Вы находитесь в разделе Типовых решений систем безопасности
VoIP: в поисках безопасного решения
Незащищенная VoIP-сеть таит в себе следующие потенциальные проблемы:
В случае подключения корпоративной сети к Интернету без использования брандмауэра не может быть и речи о защищенности сетевой инфраструктуры компании. При подключении к локальной сети (LAN) через брандмауэр всем компьютерам внутри LAN раздаются адреса, специально выделенные для сетей без доступа в Интернет, а на программном или аппаратном маршрутизаторе соединения от компьютеров с внутренними адресами транслируются в фиктивные соединения с компьютером, имеющим реальный общий IP-адрес. Альтернативные решения (например, технология Traversal, которая позволяет трафику VoIP проходить через брандмауэр или пограничные контроллеры сессий) могут быть ограничены в своей эффективности. Большинство компаний и организаций уже имеют в своих сетях брандмауэр, обеспечивающий защиту LAN, и организуют соединение распределенных объектов и пользователей с помощью технологии создания виртуальных частных сетей VPN. Современные сетевые архитектуры хорошо работают в VoIP-средах различных поставщиков. но все так же имеются первопричины, по которым брандмауэры зачастую не оправдывают ожиданий в области функционирования технологии VoIP. Прежде всего брандмауэр должен "понимать" VoIP-протоколы, которым необходимо обеспечить защиту. В настоящее время лишь немногие производители предлагают на рынке программы поиска вирусов и предотвращения вторжения, и другие сервисы по обеспечению защиты VoIP-трафика. VoIP охватывает большое количество комплексных стандартов, поэтому при реализации данной технологии часто можно столкнуться с программными проблемами. Без принятия должных мер безопасности VoIP-решения могут стать весьма уязвимыми для хакерских атак. Например, нарушитель может перехватить звонок и изменить его параметры/адрес, что дает ему принцип. возможность искажения передаваемой информации, хищения персональных данных, перенаправления вызовов и др. Нарушители способны перехватывать разговоры, которые передаются по сети, даже без модификации VoIP-пакетов. Простая атака "отказ в обслуживании" (denial-of-service attack), направленная на ключевые точки доступа незащищенной сети, может разорвать или, хуже, исказить передачу голосовых сообщений и данных. Кроме того, есть проблема интероперабельности (эксплуатационная совместимость) и поддержки протокола при внедрении VoIP в существующую инфраструктуру сетевой безопасности. По причине возрастающей сложности систем пакетной передачи речевого сигнала по протоколу IP пакетам VoIP сложно проходить через многие типы брандмауэров. Последним приходится обрабатывать протоколы передачи сигналов, составляющих сообщения разных форматов, используемых различными системами. Даже если два производителя используют один и тот же комплект протоколов, это так же не означает, что те будут совместимы друг с другом. Для создания безопасной сетевой инфраструктуры брандмауэр также должен взаимодействовать со всеми устройствами VoIP (IP-телефоны, видеофоны, устройства видеокон-ференц-связи, серверы-посредники SIP и контроллеры зоны H.323). До недавнего времени у пользователя была принцип. возможность либо предпочесть совместимость в ущерб вопросам безопасности, либо выбрать безопасность в ущерб совместимости. Подобный выбор в большинстве случаев является неприемлемым вариантом, что стало мощным стимулом для развития всеобщих стандартов технологии VoIP. Кроме того, при реализации VoIP-проектов на крупных объектах зачастую требуется изолировать трафик, например тех или иных департаментов, чтобы конфиденциальные данные (включая голосовые) передавались изолированными потоками. Так, скажем, в больницах или отелях данные административного или финансового характера, личные сведения о пациентах/постояльцах и другая информация должны передаваться изолировано друг от друга, и иметь защиту от внешних сетевых атак. при построении VoIP-систем потребитель стремится добиться простоты управления при администрировании и обеспечении безопасности голосовой сети, или VLAN, и получить гибкие возможности по изоляции, фильтрации и управлению информацией, передаваемой по сетям. По материалам журнала Читайте далее: Пуленепробиваемые машины -ходовой товар в Китае Рынок систем видеоанализа наращивает обороты СКУД на основе ID: единый организм Страда для системных интеграторов Теплее, ещё теплее ТСО: оптимизация затрат на безопасность Выставка "Безопасность в городе" в рамках ISC West'2006 Зарубежный рынок безопасности через призму ASIS'2006 Знакомство с клиентами
|