Погоня за дешевизной - один из основных двигателей технического прогресса. Отнести это утверждение можно, пожалуй, ко всем без исключения сферам деятельности человека, а что касается информационных технологий, то наиболее яркий пример - передача голоса с помощью протокола TCP/IP, то есть Voice over IP.

У данной технологии есть несколько названий: IP-телефония, интернет-телефония и, наконец, Voice over IP (VoIP). Последнее - самое привычное на сегодняшний день, и, как следует из вольного перевода, VoIP представляет собой способ передачи голоса посредством сети Интернет.

Классическая проводная телефония всем хороша, но для ее успешной работы необходима довольно громоздкая инфраструктура. А при наличии такого универсального и гибкого транспорта, как Интернет, было бы просто удивительно, если бы интернет-телефония никогда не появилась.

Широкое распространение VoIP существенно сдерживается вопросами безопасности при обмене информации, но для того, чтобы осветить эту проблему, следует напомнить основные принципы работы технологии VoIP.

В действительности VoIP используется не только для передачи голоса, но и для таких типов информации, как факс и мультимедиа. Технология, появившаяся на свет в 1995 году, обрела значительную популярность именно благодаря универсальности и дешевизне предоставляемых услуг. Однако вначале VoIP представлялась скорее занятной новинкой, ее практическая ценность вызывала большие сомнения ввиду частой несовместимости аппаратуры и программного обеспечения от различных производителей - в результате для полноценной связи пользователь и те, с кем он желал общаться, вынуждены были использовать одни и те же средства. Кроме того, одним из серьезных препятствий, которые требовалось преодолеть, стал сам принцип организации сети Интернет - пакеты данных движутся по произвольным маршрутам, поэтому, при доставке пакетов в пункт назначения могут образоваться значительные временные «провалы» между отдельными пакетами, и при сборке пакетов на пункте приема в поток данных неизбежно появляются временные задержки. Таким образом, качество такого способа связи оставляло желать лучшего.

Для устранения «детских болезней» специалистам понадобился год. В 1996 году группа из 40 ведущих производителей образовала форум VоIP, цель которого состояла в обеспечении взаимодействия продуктов IP-телефонии. Решение проблемы шло в нескольких направлениях: во-первых, были усовершенствованы алгоритмы голосового сжатия - введены различные защиты против выпадения фрагментов потока и потенциальных задержек. Особое внимание уделялось таким особенностям речевого потока, как паузы между словами и человеческое дыхание - за счет модернизации кодеков (программ компрессии-декомпрессии) эти составляющие удалось существенно сжать, что значительно уменьшило количество пакетов, подлежащих переправке через Интернет. На самом деле задержки в доставке пакетов полностью искоренить не удалось до сих пор. Но здесь, скорее, имеет место разумный подход к вопросу: опытным путем установлено, что человек не замечает задержек, если они не превышают четверти секунды, и в самом худшем случае разговор напоминает по качеству спутниковую связь - а это вполне приемлемо.

До недавнего времени сети с коммутацией каналов (телефонные сети) и сети с коммутацией пакетов (IP-сети) существовали практически независимо друг от друга и использовались для различных целей. Телефонные сети предназначались только для передачи голосовой информации, а IP-сети - для передачи данных. Технология IP-телефонии объединяет эти сети посредством устройства, называемого «шлюз», или gateway. Шлюз представляет собой устройство, в которое с одной стороны включаются телефонные линии, а с другой - IP-сеть.

Попытаемся уяснить механизм работы IP-телефонии. Для этого надо четко определить некоторые стандарты и протоколы, использующеся в данном виде связи и способные в силу своей природы представлять опасность в плане конфиденциальности и целостности информации.

RSVP

Наиболее важной характеристикой канала является его пропускная способность. Для исключения задержек и различных артефактов желательно, чтобы пропускная способность была как можно выше (причем это утверждение относится не только к VoIP), а также над ней должен быть установлен полный контроль.

Один из подходов состоит в реализации таких протоколов, как RSVP (Resource Reservation Protocol), резервирующий определенную долю пропускной способности для некоторых приложений. В случае IP-телефонии RSVP служит для обеспечения необходимой речевому трафику пропускной способности. Поддержку RSVP включили в свои продукты все ведущие поставщики сетевых маршрутизаторов, а Microsoft реализовала его в своем браузере Internet Explorer, что должно воодушевить разработчиков ПО на создание приложений, обладающих преимуществами этого протокола. Такое приложение может запросить определенное качество обслуживания, послав на хост-машину сообщения о резервировании части полосы пропускания по протоколу RSVP. Поскольку RSVP не является протоколом маршрутизации, программы, реализующие его, должны использовать локальные протоколы маршрутизации для взаимодействия с маршрутизаторами.

Итак, протокол RSVP предполагает выделение маршрутизаторами и коммутаторами на всех узлах маршрута определенной части полосы пропускания только на передачу голоса. Следовательно, в ответ на запрос вызывающего абонента в глобальной сети создается виртуальный канал необходимой пропускной способности только для передачи голосового трафика, а прочие IP-пакеты не пропускаются в выделенную часть диапазона. Данный механизм позволяет значительно увеличить уровень обслуживания и минимизировать задержки в передаче речи до качества коммерческого уровня, однако в глобальных сетях, построенных на маршрутизаторах разных типов и принадлежащих различным владельцам, он не всегда применим. Ведь на каждом узле маршрутизатор должен быть предварительно сконфигурирован для поддержки такой функции, как образование RSVP-туннеля, что влечет за собой определенные трудности - финансовые (пользователи вынуждены доплачивать за эксплуатацию RSVP), юридические (если сеть проходит через разные страны, то отдельные ее части могут оказаться вне зоны контроля оператора услуг связи), психологические (отказ или нежелание системных администраторов конфигурировать RSVP на подконтрольном им узле маршрута) и т. д. В целом RSVP можно оценить как весьма эффективное средство для повышения качества голоса в IP-сетях, но в то же время достаточно сложное и трудоемкое для внедрения в WAN.

UDP

Если имеется высокопроизводительная сеть с хорошей пропускной способностью, можно организовать работу таким образом, чтобы отправлять избыточные голосовые пакеты для компенсации утерянных или испорченных при передаче. Однако это никак не вяжется с задачей IP-телефонии по сокращению голосового трафика с 64 до 10 кбит/с. Если начать передавать несколько копий пакетов по сети, то экономия пропускной способности при передаче IP-вызова сходит на нет.

Более рациональный подход к использованию пропускной способности состоит в повышении приоритета голосового трафика. Один из способов сделать это - передавать голосовой трафик по UDP (User Datagram Protocol), а не по TCP (Transmission Control Protocol), который нумерует пакеты в порядке их отправки и ожидает, что принимающий узел подтвердит получение каждого из них. Такие накладные расходы на обработку оправданы при передаче данных (ввиду необходимости сохранения их целостности), но при транспортировке речи они могут вызвать отрицательный эффект. UDP не предусматривает подтверждения получения каждого пакета, поэтому больше подходит, например, для передачи голоса в реальном времени.

Поэтому неудивительно, что в качестве основного транспортного средства предпочтителен протокол UDP, портам UDP и приписываются речевые пакеты на маршрутизаторе. Трафик UDP традиционно рассматривается как имеющий более высокий приоритет, а конфигурация маршрутизаторов не представляет каких-либо трудностей, поскольку они, как правило, поддерживают этот протокол. Так же как и TCP, UDP передает пакеты по очереди, а значит, потерю пакетов при передаче обнаружить очень просто.

RTP

Протокол Real Time Protocol (RTP) предназначен для работы поверх протокола (UDP), который проявился на первых стадиях развития Интернета. Он улучшает качество работы приложений в реальном времени за счет коррекции ошибок передачи, восстанавливая информацию при потере небольшого объема данных, а также управляет протоколом и синхронизирует процесс передачи данных между отправителем и получателем. RTP потенциально может найти широкое применение в доставке аудио- и видеоинформации, в системах видео-конференц-связи и других мультимедийных приложениях.

H.323

В настоящее время шлюзы и клиентское программное обеспечение в основном являются нестандартными. Если оба компонента не представлены одной компанией, то, скорее всего, использование IP-телефонии для звонка другому абоненту невозможно. И тогда на помощь приходит стандарт Н.323, определяющий передачу видео и аудио по сетям с негарантированным качеством услуг, таким как Ethernet и IP. Н.323 описывает несколько элементов, в том числе аудио- и видеокодеки (кодеры/декодеры), коммуникационные протоколы и синхронизацию пакетов. Первоначально данный стандарт разрабатывался для рынка видеоконференций в качестве альтернативы сеансов по ISDN, но теперь сообщество IP-телефонии адаптировало стандарт для собственных нужд. Из-за того, что Н.323 разрабатывался как стандарт для видеоконференций, далеко не всякий шлюз и клиент IP-телефонии поддерживает его. Тем не менее ситуация постепенно меняется, так как число производителей, высказывающихся в пользу стандартов и работающих над их оптимизацией для IP-телефонии, неуклонно растет.

QOS

Наиболее часто для дифференции пакетного трафика используется термин «качество услуг» (Quality of Seryice, QOS). Типичные параметры QOS - процент потерянных кадров или ячеек, задержка трафика и вариативность задержки. В маршрутизируемых сетях качество услуг обеспечивается, как правило, за счет манипуляции выходными очередями в зависимости от адресной информации, типа протокола, номера порта и других факторов.

APPN

Некоторые сетевые протоколы, прежде всего APPN (Advanced Peer-to-Peer Networking) и SNA, предусматривают поле класса услуг в каждом пакете. Вообще, IP имеет редко используемое поле типа сервиса (Type of Service, TOS), и в принципе оно может применяться, чтобы задать приоритет того или иного типа трафика.

Рассмотрим процесс осуществления речевого диалога между абонентами IP-телефонии. Имеем три стадии:

• соединение пользователей;
• обмен информацией;
• разъединение абонентов.

В первой и третье фазе происходит обмен только служебными данными, во второй - как служебными, так и непосредственно голосовыми. Транспорт (в нашем случае - сеть Интернет), несмотря на некоторую анархию, вызванную огромным количеством разнообразных технологий и оборудования, можно описать следующими категориями:

• действительной пропускной способностью, определяемой наиболее «узким местом» в виртуальном канале в данный момент времени;
• трафиком, также являющимся функцией времени;
• задержкой пакетов, что определяется трафиком, числом активного сетевого оборудования (маршрутизаторов), реальными физическими свойствами каналов передачи информации, образующими в данный момент времени виртуальный канал, задержками на обработку сигналов, возникающими в механизмах компрессии-декомпрессии и других устройствах шлюзов - все это также обеспечивает зависимость задержки от времени;
• потерей пакетов, обусловленной наличием «узких мест», очередями;
• перестановкой пакетов, пришедших разными путями.

Безопасно ли?

Дотошные американские ученые из Национального института стандартов и технологий провели исследование потенциальных уязвимостей VoIP. Как выяснилось, обеспечение достаточного уровня безопасности представляет собой нетривиальную задачу, что, естественно, не лучшим образом сказывается на сложности и стоимости всего комплекса мероприятий. Несмотря на это, около 52% американских компаний уже развернули соответствующие комплексы для использования VoIP, 46% собираются внедрить этот метод связи в ближайшее время, и лишь 2% заявили о своем нежелании связываться с интернет-телефонией. Особый энтузиазм по поводу использования голосовой связи при помощи Интернета проявляют американские военные, планируя применять подобные технологии в боевых действиях, но упомянутый отчет исследователей предупреждает о большом риске несанкционированного доступа к средствам связи - и на аппаратном, и на программном уровне.

Хотя сегодня и наблюдается огромный рост популярности VoIP, две трети пользователей этой технологии сомневаются, что голосовая связь посредством Интернета способна полностью вытеснить классическую телефонию. Интересно следующее: подобные сомнения связаны отнюдь не с безопасностью (о которой вообще задумывается лишь 25% абонентов), а с качеством передачи голоса.

Как любая новинка, еще не получившая должной популярности на мировом уровне, VoIP пока не стала объектом внимания хакеров и прочих «антисоциальных элементов», но это, несомненно, произойдет в самое ближайшее время. Это понимают и специалисты в области интернет-телефонии, сформировавшие рабочую группу VoIP Security Alliance, цель которой - оценка рисков при передаче голоса с помощью компьютерных сетей.

На основе заключений VoIP Security Alliance определим схему безопасности, применимую к технологиям интернет-телефонии. Являясь программно-аппаратным образованием, VoIP подразумевает безопасность на логическом и физическом уровнях.

Логическая безопасность

Логическая безопасность устанавливает жесткие требования к программным компонентам VoIP-структуры, для того чтобы убедиться: конечный пользователь авторизован, имеет аутентификацию и корректные права доступа для использования затребованной функциональности. Кроме того, обязательным условием является строгое журналирование всех действий пользователя с учетом точного хронометража. На этапе сеанса связи логическая безопасность призвана предотвратить несанкционированное изменение информации на участке между отдельными программными компонентами, а также доступ к ней неавторизованных пользователей.

• Пользовательская безопасность - гарантирует доступ авторизованных сетевых пользователей к необходимым функциональным элементам.
• Безопасность сессии - информация на пути от одного программного компонента системы к другому не подвергается доступу неавторизованных пользователей.

Физическая безопасность

Безопасность на физическом уровне имеет гораздо более широкие рамки, поэтому определим лишь общие требования:

• Платформенная безопасность - защита аппаратных элементов VoIP-структуры от внешних атак.
• Транспортная безопасность - основная задача: убедиться, что трафик между элементами VoIP-сети остался цельным и не был изменен с учетом требований логической безопасности.
• Безопасность периметра - упреждение несанкционированного доступа к сети, внутри которой расположены локальные элементы структуры VoIP.

Развертывание услуг VoIP должно выполняться с учетом гарантий защиты пользовательских данных от несанкционированного доступа, разрушения или опубликования. Это означает, что элементы VoIP-сети не используются для доступа к личной информации (кроме ограничений, налагаемых текущими политиками безопасности компании).

Помимо «взлома» VoIP и несанкционированного доступа эксперты называют еще одну наиболее реальную проблему - VoIP-спам. В наше время почтовый спам достиг немыслимых масштабов, и если подобное произойдет и с технологиями передачи голоса по компьютерным сетям, на VoIP можно будет поставить крест - как в связи с элементарной невозможностью эффективного использования самой технологии, так и ввиду взрывного роста паразитного трафика, способного парализовать работу VoIP.

Методы защиты

Нерадостную картину безопасности VoIP несколько «осветляют» проверенные методы защиты, а также использование адаптированные к нуждам интернет-телефонии разработки в сфере сетевой безопасности. Множество алгоритмов защиты могут быть реализованы как на програмном уровне (различные специализированные приложения, проверенные годами и с успехом работающие на «боевых» серверах с доступом к Интернету), так и в виде аппаратных средств. На самом деле, сегодня в индустрии сетей уже трудно определить грань функциональности между аппаратными и программными возможностями, поэтому отметим принципиальные подходы, подлежащие реализации при помощи упомянутых двух подходов.

• Использование защищенных туннелей VPN.
• Фильтрация и передача управляющего трафика сквозь механизмы Network Address Translation и защищенные туннели.
• Слежение на уровне протокола TCP с целью подтверждения завершения открытых сессий (этот механизм необходим для упреждения атак типа DoS).
• Шифрование управляющего трафика.
• Защита портов - выражается в ограничении числа сетевых устройств с различными MAC-адресами, подключаемых к одному порту.
• Ограничение полосы пропускания трафика - также с целью противостояния DoS-атакам.
• Механизмы предотвращения атак, заключающихся в захвате всего пула IP-адресов, раздаваемых серверами DHCP.
• Предотвращение искажений ARP-таблицы и подмены MAC-адресов.
• Запрет любых действий с анонимных IP-адресов (включая трафик с анонимных прокси-серверов).
• Жесткие списки доступа адресов, которые подлежат VoIP-обслуживанию (это могут быть как IP-, так и MAC-адреса).
• Защита переполнения буферов сервера доступа VoIP.
• Защита стека TCP от атак типа syn flood.
• Упреждение сканирования портов на предмет обнаружения запущенных сетевых процессов с целью задействования известных эксплойтов.

Любой администратор UNIX-сервера не найдет в этом списке ничего принципиально нового - механизмы как защит, так и атак стары как мир, извечное противостояние лишь перешло в очередную фазу.

Заключение

Детище современных сетевых технологий и классической телефонии - технология VoIP, вобрала и примущества, и недостатки «родителей». К типичным проблемам проводной телефонии (качество связи) добавились проблемы сетевой безопасности, при достойном преодолении которых можно ожидать настоящего бума.

В качестве позитивного примера роста популярности подобных разработок назовем программу Skype, уже завоевавшую немало поклонников во всем мире. На сегодня зарегистрированных атак на Skype-соединения еще не было, ведь весь голосовой трафик зашифрован.

Комментарий эксперта. Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco Systems

Проблема защиты IP-телефонии актуальна не только в России, но и в мире, учитывая рост интереса компаний и операторов связи к этой технологии. Однако передача голоса по обычной IP-сети приводит к тому, что злоумышленники могут использовать обычный анализатор протоколов для перехвата и декодирования трафика. Созданы даже специальные утилиты (например, VOMIT), облегчающие эту задачу. Другая проблема связана с атаками типа DoS на компоненты инфраструктуры IP-телефонии, приводящие к невозможности совершать звонки, их тарифицировать. IP-телефония подвержена и другим напастям: эпидемиям вредоносных программ, взломам узлов, отвечающих за обработку вызовов, мошенничеству. Но эти угрозы не являются прерогативой только IP-телефонии.

Компания Cisco предлагает как отдельные, так и интегрируемые в сетевую инфораструктуру защитные механизмы и средства. Во-первых, это механизм сегментации и отделения голосового трафика и от обычных данных, достигаемый за счет использования VLAN или межсетевого экрана. Во-вторых, весь головой трафик, а также протоколы сигнализации защищается с помощью механизмов шифрования, аутентификации и контроля целостности. Узел обработки вызовов (CallManager) защищен от возможных воздействий вирусов, атак. Это сделано не только путем использования специального защищенного дистрибутива ОС, но и персональной системой предотвращения атак Cisco Security Agent. Эффективная защита голосового трафика, уходящего за пределы корпоративной сети, обеспечивается с помощью межсетевого экрана Cisco Pix, который поддерживает весь спектр протоколов IP-телефонии. Защита от подмены телефонов обеспечивается цифровыми сертификатами X.509v3 и протоколом TLS. Сам IP-телефон защищается от несанкционированного доступа, реконфигурации, подмены ПО.