Защита голосовых соединений VoIP от прослушивания
Прослушать чужие разговоры при передаче голоса по IP намного
проще, чем в случае классической телефонии. Это утверждение касается и
корпоративных сетей, но в первую очередь относится к соединениям через
Internet. Конечно, для обеспечения конфиденциальности можно применять
те же методы, что и при защите традиционной передачи данных, а именно -
шифрование или VPN. Однако их внедрение должно отвечать специальным
требованиям к качеству голосовой связи.
Михаэль Вайнгартнер,
архитектор конвергентных решении немецкого представительства компании Avaya
Системы передачи голоса по IP, равно как и традиционные телефонные
системы, ни в коем случае нельзя считать защищенными от прослушивания.
До сих нор для прослушивания телефонных разговоров использовались
микро-передатчики (миниатюрные подслушивающие устройства) или «отводы».
В принципе, этими же методами можно пользоваться и в IP-телефонии,
правда, с небольшими изменениями в способе действия. Многие
коммерческие анализаторы сигнализации и качества передачи речи
предлагают функцию декодирования голосовых данных. Открытая
документация на применяемые стандарты (к примеру, Н.323) позволяет
реализовать такую возможность.
Из сигнальной информации, курсирующей между конечным пунктом и
привратником, можно извлечь IP-адреса и данные о получателе, после чего
голосовые пакеты, передаваемые посредством протокола передачи данных в
реальном времени (Real Time Transmission
Protocol, RTP), можно будет перехватить, на
их пути между конечными пунктами и декодировать при помощи
соответствующего голосового кодека. Наряду с копированием и,
соответственно, перехватом пакетов к сети, в H
323, можно использовать еще одну возможность контроля — конференцию
через узел управления многосторонней связью
(Multipoint Control Unit, MCU). По окончанию прослушивания
сигнальных данных MCU вмешивается посредством конференции, а потом
микширует и копирует голосовые пакеты, так что их можно декодировать.
Такое включение конференции обычно невозможно не заметить, поскольку
время задержки увеличивается, а качество передачи речи в большинстве
случаев снижается.
В любом случае сигнальные и голосовые пакеты необходимо изолировать.
Для этого существует масса возможностей, выбор которых зависит от
предполагаемой среды передачи — Internet, Intranet или Extranet. Каждую
из них рассмотрим по отдельности. Поскольку сеть Extranet чаще всего
строится при помощи зашифрованных соединений, этот аспект описывается в
разделе «VoIP и VPN».
Прослушивание в Intranet
Под Intranet понимают частную сеть IP, по размерам и покрытию
сравнимую с классической телекоммуникационной системой. Если
применяется единая сеть с концентраторами, то данные сигнализации, а
также соответствующие голосовые данные доступны на каждом порту.
Подслушивающее устройство или самопрограммируемый инструмент можно
установить в любом месте сети и прослушивать все данные.
Чтобы получить приемлемую производительность и качество передачи
речи, IP-телефонию не стоит применять в сетях на базе концентраторов —
лучше всего она функционирует в коммутируемых сетях (на канальном или
сетевом уровне). В этом случае сигнальные, а также голосовые пакеты
обычно поступают только на те порты, которым они адресованы. Таким
образом, посторонним сложнее получить доступ к пакетам. В большинстве
коммутаторов для поиска ошибок предусмотрена возможность активации
зеркалирования портов, а значит, соответствующие пакеты можно
копировать и в последствии декодировать. Перехватывать пакеты в сети и
изменять направление их движения способны так называемые сетевые
перехватчики. Следовательно, как сигнальные, так и голосовые пакеты
необходимо шифровать (Signaling Encryption, Media Encryption).
Прослушивание в Internet
В общедоступной сети Internet пользователь практически не может
влиять на маршрут пакета. Теоретически на любом узле необходимые пакеты
можно скопировать. По сравнению с мультиплексорами и телефонными
коммутаторами для голосовой связи, узлы Internet защищены хуже. Хакеры
уже взламывали их, после чего могли манипулировать всеми проходящими
через узлы пакетами или копировать их. Кроме того, закон о
телекоммуникациях требует, чтобы спецслужбы имели возможность
прослушивания в рамках оперативно-розыскной деятельности.
Поэтому незашифрованную передачу голосовых данных через
общедоступную сеть Internet нельзя назвать безопасной. Вдобавок, в
отличие от телефонной сети, идентифицировать позвонившего практически
невозможно. В крайнем случае, это достигается дополнительными мерами.
Однако это обстоятельство не должно стать причиной отказа от передачи
незашифрованных голосовых данных через Internet. Для страниц Web с
предоставлением голосовых услуг этот метод передачи вполне
целесообразен. Таким образом, основную область применения представляют,
помимо прочего, функции подсказки на страницах Web — в качестве
дополнения или замены режима текстового диалога.
VOIP и VPN
Виртуальные частные сети организуются, как правило, с помощью
стандартных решений на базе IPSec. Они позволяют безопасно передавать
данные по незащищенным транспортным сетям. Для шифрования используются
обычный или тройной стандарт шифрования данных (Data Encryption
Standard, DES; Triple DES, 3DES). Устройства для шифрования называют
шлюзами VPN. Они могут быть реализованы в виде специализированного
аппаратного или программного обеспечения на маршрутизаторе или
брандмауэре. При этом различают виртуальные частные сети между узлами (Site-to-Site-VPN,
S2S-VPN) и виртуальные сети для удаленного доступа (Remote VPN).
S2S-VPN с обеих сторон имеет по шлюзу VPN между надежной и ненадежной
областями. Речь идет о постоянном соединении двух площадок. В случае же
VPN для удаленного доступа шлюз стоит только с одной стороны, а с
противоположной стороны защищенного соединения находится компьютер с
клиентом Remote VPN. Таким образом, мобильный пользователь может
общаться с офисом по незащищенной сети Internet.
Расшифровка DES (ключ 5б бит) при современном уровне техники
занимает приблизительно 3,5 с, в то время как 3DES
(ключ 112 бит) в 256 раз надежнее и посредством применения
математических методов может быть взломан за 28,7 млрд лет. Эти цифры
свидетельствуют о принципиальной надежности метода DES при условии
секретности ключа. Шифрование VPN подходит для любого графика IP, в том
числе и голосового. С его помощью IP-телефония не поддается
прослушиванию в транспортной сети, а сигнализация манипулированию. При
использовании VolP со стандартными виртуальными частными сетями IPSec
необходимо принимать во внимание следующие обстоятельства:
• аппаратные шлюзы VPN должны иметь достаточную производительность
шифрования 3DES, чтобы нагрузка на шлюз не приводила к вариациям
времени задержки. Предельно допустимая вариация задержки составляет
20 мс;
• шлюзу VPN для шифрования и расшифровки требуется некоторое время
(приблизительно от 5 до20 мс). Оно добавляется к полной задержке
системы, которая при передаче голоса из конца в конец не должна
превышать 150 мс, причем от 40 до 50 мс изначально отводится для
кодекса и стеков 1Р. Тем самым на задержку сети остается всего 100 мс
(известная команда рing выдает удвоенное
время задержки);
• шлюзу VPN должен понимать содержащиеся в заголовке IP теги
802.1p и/или значения точки кода дифференцированной услуги (Differentiated
Service Code Point, DSCP), или байт типа услуги (Type of Dervice, ToS),
а также как минимум предоставлять туннели для передачи (см. также
«Глоссарий»). Еще лучше маркировать этими значениями пакеты IPSec,
чтобы транспортная сеть могла таким образом узнать, что эти пакеты
имеют приоритет, и обрабатывала их соответствующим образом;
• в качестве кодеков следует использовать G.729
и его варианты, поскольку он представляет coбой компромисс между
пропускной способностью, задержкой шифрования и качеством речи.
Причем скорость передачи данных должна составить от 20 до 30 Кбит/с в
каждом направлении;
• нельзя применять никаких видов преобразования адресов (NAT, NAPT,
dNAT), так как у большинства шлюзов VPN нет посредника приложений
стандарта H.323, а адресная информация
имеется и на более высоком уровне, чем сетевой. Поэтому маршрутизация
может проводиться только между узлами, где поддерживаются VPN, что
заметно усложняет конфигурацию VPN;
• в случае динамической реализации VolP с автоматическим
обнаружением привратников сеть и шлюзы VPN должны поддерживать
многоадресную рассылку, но IP и посредников DHCP;
• если пропускная способность между узлами достаточна для VPN, то
при использовании G.711 в качестве кодека
повышенное время задержки (130 мс) и возросшая доля потерянных
пакетов (2%) могут быть терпимы. Скорость передачи данных в одном
направлении должна составлять от 80 до 90 Кбит/с.
VOIP и брандмауэры
Брандмауэры служат для защиты сетей передачи данных снаружи (Internet)
и изнутри (Intranet). По-этому они применяются как в Internet, так и
внутри сетей между отдельными площадками. Технология VoIP сама по себе
достаточно незащищена и предоставляет множество возможностей для атаки.
Однако в Intranet, да еще на базе коммутируемой сети, многие слабые
места уже устранены. При помощи специализированного аппаратного шлюза
VPN можно установить защищенную связь между офисами. Однако шлюз VPN не
должен быть реализован в виде программного обеспечения на брандмауэре,
поскольку в таком случае вариация времени задержки будет зависеть не
только от нагрузки процессов VPN, но и от общего графика данных.
Совместную работу брандмауэров и систем VoIP рекомендуется, как
можно тщательнее проверить и постоянно контролировать. По возможности
брандмауэры не следует устанавливать на пути данных VoIP — в
зависимости от нагрузки они значительно увеличивают время задержки в
сети. Из-за сильно изменяющейся нагрузки на пропускную способность
повышается также время задержки голосового графика. Эти колебания, в
свою очередь, заметным образом отражаются на вариации времени
обработки. Если используются шлюзы VPN при трансляции адресов (NAT,
NAPT, dNAT), появляется еще одно затруднение: брандмауэр с трансляцией
адресов не может корректно обслуживать пакеты VoIP без посредника
приложений H.323. Однако для некоторых
брандмауэров такой посредник существует. В таком случае трансляция
адресов больше не представляет проблемы.
Безопасность сервера VOIP
Наряду с защитой от прослушивания, а также использованием
виртуальных частных сетей и брандмауэров большое значение имеет общая
надежность (готовность и защита доступа) сервера VoIP. При этом под
серверами VoIP подразумеваются все компоненты H.323
в сети, за исключением конечных пунктов. Основными составляющими
сервера VoIP являются подпроцессы привратника, щлюза и управления
многосторонней связью. Они могут быть собраны в одной системе или
распределены по всей сети. Наличие такой децентрализованной архитектуры
обеспечивает возможность функционирования системы VoIP, несмотря на
oтказ одного из компонентов.
Заключение
Даже если описанное исполнение не охватывает все вероятные аспекты,
наиболее значительные опасности, как надеемся, нам удалось перечислить.
Важно осознавать и учитывать эти опасности при внедрении системы VoIP.
Результатом станут открытые коммуникационные системы, которые будут
отвечать необходимым требованиям к безопасности. IAN
Глоссарий
Байт типа услуг (Type of Service,
ToS) применяется в Ipv4
и описан в RFC791
Динамическая трансляция сетевых адресов(dynamic Network Address
Translation, dNAT) обеспечивает динамическое (не статическое)
соответствие внутренних IP-адресов (М) внешним IP-адресам (N);
условием этого обычно является M:N (M>N).
Значение кода дифференцированной услуги (Differentrated Services
Code Point, DSCP) служит для описания приоритетов в целях обеспечения
качества услуг (Quality of Service, QoS). Протокол известен также под
названием DiffServ и базируется на байте типа услуг (ToS) в IPv4.
Посредник приложений Н.323 служит для защиты сети, среди прочего он
осуществляет фильтрацию пакетов и ограничивает доступ к ресурсам
медиа-сервера или шлюза.
Привратник отвечает за регистрацию конечных пунктов, а также за
разрешение на установление соединения и за сигнализацию установления
соединения (маршрутизация вызовов посредством привратника).
Протокол передачи данных в реальном времени (Real-time Transmission
Protocol, RTP) от IETF устанавливает формат и
опции передачи для различных кодеков, снабжает пакеты данными об
отправителе и получателе, а также порядковым номером. До сих пор ни в
IP, ни в UDP для RTP не зарезервировано кодового значения заголовка
протокола. Поэтому голосовые пакеты в сети достаточно сложно
распознать. Обычно RTP работает непосредственно через порты UDP.
Теги 802.1р описывает назначение приоритетов в соответствии со
стандартами IEEE/
Трансляция сетевых адресов (Network Address Transtation, NAT) —
метод для преобразования IP-адресов (в основном внутренних) одной сети
в IP-адреса (в основном внешних) другой. Тем самым NAT дает возможность
большинству компьютеров в локальной сети использовать, с одной стороны,
IP-адрес маршрутизатора доступа к Internet для выхода в глобальную
сеть, а с другой, скрывает локальную сеть за зарегистрированным в
Internet IP-адресом маршрутизатора/
Трансляция сетевых адресов/портов (Network Address/Point Translation,
NAPT) предусматривает преобразование не только адресов, но и портов.
Узел управления многосторонней связью (Multipoint Control Unit, MCU)
в сети может быть реализован централизованно или децентрализованно. Он
координирует участие в конференциях и микширует аудиоданные. При этом
каждый конечный пункт отправляет свои данные MCU, который для каждого
участника генерирует собственный поток голосовых данных.
Шлюз функционирует как преобразователь между различными стандартами
передачи голосовых данных. Например, шлюз трансляции стандарта Н.323 в
стандарт Н.320 (из локальной сети в ISDN) или шлюз между Н.323 и Н.323
в форме транскодера (преобразование аудиотрафика между аудиостандартами).
|
