В сети IP-телефонии реализация функций СОРМ может быть выполнена различными способами. В том случае, когда вызывающий абонент включен в телефонную сеть общего пользования (например, сценарии 2 и 3 проекта TIPHON), то функции СОРМ реализуются существующими средствами на телефонных станциях.

При включении исходящих терминалов (например, терминалов Н.323 на базе персо­нальных компьютеров) непосредственно в IP-сеть вопросы реализации функций СОРМ должны решаться в оборудовании доступа сети с пакетной коммутацией (серверы доступа, маршрутизаторы, коммутаторы и др.).

Операции, связанные с шифрованием данных, могут чрезмерно загружать ЦП и снижать производительность брандмауэра. В случае интегриро­ванных продуктов VPN и брандмау­эра оба они могут оказаться не луч­шими в своем классе.

VPN на базе маршрутиза­тора или ком­мутатора

Интегральные сети VPN могут не по­требовать дополнительных расходов на приобретение. Упрощение админи­стрирования VPN.

Функционирование VPN может от­рицательно повлиять на другой тра­фик.

VPN на базе автономного программного обеспечения

Завершение VPN нередко представля­ет собой сложную задачу. При повы­шении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизиро­вать. Старые аппаратные средства мо­гут послужить для решения новых задач.

Администрирование VPN может по­требовать отдельного приложения, возможно, выделенного каталога.

VPN на базе аппаратных средств

Многофункциональные устройства облегчают конфигурацию и обслужи­вание в удаленных офисах. Одно-функциональные устройства допуска­ют тонкую настройку для достижения наивысшей производительности.

В многофункциональных блоках производительность одного прило­жения повышается зачастую в ущерб другому. Однофункциональные уст­ройства могут требовать отдельных инструментов администрирования и каталогов. Модернизация для повы­шения производительности нередко оказывается слишком дорогостоящей или невозможной.

Механизм VPN немыслим без идентификации. Инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами является в настоящее время основной. Данные PKI целесообразнее всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP).

Категория системы Достоинства Недостатки Программное обеспечение VPN для брандмауэров Общее администрирование VPN. Если VPN должны завершаться вне бранд­мауэра, то канал между окончанием туннеля и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обес­печение потребуется модернизировать. ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Fri, 11 Nov 2011 15:31:00 +0400 /books/ip-telephony/75-ip2/1135-8-8-obespechenie-bezopasnosti-ip-telefonii-na-baze-vpn-chast-3 /books/ip-telephony/75-ip2/1135-8-8-obespechenie-bezopasnosti-ip-telefonii-na-baze-vpn-chast-3 Шифрование информации, передаваемой между инициатором и терминатором тунне­ля, часто осуществляется с помощью защиты транспортного уровня (Transport Layer Security, TLS), ранее протокола защищенных сокетов (Secure Sockets Layer, SSL). Для стандартизации аутентифицированного прохода через брандмауэры IETF определил протокол под названием SOCKS, и в настоящее время SOCKS 5 применяется для стандартизованной реализации по­средников каналов. В SOCKS 5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, за­прашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он мо­жет осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровня 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если нет гарантии защиты информации на другом конце туннеля. Следует отметить на наличие взаимосвязи между брандмауэрами и VPN. Если туннели завершаются на оборудовании провайдера Интернет, то трафик будет передаваться по вашей локальной сети или по линии связи с провайдером Интернет в незащищенном виде. Если конечная точка расположена за брандмауэром, то туннелируемый трафик можно контроли­ровать с помощью средств контроля доступа брандмауэра, но никакой дополнительной за­щиты при передаче по локальной сети это не даст. В этом случае конечную точку будет свя­зывать с брандмауэром незащищенный канал. Расположение конечной точки внутри защищаемой брандмауэром зоны обычно озна­чает открытие прохода через брандмауэр (как правило, через конкретный порт TCP). Некото­рые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет пользователь, стратегия защиты которого неизвестна или не внушает доверия. Одно из преимуществ применения тесно интегрированных с брандмауэром продуктов тунне-лирования состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра и перенаправлять трафик на конечную точку на конкретном компьютере или в защищаемой брандмауэром подсети. ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Tue, 18 Oct 2011 03:04:00 +0400 /books/ip-telephony/75-ip2/1134-8-8-obespechenie-bezopasnosti-ip-telefonii-na-baze-vpn-chast-2 /books/ip-telephony/75-ip2/1134-8-8-obespechenie-bezopasnosti-ip-telefonii-na-baze-vpn-chast-2 Компания Cisco Systems разработала протокол пересылки на втором уровне модели OSI (Layer-2 Forwarding, L2F), с помощью которой удаленные клиенты могут связаться по каналам провайдера Internet и быть идентифицированы. При этом ISP не нужно осуществ­лять конфигурацию адресов и выполнять идентификацию. Протокол L2F стал компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживает­ся во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа. Оба этих тесно связанных друг с другом протокола IETF были объединены, и полу­чившийся в результате протокол, включивший лучшее из РРТР и L2F, называется протоко­лом туннелирования второго уровня (Layer-2 Tunneling Protocol, L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и предшест­вующие протоколы второго уровня, спецификация L2TP не описывает методы идентифика­ции и шифрования. Спецификацией IETF, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec, - иногда его называют туннелирова-нием третьего уровня (Layer-3 Tunneling). IPSec предусматривает стандартные методы иден­тификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обме­на и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для од­ной задачи обычно не зависят от методов реализации других задач. Идентификацию можно выполнять с помощью спецификации IPSec, причем она является обязательным компонентом протокола IPv6. IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Следует отметить, что спецификация IPSec ориентирована на IP и, таким образом, бесполез­на для трафика любых других протоколов сетевого уровня. Туннель IPSec между двумя ло­кальными сетями может поддерживать множество индивидуальных каналов передачи дан­ных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня. Некоторые поставщики VPN используют другой подход под названием «посредники каналов» (circuit proxy), или VPN пятого уровня. Этот метод функционирует над транспорт­ным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого - сеансового - уровня, однако ориентированные на сокеты операции часто называют операциями сеансово­го уровня.) ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Tue, 04 Oct 2011 05:12:00 +0400 /books/ip-telephony/75-ip2/1133-8-8-obespechenie-bezopasnosti-ip-telefonii-na-baze-vpn-chast-1 /books/ip-telephony/75-ip2/1133-8-8-obespechenie-bezopasnosti-ip-telefonii-na-baze-vpn-chast-1 Одним из механизмов обеспечения безопасности IP-телефонии может быть использо­вание виртуальных частных сетей (Virtual Private Network, VPN). Сети VPN создаются, как правило, для решения двух задач. Во-первых, они служат для организации взаимодействия индивидуальных пользователей с удаленной сетью через Интернет, а во-вторых, - для связи двух сетей. В первом случае, они используются в качестве альтернативы удаленному доступу. Вместо того, чтобы устанавливать соединение с корпора­тивной средой по междугородной или международной связи, пользователи локально под­ключаются к Интернет и связываются с сетью компании. Во втором - они часто применяют­ся для организации так называемых виртуальных выделенных линий. Виртуальная частная сеть (VPN) создается между инициатором туннеля и терминато­ром туннеля. Обычная маршрутизируемая сеть IP (она не обязательно включает в себя обще­доступную сеть Интернет ) определяет маршрут между инициатором и терминатором. Ини­циатор туннеля инкапсулирует пакеты в новый пакет, содержащий наряду с исходными дан­ными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, в принципе, инкапсулируемые пакеты могут при­надлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, на­пример, NetBEUI. Терминатор туннеля выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в локальный стек протоколов или адресату в локальной сети. Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шиф­рования. Поскольку методов шифрования данных существует множество, очень важно, что­бы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для ус­пешного дешифрования данных они должны иметь возможность обмена ключами. Чтобы туннели создавались только между уполномоченными пользователями, конечные точки тре­буется идентифицировать. Целостность туннелируемых данных можно обеспечить с помо­щью некоей формы выборки сообщения или хэш-функции для выявления изменений или удалений. Для реализации унифицированного способа инкапсуляции трафика третьего уровня (и более высоких уровней) на клиентах и серверах Windows компании Microsoft, Ascend Communications и 3Com разработали туннельный протокол между двумя точками (Pointto-Point Tunneling Protocol, РРТР), представляющий собой расширение протокола РРР. В РРТР не специфицируется конкретный метод шифрования, однако, клиенты удаленного доступа в Windows NT 4.0 и Windows 95 с Dial-Up Networking 1.2 поставляются с версией шифрования DES компании RSA Data Security, получившей название «шифрование двухточечной связи Microsoft)) (Microsoft Point-to-Point Encryption, MPPE). ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Fri, 30 Sep 2011 17:30:00 +0400 /books/ip-telephony/75-ip2/1132-funkcii-bezopasnosti-funkcii-obsluzhivaniya-vyzovov-ras-n-225-0-n-245-autentifikaciya-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-otkaz-pri-nalichii-dolgov-cifrovaya-podpis-sha1-md5-pro /books/ip-telephony/75-ip2/1132-funkcii-bezopasnosti-funkcii-obsluzhivaniya-vyzovov-ras-n-225-0-n-245-autentifikaciya-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-otkaz-pri-nalichii-dolgov-cifrovaya-podpis-sha1-md5-pro ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Fri, 23 Sep 2011 22:21:00 +0400 /books/ip-telephony/75-ip2/1131-funkcii-bezopasnosti-funkcii-obsluzhivaniya-vyzovov-ras-n-225-0-n-245-autentifikaciya-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-otkaz-pri-nalichii-dolgov-cifrovaya-podpis-sha1-md5-pro /books/ip-telephony/75-ip2/1131-funkcii-bezopasnosti-funkcii-obsluzhivaniya-vyzovov-ras-n-225-0-n-245-autentifikaciya-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-cifrovaya-podpis-sha1-md5-procedura-a-otkaz-pri-nalichii-dolgov-cifrovaya-podpis-sha1-md5-pro Компании 3Com, Cisco Systems, GRIC Communications, iPass и TransNexus сообщили о поддержке предварительного стандарта IP-телефонии - Open Settlement Protocol (OSP), - ко­торый предназначен для решения вопросов взаимодействия сетей различных провайдеров. Это простой протокол, позволяющий различным компаниям - владельцам средств свя­зи осуществлять коммуникации в пределах всей страны. К примеру, он позволяет устанавли­вать автора звонка, санкционировать обслуживание вызова и указывать расчетную информа­цию, которая будет включена в записи, содержащие подробные данные об этой транзакции (рис. 8.5). Рабочая группа института European Telecommunications Standards Institute (ETSI) одоб­рила этот протокол, а производители в ближайшее время намерены провести его тестирова­ние. Новый протокол был разработан в рамках проекта TIPHON. Протоколу OSP еще пред­стоит пройти процедуру окончательной ратификации. Однако ведущие компании, предос­тавляющие услуги IP-телефонии, включая Ascend, GTE, AT&T и Internet Telephony Exchange Carrier (ITXC), уже заявили о поддержке протокола OSP. В то же время компании Lucent и Nortel выразили свою заинтересованность и в целом готовы поддержать стандарты на IP-телефонию, но от окончательной оценки OSP пока воздержалась. Основные характеристики спецификации Open Settlement Protocol (OSP): • шифрование Secure Sockets Layer; • безопасная аутентификация участников сеанса связи с помощью шифрования откры­тым и частным ключами; • поддержка технологии цифровой подписи; Обмен информацией с помощью XML. Провайдера А провайдера В Рис. 8.5. Использование протокола OSP При условии внедрения единого способа выполнения аутентификации и обеспечения взаимосвязи различных сетей значительно упростится задача выбора провайдера услуг IP-телефонии. В настоящее время ни один провайдер не может пока предлагать свои услуги во всех регионах, а стандартный подход позволит им обеспечить более «прозрачные» службы и в более широкой географической области. Однако при этом возникает целый ряд вопросов. В частности, пока не установлено, каким образом сети будут взаимодействовать друг с другом на уровне расчетов, то есть не определено, как именно передавать между сетями данные о распределении прибыли при обмене. ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Sat, 13 Aug 2011 12:59:00 +0400 /books/ip-telephony/75-ip2/1130-8-6-mexanizmy-bezopasnosti-v-proekte-tiphon /books/ip-telephony/75-ip2/1130-8-6-mexanizmy-bezopasnosti-v-proekte-tiphon В проект TIPHON включены следующие механизмы защиты для обеспечения безопас­ной телефонной связи с конечных устройств, основанные на приложении J Рекомендации ITU-T Н.323: • механизм защиты, основанный на цифровых сертификатах (CBSP); • механизм защиты, основанный на паролях (PBSP); • механизм защиты, основанный на шифровании информации. Основным механизмом защиты является использование цифровых сертификатов. Реа­лизация функций безопасности в данном механизме показана в табл. 8.1. В тех странах, где технология CBSP не реализована, должен использоваться механизм на базе паролей. Однако следует отметить, что PBSP является самым простым механизмом и не обеспечивает уровень защиты, реализуемый при использовании CBSP. Криптографическая защита информации является необязательным требованием и ис­пользуется только в сценариях, когда необходимо обеспечить секретность передаваемой ин­формации. Оба механизма CBSP и PBSP используют модель безопасности при маршрутиза­ции через шлюз на базе Приложения F Рекомендации Н.323. ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Thu, 28 Jul 2011 00:36:00 +0400 /books/ip-telephony/75-ip2/1129-8-5-obespechenie-bezopasnosti-v-sistemax-na-baze-standarta-n-323-chast-2 /books/ip-telephony/75-ip2/1129-8-5-obespechenie-bezopasnosti-v-sistemax-na-baze-standarta-n-323-chast-2 В целом следует отметить, что все основные механизмы аутентификации, определен­ные в Рекомендации Н.235, идентичны или получены из алгоритмов, разработанных Между­народной организации по стандартизации ISO, или основаны на протоколах IETF. ]]> БЕЗОПАСНОСТЬ IP-ТЕЛЕФОНИИ Thu, 14 Jul 2011 04:33:00 +0400