Сущность и проблемы IP-телефонии, ее использование в защищенном режиме. Применение межсетевых экранов. Применение шифрованных туннелей VPN

Код курса БТ19, 2 дня

Статус

Аннотация

Курс посвящен комплексным вопросам анализа защищенности и обеспечения безопасности IP-телефонии (Voice over IP (VoIP) -- системы связи, обеспечивающей передачу речевого сигнала по сети Интернет или по любым другим IP-сетям).Подробно рассматриваются современные подходы к построению инфраструктуры IP-телефонии и ее защита, уязвимости и атаки на ее компоненты. Особое внимание уделяется системам мониторинга и методологии анализа защищенности VoIP-сети.

Более 50% учебного времени уделяется практическим работам по анализу защищенности и настройке компонентов VoIP в соответствии с требованиями безопасности как небольших организаций, так и предприятий с развитой филиальной сетью и территориально распределенными пользователями.

В курсе использованы материалы и рекомендации таких компетентных в области информационной безопасности международных организаций как European Telecommunications Standards Institute (ETSI), International Telecommunication Union (ITU), Voice over IP Security Alliance (VOIPSA) и ряда других.

Применяемая в процессе обучения технология виртуализации серверов и рабочих мест позволяет каждому специалисту индивидуально выполнять практические работы в индивидуальной VoIP-сети. Коллективная работа специалистов осуществляется с применением программных и программно-аппаратных телефонов.

Аудитория:

• Системные и сетевые администраторы, ответственные за эксплуатацию VoIP-приложений
• Администраторы информационной безопасности
• Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов и защите от утечки конфиденциальной информации по техническим каналам.

Предварительная подготовка

• Базовые знания по IP-сетям, основным протоколам и службам стека TCP/IP
• Навыки работы с ОС Windows 2003/2008 и Linux

Вы можете проверить свои знания протоколов стека TCP/IP, запросив в Учебном центре тест для самопроверки.

• БТ05 « »
• БТ03 « »

По окончанию обучения

Вы приобретете знания:

• о современных механизмах и средствах защиты VoIP-сетей
• об уязвимостях протоколов и служб VoIP: SIP, H.323, RTP
• о применении защищенных протоколов TLS, SRTP

Вы сможете:

• применять сетевые анализаторы для мониторинга трафика
• проводить анализ защищиты VoIP-сетей
• обеспечивать безопасное функционирование IP-телефонии и конференцсвязи

Пакет слушателя

• Фирменное учебное пособие
• Версии основных рассматриваемых в курсе средств защиты, дополнительная и справочная информация по тематике курса в электронном виде

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

• Основные понятия и определения VoIP. Терминология. Архитектуры VoIP и их составляющие. Качество передачи речевой информации. Кодеки.
• Основные протоколы VoIP . Архитектура. Анализ протоколов VoIP. Сетевой анализатор Wireshark.
• Уязвимости и атаки на VoIP. Классификация уязвимостей IP-телефонии.
• Инвентаризация VoIP сети. Инвентаризация VoIP приложений. Инвентаризация пользователей.
• Перехват VoIP-трафика . Нарушение маршрутизации. Атака «человек посередине».
• Манипулирование в системах VoIP. Удаление регистрации абонентов. Несанкционированная регистрация. Перехват регистрации.
• Атаки на протокол передачи трафика реального времени RTP (Real-Time Protocol). Микширование речевых сигналов.
• Спам в VoIP-сетях. Организация спама при помощи Asterisk.
• Механизмы обеспечения безопасности IP-телефонии. Уровни информационной инфраструктуры корпоративной сети. Концепция глубокоэшелонированной защиты. Обзор механизмов и средств защиты сетей.
• Планирование защищённой сетевой инфраструктуры IP-телефонии. Выбор местоположения VoIP сервера в сети. Обеспечение сетевой безопасности VoIP сервера. Конфигурирование межсетевого экрана. Использование систем обнаружения атак. Настройка сетевого оборудования.
• Анализ защищенности VoIP. Методология. Системы анализа защищённости. Варианты классификации. Архитектура и принципы работы сканеров. Программа SiVuS (SIP Vulnerability Scanner).
• Криптографическая защита в VoIP сетях. Криптографические методы защиты информации. Виртуальная частная сеть. Общие принципы построения VPN. Управление ключами. Модель инфраструктуры открытых ключей. Формат сертификатов открытых ключей X.509. Использование TLS (Transport Layer Security), SRTP (Secure Real-time Transport Protocol). Настройка Asterisk.
• Аппаратно-программный комплекс шифрования «Континент». Создание VPN на основе АПКШ "Континент". Применение АПКШ «Континент» для защиты VoIP.
• Office Communication Server. Архитектура. Варианты использования. Установка и настройка Office Communication Server.

Итоговый зачет

2015. SwitchRay представляет обновленное решение для защиты IP-АТС от фрода

Компания SwitchRay, ведущий поставщик VoIP решений для розничных и оптовых операторов связи, интернет-провайдеров, операторов проводной и беспроводной сети, объявил о доступности новой версии продукта SR-P7000 v1.1 для предотвращения мошенничества на IP-АТС. В отличие от других решений, SR-P7000 v1.1 является независимой и легко совместимой с любым софтсвичом платформой для защиты операторов от потери доходов, вызванной различными формами мошенничества, взломом и прочими нарушениями информационной безопасности.

2013. WebMoney Voice - приложение для безопасной VoIP связи

Платежная система WebMoney выпустила приложение WebMoney Voice (вернее это дополнительный модуль к мобильному клиенту системы), позволяющее проводить безопасные телефонные переговоры через IP-телефонию. WebMoney Voice кодирует данные с использованием специальных алгоритмов и практически исключает возможность перехвата и прослушивания переговоров третьими лицами в любых сетях передачи данных. При этом во время конфиденциального звонка качество звучания голоса собеседника не теряется. За пользование сервисом плата не взимается. В настоящее время приложение доступно для скачивания в Google Play для Android версии 3.0.52 и выше. Планируется выход версий и для других мобильных платформ.

2012. Телфин защищает корпоративные VoIP-коммуникации

Провайдер VoIP-услуг для бизнеса Телфин запустил новый сервис Телфин.VoiceVPN , который предназначен для защиты VoIP-коммуникаций. Дело в том, что технология VoIP предполагает передачу голоса по публичным интернет-каналам, а также в интранете, который не всегда как следует отгорожен от внешней сети. Поэтому, голосовой сигнал может быть перехвачен, и коммерческие секреты - украдены. Телфин.VoiceVPN позволяет и защитить внутреннюю сеть компании от прослушивания, и организовать безопасный канал между отдаленными офисами. Для этого в каждом офисе должен быть установлен VPN-маршрутизатор (который Телфин продает по 3200 руб). Еще 1000 рублей стоит подключение, а потом вы платите абонплату 500 руб/месяц.

2011. БЕЛТЕЛ будет продавать VoIP решения Polycom

Системный интегратор БЕЛТЕЛ объявляет о получении статуса авторизованного реселлера компании Polycom. Полученный статус позволяет компании пополнить свой ассортимент такими продуктами и решениями как аппаратные телефоны для работы с Microsoft Endpoint, голосовые решения на основе IP, а также решениями Video Border Proxy, созданными для предоставления безопасного удаленного доступа к функциям UC, VoIP и Video и обеспечения прохождения мультимедийных данных через корпоративные межсетевые экраны.

2010. PhoneUp повышает безопасность и контролируемость бизнеса

Компания БКС-АйТи представила новый модуль «Приоритет» для своего пакета PhoneUp , расширяющий полномочия определенных групп сотрудников по управлению звонками внутри IP сети, построенной на технологиях Cisco. С помощью нового модуля руководители или сотрудники службы безопасности компании получат возможность прослушивать разговоры путем незаметного подключения к телефону сотрудника, инициировать принудительное соединение с сотрудником (даже если его телефон занят), присоединяться к текущему разговору сотрудника, инициировать запись разговора сотрудника. Кроме нового модуля, пакет PhoneUp включает в себя модули для реализации единого телефонного справочника компании, видеонаблюдения и информирования сотрудников.

2009. WatchGuard XTM обеспечит безопасность IP-телефонии

Важность защиты VoIP коммуникаций от угроз в последнее время заметно растет, и эта тенденция будет только усиливаться, что обусловлено ежегодным ростом объемов VoIP-трафика. Компания WatchGuard Technologies представила новую версию системы обеспечения безопасности корпоративных ip-сетей WatchGuard XTM 8 Series , основными особенностями которой стали инструменты для защиты IP-телефонии. Система обеспечивает защиту VoIP, блокировку приложений мгновенного обмена сообщениями (IM) и P2P-приложений. Особенностью решений WatchGuard XTM 8 Series, кроме того, является обеспечение прикладной защиты для протоколов SIP и H.323, что позволяет маскировать коммерческие VoIP-системы и одновременно укреплять их для отражения атак по сбору директорий, незаконному доступу к проверке вводимых данных и других угроз для VoIP. Решение WatchGuard XTM 8 Series предназначено для крупных компаний, сети которых объединяют от 1 тыс. до 5 тыс. пользователей.

2009. В России проведут спецкурс по безопасности IP-телефонии

Учебный центр «Информзащита» анонсировал спецкурс по безопасности IP-телефонии, посвященный комплексным вопросам анализа защищенности и обеспечения безопасности IP-телефонии. Это уникальный для России курс, в котором рассматриваются современные подходы к построению инфраструктуры IP-телефонии, уязвимости и атаки на ее компоненты, методы защиты, системы мониторинга и методологии анализа защищенности VoIP-сети. Более 50% учебного времени будет отведено на практические работы, в ходе которых моделируются типовые атаки на инфраструктуру IP-телефонии и рассматривается методика использования защитных механизмов. Применяемая в процессе обучения технология виртуализации серверов и рабочих мест позволяет каждому специалисту выполнять практические работы в индивидуальной VoIP-сети. Курс ориентирован на администраторов информационной безопасности, системных и сетевых администраторов, ответственных за эксплуатацию VoIP-приложений, экспертов и аналитиков по вопросам компьютерной безопасности, определяющих требования к защищенности сетевых ресурсов и защите от утечки конфиденциальной информации по техническим каналам.

2009. Евровласти хотят прослушивать Skype

Агентство Евросоюза по координации национальных систем правосудия хочет получить возможность прослушивать системы ip-телефонии, в т.ч. Yahoo Messenger, InternetCalls, Skype. Сейчас деятельность этих voip-провайдеров не регулируется законодательством ЕС и США о прослушивании и хранении данных и, в отличие от телекоммуникационных компаний, они не обязаны сотрудничать с правоохранительными органами. К тому же, шифрование связи, например в Skype, практически делают невозможным его "насильное" прослушивание. В ближайшие недели состоится встреча законодателей стран ЕС по данному вопросу

2008. Cisco защитит унифицированные коммуникации

SIP-защита для унифицированных коммуникаций состоит в использовании протокола SIP в межсетевом экране Cisco IOS Firewall для защиты голосовой связи. Это новшество позволит компаниям принять концепцию распределенного предприятия, повысить производительность труда и минимизировать угрозы, связанные с передачей голоса. Это обновление превращает сетевые решения CISCO Self-Defending Network (самозащищающаяся сеть) в более широкое системное решение, обеспечивающее общую защиту сетей, а также самых разных оконечных устройств, приложений и контента.

2007. VoIP трудно прослушать

Широкое распространение VoIP-услуг приносит проблемы различным спецслужбам. Телефонные звонки по Skype практически невозможно отследить и прослушать, а если используется VPN, то задача усложняется в несколько раз, пишет Australian IT. Быстрое увеличение операторов IP-телефонии и появление доступных способов шифрования данных означает, что времена простого прослушивания телефонных разговоров прошли. Спецслужбы ведут работу в этом направлении, привлекая специалистов и расширяя свои технические возможности. Однако, размер оплаты труда таких специалистов и стоимость оборудования слишком высоки. В этом случае у правительства появляется искушение ввести правила, обязывающие VoIP-провайдеров использовать упрощенные технологии, что, в конечном итоге, может привести к ослаблению сетевой безопасности.

2007. Cisco: профессионалы ИТ-безопасности не боятся VoIP

Опрос, проведённый Vanson Bourne по заказу Cisco, показал, что вирусы стоят на первом месте в списке наиболее важных угроз. В 2007 году первенство им присвоили 55% опрошенных (против 27% в 2006). Несанкционированный доступ к данным назвали главной угрозой 33%, против 50% в прошлом году. Заботой номер один 38% профессионалов ИТ-безопасности назвали сохранность данных, а 33% - необходимость привести процессы в соответствие требованиям регулирующих органов. Ни один из респондентов не выразил «сильной озабоченности» по поводу безопасности VoIP, Asterisk или унифицированных систем связи (интернет плюс проводная связь). При этом половина (49%) согласилась, что при развёртывании IP-коммуникаций необходимо принимать во внимание соображения безопасности. Опрос был проведён среди 100 профессионалов ИТ-безопасности, отвечающих за защиту информации в своих компаниях со штатом более 1 тыс. человек.

2007. Компания Skype стремится повысить безопасность своего ПО

Популярный оператор пиринговой IP-телефонии Skype планирует заключить соглашение о сотрудничестве с компанией, специализирующейся на защите сетей мгновенных сообщений, FaceTime Communications. По данным информационного издания Silicon, Skype таким образом попытается дать больше инструментов контроля над сеансами IP-телефонии с тем, чтобы продвинуть свои услуги в бизнес-секторе. Ожидается, что за этим соглашением последуют ряд других, аналогичных сделок. Намерение Skype сделать свое ПО общедоступным инструментом делового общения, потребовало изменить отношение к проблемам IT-менеджеров предприятий, которые оказались не в состоянии контролировать трафик популярной телефонной системы. По официальным данным Skype приблизительно 30% из 171 млн. зарегистрированных пользователей принадлежат миру бизнеса.

2007. Специалисты по безопасности продолжают пугать будущими проблемами с IP-телефонией

Компании, специализирующиеся на обеспечении безопасности работы компьютеров в сетях, продолжают пугать мировое сообщество потенциальными угрозами, которые вскоре обрушатся на головы многочисленных пользователей IP-телефонии. Отсутствие давно обещанных проблем объясняют недостаточно серьезным развитием этого вида связи, но, опираясь на данные исследований, утверждающих, что к 2010 году число IP-телефонов в бизнесе вырастет более чем в 4 раза, специалисты по безопасности утверждают, что большинство фирм просто не готово к атакам на их VoIP-сети, пишет The Register. При этом производители систем защиты не скрывают, что находятся в ожидании стремительного роста рынка систем безопасности для IP-телефонии, и свои мрачные прогнозы объясняют желанием предупредить об опасности потенциальных клиентов заранее. Специалисты Symantec считают, что главные трудности VoIP-систем будут связаны с фишингом (phishing), Panda Software опасается распространения "червей" через трафик VoIP-модулей IM-клиентов или систем наподобие Skype, а представители ScanSafe утверждают, что VoIP-сети будут особо уязвимы для DoS-атак.

2006. Американские эксперты создают партнерскую группу по безопасности VoIP

Группа американских академиков и промышленных экспертов была недавно создана, чтобы исследовать проблемы безопасности, связанные с технологией VoIP. В партнерскую группу вошли Georgia Tech Information Security Center (GTISC), BellSouth и Internet Security Systems (ISS). Услуги связи переходят на интернет-платформы и значение безопасности повышается в условиях применения новых конвергентных технологий. Исследователи планируют проводить анализ защиты VoIP-протоколов и проблем с аутентификацией, заниматься моделированием VoIP-трафика и поведения устройств, защитой мобильных телефонов и VoIP-приложений. ISS и BellSouth предоставили 300 тыс. долларов на двухлетнюю исследовательскую программу, которая даст возможность GTISC разрабатывать и оценивать решения защиты, а ISS и BellSouth будут иметь доступ к результатам этих исследований.

2006. Session border controller поможет в защите VoIP

Развитие услуг IP-телефонии поднимает со всей остротой новый вопрос, имеющий корни в старых проблемах: о безопасности VoIP. Специалисты предсказывают, что уже к середине 2007 года взлом и вирусные атаки VoIP-сетей будут обычным делом, что не может не тревожить разработчиков VoIP-решений и поставщиков VoIP-услуг. Впрочем, некоторую базовую защиту можно организовать еще на уровне архитектуры сети, используя пограничные контроллеры сессий (session border controllers - SBC), способные предотвращать DDoS-атаки, распространение SPIT (Spam over internet telephony) и вирусных эпидемий, а также вести непрерывное шифрование трафика. Изначально SBC использовались для организации сеансов VoIP-связи позади NAT. Сегодня они умеют выполнять массу защитных функций, благодаря способности исследовать содержимое пакетов в режиме реального времени. В сети контроллеры пограничных сессий скрывают реальный адрес пользователя, что минимизирует возможности DDoS-атаки или взлома, контролируют полосу пропускания, поддерживают QoS, скрывают топологию соседних сетей. В сетях следующих поколений, SBC станет существенным элементом безопасности, наряду с гибкостью и масштабируемостью, отличающийся надежностью и простотой.

2006. Новое шифрование для VoIP на платформе Windows

Новая технология криптографической защиты, позволяющая защитить сеанс VoIP-связи между двумя узлами без обращения к третьей стороне или отдельного хранения ключей, разработана Филом Циммерманом (Phil Zimmermann), легендарным автором ПО шифрования данных PGP. Циммерман заявил, что разработанный им протокол подходит для использования с любой телефонной системой, поддерживающей SIP. С учетом того, что новая версия Zfone работает с Windows, у массового пользователя системами пиринговой IP-телефонии появляется возможность основательно обезопасить свою связь. Технология представлена для утверждения в Internet Engineering Task Force (IETF).

2006. VoIP безопаснее обычной телефонии

При переходе от сетей TDM к VoIP поставщики обслуживания столкнулись с достаточно серьезной проблемой – обеспечением безопасности голосовой связи. Телефонная сеть больше не была изолированной и плохо спроектированная VoIP-система легко могла стать жертвой любой, типичной для интернета, напасти: от DoS-атаки до перехвата данных. К настоящему времени технологий, разработанных для решения этой проблемы, накопилось достаточно для того, чтобы говорить о возможности достижения большей безопасности IP-телефонии по сравнению с обычной телефонной сетью, пишет в своей статье, размещенной в информационном издании Converge, директор по маркетингу компании AudioCodes, Haim Melamed. При этом безопасность отнюдь не какое-то новое понятие для систем телефонии. Для обычных телефонных сетей все нынешние проблемы от прослушивания до отказа в обслуживании также были, в той или иной мере, актуальны. Просто подключение к глобальной сети резко увеличило число потенциальных злоумышленников, получивших возможность произвести несанкционированное действие по отношению к системе связи и обладающих обширным набором отработанных средств. Ранее для этого требовался физический доступ и специальное оборудование, что резко ограничивало число потенциальных преступников.

2006. NetIQ запускает средство защиты VoIP от взлома

Компания NetIQ обнародовала решение защиты VoIP (VoIP Security Solution), которое работает с IP-телефонией от Cisco и защищает от DoS, вирусов, червей, мошенничества с оплатой услуг, подслушивания и других угроз, сообщает NetworkWorld. Новый инструмент дает возможность администраторам иметь в своем распоряжении информацию в режиме реального времени о работе системы, ее доступности и предупреждает о любых угрозах защиты. Решение включает AppManager, который осуществляет мониторинг VoIP-окружения на предмет событий безопасности и изменений конфигурации. AppManager Call Data Analysis исследует записи о неправильных звонках и генерирует отчет, Security Manager for IP Telephony регистрирует и анализирует события защиты. Продажи VoIP Security Solution начнутся позже в этом квартале, стоимость решения рассчитывается исходя из 6 $ за один IP-телефон.

2005. VPN для IP-телефонии от Avaya

Компания Avaya внедрила службу VPN в свое семейство оборудования IP-телефонии. Это позволит бизнес-пользователям безопасно расширить связь своего головного офиса для служащих, работающих дома или временно работающих в небезопасном сетевом окружении. Интеграция нового программного обеспечения VPNremote c IP-телефоном обеспечит служащих связью бизнес класса, которая содержит все функции, необходимые для высокопроизводительных и непрерывных коммуникаций на предприятии. Решение VPNremote для IP-телефонов Avaya 4600 позволяет быстро и рентабельно устанавливать настольные IP-телефоны в домашних или удаленных офисах. Необходимо только, чтобы администратор загрузил программное обеспечение в IP-телефон, а служащий самостоятельно включил его в электрическую розетку, подсоединил к домашнему широкополосному роутеру и ввел пароль.

2005. VoIPShield выпускает инструмент оценки риска использования VoIP систем

Компания VoIPShield System выпустила новое решение оценки уязвимости систем VoIP (таких как Asterisk), которое позволяет организациям предотвращать угрозы прежде, чем они затронут VoIP услуги. Основанный на базе данных угроз, сервис VoIPaudit является всесторонним и масштабируемым. Он может применяться для мониторинга семейства протоколов VoIP, включая протокол установления сеансов (SIP), протокол H.323, протокол Cisco Skinny, протокол Nortel Unistim и др. Коммуникации VoIP являются критическими, и VoIPaudit предлагает беспрецедентный уровень защиты для всего оборудования и устройств в VoIP сети. VoIPaudit предлагается сегодня, по цене от 10 000 $, включающей обучение и поддержку.

2005. VoIPSA делает первые шаги

После начала своей работы в этом году, организация занимающаяся проблемами безопасности IP-телефонии, Voice over IP Security Alliance (VoIPSA), сделала первый серьезный шаг в деле защиты VoIP-услуг: внятно определила список проблем и уязвимостей, которые могут эксплуатироваться злоумышленниками. Проект, называемый VoIP Security Threat Taxonomy, выложен для открытого обсуждения. В нем всесторонне и детализировано даются определения и описания потенциальных угроз безопасности, что является базой для создания систем противодействия, пишет Computer Business. Несмотря на то, что организации известны факты серьезных атак с использованием уязвимостей VoIP довольно простыми средствами, конкретные примеры руководитель VoIPSA Джонатан Зар (Jonathan Zar) приводить отказывается. В списке потенциальных проблем фигурируют разведка, DoS и DDoS-атаки, использование уязвимостей протокола, подслушивание, удаление и модификация звуковых потоков.

2005. Компания Juniper обеспечивает безопасность VoIP

Компания Juniper Networks Inc. анонсировала систему Dynamic Threat Mitigation, позволяющую поставщикам услуг предоставить предприятиям и частным пользователям расширенную защиту сетевых сервисов и гарантировать предоставление услуг, включая VoIP. Система встраивается в маршрутизаторы Juniper (серии М или серии Е), не требуя установки нового оборудования у клиентов. Решение позволяет идентифицировать нападения по пользователю или по приложению, используя динамическое управление политиками и методы обнаружения и предотвращения вторжений (DoS атаки, проникновение червей). Учитывая большое количество услуг, предоставляемых по IP сетям, использование системы Dynamic Threat Mitigation является естественным и прогрессивным шагом.

2005. Безопасность VoIP окажется под серьезной угрозой через два года

Злоумышленники будут представлять угрозу для IP-телефонии со специальным спамом и вирусами уже через два года. Об этом заявили представители известного изготовителя телекоммуникационного оборудования, компании Nortel. Причем компании, использующие в своей деятельности VoIP, видеоконференцсвязь и другие мультимедийные услуги на базе сетевых технологий, должны готовиться к следующему этапу защиты своей инфраструктуры уже сейчас, пишет информационное издание Silicon. Вице-президент компании, Atul Bhatnager, заявил, что пока вмешательство в работу VoIP-обслуживания скорее экзотика, но хакеры быстро набираются опыта и в дальнейшем пользователи IP-телефонии столкнуться с теми же проблемами, что присущи, из-за злоумышленников, обычным сетям передачи данных: спам и DoS-атаки. Правда, двух лет вполне достаточно, чтобы подготовиться и развернуть достаточно защитных систем, способных к глубокому анализу пакетов данных.

2005. Motorola+Skype

Компания Motorola и фирма Skype Technologies, поставщик услуг интернет-телефонии, подписали соглашение о сотрудничестве, о чем было объявлено на проходящем в Каннах конгрессе 3GSM. На первом этапе сотрудничества компании будут вести совместные разработки новых оптимизированных продуктов серии Motorola Skype Ready для IP-телефонии. В продуктовую линейку войдут гарнитура с интерфейсом Bluetooth, устройства громкой связи и аппаратные средства защиты программного обеспечения и данных от несанкционированного доступа. Кроме того, Motorola планирует выпустить ряд моделей мобильных телефонов с функциями интернет-телефона. Трубки будут оснащены ПО для IP-телефонии, разработанным компанией Skype, что позволит телефонам взаимодействовать как с сотовыми сетями, так и с сетями Wi-Fi. Партнерство компаний позволит сделать доступным сервис голосового общения через интернет не только пользователям персональных компьютеров и наладонников. Возможность звонить в любую точку мира, не беспокоясь об огромных счетах за оплату услуг связи, получат и владельцы новых мобильных телефонов Motorola.

2004. Cisco CallManager 4.1: Беспрецедентный уровень безопасности

Компания Cisco Systems объявляет о выпуске новых средств защиты для систем IP-связи. Новое решение - Cisco CallManager 4.1 - обеспечивает повышенный уровень безопасности голосовой связи и в очередной раз подверждает лидерство Cisco в области IP-технологий. Cisco CallManager 4.1 поддерживает шифрование голосовых данных в новых моделях IP-телефонов Cisco 7940G и 7960G, а также более чем в 2,5 млн. уже установленных IP-телефонов Cisco 7940G и 7960G. Шифрование голосовых данных гарантирует неприкосновенность тайны телефонных переговоров, а шифрование информации о сигналах защищает от манипуляций с пакетами телефонной сигнализации. Программное обеспечение Cisco CallManager 4.1 взаимодействует с широким спектром медиашлюзов Cisco, в том числе с семейством Integrated Services Router. Поддержка шифрования информации для медиашлюзов Cisco дополняет мощные средства Voice over Virtual Private Network (V3PN) и средства защиты от угроз, которые уже содержатся в этих платформах.

2002. Вышла новая версия Avaya IP Office 1.3

Компания Avaya представила новую версию своего VoIP решения для малого среднего бизнеса Avaya IP Office 1.3 . Avaya IP Office Release 1.3 включает в себя новое программное и аппаратное обеспечение, отвечающее разнообразным требованиям бизнеса. ПО увеличивает возможности системы, которая может поддерживать более широкий спектр IP-телефонов Avaya, повышает ее защиту и обеспечивает больше сетевых функций. Новое версия позволяет обслуживать до 256 пользователей и поддерживает до двух одновременных конференций (до 64 участников в каждой) или большее число конференций с меньшим числом участников на расширенной аппаратной платформе. Средства защиты предусматривают специальные режимы конференций и управление доступом с помощью PIN-кодов. VoiceMail Pro позволяет автоматизировать набор номера (вызов по имени). Имеются также функции интерактивного голосового меню (IVR) с открытым API интерфейсом.

2002. Avaya представила новое решение для IP телефонии через VPN

Компания Avaya выпустила новую версию решения Avaya VPNremote с расширенной поддержкой открытых сетевых стандартов. Новое решение позволит компаниям быстро и эффективно организовать доступ удаленных сотрудников ко всем возможностям связи, которыми пользуются в офисах организации. IP телефоны Avaya на базе новой версии VPNremote позволяют удаленным сотрудникам работать в сетях Cisco Systems и Juniper Networks. Новые функции Avaya VPNremote для IP телефонов обеспечивают высокий уровень контроля и качества связи. Avaya VPNremote 2.0 – программное решение, дополняющее IP-телефоны Avaya возможностями защищённого доступа в виртуальные частные сети (VPN). Таким образом, удаленные сотрудники компаний получают возможность работы в корпоративной сети с высоким качеством связи. Новая версия Avaya VPNremote поддерживает VPN-среды компаний Cisco Systems и Juniper Networks.

2001. PGPfone - защищенный разговор через VoIP и IM

PGPfone - это программа, которая превращает ваш персональный компьютер или ноутбук в защищенный телефон. Для того, чтобы предоставить возможность вести защищенные телефонные разговоры в реальном времени (по телефонным линиям и каналам Интернет) в нем используется технология сжатия звука и стойкие криптографические протоколы. Звук вашего голоса, принимаемый через микрофон, PGPfone последовательно: оцифровывает, сжимает, шифрует и отправляет тому, кто находится на другом конце провода и также использует PGPfone. Все криптографические протоколы и протокол сжатия выбираются динамически и незаметно для пользователя, предоставляя ему естественный интерфейс, подобный обычному телефону. Для выбора ключа шифрования используются протоколы криптографии с открытым ключом, так что предварительного наличия защищенного канала для обмена ключами не требуется.

Осталось в прошлом то время, когда операторы с опасением относились к использованию IP-телефонии, считая уровень защищенности таких сетей низким. Сегодня уже можно говорить о том, что IP-телефония стала неким стандартом де-факто в телефонных коммуникациях. Это объясняется удобством, надежностью и относительно невысокой стоимостью IP-телефонии по сравнению с аналоговой связью. Можно утверждать, что IP-телефония повышает эффективность ведения бизнеса и позволяет осуществлять такие ранее недоступные операции, как интеграция с различными бизнес-приложениями.

Если говорить о недостатках и уязвимостях IP-телефонии, прежде всего следует отметить те же «болезни», какими страдают другие службы, использующие протокол IP. Это подверженность атакам червей и вирусов, DoS-атакам, несанкционированному удаленному доступу и др. Несмотря на то, что при построении инфраструктуры IP-телефонии данную службу обычно отделяют от сегментов сети, в которых «ходят» не голосовые данные, это еще не является гарантией безопасности. Сегодня большое количество компаний интегрируют IP-телефонию с другими приложениями, например с электронной почтой. С одной стороны, таким образом появляются дополнительные удобства, но с другой — и новые уязвимости. Кроме того, для функционирования сети IP-телефонии требуется большое число компонентов, таких, как серверы поддержки, коммутаторы, маршрутизаторы, межсетевые экраны, IP-телефоны и т. д. При этом для поддержки функционирования IP-сети часто используются неспециализированные ОС. К примеру, большинство IP-УАТС построено на базе обычных и хорошо известных операционных систем (Windows или Linux), которые теоретически обладают всеми уязвимостями, характерными для данных систем.

В некоторых IP-УАТС применяется СУБД и веб-серверы, имеющие свои элементы уязвимостей. И хотя для универсальной операционной системы или стека протоколов можно использовать давно известные средства защиты — антивирусы, персональные межсетевые экраны, системы предотвращения атак и т. п., отсутствие «заточенности» таких средств под работу с приложениями IP-телефонии может негативно сказаться на уровне защищенности.

Среди основных угроз, которым подвергается IP-телефонная сеть, можно выделить:

• регистрацию чужого терминала, позволяющую делать звонки за чужой счет;
• подмену абонента;
• внесение изменений в голосовой или сигнальный трафик;
• снижение качества голосового трафика;
• перенаправление голосового или сигнального трафика;
• перехват голосового или сигнального трафика;
• подделка голосовых сообщений;
• завершение сеанса связи;
• отказ в обслуживании;
• удаленный несанкционированный доступ к компонентам инфраструктуры IP-телефонии;
• несанкционированное обновление ПО на IP-телефоне (например, с целью внедрения троянской или шпионской программы);
• взлом биллинговой системы (для операторской телефонии).

Это далеко не весь перечень возможных проблем, связанных с использованием IP-телефонии. Альянс по безопасности VoIP (VOIPSA) разработал документ, описывающий широкий спектр угроз IP-телефонии, который помимо технических угроз включает вымогательство через IP-телефонию, спам и т. д.

И все же основное уязвимое место IP-телефонии — это набивший оскомину человеческий фактор. Проблема защищенности при развертывании IP-телефонной сети часто отодвигается на задний план, и выбор решения проходит без участия специалистов по безопасности. К тому же специалисты не всегда должным образом настраивают решение, даже если в нем присутствуют надлежащие защитные механизмы, либо приобретаются средства защиты, не предназначенные для эффективной обработки голосового трафика (например, межсетевые экраны могут не понимать фирменный протокол сигнализации, использующийся в решении IP-телефонии). В конце концов, организация вынуждена тратить дополнительные финансовые и людские ресурсы для защиты развернутого решения либо мириться с его незащищенностью.

Что же строить?

С точки зрения управляемости и производительности наиболее предпочтительной кажется такая архитектура IP-телефонии, где все компоненты защиты встроены в элементы самой сети. Если рассматривать IP-телефонную сеть без использования дополнительных средств защиты, то, применяя встроенные в сетевые коммутаторы защитные механизмы, можно добиться построения относительно стойкой защиты от атак на периметр. Встроенный функционал позволяет обеспечить:

• возможность создания виртуальных локальных сетей (VLAN) с использованием встроенных возможностей коммутаторов;
• применение встроенных механизмов фильтрации и контроля доступа;
• ограничение и представление гарантируемой полосы пропускания, что позволяет эффективно подавлять DoS-атаки;
• ограничение числа устройств с различными MAC-адресами, подключенными к одному порту;
• предотвращение атак на расходование пула адресов DHCP-сервиса;
• предотвращение засорения таблиц ARP и «воровство» адресов;
• предотвращение атак с анонимных адресов;
• применение списков контроля доступа, ограничивающих адреса узлов, которые могут передавать данные IP-телефонам.

Кроме того, встроенная в архитектуру IP-сети система управления вызовами, которая может подключаться к специальной выделенной локальной сети, изолированной от рабочей сети организации, представляет собой дополнительный «рубеж» в защите. К недостаткам можно отнести то, что встроенные в сетевое оборудование защитные функции не всегда обеспечивают надлежащий уровень безопасности и для его поднятия могут потребоваться дополнительные вложения в модернизацию оборудования.

Несмотря на использование в основе своей протокола IP, IP-телефония далеко не всегда может быть адекватно защищена традиционными решениями. Связано это с тем, что они не учитывают ее специфики — передачи трафика в реальном времени, контроля качества и трафика на прикладном уровне и т. д. Идеально, когда приложения IP-телефонии и их безопасность неразрывно связаны и интегрированы между собой в единую платформу, включающую и сетевую инфраструктуру. Это позволяет повысить эффективность защиты и снизить издержки на нее. В противном случае приходится строить четыре независимых или практически непересекающиеся инфраструктуры: ЛВС, IP-телефонная сеть, безопасность ЛВС и инфраструктура безопасности IP-телефонии.

Применение специализированных межсетевых экранов значительно повышает безопасность IP-телефонной сети, например, при помощи фильтрации трафика с учетом состояния соединения (stateful inspection ), что позволяет пропускать только необходимый трафик и соединения, установленные в определенном направлении (от сервера к клиенту или наоборот). Кроме того, межсетевой экран предоставляет возможности по:

• фильтрации трафика управления установкой IP-телефонных соединений;
• передаче трафика управления через NAT и сетевые туннели;
• TCP-перехвату, который обеспечивает проверку закрытия TCP-сессий, что позволяет защищаться от ряда атак типа отказа в обслуживании (DoS).

При проектировании сети, в которой предполагается использование дополнительных средств защиты, например системы обнаружения или предотвращения атак, следует особое внимание уделить выбору производителя таких средств, поскольку вопрос об управлении гетерогенной IP-сетью не всегда может быть решен эффективно и быстро и практически всегда требует серьезных дополнительных вложений.

Предпочтителен выбор того производителя, на оборудовании которого уже функционирует сеть, так как поддержку и управление устройствами можно осуществлять в этом случае централизованно и с меньшими затратами.

Защита от прослушивания

Наиболее совершенный способ противодействия подобным манипуляциям — использование IP-телефонов со встроенными средствами шифрования. Кроме того, дополнительную защиту обеспечивает шифрование трафика между телефонами и шлюзами. На сегодняшний день практически все производители, такие как Avaya, Nortel и Cisco, предлагают встроенные средства шифрования для информационных потоков и сигнализации. Шифрование трафика является наиболее логичным решением для защиты от прослушивания разговоров, но такая функциональность несет и ряд трудностей, которые необходимо учитывать при построении защищенной связи. Основной проблемой может быть задержка, добавляемая процессом зашифровывания и расшифровывания трафика. При работе в локальной сети подобная проблема, как правило, не дает о себе знать, но при связи через территориально-распределенную сеть способна доставлять неудобства. К тому же шифрование сигнализации, происходящее на прикладном уровне, может затруднить работу межсетевых экранов. В случае применения потокового шифрования задержки гораздо ниже, чем при использовании блочных шифров, хотя полностью от них избавиться не удастся. Вариантом решения проблемы могут служить более быстрые алгоритмы или включение механизмов QoS в модуль шифрования.

QoS

Защита от подмены телефонов и серверов управления

Защита от DoS-атак

• разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в «голосовом» участке распространенных атак, в том числе и DoS;
• специальные правила контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты;
• систему предотвращения атак на сервере управления звонками и ПК с голосовыми приложениями;
• специализированные системы защиты от DoS- и DDoS-атак;
• специальные настройки на сетевом оборудовании, предотвращающие подмену адреса и ограничивающие полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

Защита IP-телефонов

Защита от мошенничества в IP-телефонной сети

Стандарты в IP-телефонии

Заключение

Среди первоочередных требований к обеспечению безопасности IP-телефонной сети следует назвать необходимость разделения голосовых и обычных данных. То есть IP-телефония должна быть отделена от сети, где передаются другие данные при помощи VLAN. Сегментация позволяет создать дополнительный рубеж, предупреждающий атаки и злоупотребления, в том числе и те, источник которых находится во внутренней сети. Кроме того, при проектировании IP-телефонной сети важно обеспечить соответствующую полосу пропускания и не забывать о применении механизмов QoS для приоритизации IP-телефонного трафика.

И наконец, использование средств защиты, ориентированных на особенности работы IP-телефонии, поможет избежать не только «дыр» в безопасности построенной сети, таких как «непонимание» средствами защиты IP-трафика, но и дополнительных финансовых расходов на модернизацию существующего оборудования или приобретение новых защитных устройств.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

1 Построение сети IP-телефонии

1.1 Транспортные технологии пакетной коммутации

1.2 Уровни архитектуры ІР-телефонии

1.3 Различные подходы к построению сетей IP-телефонии

1.3.1 Сеть на базе протокола Н.323

1.3.2 Сеть на базе протокола SIP

1.3.3 Сеть на базе MGCP

1.4 Сравнение подходов к построению сети ІР-телефонии

1.5 Варианты систем ІР-телефонии (сценарии)

2. Типы угроз в IP-телефонии и методы борьбы с ними

2.1 Типы угроз в IP-телефонии

2.2 Методы криптографической защиты информации

2.3 Защита от прослушивания

2.4 Защищенность сети доступа

2.5 Технологии аутентификации

3. Обеспечение безопасности с точки зрения проверки прав доступа к ресурсам (ААА). Сравнение протоколов TACACS+ и RADIUS

3.1 Непрямая аутентификация

3.2 Технологии ААА на основе протокола TACACS+

3.2.1 Протокол TACACS+

3.2.2 Свойства протокола TACACS+

3.2.3 Процессы ААА в протоколе TACACS+

3.3 Технологии ААА на базе протокола RADIUS

3.3.1 Протокол RADIUS

3.3.2 Свойства и возможности протокола RADIUS

3.3.4 Процесс аудита на базе протокола RADIUS

3.3.5 Сравнение возможностей протоколов TACACS+ и RADIUS

3.3.6 Технические несоответствия с теоретическими характеристиками протоколов TACACS и RADIUS

Заключение

Список использованных источников

Введение

У IP-телефонии есть достаточное количество преимуществ, чтобы вскоре распространиться по всей нашей стране; учитывая экономические аспекты и послание Президента Республики Казахстан Нурсултана Абишевича Назарбаева народу Казахстана «Новое десятилетие, новый экономический подъем, новые возможности Казахстана»: «Лидирующие экономики мира будут функционировать в более сложных, конкурентных условиях и предпримут превентивные меры по подготовке к следующему экономическому циклу, наращивая производительность рабочей силы, инвестирование в инфраструктуру и телекоммуникации, укрепляя финансовые системы, повышая эффективность государственного управления, а также создавая благоприятные условия для развития бизнеса».

VoIP -- система связи, обеспечивающая передачу речевого сигнала по сети Интернет или по любым другим IP-сетям. Сигнал по каналу связи передаётся в цифровом виде и, как правило, перед передачей преобразовывается (сжимается) с тем, чтобы удалить избыточность.

Осталось в прошлом то время, когда операторы с опасением относились к использованию IP-телефонии, считая уровень защищенности таких сетей низким. Сегодня уже можно говорить о том, что IP-телефония стала неким стандартом в телефонных коммуникациях. Это объясняется удобством, относительной надежностью и относительно невысокой стоимостью IP-телефонии по сравнению с аналоговой связью. Можно утверждать, что IP-телефония повышает эффективность ведения бизнеса и позволяет осуществлять такие ранее недоступные операции, как интеграция с различными бизнес-приложениями.

Если говорить о недостатках и уязвимостях IP-телефонии, прежде всего, следует отметить те же «болезни», какими страдают другие службы, использующие протокол IP. Это подверженность атакам червей и вирусов, DoS-атакам, несанкционированному удаленному доступу и др.

Несмотря на то, что при построении инфраструктуры IP-телефонии данную службу обычно отделяют от сегментов сети, в которых «ходят» не голосовые данные, это еще не является гарантией безопасности. Сегодня большое количество компаний интегрируют IP-телефонию с другими приложениями, например с электронной почтой. С одной стороны, таким образом появляются дополнительные удобства, но с другой -- и новые уязвимости. Кроме того, для функционирования сети IP-телефонии требуется большое число компонентов, таких, как серверы поддержки, коммутаторы, маршрутизаторы, межсетевые экраны, IP-телефоны и т. д..

Среди основных угроз, которым подвергается IP-телефонная сеть, можно выделить:

Регистрацию чужого терминала, позволяющую делать звонки за чужой счет;

Подмену абонента;

Завершение сеанса связи;

Отказ в обслуживании;

Удаленный несанкционированный доступ к компонентам инфраструктуры IP-телефонии;

Несанкционированное обновление ПО на IP-телефоне (например, с целью внедрения троянской или шпионской программы);

Взлом биллинговой системы (для операторской телефонии).

Это далеко не весь перечень возможных проблем, связанных с использованием IP-телефонии. Альянс по безопасности VoIP (VOIPSA) разработал документ, описывающий широкий спектр угроз IP-телефонии, который помимо технических угроз включает вымогательство через IP-телефонию, спам и т. д.

И все же основное уязвимое место IP-телефонии -- это набивший оскомину человеческий фактор. Проблема защищенности при развертывании IP-телефонной сети часто отодвигается на задний план, и выбор решения проходит без участия специалистов по безопасности. К тому же специалисты не всегда должным образом настраивают решение, даже если в нем присутствуют надлежащие защитные механизмы, либо приобретаются средства защиты, не предназначенные для эффективной обработки голосового трафика (например, межсетевые экраны могут не понимать фирменный протокол сигнализации, использующийся в решении IP-телефонии). В конце концов, организация вынуждена тратить дополнительные финансовые и людские ресурсы для защиты развернутого решения либо мириться с его незащищенностью .

1 . Построение сети IP -телефонии

1.1 Транспортные технологии пакетной коммутации

Большинство производителей, располагающих широким ассортиментом продукции для пакетной телефонии, занимают «технологически нейтральное» положение и предоставляют покупателю возможность самому выбирать ту технологию, которая лучше всего соответствует его интеграционной стратегии. Основные технологии пакетной передачи речи - Frame Relay, ATM и маршрутизация пакетов IP - различаются эффективностью использования каналов связи, степенью охвата разных участков сети, надежностью, управляемостью, защитой информации и доступа, а также стоимостью .

Рисунок 1.1. Речь по АТМ

Рисунок 1.2. Речь по Frame Relay

Рисунок 1.3. Речь по IP

Транспортная технология ATM уже несколько лет успешно используется в магистральных сетях общего пользования и в корпоративных сетях, а сейчас ее начинают активно использовать и для высокоскоростного доступа по каналам xDSL (для небольших офисов) и SDH/Sonet (для крупных предприятий).

Главные преимущества этой технологии - ее зрелость, надежность и наличие развитых средств эксплуатационного управления сетью. В ней имеются непревзойденные по своей эффективности механизмы управления качеством обслуживания и контроля использования сетевых ресурсов. Однако ограниченная распространенность и высокая стоимость оборудования не позволяют считать ATM лучшим выбором для организации сквозных телефонных соединений от одного конечного узла до другого. Технологии Frame Relay суждено было сыграть в пакетной телефонии ту же роль, что и квазиэлектронным АТС в телефонии с коммутацией каналов: они показали пример эффективной программно управляемой техники, но имели ограниченные возможности дальнейшего развития.

Пользователями недорогих услуг Frame Relay, обеспечивающих вполне предсказуемую производительность, стали многие корпоративные сети, и большинство из них вполне довольны своим выбором. В краткосрочной перспективе технология передачи речи по Frame Relay будет вполне эффективна для организации мультисервисного доступа и каналов дальней связи. Но сети Frame Relay распространены незначительно: как правило, на практике используются некоммутируемые соединения в режиме точка-точка .

Технология передачи речевой информации по сетям с маршрутизацией пакетов IP привлекает, в первую очередь, своей универсальностью - речь может быть преобразована в поток IP-пакетов в любой точке сетевой инфраструктуры: на магистрали сети оператора, на границе территориально распределенной сети, в корпоративной сети и даже непосредственно в терминале конечного пользователя. В конце концов, она станет наиболее широко распространенной технологией пакетной телефонии, поскольку способна охватить все сегменты рынка, будучи при этом хорошо адаптируемой к новым условиям применения. Несмотря на универсальность протокола IP, внедрение систем IP-телефонии сдерживается тем, что многие операторы считают их недостаточно надежными, плохо управляемыми и не очень эффективными. Но грамотно спроектированная сетевая инфраструктура с эффективными механизмами обеспечения качества обслуживания делает эти недостатки малосущественными. В расчете на порт стоимость систем IP-телефонии находится на уровне (или немного ниже) стоимости систем Frame Relay, и заведомо ниже стоимости оборудования ATM. При этом уже сейчас видно, что цены на продукты IP-телефонии снижаются быстрее, чем на другие изделия, и что происходит значительное обострение конкуренции на этом рынке.

1.2 Уровни архитектуры IP-телефонии

Архитектура технологии Voice over IP может быть упрощенно представлена в виде двух плоскостей. Нижняя плоскость - это базовая сеть с маршрутизацией пакетов IP, верхняя плоскость - это открытая архитектура управления обслуживанием вызовов (запросов связи).

Нижняя плоскость, говоря упрощенно, представляет собой комбинацию известных протоколов Интернет: это - RTP (Real Time Transport Protocol), который функционирует поверх протокола UDP (User Datagram Protocol), расположенного, в свою очередь, в стеке протоколов TCP/IP над протоколом IP.

Таким образом, иерархия RTP/UDP/IP представляет собой своего рода транспортный механизм для речевого трафика. Здесь же отметим, что в сетях с маршрутизацией пакетов IP для передачи данных всегда предусматриваются механизмы повторной передачи пакетов в случае их потери.

При передаче информации в реальном времени использование таких механизмов только ухудшит ситуацию, поэтому для передачи информации, чувствительной к задержкам, но менее чувствительной к потерям, такой как речь и видеоинформация, используется механизм негарантированной доставки информации RTP/UDPD/IP. Рекомендации ITU-Т допускают задержки в одном направлении не превышающие 150 мс. Если приемная станция запросит повторную передачу пакета IP, то задержки при этом будут слишком велики .

Теперь перейдем к верхней плоскости управления обслуживанием запросов связи. Вообще говоря, управление обслуживанием вызова предусматривает принятие решений о том, куда вызов должен быть направлен, и каким образом должно быть установлено соединение между абонентами.

Инструмент такого управления - телефонные системы сигнализации, начиная с систем, поддерживаемых декадно-шаговыми АТС и предусматривающих объединение функций маршрутизации и функций создания коммутируемого разговорного канала в одних и тех же декадно-шаговых искателях. Далее принципы сигнализации эволюционировали к системам сигнализации по выделенным сигнальным каналам, к многочастотной сигнализации, к протоколам общеканальной сигнализации №7 и к передаче функций маршрутизации в соответствующие узлы обработки услуг Интеллектуальной сети.

В сетях с коммутацией пакетов ситуация более сложна. Сеть с маршрутизацией пакетов IP принципиально поддерживает одновременно целый ряд разнообразных протоколов маршрутизации .

Такими протоколами на сегодня являются: RIP - Routing Information Protocol, IGRP - Interior Gateway Routing Protocol, EIGRP - Enhanced Interior Gateway Routing Protocol, IS-IS - Intermediate System-to- intermediate System, OSPF - Open Shortest Path First, BGP - Border Gateway Protocol и др. Точно так же и для IP-телефонии разработан целый ряд протоколов.

Наиболее распространенным является протокол, специфицированный в рекомендации Н.323 ITU-T, в частности, потому, что он стал применяться раньше других протоколов, которых, к тому же, до внедрения Н.323 вообще не существовало.

Другой протокол плоскости управления обслуживанием вызова - SIP - ориентирован на то, чтобы сделать оконечные устройства и шлюзы более интеллектуальными и поддерживать дополнительные услуги для пользователей.

Еще один протокол - SGCP - разрабатывался, начиная с 1998 года, для того, чтобы уменьшить стоимость шлюзов за счет реализации функций интеллектуальной обработки вызова в централизованном оборудовании. Протокол IPDC очень похож на SGCP, но имеет много больше, чем SGCP, механизмов эксплуатационного управления (ОАМ&Р). В конце 1998 года рабочая группа MEGACO комитета IETF разработала протокол MGCP, базирующийся, в основном, на протоколе SGCP, но с некоторыми добавлениями в части ОАМ&Р.

Рабочая группа MEGACO не остановилась на достигнутом, продолжала совершенствовать протокол управления шлюзами и разработала более функциональный, чем MGCP, протокол MEGACO .

1.3 Различные подходы к построению сетей IP-телефонии

Чтобы стало понятно, чем конкретно отличаются друг от друга протоколы, кратко рассмотрю архитектуру сетей, построенных на базе этих протоколов, и процедуры установления и завершения соединения с их использованием .

1.3 .1 Сеть на базе протокола Н.323

Первый в истории подход к построению сетей IP-телефонии на стандартизованной основе предложен Международным союзом электросвязи (ITU) в рекомендации Н.323. Сети на базе протоколов Н.323 ориентированы на интеграцию с телефонными сетями и могут рассматриваться как сети ISDN, наложенные на сети передачи данных.

В частности, процедура установления соединения в таких сетях IP-телефонии базируется на рекомендации Q.931 и аналогична процедуре, используемой в сетях ISDN.

Рекомендация Н.323 предусматривает довольно сложный набор протоколов, который предназначен не просто для передачи речевой информации по IP-сетям с коммутацией пакетов. Его цель - обеспечить работу мультимедийных приложений в сетях с негарантированным качеством обслуживания. Речевой трафик - это только одно из приложений Н.323, наряду с видеоинформацией и данными.

Вариант построения сетей IP-телефонии, предложенный Международным союзом электросвязи в рекомендации Н.323, хорошо подходит тем операторам местных телефонных сетей, которые заинтересованы в использовании сети с коммутацией пакетов (IP-сети) для предоставления услуг междугородной и международной связи. Протокол RAS, входящий в семейство протоколов Н.323, обеспечивает контроль использования сетевых ресурсов, поддерживает аутентификацию пользователей и может обеспечивать начисление платы за услуги.

На рисунке 1.4 представлена архитектура сети на базе рекомендации Н.323. Основными устройствами сети являются: терминал (Terminal), шлюз (Gateway), привратник (Gatekeeper) и устройство управления конференциями (Multipoint Control Unit- MCU).

Рисунок 1.4. Архитектура сети Н.323

Терминал Н.323 - оконечное устройство пользователя сети IP-телефонии, которое обеспечивает двухстороннюю речевую (мультимедийную) связь с другим терминалом Н.323, шлюзом или устройством управления конференциями .

Шлюз IP-телефонии реализует передачу речевого трафика по сетям с маршрутизацией пакетов IP по протоколу Н.323. Основное назначение шлюза - преобразование речевой информации, поступающей со стороны ТФОП, в вид, пригодный для передачи по сетям с маршрутизацией пакетов IP. Кроме того, шлюз преобразует сигнальные сообщения систем сигнализации DSS1 и ОКС7 в сигнальные сообщения Н.323 и производит обратное преобразование в соответствии с рекомендацией ITU H.246.

В привратнике сосредоточен весь интеллект сети IP-телефонии.

Сеть, построенная в соответствии с рекомендацией Н.323, имеет зонную архитектуру (рисунок 1.5). Привратник выполняет функции управления одной зоной сети IP-телефонии, в которую входят: терминалы, шлюзы, устройства управления конференциями, зарегистрированные у данного привратника. Отдельные фрагменты зоны сети Н.323 могут быть территориально разнесены и соединяться друг с другом через маршрутизаторы.

Рисунок 1.5. Зона сети Н.323

Наиболее важными функциями привратника являются:

Регистрация оконечных и других устройств;

Контроль доступа пользователей системы к услугам IP-телефонии при помощи сигнализации RAS;

Преобразование вызываемого пользователя (объявленного имени абонента, телефонного номера, адреса электронной почты и др.) в транспортный адрес сетей с маршрутизацией пакетов IP (IP адрес + номер порта TCP);

Контроль, управление и резервирование пропускной способности сети;

Ретрансляция сигнальных сообщений Н.323 между терминалами.

В одной сети IP-телефонии, отвечающей требованиям рекомендации ITU Н.323, может находиться несколько привратников, взаимодействующих друг с другом по протоколу RAS.

Кроме основных функций, определенных рекомендацией Н.323, привратник может отвечать за аутентификацию пользователей и начисление платы (биллинг) за телефонные соединения. Устройство управления конференциями обеспечивает возможность организации связи между тремя или более участниками .

Рекомендация Н.323 предусматривает три вида конференции (рисунок 1.6): централизованная (т.е. управляемая MCU, с которым каждый участник конференции соединяется в режиме точка-точка), децентрализованная (когда каждый участник конференции соединяется с остальными ее участниками в режиме точка-группа точек) и смешанная.

Преимуществом централизованной конференции является сравнительно простое терминальное оборудование, недостатком - большая стоимость устройства управления конференциями.

Для децентрализованной конференции требуется более сложное терминальное оборудование и желательно, чтобы в сети IP поддерживалась передача пакетов IP в режиме многоадресной рассылки (IP multicasting). Если этот режим в сети не поддерживается, терминал должен передавать речевую информацию каждому из остальных участников конференции в режиме точка-точка.

Устройство управления конференциями состоит из одного обязательного элемента - контроллера конференций (Multipoint Controller - МС), и, кроме того, может включать в себя один или более процессоров для обработки пользовательской информации (Multipoint Processor - МР). Контроллер может быть физически совмещен с привратником, шлюзом или устройством управления конференциями, а последнее, в свою очередь, может быть совмещено со шлюзом или привратником.

Рисунок. 1.6. Виды конференции в сетях Н.323

Контроллер конференций используется для организации конференции любого вида. Он организует обмен между участниками конференции данными о режимах, поддерживаемых их терминалами, и указывает, в каком режиме участники конференции могут передавать информацию, причем в ходе конференции этот режим может изменяться, например, при подключении к ней нового участника.

Так как контроллеров в сети может быть несколько, для каждой вновь создаваемой конференции должна быть проведена специальная процедура выявления того контроллера, который будет управлять данной конференцией.

При организации централизованной конференции, кроме контроллера МС, должен использоваться процессор МР, обрабатывающий пользовательскую информацию. Процессор МР отвечает за переключение или смешивание речевых потоков, видеоинформации и данных. Для децентрализованной конференции процессор не нужен .

Существует еще один элемент сети Н.323 - прокси-сервер Н.323, т.е. сервер-посредник. Этот сервер функционирует на прикладном уровне и может проверять пакеты с информацией, которой обмениваются два приложения.

Прокси-сервер может определять, с каким приложением (Н.323 или другим) ассоциирован вызов, и осуществлять нужное соединение. Прокси-сервер выполняет следующие ключевые функции:

Подключение через средства коммутируемого доступа или локальные сети терминалов, не поддерживающих протокол резервирования ресурсов (RSVP). Два таких прокси-сервера могут образовать в IP-сети туннельное соединение с заданным качеством обслуживания;

Маршрутизацию трафика Н.323 отдельно от обычного трафика данных;

Обеспечение совместимости с преобразователем сетевых адресов, поскольку допускается размещение оборудования Н.323 в сетях с пространством адресов частных сетей;

Защиту доступа - доступность только для трафика Н.323.

Протокол RAS (Registration Admission Status) обеспечивает взаимодействие оконечных и других устройств с привратником.

Основными функциями протокола являются: регистрация устройства в системе, контроль его доступа к сетевым ресурсам, изменение полосы пропускания в процессе связи, опрос и индикация текущего состояния устройства. В качестве транспортного протокола используется протокол с негарантированной доставкой информации UDP.

Протокол Н.225.0 (Q.931) поддерживает процедуры установления, поддержания и разрушения соединения. В качестве транспортного протокола используется протокол с установлением соединения и гарантированной доставкой информации TCP.

По протоколу Н.245 происходит обмен между участниками соединения информацией, которая необходима для создания логических каналов. По этим каналам передается речевая информация, упакованная в пакеты RTP/UDP/IP.

Выполнение процедур, предусмотренных протоколом RAS, является начальной фазой установления соединения с использованием сигнализации Н.323. Далее следуют фаза сигнализации Н.225.0 (Q.931) и обмен управляющими сообщениями Н.245. Разрушение соединения происходит в обратной последовательности: в первую очередь закрывается управляющий канал Н.245 и сигнальный канал Н.225.0, после чего привратник по каналу RAS оповещается об освобождении ранее занимавшейся полосы пропускания .

Сложность протокола Н.323 демонстрирует рисунок 1.7, на котором представлен упрощенный сценарий установления соединения между двумя пользователями. В данном сценарии предполагается, что конечные пользователи уже знают IP-адреса друг друга. В обычном случае этапов бывает больше, поскольку в установлении соединения участвуют привратники и шлюзы.

Рассмотрим шаг за шагом этот упрощенный сценарий.

1) Оконечное устройство пользователя А посылает запрос соединения - сообщение SETUP - к оконечному устройству пользователя В на ТСР-порт1720;

2) Оконечное устройство вызываемого пользователя В отвечает на сообщение SETUP сообщением ALERTING, означающим, что устройство свободно, а вызываемому пользователю подается сигнал о входящем вызове;

3) После того, как пользователь В принимает вызов, к вызывающей стороне А передается сообщение CONNECT с номером ТСР-порта управляющего канала Н.245;

4) Оконечные устройства обмениваются по каналу Н.245 информацией о типах используемых речевых кодеков (G.729, G.723.1 и т.д.), а также о других функциональных возможностях оборудования, и оповещают друг друга о номерах портов RTP, на которые следует передавать информацию;

5) Открываются логические каналы для передачи речевой информации;

6) Речевая информация передаётся в обе стороны в сообщениях протокола RTP; кроме того, ведется контроль передачи информации при помощи протокола RTCP.

Рисунок 1.7. Упрощённый сценарий установления соединения в сети Н.323

Приведенная процедура обслуживания вызова базируется на протоколе Н.323 версии 1. Версия 2 протокола Н.323 позволяет передавать информацию, необходимую для создания логических каналов, непосредственно в сообщении SETUP протокола Н.225.0 без использования протокола Н.245.

Такая процедура называется «быстрый старт» (Fast Start) и позволяет сократить количество циклов обмена информацией при установлении соединения. Кроме организации базового соединения, в сетях Н.323 предусмотрено предоставление дополнительных услуг в соответствии с рекомендациями ITU H.450.X .

Следует отметить еще одну важную проблему - качество обслуживания в сетях Н.323. Оконечное устройство, запрашивающее у привратника разрешение на доступ, может, используя поле transportQoS в сообщении ARQ протокола RAS, сообщить о своей способности резервировать сетевые ресурсы.

Рекомендация Н.323 определяет протокол резервирования ресурсов (RSVP) как средство обеспечения гарантированного качества обслуживания, что предъявляет к терминалам требование поддержки протокола RSVP. К сожалению, протокол RSVP используется отнюдь не повсеместно, что оставляет сети Н.323 без основного механизма обеспечения гарантированного качества обслуживания. Это - общая проблема сетей IP-телефонии, характерная не только для сетей Н.323.

1.3.2 Сеть на базе протокола SIP

Второй подход к построению сетей IP-телефонии, предложенный рабочей группой MMUSIC комитета IETF в документе RFC 2543, основан на использовании протокола SIP - Session Initiation Protocol .

SIP представляет собой текстоориентированный протокол, который является частью глобальной архитектуры мультимедиа, разработанной комитетом Internet Engineering Task Force (IETF).

Эта архитектура также включает в себя протокол резервирования ресурсов (Resource Reservation Protocol, RSVP, RFC 2205), транспортный протокол реального времени (Real-Time Transport Protocol, RTP, RFC 1889), протокол передачи потоков в реальном времени (Real-Time Streaming Protocol, RTSP, RFC 2326), протокол описания параметров связи (Session Description Protocol, SDP, RFC 2327), протокол уведомления о связи (Session Announcement Protocol, SAP). Однако функции протокола SIP не зависят от любого из этих протоколов.

Сразу следует отметить, что хотя на сегодня наиболее широкое распространение получил протокол Н.323, всё большее количество производителей старается предусмотреть в своих новых продуктах поддержку протокола SIP.

Пока это - единичные явления и серьезной конкуренции протоколу Н.323 они составить не могут. Однако, учитывая темпы роста популярности протокола SIP, весьма вероятно, что в ближайшем будущем решения на его базе займут значительную нишу рынка IP-телефонии.

Подход SIP к построению сетей IP-телефонии намного проще в реализации, чем Н.323, но меньше подходит для организации взаимодействия с телефонными сетями. В основном это связано с тем, что протокол сигнализации SIP, базирующийся на протоколе HTTP, плохо согласуется с системами сигнализации, используемыми в ТфОП. Поэтому протокол SIP более подходит поставщикам услуг Интернет для предоставления услуги IP-телефонии, причем эта услуга будет являться всего лишь частью пакета услуг.

Тем не менее, протокол SIP поддерживает услуги интеллектуальной сети (IN), такие как преобразование (мэппинг) имён, переадресация и маршрутизация, что существенно для использования SIP в качестве протокола сигнализации в сети общего пользования, где приоритетной задачей оператора является предоставление широкого спектра телефонных услуг.

Другой важной особенностью протокола SIP является поддержка мобильности пользователя, т.е. его способности получать доступ к заказанным услугам в любом месте и с любого терминала, а также способности сети идентифицировать и аутентифицировать пользователя при его перемещении из одного места в другое.

Это свойство SIP не уникально, и, например, протокол Н.323 тоже в значительной степени поддерживает такую возможность. Сейчас настал момент, когда эта возможность станет главной привлекательной чертой сетей IP-телефонии нового поколения. Данный режим работы потребует дистанционной регистрации пользователей на сервере идентификации и аутентификации .

Перейдем непосредственно к архитектуре сетей, базирующихся на протоколе SIP (рисунок 1.8).

Рисунок 1.8. Пример сети на базе протокола SIP

Сеть SIP содержит основные элементы трех видов: агенты пользователя, прокси-серверы и серверы переадресации.

Агенты пользователя (User Agent или SIP client) являются приложениями терминального оборудования и включают в себя две составляющие: агент пользователя - клиент (User Agent Client - UAC) и агент пользователя - сервер (User Agent Server - UAS), иначе известные как клиент и сервер соответственно.

Клиент UAC инициирует SIP-запросы, т.е. выступает в качестве вызывающей стороны. Сервер UAS принимает запросы и возвращает ответы, т.е. выступает в качестве вызываемой стороны.

Кроме того, существует два типа сетевых серверов SIP: прокси-серверы (серверы-посредники) и серверы переадресации.

Серверы SIP могут работать как в режиме с сохранением состояний текущих соединений (statefull), так и в режиме без сохранения состояний текущих соединений (stateless).

Сервер SIP, функционирующий в режиме stateless, может обслужить сколь угодно большое количество пользователей, в отличие от привратника Н.323, который может одновременно работать с ограниченным количеством пользователей.

Прокси-сервер (Proxy-server) действует «от имени других клиентов» и содержит функции клиента (UAC) и сервера (UAS). Этот сервер интерпретирует и может перезаписывать заголовки запросов перед отправкой их к другим серверам (рисунок 1.9). Ответные сообщения следуют по тому же пути обратно к прокси-серверу, а не к клиенту.

Рисунок 1.9. Сеть SIP с прокси-сервером

На рисунке 1.9 представлен алгоритм установления соединения с помощью протокола SIP при участии прокси-сервера:

1) Прокси-сервер принимает запрос соединения INVITE от оборудования вызывающего пользователя;

2) Прокси-сервер устанавливает местонахождение клиента с помощью сервера определения местоположения (location server);

3) Прокси-сервер передает запрос INVITE вызываемому пользователю;

4) Оборудование вызываемого пользователя уведомляет последнего о входящем вызове и возвращает прокси-серверу сообщение о том, что запрос INVITE обрабатывается (код 100). Прокси-сервер, в свою очередь, направляет эту информацию оборудованию вызывающего пользователя;

5) Когда вызываемый абонент принимает вызов, его оборудование извещает об этом прокси-сервер (код 200), который переправляет информацию о том, что вызов принят, к оборудованию вызывающего пользователя;

6) Вызывающая сторона подтверждает установление соединения передачей запроса АСК, которое прокси-сервер переправляет вызываемой стороне. Установление соединения закончено, абоненты могут обмениваться речевой информацией .

Сервер переадресации (Redirect server) определяет текущее местоположение вызываемого абонента и сообщает его вызывающему пользователю (рисунок 1.10). Для определения текущего местоположения вызываемого абонента сервер переадресации обращается к серверу определения местоположения, принципы работы которого в документе RFC 2543 не специфицированы.

Алгоритм установления соединения с использованием протокола SIP при участии сервера переадресации выглядит следующим образом:

1) Сервер переадресации принимает от вызывающей стороны запрос соединения INVITE и связывается с сервером определения местонахождения, который выдает текущий адрес вызываемого клиента;

2) Сервер переадресации передает этот адрес вызывающей стороне. В отличие от прокси-сервера, запрос INVITE к оборудованию вызываемого пользователя сервер переадресации не передает;

3) Оборудование вызывающего пользователя подтверждает завершение транзакции с сервером переадресации запросом АСК;

5) Оборудование вызываемого пользователя уведомляет последнего о входящем вызове и возвращает вызывающему оборудованию сообщение о том, что запрос INVITE обрабатывается (код 100);

6) Когда вызываемый абонент принимает вызов, об этом извещается оборудование вызывающего пользователя (код 200).Установление соединения закончено, абоненты могут обмениваться речевой информацией.

Рисунок 1.10. Сеть SIP с сервером переадресации

Существует также и безсерверный вариант соединения, когда один терминал может передать запрос другому терминалу непосредственно .

Сигнализация SIP дает возможность пользовательским агентам и сетевым серверам определять местоположение, выдавать запросы и управлять соединениями.

INVITE - запрос привлекает пользователя или услугу к участию в сеансе связи и содержит описание параметров этой связи. С помощью этого запроса пользователь может определить функциональные возможности терминала своего партнера по связи и начать сеанс связи, используя ограниченное число сообщений и подтверждений их приема.

АСК - запрос подтверждает прием от вызываемой стороны ответа на команду INVITE и завершает транзакцию.

OPTIONS - запрос позволяет получить информацию о функциональных возможностях пользовательских агентов и сетевых серверов. Однако этот запрос не используется для организации сеансов связи.

BYE - запрос используется вызывающей и вызываемой сторонами для разрушения соединения. Перед тем как разрушить соединение, пользовательские агенты отправляют этот запрос к серверу, сообщая о намерении прекратить сеанс связи.

CANCEL - запрос позволяет пользовательским агентам и сетевым серверам отменить любой ранее переданный запрос, если ответ на нее еще не был получен .

1. 3.3 Сеть на базе MGCP

Третий подход к построению сетей IP-телефонии, основанный на использовании протокола MGCP, также предложен комитетом IETF, рабочей группой MEGACO.

При разработке этого протокола рабочая группа MEGACO опиралась на сетевую архитектуру, содержащую основные функциональные блоки трех видов (рисунок 1.11):

Шлюз - Media Gateway (MG), который выполняет функции преобразования речевой информации, поступающей со стороны ТфОП с постоянной скоростью передачи, в вид, пригодный для передачи по сетям с маршрутизацией пакетов IP (кодирование и упаковку речевой информации в пакеты RTP/UDP/IP, а также обратное преобразование);

Контроллер шлюзов - Call Agent, которой выполняет функции управления шлюзами;

Шлюз сигнализации - Signaling Gateway (SG), который обеспечивает доставку сигнальной информации, поступающей со стороны ТфОП, к контроллеру шлюзов и перенос сигнальной информации в обратном направлении.

Таким образом, весь интеллект функционально распределенного шлюза сосредоточен в контроллере, функции которого могут быть распределены между несколькими компьютерными платформами .

Рисунок 1.11. Архитектура сети на базе протокола MGCP

Шлюз сигнализации выполняет функции STP - транзитного пункта сети сигнализации ОКС7. Сами шлюзы выполняют только функции преобразования речевой информации. Один контроллер управляет одновременно несколькими шлюзами.

В сети могут присутствовать несколько контроллеров. Предполагается, что они синхронизованы между собой и согласованно управляют шлюзами, участвующими в соединении. Вместе с тем, MEGACO не определяет протокола для синхронизации работы контроллеров.

В ряде работ, посвященных исследованию возможностей протокола MGCP, для этой цели предлагается использовать протоколы Н.323, SIP или ISUP/IP. Сообщения протокола MGCP переносятся протоколом без гарантированной доставки сообщений UDP. Рабочая группа SIGTRAN комитета IETF в настоящее время разрабатывает механизм взаимодействия контроллера шлюзов и шлюза сигнализации.

Шлюз сигнализации должен принимать поступающие из ТфОП пакеты трех нижних уровней системы сигнализации ОКС7 (уровней подсистемы переноса сообщений МТР) и передавать сигнальные сообщения верхнего, пользовательского, уровня к контроллеру шлюзов. Шлюз сигнализации также должен уметь передавать по IP-сети приходящие из ТфОП сигнальные сообщения Q.931.

Основное внимание рабочей группы SIGTRAN уделяется вопросам разработки наиболее эффективного механизма передачи сигнальной информации по IP-сетям.

Следует отметить, что существует несколько причин, по которым пришлось отказаться от использования для этой цели протокола TCP. Рабочая группа SIGTRAN предлагает использовать для передачи сигнальной информации протокол Stream Control Transport Protocol (SCTP), имеющий ряд преимуществ перед протоколом ТСР, основным из которых является значительное снижение времени доставки сигнальной информации и, следовательно, времени установления соединения - одного из важнейших параметров качества обслуживания.

Если в ТфОП используется сигнализация по выделенным сигнальным каналам (ВСК), то сигналы сначала поступают вместе с пользовательской информацией в транспортный шлюз, а затем передаются в контроллер шлюзов без посредничества шлюза сигнализации .

Отметим, что протокол MGCP является внутренним протоколом для обмена информацией между функциональными блоками распределенного шлюза, который извне представляется одним шлюзом. Протокол MGCP является master/slave протоколом. Это означает, что контроллер шлюзов является ведущим, а сам шлюз - ведомым устройством, которое должно выполнять все команды, поступающие от контроллера Call Agent.

Вышеописанное решение обеспечивает масштабируемость сети и простоту управления сетью через контроллер шлюзов. Шлюзы не должны быть интеллектуальными устройствами, требуют меньшей производительности процессоров и, следовательно, становятся менее дорогими. Кроме того, очень быстро вводятся новые протоколы сигнализации или дополнительные услуги, так как эти изменения затрагивают только контроллер шлюзов, а не сами шлюзы.

Третий подход, предлагаемый организацией IETF (рабочая группа MEGACO), хорошо подходит для развертывания глобальных сетей IP-телефонии, приходящих на смену традиционным телефонным сетям.

Рассмотрим алгоритмы установления и разрушения соединения с использованием протокола MGCP. Первый пример охватывает взаимодействие протокола MGCP с протоколом ОКС7 (рисунок 1.12).

Рисунок 1.12. Установление и разрушение соединения с использованием протокола MGCP (Пример 1)

1) От телефонной станции АТС-А к шлюзу сигнализации SG1 по общему каналу сигнализации поступает запрос соединения в виде сообщения IAM протокола ISUP. На рисунке 1.12 шлюз сигнализации SG1 и SG2 совмещены с транспортными шлюзами TGW1 и TGW2 соответственно. Шлюз SG1 передает сообщение IAM к контроллеру шлюзов, который обрабатывает запрос и определяет, что вызов должен быть направлен к АТС-Б посредством шлюза TGW2.

2) Контроллер резервирует порт шлюза TGW1 (разговорный канал). С этой целью он передает к шлюзу команду CreateConnection. Отметим, что порт шлюза TGW1 может только принимать информацию (режим «recvonly»), так как он еще не осведомлен о том, по какому адресу и каким образом ему следует передавать информацию.

3) В ответе на эту команду шлюз TGW1 возвращает описание параметров сеанса связи.

4) Приняв ответ шлюза TGW1, контроллер передает команду CRCX второму шлюзу TGW2 с целью зарезервировать порт в этом шлюзе.

5) Шлюз TGW2 выбирает порт, который будет участвовать в соединении, и подтверждает прием команды CRCX. При помощи двух команд CRCX создается однонаправленный разговорный канал для передачи вызывающему абоненту акустических сигналов или речевых подсказок и извещений. В то же время, порт шлюза TGW2 уже может не только принимать, но и передавать информацию, так как он получил описание параметров связи от встречного шлюза.

7) На сообщение IAM станция АТС-Б отвечает подтверждением АСМ, которое немедленно пересылается к станции АТС-А.

8) После того как вызываемый абонент примет вызов, АТС-Б передает к контроллеру шлюзов сообщение ANM.

10) Шлюз TGW1 выполняет и подтверждает изменение режима.

11) Контроллер передает сообщение ANM к АТС-А, после чего начинается разговорная фаза соединения.

12) Завершение разговорной фазы происходит следующим образом. В нашем случае вызвавший абонент Б дает отбой первым. АТС-Б передает через шлюз сигнализации сообщение REL к контроллеру шлюзов.

13) Приняв сообщение REL, контроллер шлюзов завершает соединение с вызванным абонентом.

14) Шлюз подтверждает завершение соединения и передает к контроллеру собранные за время соединения статистические данные.

15) Контроллер шлюзов передает сообщение RLC к АТС-Б с целью подтвердить разъединение.

16) Параллельно контроллер завершает соединение с вызвавшей стороной

17) ШлюзТGW1 подтверждает завершение соединения и передает к контроллеру собранные за время соединения статистические данные.

18) АТС-А подтверждает завершение соединения передачей сообщения RLC, после чего соединение считается разрушенным .

Рисунок 1.13. Установление и разрушение соединения с использованием протокола MGCP (Пример 2)

Второй пример иллюстрирует взаимодействие протокола MGCP с протоколами ОКС7 и Н.323 (рисунок 1.13).

1) С телефонной станции АТС-А к шлюзу сигнализации SG1 по общему каналу сигнализации поступает запрос соединения (сообщение IAM). На рисунке 1.13 шлюз сигнализации SG1 также совмещен с транспортным шлюзом TGW1. Шлюз SG1 передает сообщение IAM контроллеру шлюзов, который обрабатывает запрос и определяет, что вызов должен быть направлен к оконечному устройству вызываемого пользователя - терминалу Н.323.

2) Контроллер шлюзов резервирует порт шлюза TGW1 (разговорный канал). С этой целью он передает к шлюзу команду CreateConnec-tion. И в этом примере порт шлюза TGW1 может только принимать информацию (режим «recvonly»).

3) В ответе на принятую команду шлюз TGW1 возвращает описание параметров связи.

4) Приняв ответ от шлюза TGW1, контроллер передает к привратнику сети Н.323 сообщение ARQ с alias адресом вызываемого абонента.

5) В ответ на сообщение ARQ привратник передает сообщение ACF с указанием транспортного адреса своего сигнального канала.

6) Контроллер передает запрос соединения SETUP на транспортный адрес сигнального канала привратника, при этом используется процедура Fast Start. Привратник пересылает сообщение SETUP к вызываемому терминалу.

7) Вызываемый терминал передает запрос допуска к ресурсам сети ARQ.

8) В ответ на запрос ARQ привратник передает подтверждение запроса ACF.

9) Вызываемый терминал передает сообщение ALERTING, которое привратник маршрутизирует к контроллеру шлюзов. При этом вызываемому пользователю подается визуальный или акустический сигнал о входящем вызове, а вызывающему пользователю подается индикация того, что вызываемый пользователь не занят и получает сигнал о вызове.

10) Контроллер преобразует сообщение ALERTING в сообщение АСМ, которое немедленно пересылается к АТС-А.

11) После того как вызываемый пользователь примет входящий вызов, контроллер получит сообщение CONNECT.

12) Контроллер шлюзов меняет в шлюзе TGW1 режим «recvonly» на полнодуплексный режим.

13) Шлюз TGW1 выполняет и подтверждает изменение режима соединения.

14) Контроллер передает сообщение ANM к АТС-А, после чего начинается разговорная фаза соединения, в ходе которой оборудование вызвавшего пользователя передает речевую информацию, упакованную в пакеты RTP/UDP/IP, на транспортный адрес RTP-канала терминала вызванного абонента, а тот передает пакетированную речевую информацию на транспортный адрес RTP-канала терминала вызвавшего абонента. При помощи канала RTCP ведется контроль передачи информации по RTP каналу.

15) После окончания разговорной фазы начинается фаза разрушения соединения. Оборудование пользователя, инициирующего разрушение соединения, должно прекратить передачу речевой информации, закрыть логические каналы и передать сообщение RELEASE COMPLETE, после чего сигнальный канал закрывается.

16) Контроллер шлюзов передает сообщение RELEASE к АТС-А с целью завершения соединения.

17) Кроме того, контроллер передает к шлюзу команду DLCX.

18) Шлюз подтверждает завершение соединения и передает к контролеру собранные за время соединения статистические данные.

19) После вышеописанных действий контроллер и оконечное оборудование извещают привратник об освобождении занимавшейся полосы пропускания. С этой целью каждый из участников соединения посылает привратнику по каналу RAS запрос выхода из соединения DRQ, на который привратник должен передать подтверждение DCF.

20) От АТС-А приходит подтверждение разъединения RLC, после чего соединение считается разрушенным .

Следует заметить, что алгоритм взаимодействия протоколов SIP и MGCP не сильно отличается от вышеописанного алгоритма.

Рабочая группа MEGACO комитета IETF продолжает работу по усовершенствованию протокола управления шлюзами, в рамках которой разработан более функциональный, чем MGCP, протокол MEGACO.

Международный союз электросвязи в проекте версии 4 рекомендации Н.323 ввел принцип декомпозиции шлюзов. Управление функциональными блоками распределенного шлюза будет осуществляться контроллером шлюза - Media Gateway Controller - при помощи адаптированного к Н.323 протокола MEGACO, который в рекомендации Н.248 назван Gateway Control Protocol.

Сообщения протокола MEGACO отличаются от сообщений протокола MGCP, но процедуры установления и разрушения соединений с использованием обоих протоколов идентичны, поэтому описание процедуры установления соединения на базе протокола MEGACO здесь не приводится.

1.4 Сравнение подходов к построению сети IP-телефонии

ip телефония криптографический аутентификация tacacs+

В настоящее время для построения хорошо функционирующих и совместимых с ТфОП сетей IP-телефонии подходят протоколы Н.323 и MGCP. Как уже отмечалось, протокол SIP несколько хуже взаимодействует с системами сигнализации, используемыми в ТфОП .

Подход, основанный на использовании протокола MGCP, обладает весьма важным преимуществом перед подходом, предложенным ITU в рекомендации Н.323: поддержка контроллером шлюзов сигнализации ОКС7 и других видов сигнализации, а также прозрачная трансляция сигнальной информации по сети IP-телефонии.

Основным недостатком третьего из приведенных в данном параграфе подходов является незаконченность стандартов.

Функциональные составляющие распределенных шлюзов, разработанные разными фирмами-производителями телекоммуникационного оборудования, практически несовместимы.

Функции контроллера шлюзов точно не определены. Не стандартизированы механизмы переноса сигнальной информации от шлюза сигнализации к контроллеру и в обратном направлении.

К недостаткам можно отнести также отсутствие стандартизированного протокола взаимодействия между контроллерами. Кроме того, протокол MGCP является протоколом управления шлюзами, но не предназначен для управления соединениями с участием терминального оборудования пользователей (IP-телефонов).

Это означает, что в сети, построенной на базе протокола MGCP, для управления терминальным оборудованием должен присутствовать привратник или сервер SIP.

Стоит также отметить, что в существующих приложениях IP-телефонии, таких как предоставление услуг международной и междугородной связи, использовать протокол MGCP (также, как и протокол SIP) нецелесообразно в связи с тем, что подавляющее количество сетей IP-телефонии сегодня построено на базе протокола Н.323. Оператору придется строить отдельную сеть IP-телефонии на базе протокола MGCP (или SIP), что связано со значительными капиталовложениями. В то же время, оператор связи, имеющий оборудование стандарта Н.323, может присоединиться к существующим сетям IP-телефонии .

В последнем из упомянутых подходов (в проекте версии 4 рекомендации Н.323) ITU-Т ввел принцип декомпозиции шлюзов, использованный в третьем подходе.

Управление функциональными блоками распределенного шлюза будет осуществляться контроллером шлюза - MGC (Media Gateway Controller) при помощи протокола MEGACO/H.248. В проекте версии 4 рекомендации Н.323 предусмотрена также возможность прозрачной передачи сигнализации ОКС7 и других видов сигнализации по сетям IP-телефонии и обработка сигнализации всех видов привратником без преобразования в сигнальные сообщения Н.225.0.

Приведенных в этой главе сведений отнюдь не достаточно для окончательных выводов относительно перспектив использования того или другого протокола IP-телефонии, хотя первое впечатление уже может сложиться. В следующих главах авторы постараются представить более глубокие сведения по данной тематике, однако обязуются не навязывать читателю какую-либо одну точку зрения, а дать ему все необходимое для того, чтобы он мог сам сделать надлежащие выводы.

1.5 Варианты систем IP-телефонии (сценарии)

Существуют три наиболее часто используемых сценария IP-телефонии:

- «компьютер-компьютер»;

- «компьютер-телефон»;

- «телефон-телефон».

Сценарий «компьютер-компьютер» реализуется на базе стандартных компьютеров, оснащенных средствами мультимедиа и подключенных к сети Интернет .

Компоненты модели IP-телефонии по сценарию «компьютер-компьютер» показаны на рисунке 1.14. В этом сценарии аналоговые речевые сигналы от микрофона абонента А преобразуются в цифровую форму с помощью аналого-цифрового преобразователя (АЦП), обычно при 8000 отсчетов/с, 8 битов/отсчет, в итоге - 64 Кбит/с.

Отсчеты речевых данных в цифровой форме затем сжимаются кодирующим устройством для сокращения нужной для их передачи полосы в отношении 4:1, 8:1 или 10:1. Алгоритмы сжатия речи подробно рассматриваются в следующей главе. Выходные данные после сжатия формируются в пакеты, к которым добавляются заголовки протоколов, после чего пакеты передаются через IP-сеть в систему IP-телефонии, обслуживающую абонента Б.

Когда пакеты принимаются системой абонента Б, заголовки протокола удаляются, а сжатые речевые данные поступают в устройство, развертывающее их в первоначальную форму, после чего речевые данные снова преобразуются в аналоговую форму с помощью цифро-аналогового преобразователя (ЦАП) и попадают в телефон абонента Б.

Для обычного соединения между двумя абонентами системы IP-телефонии на каждом конце одновременно реализуют как функции передачи, так и функции приема.

Под IP-сетью, изображенной на рисунке 1.14, подразумевается либо глобальная сеть Интернет, либо корпоративная сеть предприятия Intranet. Описанию протоколов, используемых в IP-сетях, в том числе протоколов передачи речевой информации по IP-сети.

Рисунок 1.14 Сценарий IP-телефонии "компьютер-компьютер"

Для поддержки сценария «компьютер - компьютер» поставщику услуг Интернет желательно иметь отдельный сервер (привратник), преобразующий имена пользователей в динамические адреса IP. Сам сценарий ориентирован на пользователя, которому сеть нужна, в основном, для передачи данных, а программное обеспечение IP-телефонии требуется лишь иногда для разговоров с коллегами.

Эффективное использование телефонной связи по сценарию «компьютер-компьютер» обычно связано с повышением продуктивности работы крупных компаний, например, при организации виртуальной презентации в корпоративной сети с возможностью не только видеть документы на Web-сервере, но и обсуждать их содержание с помощью IP-телефона.

Подобные документы

Рассмотрение особенностей разработки комплекса по автоматизации анализа попыток внешних проникновений и контроля локальных соединений для сервера телефонии. Общая характеристика протокола SSH, основные версии. Анализ обычной парольной аутентификации.

курсовая работа , добавлен 22.02.2013


Перспективы развития IP-телефонии (Интернет-телефонии). Сеть Интернет и протокол IP. История развития IP-телефонии. Преимущества использования IP-телефонии. Показатель качества IP-телефонии. Система расчетов за услуги IP-телефонии биллинга и менеджмента.

курсовая работа , добавлен 16.05.2008


Структура протокола TCP/IP. Взаимодействие систем коммутации каналов и пакетов. Характеристика сети с коммутацией пакетов. Услуги, предоставляемые ОАО "МГТС" с использованием сети с пакетной коммутацией. Расчет эффективности внедрения проектируемой сети.

дипломная работа , добавлен 22.05.2012


Основные понятия IP телефонии, строение сетей IP телефонии. Структура сети АГУ. Решения Cisco Systems для IP-телефонии. Маршрутизаторы Cisco Systems. Коммутатор серии Catalyst 2950. IP телефон. Настройка VPN сети. Способы и средства защиты информации.

дипломная работа , добавлен 10.09.2008


Зарождение концепции многоуровневой иерархической структуры сети телефонной связи. Электронная технология, позволившая перевести все средства телефонии на элементную базу. Развитие IР-телефонии, обеспечивающей передачу речи по сетям пакетной коммутации.

реферат , добавлен 06.12.2010


Использование IP-адреса в протоколе TCP/IP, его роль в организации подключения к сети Интернет. Понятие маски подсети. Данные, необходимые для настройки протокола TCP/IP. Механизм тестирования его конфигурации и соединения с сетями с помощью утилит.

презентация , добавлен 02.11.2014


Согласование различных сценариев IP-телефонии. Осуществление передачи голоса и видеоизображения с помощью IP-телефонии. Способы осуществления просмотра изображения, которое передается собеседнику. Размер звуковых буферов и задержка вызова абонента.

контрольная работа , добавлен 20.02.2011


Основы IP-телефонии: способы осуществления связи, преимущества и стандарты. Разработка схемы основного канала связи для организации IP-телефонии. Функции подвижного пункта управления. Разработка схемы резервного канала связи для организации IP-телефонии.

курсовая работа , добавлен 11.10.2013


Технология IP-телефонии и Wi-Fi. Необходимость внедрения мобильной офисной сети IP-телефонии, план ее проектирования. Настройка сервера Yeastar MyPBX 400 для подключения к оператору Зебра телеком. Расчет капитальных затрат и эксплуатационных расходов.

дипломная работа , добавлен 19.02.2013


История деятельности Московской городской телефонной сети. Структура протокола TCP/IP. Взаимодействие систем коммутации каналов и пакетов. Характеристика сети с коммутацией пакетов. Услуги перспективной сети, экономическая эффективность ее внедрения.

Практические аспекты защиты корпоративной сети IP-телефонии

С IP-телефонией, как и любой новой технологией, связано множество различных мифов, слухов и домыслов, мешающих ее повсеместному распространению. Многие из них касаются безопасности IP-телефонии. Апологеты традиционной телефонии утверждают, что коль скоро в технологии VoIP в качестве среды передачи используется протокол IP, то к ней применимы и все сетевые атаки, а следовательно, IP-среда для передачи голосового трафика не подходит. С одной стороны, они правы: атаки действительно возможны. Однако аналогичные атаки (прослушивание, фальсификация абонента и другие) применимы и к традиционной телефонии (см. врезку "Стоимость перехвата информации..."). Более того, в случае с традиционной телефонией реализовать эти атаки гораздо проще, а обнаружить и локализовать - намного сложнее. А по стоимости защиты обычные телефонные переговоры отличаются от более современной IP-телефонии на несколько порядков (в худшую сторону). Но, конечно же, чтобы новая технология позволила обмениваться звонками защищенным образом, ее необх одимо правильно внедрить и настроить.

Стоимость перехвата информации
Купить телефонный жучок, радиозакладку или иное устройство съема информации можно на любом радиорынке и даже в Интернет-магазине: нижняя ценовая планка 10-30 дол. (но без гарантии качества). В детективном агентстве такое устройство предложат в аренду за 20-50 дол. плюс залоговая стоимость жучка (хотя эта деятельность и является незаконной). А заказ "прослушки" профессионалам обойдется всего в 50-100 дол. в час. Еще одно удобство для злоумышленников представляет тот факт, что во многих случаях радиозакладки не требуют дополнительных источников питания и тем более их замены, так как "питаются" от самой телефонной линии. Да и сами телефонные линии представляют потенциальную угрозу, поскольку могут использоваться для прослушивания помещений, через которые проходят, за счет различных электромагнитных наводок и излучений.
Про каждый из стандартов и протоколов IP-телефонии (Н.323, SIP, MGCP, Skinny) можно написать не одну статью, но это не входит в задачи данной публикации. Описание механизмов защиты самих протоколов передачи голоса поверх IP (например, протокол Н.235 или SRTP), представляющих собой неотъемлемую часть голосовой инфраструктуры, также не является целью этого обзора. Если начать говорить об общих принципах работы IP-телефонии, то до темы ее защиты можно никогда не добраться. Таким образом, в данной статье будет описан ряд практических аспектов, связанных с защищенным использованием "последовательницы" традиционной телефонии.

Разделение сети на сегменты
Главное, что необходимо сделать при построении инфраструктуры IP-телефонии, - отделить ее от сегментов, в которых передаются обычные данные (файлы, электронная почта и т.д.). Это можно сделать как с помощью технологии виртуальных локальных сетей (VLAN), так и с помощью межсетевых экранов (МЭ). Первый вариант более эффективен и не требует никаких дополнительных инвестиций, так как механизм VLAN реализован в большинстве коммутаторов. Подобная сегментация позволит создать дополнительный рубеж, предупреждающи й прослушивание переговоров обычными пользователями.
Хорошей практикой является использование отдельного адресного пространства для сегментов IP-телефонии (например, из диапазонов, указанных в RFC 1918). Если сеть, передающая голос поверх протокола IP, имеет достаточно большие масштабы, то в ней не обойтись без динамической адресации по протоколу DHCP. В этом случае необходимо использовать два DHCP-сервера: один для голосовой сети, а второй для сети данных.

Фильтрация и контроль доступа
Голосовые шлюзы (Voice Gateway), подключенные к телефонной сети общего пользования (ТфОП), должны отвергать все протоколы IP-телефонии (Н.323, SIP и другие), приходящие из сегмента данных корпоративной сети. Зачастую поддержка протоколов IP-телефонии реализуется в маршрутизаторах с интеграцией сервисов (Integrated Services Router), что позволяет сэкономить на оборудовании, обеспечивая при этом поддержку самых современных технологий. В этом случае встроенный в маршрутизатор пакетный фильтр с контролем состояни я может отслеживать любые нарушения в голосовом обмене и, например, блокировать пакеты, которые не являются частью процедуры установления вызова. Помимо встроенных в компоненты IP-телефонии механизмов фильтрации и контроля доступа существуют и специальные решения, защищающие элементы голосовой инфраструктуры от возможных несанкционированных воздействий. К таким решениям относятся межсетевые экраны (МЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и специализированные пограничные контроллеры (Session Border Controller).

Выбор межсетевого экрана
Для защиты сети IP-телефонии подходит не всякий межсетевой экран - он должен удовлетворять ряду специфичных требований, присущих именно этой технологии передачи голоса. Например, протокол передачи голосовых данных RTP использует динамические UDP-порты, исчисляемые тысячами. Попытка разрешить их все на межсетевом экране приводит к открытию одной большой "дыры" в защите. Следовательно, межсетевой экран должен также динамически определять используемые для связи п орты, открывать их в начале телефонного разговора и закрывать по его окончании.
Вторая особенность заключается в том, что ряд протоколов, например SIP, помещает информацию об используемых параметрах соединения не в заголовок пакета, а в тело данных. Поэтому обычный пакетный фильтр, исследующий только адреса и порты получателя и отправителя, а также тип протокола, в данном случае будет абсолютно бесполезным. Межсетевой экран должен уметь анализировать не только заголовок, но и тело данных пакета, вычленяя из него всю необходимую для организации соединения информацию.

Прикладные шлюзы и пограничные контроллеры
Другая серьезная проблема, решение которой необходимо продумать до приобретения межсетевого экрана, - трансляция сетевых адресов (Network Address Translation, NAT). Коль скоро при установке вызова используются динамические порты, указанные в запросе на установление соединения между абонентами, то технология скрытия топологии сети путем трансляции адресов делает телефонные переговоры нево зможными. Решением проблемы является использование специальных прикладных шлюзов (ALG), выпускаемых в виде выделенных устройств или интегрированных в межсетевые экраны, "понимающие" протоколы с динамическими портами (например, SIP или RTCP). Некоторые производители выпускают только специализированные защитные шлюзы для обработки VoIP-трафика. Но при их выборе следует помнить, что в защите корпоративной сети все равно не обойтись без обычного МЭ, умеющего анализировать не только протоколы Н.323, SIP и MGCP, но и другие распространенные в сетях протоколы: HTTP, FTP, SMTP, SQL*Net и т.д.
Ряд производителей предлагают решение проблемы защиты путем использования специализированных пограничных контроллеров (SBC). По сути, эти устройства во многом аналогичны описанным выше прикладным шлюзам.

Защита от подмены
Динамическая адресация во многих элементах инфраструктуры IP-телефонии дает злоумышленникам большой простор для деятельности: они могут "выдать" свой IP-адрес за IP-телефон, сервер управления звонками и т.д. А значит, перед администратором сети возникает задача аутентификации всех участников телефонных переговоров. Для этого необходимо использовать различные стандартизированные протоколы, включая 802.lx, RADIUS, сертификаты PKI Х.509 и т.д. И, конечно, нельзя сбрасывать со счетов уже упомянутые выше правила контроля доступа на маршрутизаторах и МЭ, усложняющие злоумышленникам задачу подключения к голосовым сегментам.
Указанные методы позволяют эффективно бороться с "левыми" подключениями, в отличие от традиционной телефонии, где эта задача если и решается, то очень дорогостоящими средствами.

Шифрование
Шифрование - наиболее эффективный способ сохранить телефонные переговоры в тайне (см. врезку "Скремблеры и вокодеры..."). Однако такая функциональность влечет за собой ряд сложностей, которые необходимо обязательно учитывать при построении защищенной сети связи.

Скремблеры и вокодеры для защиты традиционной телефонии
Среди средств защиты особняком стоят вокодеры (voice coder) и скремблеры, которые осуществляют шифрование телефонных переговоров. Очевидно, что такие устройства должны быть установлены у всех участников защищенных переговоров. Механизм шифрования встраивается в телефон или поставляется в виде отдельного устройства. В первом случае абонентский терминал становится слишком дорогим (и приходится отказываться от многофункциональных и удобных телефонных аппаратов зарубежного производства), во втором - практически полностью отсутствует возможность масштабирования, и пользование телефоном становится крайне неудобным. Оснастить каждого абонента скремблером или вокодером - задача не из легких. При этом вопрос стоимости также не снимается: цена одного скремблера колеблется от 200 до 500 дол. Если прибавить сюда цену телефонного аппарата и стоимость установки защитных устройств, получатся поистине астрономические цифры. Так что такой способ защиты традиционной телефонии нельзя считать экономичным.
Одна из самых главных проблем - задержка, добавляемая процессом зашифр ования/расшифрования. В случае применения потокового шифрования задержка гораздо ниже, чем при использовании блочных шифров, но полностью от нее избавиться не удастся. Эта проблема решается путем использования более быстрых алгоритмов или включения механизмов QoS в модуль шифрования.
Еще одна трудность - накладные расходы, связанные с увеличением длины передаваемых пакетов. Для протокола IPSec размер добавляемого заголовка составляет около 40 байт, что достаточно много для 50-70-байтовых пакетов IP-телефонии. Впрочем, скорости современных сетей постоянно растут, и с течением времени эта проблема будет снята. А пока оптимальным решением обеих проблем является протокол SecureRTP (SRTP), принятый в качестве стандарта весной 2004г. (RFC 3711).

Защита от нарушения работоспособности
Несмотря на то что различные компоненты IP-телефонии потенциально подвержены атакам "отказ в обслуживании" (о сбоях в традиционной телефонии см. врезку "Перемаршрутизация звонков..."), существует целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать встроенные в сетевое оборудование механизмы обеспечения информационной безопасности, а также дополнительные решения:
разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в "голосовом" участке распространенных атак, в том числе и DoS;
применение специальных правил контроля доступа на маршрутизаторах и МЭ, защищающих периметр корпоративной сети и отдельные ее сегменты;
использование системы предотвращения атак на сервере управления звонками и ПК с голосовыми приложениями;
установку специализированных систем защиты от DoS- и DDoS-атак;
«применение специальных настроек на сетевом оборудовании, которые предотвращают подмену адреса, часто используемую при DoS-атаках, и ограничивают полосу пропускания, не позволяя вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

Перемаршрутизация звонков в традиционной телефонии
Еще од на угроза - перемаршрутизация звонков на другие телефонные номера, сброс собеседника с линии или "прорыв" сигнала "занято". Например, в 1989 г. хакерская группа The Legion of Doom получила контроль над телефонной сетью компании BellSouth, включая возможность прослушивания телефонных каналов связи, перемаршрутизацию вызовов, маскировку под технический персонал станции и даже вывод из строя системы экстренной связи 911. Для расследования этого инцидента были приглашены 42 эксперта, а затраты BellSouth на их работу составили 1,5 млн дол. И это не считая потери репутации и других трудно вычисляемых потерь.

Управление
Для удаленного управления использование защищенных протоколов доступа (например, SSH) является обязательным (в данном случае шифрование вносит гораздо меньше задержек, чем при шифровании голосовых данных). Если же доступ к какому-либо компоненту сети IP-телефонии осуществляется по обычному протоколу (например, по HTTP), то непременным условием такого доступа должно быть применение протоко ла IPSec или SSL. В противном случае любой злоумышленник сможет не только перехватывать все данные с незащищенным элементом, но и подменять их.
Если требование криптографии вступает в конфликт с производительностью, то шифрованием на IP-телефонах или голосовых приложениях на ПК можно пренебречь. Если, конечно, к сети не применяются законодательные требования защиты всей конфиденциальной информации (включая и телефонные разговоры). Например, такое требование для всех федеральных структур США прописано в секции 5131 американского закона Information Technology Management Reform Act of 1996.
При отказе от скрытия голосового трафика его необходимо в обязательном порядке отделить от всех остальных типов передаваемых данных с помощью VLAN. При этом передача голоса между офисами должна быть защищена с помощью криптографических преобразований. Для этих целей можно задействовать встроенный в маршрутизаторы механизм IPSec VPN или установить отдельные шифраторы, сертифицированные в ФСБ России.

Организационные вопросы
Основная проблема безопасности IP-телефонии - не динамически открываемые порты на межсетевом экране, не NAT и не снижение качества голоса в результате шифрования. Все эти вопросы давно и эффективно решаются. Главная беда - "в головах", как говорил профессор Преображенский в "Собачьем сердце", а точнее, в недооценке существующих рисков и в непонимании новых технологий. Например, во многих организациях и компаниях существует классификатор конфиденциальной информации, обрабатываемой в автоматизированной системе. Но только в немногих организациях классифицируются еще и голосовые данные, передаваемые в рамках инфраструктуры IP-телефонии. А между тем информация, не включенная в такой классификатор, находится вне зоны внимания службы информационной безопасности и оказывается совершенно не защищенной.

Заключение
В опубликованном годовом отчете IBM "Security Threats and Attack Trends Report" приведен анализ основных угроз года прошедшего и дается прогноз на 2005 г. По мнению экспертов IBM, увеличение числа сетей IP-телефонии приведет к росту угроз для их существования и бесперебойного функционирования. Поэтому обеспокоиться защитой внедряемой или уже внедренной инфраструктуры IP-телефонии необходимо именно сейчас, чтобы позже не "кусать себе локти". И это не так трудно, как кажется на первый взгляд. Существуют технологии, значительно повышающие защищенность VoIP, и они давно известны специалистам по информационной безопасности. Более того, эти технологии зачастую уже внедрены в компоненты, применяемые в построении среды передачи голоса поверх протокола IP. А значит, надо просто воспользоваться ими.

По материалам ИА "Daily Sec".