С развитием цифровых технологий информация стала ценнейшим активом. И потому крайне важно уметь защищать ее от злоумышленников. В бизнесе любого профиля очень значимы коммуникации по телефону, а с увеличением популярности IP-телефонии растет и потребность в безопасности информационных систем. Уметь разобраться в основных угрозах для сетей IP-телефонии и способах их предотвращения — важнейшая задача для тех, кто хочет сохранить репутацию компании и уберечь ее от финансовых убытков. Поговорим о том:
- какие угрозы для IP телефонии существуют,
- какие нарушения для IP сетей встречаются чаще всего,
- как провайдеры телефонной связи поддерживают ее безопасность.
Виды уязвимостей для IP телефонии
Разберем основные технические уязвимости, которые могут грозить нарушением безопасности IP телефонии.
Недостаточно изученная сетевая архитектура
Если поставщик услуг связи не уделяет должного внимания проектированию телефонной сети, это создает серьезные уязвимости для безопасности связи. Например, хакеры нередко находят способы взлома провайдеров через уязвимости в работе межсетевых экранов. Если дополнительные порты не соответствуют стандартам VoIP, экраны после передачи голосовых сообщений остаются открытыми.
Уязвимости в шлюзах и другом оборудовании
Злоумышленник, подключаясь через удаленный доступ либо локально к телефонной станции (АТС), способен перехватывать данные, получать через шлюзы доступ к личным данным абонентов, настройкам сети и отдельных сеансов. Дальше полученную информацию могут опубликовать в открытых либо закрытых источниках с целью вымогательства. Подобное может привести к серьезным финансовым потерям компаний и угрозам для отдельных сотрудников.
Основные нарушения безопасности IP-сетей
Перечислим наиболее часто встречающиеся угрозы безопасности для телефонии со стороны злоумышленников.
Снижение безопасности данных
Одно из самых распространенных и опасных нарушений в сетях IP-телефонии — возможность перехвата данных и манипулирования ими. В отличие от традиционных систем телефонной связи, здесь нарушителям не требуется прямой доступ к носителям. Перехваченные данные либо голосовой поток подвержены риску изменения перед передачей, а прослушивание извне обнаружить достаточно сложно. Поэтому незашифрованный голосовой трафик может быть уязвим.
Подделка либо взлом пользовательской информации
Пренебрежение механизмами авторизации в IP-телефонии либо их недостаточная сложность дают мошенникам шанс на несанкционированный доступ к телефонной связи путем подмены пользовательской информации. Такие атаки могут осуществляться через взлом пользовательских учетных записей. Это делается путем перебора либо прослушивания и может привести к неконтролируемому росту затрат на связь. В итоге бизнес полностью лишается выгоды от IP-телефонии. Кроме того, любую уязвимость легко использовать для прослушивания и записи разговоров. В таких случаях велик риск злоупотребления полученной информацией, в том числе — составляющей коммерческую или даже государственную тайну.
DоS и DDoS-атаки
Еще одна разновидность информационных атак в IP-сетях — DoS (отказ в обслуживании). Так называется внешняя атака путем создания избыточного количества звонков для превышения предельной нагрузки на сеть (если она проводится с нескольких устройств, это называется DDoS-атакой). Cерверы IP-телефонии перегружаются, обслуживать абонентов становится невозможно. Чтобы этого не происходило, необходимо проводить постоянный мониторинг и применять активные меры для предотвращения таких атак.
Защита IP-телефонии со стороны провайдеров
При разработке любой сети телекоммуникаций критически важно осознавать, что отдельное техническое решение в области безопасности вряд ли может обеспечить абсолютную защиту системы от хакеров. Тем не менее, можно обозначить главные критерии безопасности IP-телефонии, проанализировав способы работы злоумышленников:
- конфиденциальность — обеспечение защиты доступа к трафику IP-телефонии, чтобы избежать кражи либо модификации личной информации, прослушивания и перехвата отдельных звонков;
- целостность — предотвращение несанкционированных вторжений с гарантией доступа только для авторизованных программ или пользователей;
- доступность — бесперебойную работу в условиях атак типа DoS и DDoS, вредоносного программного обеспечения и прочих угроз.
Теперь разберем подробно, что может сделать провайдер для безопасности телефонной связи.
Настройка сервера телефонии
Один из важнейших аспектов безопасности телефонной связи — правильная настройка сервера. Есть несколько классических методов защиты сервера от возможных атак:
- использование сложных паролей, которые почти невозможно подобрать перебором, защищает от несанкционированного доступа;
- отключение возможности гостевых звонков минимизирует риски несанкционированных вызовов;
- избегание сообщений о неверном пароле при вводе данных обеспечивает безопасность от возможных атак брутфорса;
- блокировка доступа после нескольких неудачных попыток входа позволяет защитить сервер от возможного взлома;
- установленное ограничение направлений для звонков снижает риск несанкционированных вызовов в другие страны;
- систематические проверки системы и контроль основных настроек позволяют оперативно обнаруживать и предотвращать возможные атаки или сбои;
- использование межсетевых экранов помогает тщательнее фильтровать трафик.
Для чего нужны межсетевые экраны?
Чтобы выпускать трафик к SIP-провайдеру, а затем фильтровать входящие данные по нужному протоколу, используются межсетевые экраны. Лучше всего при работе такого экрана отключать на нем все сетевые порты для телефонной связи и оставить только необходимые для бесперебойной работы и управления. Тот же подход рекомендуется использовать и на IP-сервере для предотвращения атак внутри системы.
В норме доступ к серверу IP-телефонии извне должен осуществляться только через определенные служебные порты. Для безопасности при подключении к ним необходимо использовать шифрование.
Защита коммуникаций
Чтобы обеспечить безопасность и приватность разговоров по телефону, а заодно свести к минимуму риск утечки секретной информации, важно защищать любые данные, которые находятся в открытом доступе.
Так как клиент и сервер совершают обмен служебной информацией перед совершением звонка, эту проблему можно разделить на две. Необходимо защищать как голосовой трафик, так и служебные данные.
Для конфиденциальности SIP-сигналов используется TLS-протокол, для шифрования трафика — SRTP-протокол.
TLS-протокол защищает передачу информации от узла к узлу внутри сети. Он обеспечивает аутентификацию данных, отвечает за их конфиденциальность и целостность и конфиденциальность.
Как только защищенное соединение установлено, происходит передача данных телефонных звонков. Они защищаются протоколом SRTP. Он не влияет на итоговое качество телефонной связи, зато присваивает звонкам уникальные номера. Это сводит к минимуму риск прослушивания. Именно поэтому SRTP-протокол подходит как для стандартных телефонных звонков, так и при повышенных требованиях к конфиденциальности.
Использование VPN
При потребности в защите системы цифровой IP-телефонии с заведомо высокими требованиями к информационной безопасности можно использовать виртуальные приватные сети (VPN) и подключать к ним пользователей удаленно. Данные, передаваемые по зашифрованным VPN-туннелям, доступны только обладателям ключей шифрования. Такой подход очень удобен для защиты подключений по телефону.
У VPN есть существенные недостатки, которые ограничивают их работу:
- возможные перебои связи, вызванные задержками в передаче зашифрованной информации;
- увеличение нагрузки на систему, так как без шифрования не обойтись;
- более сложная структура сети.
Несмотря на все недостатки, использование описанных защитных мер сводит к минимуму риск несанкционированного доступа к серверу и сокращает ущерб в случае любых хакерских атак.
Учтите: никакие защитные меры не дают гарантии абсолютной безопасности. Все они могут только отчасти решить проблему и защитить системы телекоммуникаций. Системному администратору все равно приходится полностью анализировать сетевую инфраструктуру, выявлять требуемый уровень защиты, учитывать как безопасность внутри системы, так и доступность внешних каналов связи.
Компания МТТ предлагает собственную разработку для поддержания безопасности IP-телефонии. Все данные передаются через свой VPN по защищенным каналам. Безопасность телефонных переговоров обеспечивается за счет механизмов на базе Cisco или Crypto.
В стандартный пакет услуг по телефонной безопасности включены телефонный шлюз и устройство для безопасности канала связи. Такой набор легко применить везде, где есть подключение к интернету, что делает его удобным и в офисе, и на удаленке в любой точке планеты. Доступ к IP сети не зависит от города регистрации телефонных номеров, вся передача данных идет по защищенным каналам без выхода во внешнюю сеть.
Информация о стоимости стандартных тарифов МТТ на услуги IP телефонии доступна на странице «Тарифы».
