заходит о передаче голоса по IP, центральными темами всегда оказываются безопасность и качество услуг.
Технология и качество решений передачи голоса по IP (Voice over IP, VoIP) постоянно улучшаются, а их использование упрощается, поэтому главным тормозом внедрения VoIP становится недостаточный уровень безопасности в Internet. И если в телефонных коммутируемых сетях общего пользования (Public Switched Telephone Network, PSTN) голос передается по выделенному сквозному каналу по медному кабелю, то в технологии передачи голоса по IP доступ к среде передачи получает одновременно множество пользователей. Таким образом, пользователи сталкиваются с теми же проблемами с безопасностью в общедоступных проводных и беспроводных сетях на базе IP, что и в случаях удаленного доступа и мобильных компьютеров.
VoIP преобразует аналоговые голосовые сигналы для передачи по Internet в цифровые пакеты данных, снабжает эти пакеты однозначными адресами отправителя и получателя — так называемыми IP-адресами — и доставляет их по Internet получателю, где цифровые пакеты вновь преобразуются в аналоговые голосовые данные. Поскольку пакеты с голосовыми данными, как правило, передаются в незашифрованном виде, всегда остается опасность, что к ним получат доступ хакеры.
Инструменты, которые перехватывают пакеты голосовых данных и преобразуют в аудиоформат, достаточно известны и найти их нетрудно, что уж говорить о средствах, с помощью которых злоумышленник может получать несанкционированный доступ к компьютеру пользователя VoIP. Кроме того, вполне возможно проведение атак с организацией «потайного хода» в корпоративную сеть в комбинации с приложением удаленного доступа. Такой же опасности, кстати, подвержены и данные для управления соединениями, поскольку и они передаются в незашифрованном виде.
Любая, используемая сегодня или в будущем, форма атаки, базирующаяся на протоколе Internet и направленная против сети передачи данных, может быть обращена и против VoIP. Поэтому в случае и Internet-телефонии, и обычной удаленной передачи данных приходится предпринимать схожие защитные меры. Практика показывает, что одиночных мер обеспечения безопасности недостаточно. Лишь комбинация различных механизмов гарантирует всеобъемлющую защиту от любых атак на конечное устройство и сеть компании. Но пока ни производители VoIP-УАТС, ни провайдеры не в состоянии предложить подобного решения обеспечения безопасности для VoIP.
ЗАЩИТА VOIP С ПОМОЩЬЮ VPN
Впрочем, в действительности такое решение уже существует — с использованием технологии туннелирования в виртуальных частных сетях (Virtual Private Network, VPN). Называется оно VoIP поверх IPSec (VoIPSec) или VoIP поверх VPN (VoVPN) в Intranet. На основе мощного механизма шифрования данных можно на длительный срок защитить инфраструктуры VoIP от атак извне и изнутри корпоративной сети.
В случае решения VoIP на базе IPSec все пакеты данных передаются между сторонами коммуникационного обмена по сквозному соединению защищенным образом (см. Рисунок 1). Решающее значение имеет метод, при помощи которого протокол IPSec реализован в клиентском программном обеспечении VPN. Все приложения — в том числе и для «Internet-телефонии» — должны предоставляться пользователю прозрачно. Это, кстати, не относится к виртуальным частным сетям на основе SSL, поскольку они не поддерживают передачи голоса по IP.
|
| Рисунок 1. Благодаря клиентам VPN телефонные переговоры при помощи ноутбука или программного телефона становятся безопасными. |
Главная проблема при передаче данных по Internet заключается в том, что отдельные пакеты обычно доходят до получателя в измененной последовательности. А если данные по пути будут потеряны, они запрашиваются заново, пока, к примеру, полностью не загрузится сайт Web. Эти задержки не имеют сущест-венного значения для пользователя, к примеру, при перемещениях по сайтам в Internet. Однако в случае передачи голоса по IP они превращаются в серьезную проблему. Если некоторые пакеты приходят слишком поздно или не приходят вообще, то это ведет к заметному ухудшению качества разговора в виде задержек длительностью до нескольких секунд (запаздывание) или воспроизведения лишь обрывков фраз. Особенно трудно вести беседу при колебаниях (вариации) времени задержки.
Тем, кто хочет без помех разговаривать по телефону через Internet, необходим определенный уровень «качества услуг» (Quality of Service, QoS). Главное условие для этого — назначение более высокого приоритета пакетам данных VoIP по сравнению с другими пакетами для исключения задержек при передаче речи. Следовательно, сеть должна обеспечивать управление пропускной способностью — понятие, которое объединяет все меры, предпринимаемые в глобальной сети для предоставления каждой службе оптимальной пропускной способности с учетом требуемого качества услуг и заключенных соглашений об уровне сервиса (Service Level Agreement, SLA). Соответствующие системы размещаются оператором на обеих конечных точках сети IP. В случае виртуальной частной сети подобные функции должны предоставляться или поддерживаться клиентскими и серверными компонентами.
Еще один аспект — «формирование трафика», искусственное ограничение имеющейся пропускной способности для управления трафиком. Цель и здесь заключается в том, чтобы оптимально использовать доступную пропускную способность. Речь при этом идет о том, с каким приоритетом пакеты данных обрабатываются на персональном компьютере, а не о том (как в случае с QoS), как с этими пакетами необходимо обращаться после отправки в Internet.
Перечисленные функции предоставляются соответствующим образом оптимизированными клиентами VPN, которые оснащены как всеми необходимыми механизмами обеспечения безопасности, так и функциями QoS: персональным брандмауэром, шифрованием данных, поддержкой сертификатов, туннелированием через VPN, управлением пропускной способностью и разделением трафика. Протоколы IPSec реализуются таким образом, чтобы все приложения в любой коммуникационной среде могли использоваться удаленным работником совершенно прозрачно. Тогда персональный компьютер защищен и до построения соединения VPN с сетью компании, и во время этого процесса.
ОПТИМИЗИРОВАННЫЕ КЛИЕНТЫ VPN В КАЧЕСТВЕ РЕШЕНИЯ
Как только в соединение VPN поступают пакеты данных VoIP, клиент NCP, к примеру, ограничивает пропускную способность, которую он предоставляет текущим приложениям. Одновременно система уменьшает объем их пакетов, чтобы время задержки для пакетов с голосовыми данными было как можно меньше (это означает повышение качества голоса). После завершения телефонного разговора соединение автоматически переводится в исходное состояние, т. е. пропускная способность и объем пакетов с данными увеличиваются. Для упрощения процесса администрирования разбросанных по всему миру удаленных рабочих мест централизованная система управления стремится по возможности обеспечить необходимую прозрачность во всех ситуациях: при развертывании, управлении сертификатами, обновлении программ и обеспечении безопасности оконечных точек.
ЗАКЛЮЧЕНИЕ
В случае передачи голоса по IP через Internet каждый пользователь должен заботиться о безопасности своих голосовых данных. Наряду со специфичными решениями конкретных производителей, которые, однако, часто не в состоянии взаимодействовать друг с другом, стандарт IPSec предлагает вместе с мощной аутентификацией сквозное шифрование всех пакетов IP. Этот единый подход не зависит от приложения и позволяет добиться прозрачной интеграции мобильных сотрудников в корпоративную сеть. Необходимое условие заключается в том, чтобы клиентское программное обеспечение VPN обладало всеми требуемыми функциями безопасности и коммуникации для обеспечения качества услуг. Инфраструктура VPN может служить в качестве универсальной платформы для всех последующих коммуникационных решений на базе IP, в частности для видеотелефонии (видео по IP).
Ханс Бранднер — менеджер компании NCP Engineering.
? AWi Verlag