Тем, кто хочет работать с безопасными приложениями VoIP, нужно подумать о мириадах угроз. Пакетная технология передачи голоса подвержена уязвимостям, незнакомым администраторам традиционных сетей связи. Таким было заключение экспертов на осенней конференции Fall VON 2004
Представители корпорации AT&T описали один из видов VoIP-угроз, приносящих наибольшие проблемы. Это вставка пакетов в потоки голосового трафика VoIP, напоминающая атаку типа «человек в середине» (Man-In-The Middle) в сетях передачи данных. «Злоумышленник может вставлять в разговор ругательства и оскорбления, которые будут восприняты как произнесенные собеседником», — рассказывает Кевин Кейли, специалист по безопасности AT&T. Та же технология позволяет фабриковать сообщения голосовой почты VoIP, признаваемые как подлинные даже современными средствами анализа голоса в ФБР.
Немало проблем приносят голосовой спам и атаки типа «отказ в обслуживании» (они могут нанести существенный вред серверам, управляющим потоками сигналов для установления вызовов).
Однако эксперты по сетевой безопасности утверждают, что известные контрмеры значительно снижают риск. Например, шансы на успех атаки со вставкой голосовых фрагментов можно свести до минимума путем шифрования пакетов сигнализации, в результате которого адреса IP-телефонов не будут передаваться по сети открыто. А дополнительное шифрование самих голосовых пакетов делает вставку слов физически невозможной. Nortel Networks разрабатывает ПО для своих VoIP-телефонов, которое будет шифровать голосовые пакеты, предотвращая атаки типа «человек в середине».
Главный принцип обеспечения безопасности в приложениях IP-телефонии сводится к построению качественной системы сетевой защиты, поскольку ни один набор аппаратных и программных средств не оградит пользователя от всех угроз. «Ис-следования показывают, что каждый месяц возникают новые черви и вирусы. Злоумышленники постоянно изобретают какие-то нововведения», — отметил Акиф Арзой, менеджер компании VeriSign.
VeriSign анонсировала новую службу VoIP, функционирующую через ее операционные центры. Она контролирует IP-сети клиентов, сканируя трафик в поиске известных вирусов и червей, выявляя пользователей, чье поведение отклоняется от нормального. Подозрительный трафик может быть временно заблокирован, пока клиенты не проверят, представляет ли он собой действительную угрозу.
VeriSign ищет партнеров среди производителей IP-телефонов, чтобы включить в их устройства поддержку цифровых сертификатов. В этом случае пользователи смогут проверять безопасность установленных соединений и выяснять, не передает ли их телефон разговоры на подставные устройства. Министерство внутренней безопасности США, разрабатывающее голосовую сеть на основе протокола IP, хочет получить подобные телефоны. Контроль за функционированием клиентских устройств для него очень важен.
Компании Juniper Networks и Avaya продемонстрировали объединенное решение, включающее в себя устройства защиты от Juniper и оборудование VoIP производства Avaya для малых и средних предприятий. Было показано, как межсетевой экран Juniper открывает и закрывает порты при установлении VoIP-вызовов. Обычно для установления вызова используются множество случайных портов из определенного набора, причем стандартный протокол не предполагает механизма их закрытия (если только в шлюз не интегрирован межсетевой экран). Гарантированное закрытие портов после завершения вызова является ключом к защите сетей VoIP от атаки путем сканирования портов.
Несмотря на заверения о готовности технологий к комплексному обеспечению безопасности сетей IP-телефонии, возможный ущерб от атак достаточно велик, и предприятия переходят к среде VoIP с особой осторожностью. Ли Кинтанар, менеджер фирмы Countrywide Financial с 34 тыс. сотрудниками по всей стране, исследовал технологии консолидации сервисов более чем 40 действующих УАТС разных вендоров. Главной проблемой оказалось сравнение уровня безопасности оборудования IP-телефонии и коммутаторов TDM. «Складывается впечатление, что TDM-архитектура прочна, как скала, при обеспечении голосовых сервисов, — говорит он. — В отношении систем VoIP у нас возникли вопросы, связанные с их надежностью».
Отчасти неуверенность корпоративных пользователей объясняется тем, что угрозы мира IP-сетей и серверов на платформе Intel (такие как вирусы и троянцы) непривычны для связистов. Но они более чем реальны. Например, Тод Гудиар, вице-президент компании Merrill Lynch, сообщил, что некоторое время назад его VoIP-сеть была переполнена вирусами. «Это продолжалось, пока мы не активизировали списки контроля за доступом, чтобы блокировать атаки», — рассказывает он.
Представитель Merrill Lynch говорит, что его фирма продолжает активно использовать IP-телефоны, но применяет и TDM-обородувание для организации альтернативного пути передачи голосового трафика. К 2006 году Merrill Lynch предполагает разместить более 10 тыс. IP-телефонов в своей сети.