольнения до невыплаты квартальной премии. И хотя такая же точно угроза существует и в традиционной телефонии, посмотрим, как с ней можно бороться именно в IP-АТС.

В «серьезных» серверах управления IP-телефонии предусмотрены расширенные возможности по наделению системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. К таким правам могут быть отнесены - доступ к конкретным настройкам только на чтение, полное отсутствие доступа к ним, доступ на изменение и т.д. Кроме того, все производимые администратором действия будут фиксироваться в специальном журнале регистрации и могут быть проанализированы в любой момент в поисках следов несанкционированной активности. При этом с целью снижения риска превышения привилегий, пользователей с правами администратора может быть несколько - у каждого свои полномочия и свой сектор ответственности.

Т.к. инфраструктура IP-телефонии является достаточно разветвленной, то управление конфигурацией IP-телефонов и взаимодействие их с сервером управления может осуществляться по защищенному от несанкционированного доступа каналу, предотвращая любые попытки прочтения или модификации управляющих команд. Для защиты канала управления могут и должны использоваться различные криптографические протоколы - IPSec, SSL, TLS и т.д.

Резюмируя, мы видим, что хотя теоретически возможность нанесения вреда банку со стороны администратора и существует, но при правильном построении системы защиты, такая возможность превращается скорее в миф, чем остается реальностью.