Захист голосових з'єднань VoIP від ​​прослуховування

1. Прослухати чужі розмови при передачі голосу по IP набагато простіше, ніж у випадку класичної телефонії....
2. ПРОСЛУХОВУВАННЯ В INTRANET
3. ПРОСЛУХОВУВАННЯ В INTERNET
4. VOIP І VPN
5. VOIP і брандмауер
6. БЕЗПЕКА СЕРВЕРА VOIP
7. ВИСНОВОК
8. глосарій

Прослухати чужі розмови при передачі голосу по IP набагато простіше, ніж у випадку класичної телефонії. Це твердження стосується і корпоративних мереж, але в першу чергу відноситься до з'єднань через Internet. Звичайно, для забезпечення конфіденційності можна застосовувати ті ж методи, що і при захисті традиційної передачі даних, а саме - шифрування або VPN. Однак їх впровадження повинно відповідати спеціальним вимогам до якості голосового зв'язку.

Системи передачі голосу по IP, так само як і традиційні телефонні системи, ні в якому разі не можна вважати захищеними від прослуховування. До сих пір для прослуховування телефонних розмов використовувалися мікропередавачі (мініатюрні пристрої для підслуховування) або «відводи». В принципі, цими ж методами можна користуватися і в IP-телефонії, правда, з невеликими змінами в способі дії. Багато комерційних аналізатори сигналізації і якості передачі мови пропонують функцію декодування голосових даних. Відкрита документація на застосовувані стандарти (наприклад, Н.323) дозволяє реалізувати таку можливість.

З сигнальної інформації, що курсує між кінцевим пунктом і воротарем, можна витягти IP-адреси і дані про одержувача, після чого голосові пакети, що передаються за допомогою протоколу передачі даних в реальному часі (Real Time Transmission Protocol, RTP), можна буде перехопити, на їх шляху між кінцевими пунктами і декодувати за допомогою відповідного голосового кодека. Поряд з копіюванням і, відповідно, перехопленням пакетів в мережі, в Н.323 можна використовувати ще одну можливість контролю - конференцію через вузол управління багатобічним зв'язком (Multipoint Control Unit, MCU). По закінченню прослуховування сигнальних даних MCU втручається допомогою конференції, а потім мікшує і копіює голосові пакети, так що їх можна декодувати. Таке включення конференції зазвичай неможливо не помітити, оскільки час затримки збільшується, а якість передачі мови в більшості випадків знижується.

У будь-якому випадку сигнальні і голосові пакети необхідно ізолювати. Для цього існує маса можливостей, вибір яких залежить від передбачуваної середовища передачі - Internet, Intranet або Extranet. Кожну з них розглянемо окремо. Оскільки мережа Extranet найчастіше будується за допомогою зашифрованих з'єднань, цей аспект описується в розділі «VoIP і VPN».

ПРОСЛУХОВУВАННЯ В INTRANET

Під Intranet розуміють приватну мережу IP, за розмірами і покриттю порівнянну з класичною телекомунікаційною системою. Якщо застосовується єдина мережа з концентраторами, то дані сигналізації, а також відповідні голосові дані доступні на кожному порту. Підслуховуючий пристрій або самопрограмміруемий інструмент можна встановити в будь-якому місці мережі і прослуховувати всі дані.

Щоб отримати прийнятну продуктивність і якість передачі мови, IP-телефонію не варто застосовувати в мережах на базі концентраторів - найкраще вона функціонує в комутованих мережах (на канальному або мережевому рівні). В цьому випадку сигнальні, а також голосові пакети зазвичай надходять тільки на ті порти, яким вони адресовані. Таким чином, стороннім складніше отримати доступ до пакетів. У більшості комутаторів для пошуку помилок передбачена можливість активації віддзеркалення портів, а значить, відповідні пакети можна копіювати і згодом декодувати. Перехоплювати пакети в мережі і змінювати напрямок їх руху здатні так звані мережеві перехоплювачі. Отже, як сигнальні, так і голосові пакети необхідно шифрувати (Signaling Encryption, Media Encryption).

ПРОСЛУХОВУВАННЯ В INTERNET

У загальнодоступній мережі Internet користувач практично не може впливати на маршрут пакета. Теоретично на будь-якому вузлі необхідні пакети можна скопіювати. У порівнянні з мультиплексорами і телефонними комутаторами для голосового зв'язку, вузли Internet захищені гірше. Хакери вже зламували їх, після чого могли маніпулювати всіма проходять через вузли пакетами або копіювати їх. Крім того, закон про телекомунікації вимагає, щоб спецслужби мали можливість прослуховування в рамках оперативно-розшукової діяльності.

Тому незашифровану передачу голосових даних через загальнодоступну мережу Internet не можна назвати безпечною. До того ж, на відміну від телефонної мережі, ідентифікувати того, хто подзвонив практично неможливо. В крайньому випадку це досягається додатковими заходами. Однак ця обставина не повинна стати причиною відмови від передачі незашифрованих голосових даних через Internet. Для сторінок Web з наданням голосових послуг цей метод передачі цілком доцільний. Таким чином, основну область застосування представляють, крім іншого, функції підказки на сторінках Web - як доповнення або заміни режиму текстового діалогу.

VOIP І VPN

Віртуальні приватні мережі організовуються, як правило, за допомогою стандартних рішень на базі IPSec. Вони дозволяють безпечно передавати дані по незахищеним транспортних мереж. Для шифрування використовуються звичайний або потрійний стандарт шифрування даних (Data Encryption Standard, DES; Triple DES, 3DES). Пристрої для шифрування називають шлюзами VPN. Вони можуть бути реалізовані у вигляді спеціалізованого апаратного або програмного забезпечення на маршрутизаторі або брандмауері. При цьому розрізняють віртуальні приватні мережі між вузлами (Site-to-Site-VPN, S2S-VPN) і віртуальні мережі для віддаленого доступу (Remote VPN). S2S-VPN з обох сторін має по шлюзу VPN між надійної і ненадійною областями. Йдеться про постійну з'єднанні двох майданчиків. У разі ж VPN для віддаленого доступу шлюз варто тільки з одного боку, а з протилежного боку захищеного з'єднання знаходиться комп'ютер з клієнтом Remote VPN. Таким чином мобільний користувач може спілкуватися з офісом по незахищеній мережі Internet.

Розшифровка DES (ключ 56 біт) при сучасному рівні техніки займає приблизно 3,5 с, в той час як 3DES (ключ 112 біт) в 256 разів надійніше і за допомогою застосування виключно математичних методів може бути зламаний за 28,7 млрд років. Ці цифри свідчать про принципову надійності методу DES за умови секретності ключа. Шифрування VPN підходить для будь-якого трафіку IP, в тому числі і голосового. З його допомогою IP-телефонія не піддається прослуховуванню в транспортній мережі, а сигналізація - маніпулювання. При використанні VoIP зі стандартними віртуальними приватними мережами IPSec необхідно брати до уваги такі обставини:

• апаратні шлюзи VPN повинні мати достатню продуктивність шифрування 3DES, щоб навантаження на шлюз не приводила до варіацій часу затримки. Гранично допустима варіація затримки становить 20 мс;
• шлюзу VPN для шифрування і розшифровки потрібен якийсь час (приблизно від 5 до 20 мс). Воно додається до повної затримки системи, яка при передачі голосу з кінця в кінець не повинна перевищувати 150 мс, причому від 40 до 50 мс спочатку відводиться для кодеків і стеків IP. Тим самим на затримку мережі залишається всього 100 мс (відома команда ping видає подвійну час затримки);
• шлюз VPN повинен розуміти що містяться в заголовку IP теги 802.1p і / або значення точки коду диференційованої послуги (Differentiated Service Code Point, DSCP), або байт типу послуги (Type of Dervice, ToS), а також як мінімум надавати тунелі для передачі (див . також «Словник»). Ще краще маркувати цими значеннями пакети IPSec, щоб транспортна мережа могла таким чином дізнатися, що ці пакети мають пріоритет, і обробляла їх відповідним чином;
• в якості кодеків слід використовувати G.729 і його варіанти, оскільки він представляє собою компроміс між пропускною спроможністю, затримкою шифрування і якістю мови. Причому швидкість передачі даних повинна скласти від 20 до 30 Кбіт / с в кожному напрямі;
• не можна застосовувати ніяких видів перетворення адрес (NAT, NAPT, dNAT), так як у більшості шлюзів VPN немає посередника додатків стандарту Н.323, а адресна інформація є і на більш високому рівні, ніж мережевий. Тому маршрутизація може проводитися тільки між вузлами, де підтримуються VPN, що помітно ускладнює конфігурацію VPN;
• в разі динамічної реалізації VoIP з автоматичним виявленням воротарів мережу і шлюзи VPN повинні підтримувати багатоадресну розсилку по IP і посередників DHCP;
• якщо пропускна здатність між вузлами достатня для VPN, то при використанні G.711 як кодека підвищений час затримки (130 мс) і зросла частка втрачених пакетів (2%) можуть бути терпимі. Швидкість передачі даних в одному напрямку повинна становити від 80 до 90 Кбіт / с.

VOIP і брандмауер

Брандмауери служать для захисту мереж передачі даних зовні (Internet) і зсередини (Intranet). Тому вони застосовуються як в Internet, так і всередині мереж між окремими майданчиками. Технологія VoIP сама по собі досить незахищена і надає безліч можливостей для атаки. Однак в Intranet, та ще на базі комутованої мережі, багато слабких місць вже усунені. За допомогою спеціалізованого апаратного шлюзу VPN можна встановити захищений зв'язок між офісами. Однак шлюз VPN не повинен бути реалізований у вигляді програмного забезпечення на брандмауері, оскільки в такому випадку варіація часу затримки буде залежати не тільки від навантаження процесів VPN, але і від загального трафіку даних.

Спільну роботу брандмауерів і систем VoIP рекомендується якомога ретельніше перевірити і постійно контролювати. По можливості брандмауери не слід встановлювати на шляху даних VoIP - в залежності від навантаження вони значно збільшують час затримки в мережі. Через сильно змінюється навантаження на пропускну здатність підвищується також час затримки голосового трафіку. Ці коливання, в свою чергу, помітним чином відображаються на варіації часу обробки. Якщо використовуються шлюзи VPN при трансляції адрес (NAT, NAPT, dNAT), з'являється ще одне ускладнення: брандмауер з трансляцією адрес не може коректно обслуговувати пакети VoIP без посередника додатків Н.323. Однак для деяких брандмауерів такий посередник існує. В такому випадку трансляція адрес більше не викликає особливих проблем.

БЕЗПЕКА СЕРВЕРА VOIP

Поряд із захистом від прослуховування, а також використанням віртуальних приватних мереж і брандмауерів велике значення має загальна надійність (готовність і захист доступу) сервера VoIP. При цьому під серверами VoIP маються на увазі всі компоненти Н.323 в мережі, за винятком кінцевих пунктів. Основними складовими сервера VoIP є підпроцеси воротаря, шлюзу і управління багатобічним зв'язком. Вони можуть бути зібрані в одній системі або розподілені по всій мережі. Наявність такої децентралізованої архітектури забезпечує можливість функціонування системи VoIP, незважаючи на відмову одного з компонентів.

ВИСНОВОК

Навіть якщо описане виконання не охоплює всі можливі аспекти, найбільш значні небезпеки, як сподіваємося, нам вдалося перерахувати. Важливо усвідомлювати і враховувати ці небезпеки при впровадженні системи VoIP. Результатом стануть відкриті комунікаційні системи, які будуть відповідати необхідним вимогам до безпеки.

Міхаель Вайнгартнер - архітектор конвергентних рішень німецького представництва компанії Avaya. З ним можна зв'язатися через сайт http://www.avaya.com .

? AWi Verlag

глосарій

Байт типу послуг (Type of Service, ToS) застосовується в IPv4 і описаний в RFC 791.

Динамічна трансляція мережевих адрес (dynamic Network Address Translation, dNAT) забезпечує динамічне (не статичною) відповідність внутрішніх IP-адрес (М) зовнішнім IP-адресами (N); умовою цього зазвичай є M: N (M> N).

Значення коду диференційованої послуги (Differentrated Services Code Point, DSCP) служить для опису пріоритетів в цілях забезпечення якості послуг (Quality of Service, QoS). Протокол відомий також під назвою DiffServ і базується на байті типу послуг (ToS) в IPv4.

Посередник додатків Н.323 служить для захисту мережі, серед іншого він здійснює фільтрацію пакетів і обмежує доступ до ресурсів медіа-сервера або шлюзу.

Сторож відповідає за реєстрацію кінцевих пунктів, а також за дозвіл на встановлення з'єднання і за сигналізацію встановлення з'єднання (маршрутизація викликів за допомогою воротаря).

Протокол передачі даних в реальному часі (Real-time Transmission Protocol, RTP) від IETF встановлює формат і опції передачі для різних кодеків, постачає пакети даними про відправника та одержувача, а також порядковим номером. До сих пір ні в IP, ні в UDP для RTP НЕ зарезервовано кодового значення заголовка протоколу. Тому голосові пакети в мережі досить складно розпізнати. Зазвичай RTP працює безпосередньо через порти UDP.

Теги 802.1p описують призначення пріоритетів у відповідності зі стандартами IEEE.

Трансляція мережевих адрес (Network Address Transtation, NAT) - метод для перетворення IP-адрес (в основному внутрішніх) однієї мережі в IP-адреси (в основному зовнішніх) інший. Тим самим NAT дає можливість більшості комп'ютерів в локальній мережі використовувати, з одного боку, IP-адреса маршрутизатора доступу до Internet для виходу в глобальну мережу, а з іншого, приховує локальну мережу за зареєстрованим в Internet IP-адресою маршрутизатора.

Трансляція мережевих адрес / портів (Network Address / Point Transiation, NAPT) передбачає перетворення не тільки адрес, а й портів.

Вузол управління багатобічним зв'язком (Multipoint Control Unit, MCU) в мережі може бути реалізований централізовано або децентралізовано. Він координує участь в конференціях і мікшує звукові дані. При цьому кожен кінцевий пункт відправляє свої дані MCU, який для кожного учасника генерує власний потік голосових даних.

Шлюз функціонує як перетворювач між різними стандартами передачі голосових даних. Наприклад, шлюз трансляції стандарту Н.323 в стандарт Н.320 (з локальної мережі в ISDN) або шлюз між Н.323 і Н.323 у формі транскодера (перетворення аудіотрафіка між аудіостандарти).