Больше VOIP, больше безопасности: что нужно сделать для защиты VOIP

Опубликовано: 9 Апреля, 2023

Внедрение VOIP, похоже, ускоряется, поскольку полоса пропускания и аппаратное обеспечение становятся более доступными, а устаревшие системы вытесняются. ИТ-специалисты теперь становятся экспертами в области телекоммуникаций и, в свою очередь, должны уделять больше внимания VOIP. Этот переход к интегрированной голосовой связи в ИТ/ИС-системы имеет серьезные последствия для безопасности, которые необходимо понимать, чтобы можно было реализовать разумные контрмеры. В этой статье мы расскажем, как внедрить решение VOIP, соблюдая рамки безопасности, и проблемы, которые мы можем ожидать при внедрении VOIP.

VOIP сегодня

По мере развития технологий цены на решения падают, а с решениями связано больше функций, и чем больше людей и организаций принимают решения, тем дешевле и проще их внедрять. К сожалению, системе безопасности требуется время, чтобы наверстать упущенное, и безопасность часто встраивается в решение в последнюю очередь. Это верно для решений, которые включают VOIP. По этой причине важно работать с системой безопасности, обеспечивающей безопасность реализованного решения. Сегодняшние устройства обладают достаточной вычислительной мощностью, чтобы обрабатывать существующие и будущие шифровальные шифры, что делает шифрование возможным.

Аутентификация

Прежде чем пользователь сможет использовать службу VOIP, ему необходимо пройти аутентификацию и идентифицировать себя в службе. Этот процесс кажется достаточно простым, но есть некоторые факторы, которые необходимо понять, и некоторые проблемы, которые необходимо преодолеть. Механизм аутентификации должен быть структурирован таким образом, чтобы сначала идентифицировалось и аутентифицировалось устройство, а затем пользователь, это может быть достигнуто путем помещения любого устройства в карантин до этапа аутентификации. После того, как устройство идентифицировано и аутентифицировано, оно может быть логически перемещено в производственную коммуникационную VLAN. В этот момент политика безопасности на коммутаторах может обеспечить шифрование, что означает, что любые учетные данные, переданные пользователем, остаются в зашифрованном, а значит, в безопасном состоянии.

Когда дело доходит до аутентификации, управление идентификацией идет рука об руку. Важно использовать существующие каталоги аутентификации, такие как каталоги AD или другие каталоги типа LDAP. Таким образом, существующие инвестиции используются и используется уже существующий унифицированный механизм, что экономит время и повышает безопасность. Поставщики прилагают все усилия, чтобы сделать это безопасным.

Конфиденциальность

Для обеспечения конфиденциальности техническим средством контроля является шифрование; это обеспечит безопасность связи и то, что неавторизованные пользователи не смогут перехватить связь. Сложность проявляется, когда трафик проходит через несколько шлюзов, которые не контролируются вашей организацией. Вот почему важно использовать технологию, которая соответствует стандартам и легко настраивается. Это гарантирует, что пакет VOIP останется зашифрованным в течение всего срока действия пакета.

Одна вещь, на которую следует обратить внимание, — это увеличение размера пакета, что приведет к задержке (задержкам). Вы можете сделать это, выбрав неправильный тип шифрования для режима транспорта.

Протоколы

Такие протоколы, как RTP, SRTP, ZRTP и MIKEY, распространены в современных развертываниях VOIP. Эти протоколы защищены с помощью шифрования AES (в режиме счетчика).

SIP или протокол информации о сеансе быстро принимается в качестве предпочтительного протокола VIOP. В начале 2005 года я написал статью, в которой рассказывается, как работает этот протокол, ее можно найти в протоколах инициации сеанса и его функциях. Используя SIP-клиенты, пользователи смогут создать удостоверение, привязанное к SIP-серверу. Затем это удостоверение можно будет использовать для входа на сервер и использовать его в качестве шлюза для маршрутизации вызовов как внутри, так и снаружи. Удобно то, что этого можно добиться из любого места, локально и удаленно, что делает возможным удаленную работу. Используя механизмы безопасности, предложенные в рамках NISC, ИТ-специалисты могут предложить эти функции своим пользователям. После этого пользователи могут безопасно входить в систему и общаться с помощью SIP-клиентов (программных телефонов), как если бы они находились в офисе. Такие поставщики, как Cisco, Mitel, Avaya и многие другие, имеют и разрабатывают решения на основе SIP.

При работе с шифрованием всегда следует обращать внимание на управление ключами. SRTP снижает накладные расходы на управление ключами, поскольку один мастер-ключ может предоставить ключевой материал для защиты конфиденциальности и целостности как для потока SRTP, так и для соответствующего потока SRTCP. В некоторых случаях один главный ключ может защитить несколько потоков SRTP.

Новые протоколы, такие как RSIP (Realm-Specific IP), помогут в будущем решить некоторые сложности проблем NAT/IPsec. IP Next Layer (IPNL) — это решения, обеспечивающие свободный туннель между обоими взаимодействующими хостами. Это сделает будущие коммуникации более безопасными, быстрыми и эффективными.

Быстрая подсказка:
При поиске решения или шлюза VOIP убедитесь, что выбранное вами решение поддерживает H.323.

сети

Создание защищенной сети VOIP требует понимания аппаратного и программного обеспечения VOIP; это дает возможность компромисса. Для простоты намного проще разделить сеть VOIP на отдельную изолированную сеть, связывая элементы сети только с корпоративной сетью передачи данных, где это необходимо, и с помощью безопасных средств, таких как брандмауэры прикладного уровня. Это сделано для того, чтобы гарантировать, что любые уязвимые места в сети VOIP не могут быть легко использованы, и что надежный механизм контроля доступа находится в состоянии для управления потоком трафика между вашей корпоративной локальной сетью и вашей сетью VOIP.

Виртуальные частные сети «сеть-сеть» необходимы для обеспечения безопасности рабочего интернет-трафика и сохранения его целостности.

Беспроводная связь

Беспроводным технологиям уделяется много внимания в плане безопасности, и на это есть веские причины. Шифрование VOIP по беспроводной сети является обязательным, и без него компрометация практически гарантирована. IPSec — это справедливая контрмера при защите беспроводной сети. В настоящее время есть проекты, которые сосредоточены на безопасности VOIP, такие как проект zfone Фила Циммерманна.

Устройства

Устройства и серверы должны быть физически защищены от несанкционированного использования. Логическая безопасность также важна, так как теперь решение поддается удаленной эксплуатации. Ваша телефонная учетная запись — такой же ресурс, как и любой другой, и уже есть много ужасных историй о том, как учетные записи подвергались злоупотреблениям с помощью удаленной эксплуатации. Из-за унифицированного управления идентификацией важно убедиться, что ваши пользователи периодически меняют свои пароли, как описано в вашей политике безопасности (административный контроль).

Недавно в британской телевизионной программе было продемонстрировано, как мошенники модифицировали офисные телефоны так, чтобы в них можно было спрятать небольшие беспроводные камеры, чтобы можно было перехватить учетные данные пользователя.

Другая распространенная атака заключается в том, что сервер выдает себя за другого пользователя, чтобы получить учетные данные пользователя, после чего пользователь перенаправляется на законный сервер. Противодействие этому состоит в том, что законный сервер физически и логически защищен и что он должен пройти аутентификацию для пользователя или клиентского программного обеспечения до того, как пользователь аутентифицируется на нем.

Обмен сообщениями и хранение

Часто упускается из виду компонент обмена сообщениями и хранения любого решения VOIP. В предыдущие годы распространенной атакой был удаленный вход в чью-то голосовую почту путем ввода сетевого пароля по умолчанию 1234 или 0000. Это дало бы вам доступ к голосовой почте и фактически Элемент управления возможен удаленно с этой функцией. Контрмерой является принудительная смена пароля перед использованием сервиса, это обеспечит безопасную работу сервиса. Хранилище также может быть атаковано, что обычно делает решение уязвимым, это может быть достигнуто как физически, так и логически, и необходимо принять контрмеры для смягчения любых атак.

Резюме

При рассмотрении решения для обеспечения безопасности VOIP жизненно важно соблюдать существующие стандарты, технологии VOIP все еще развиваются, средства защиты все еще модернизируются и не являются частью готового решения. Если VOIP-решения правильно реализованы, конечным результатом будет более безопасное, надежное, эффективное и экономичное решение, которое прослужит долгие годы.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023