Мини-Сервер своими руками - это просто! - IP телефония

8.9. Реализация функций СОРМ в IP-телефонии

2011-12-05T11:43:00+04:00

Так как в сетях IP-телефонии используется передача речевой информации между абонентами, то такие сети подпадают под действие системы оперативно-разыскных мероприятий (СОРМ). Для реализации необходимых функций СОРМ необходимо обеспечить возможность фиксации не только всей справочной информации о телефонных вызовах (источник и получатель вызова, дата и время разговора и др.), но и возможность полной записи разговора.

В сети IP-телефонии реализация функций СОРМ может быть выполнена различными способами. В том случае, когда вызывающий абонент включен в телефонную сеть общего пользования (например, сценарии 2 и 3 проекта TIPHON), то функции СОРМ реализуются существующими средствами на телефонных станциях.

При включении исходящих терминалов (например, терминалов Н.323 на базе персональных компьютеров) непосредственно в IP-сеть вопросы реализации функций СОРМ должны решаться в оборудовании доступа сети с пакетной коммутацией (серверы доступа, маршрутизаторы, коммутаторы и др.).

8.8. Обеспечение безопасности IP-телефонии на базе VPN - Часть 5

2011-12-03T17:55:00+04:00

Операции, связанные с шифрованием данных, могут чрезмерно загружать ЦП и снижать производительность брандмауэра. В случае интегрированных продуктов VPN и брандмауэра оба они могут оказаться не лучшими в своем классе.

VPN на базе маршрутизатора или коммутатора

Интегральные сети VPN могут не потребовать дополнительных расходов на приобретение. Упрощение администрирования VPN.

Функционирование VPN может отрицательно повлиять на другой трафик.

VPN на базе автономного программного обеспечения

Завершение VPN нередко представляет собой сложную задачу. При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать. Старые аппаратные средства могут послужить для решения новых задач.

Администрирование VPN может потребовать отдельного приложения, возможно, выделенного каталога.

VPN на базе аппаратных средств

Многофункциональные устройства облегчают конфигурацию и обслуживание в удаленных офисах. Одно-функциональные устройства допускают тонкую настройку для достижения наивысшей производительности.

В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому. Однофункциональные устройства могут требовать отдельных инструментов администрирования и каталогов. Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной.

Таблица 8.2. Категории систем VPN

В табл. 8.2 представлены некоторые системы для организации взаимодействия между пользователями VPN в сети Интернет-телефонии.

8.8. Обеспечение безопасности IP-телефонии на базе VPN - Часть 4

2011-11-11T15:31:00+04:00

Как и любая другая вычислительная функция, работа по созданию сетей VPN проводится с помощью программного обеспечения. Между тем программное обеспечение для VPN может выполняться на самых разных аппаратных платформах. Маршрутизаторы или коммутаторы третьего уровня могут поддерживать функции VNP по умолчанию (или в качестве дополнительной возможности, предлагаемой за отдельную плату). Аппаратно и программно реализуемые брандмауэры нередко предусматривают модули VPN со средствами управления трафиком или без них. Некоторые пограничные комбинированные устройства включают в себя маршрутизатор, брандмауэр, средства управления пропускной способностью и функции VPN (а также режим конфигурации). Наконец, ряд чисто программных продуктов выполняется на соответствующих серверах, кэширует страницы Web, реализует функции брандмауэра и VPN.

Механизм VPN немыслим без идентификации. Инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами является в настоящее время основной. Данные PKI целесообразнее всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP).

Категория системы

Достоинства

Недостатки

Программное обеспечение VPN для брандмауэров

Общее администрирование VPN. Если VPN должны завершаться вне брандмауэра, то канал между окончанием туннеля и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать.

8.8. Обеспечение безопасности IP-телефонии на базе VPN - Часть 3

2011-10-18T03:04:00+04:00

Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня (Transport Layer Security, TLS), ранее протокола защищенных сокетов (Secure Sockets Layer, SSL). Для стандартизации аутентифицированного прохода через брандмауэры IETF определил протокол под названием SOCKS, и в настоящее время SOCKS 5 применяется для стандартизованной реализации посредников каналов.

В SOCKS 5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровня 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если нет гарантии защиты информации на другом конце туннеля.

Следует отметить на наличие взаимосвязи между брандмауэрами и VPN. Если туннели завершаются на оборудовании провайдера Интернет, то трафик будет передаваться по вашей локальной сети или по линии связи с провайдером Интернет в незащищенном виде. Если конечная точка расположена за брандмауэром, то туннелируемый трафик можно контролировать с помощью средств контроля доступа брандмауэра, но никакой дополнительной защиты при передаче по локальной сети это не даст. В этом случае конечную точку будет связывать с брандмауэром незащищенный канал.

Расположение конечной точки внутри защищаемой брандмауэром зоны обычно означает открытие прохода через брандмауэр (как правило, через конкретный порт TCP). Некоторые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет пользователь, стратегия защиты которого неизвестна или не внушает доверия. Одно из преимуществ применения тесно интегрированных с брандмауэром продуктов тунне-лирования состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра и перенаправлять трафик на конечную точку на конкретном компьютере или в защищаемой брандмауэром подсети.

8.8. Обеспечение безопасности IP-телефонии на базе VPN - Часть 2

2011-10-04T05:12:00+04:00

Компания Cisco Systems разработала протокол пересылки на втором уровне модели OSI (Layer-2 Forwarding, L2F), с помощью которой удаленные клиенты могут связаться по каналам провайдера Internet и быть идентифицированы. При этом ISP не нужно осуществлять конфигурацию адресов и выполнять идентификацию. Протокол L2F стал компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа.

Оба этих тесно связанных друг с другом протокола IETF были объединены, и получившийся в результате протокол, включивший лучшее из РРТР и L2F, называется протоколом туннелирования второго уровня (Layer-2 Tunneling Protocol, L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и предшествующие протоколы второго уровня, спецификация L2TP не описывает методы идентификации и шифрования.

Спецификацией IETF, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec, - иногда его называют туннелирова-нием третьего уровня (Layer-3 Tunneling). IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Идентификацию можно выполнять с помощью спецификации IPSec, причем она является обязательным компонентом протокола IPv6.

IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Следует отметить, что спецификация IPSec ориентирована на IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.

Некоторые поставщики VPN используют другой подход под названием «посредники каналов» (circuit proxy), или VPN пятого уровня. Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого - сеансового - уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.)

8.8. Обеспечение безопасности IP-телефонии на базе VPN - Часть 1

2011-09-30T17:30:00+04:00

Одним из механизмов обеспечения безопасности IP-телефонии может быть использование виртуальных частных сетей (Virtual Private Network, VPN).

Сети VPN создаются, как правило, для решения двух задач. Во-первых, они служат для организации взаимодействия индивидуальных пользователей с удаленной сетью через Интернет, а во-вторых, - для связи двух сетей. В первом случае, они используются в качестве альтернативы удаленному доступу. Вместо того, чтобы устанавливать соединение с корпоративной средой по междугородной или международной связи, пользователи локально подключаются к Интернет и связываются с сетью компании. Во втором - они часто применяются для организации так называемых виртуальных выделенных линий.

Виртуальная частная сеть (VPN) создается между инициатором туннеля и терминатором туннеля. Обычная маршрутизируемая сеть IP (она не обязательно включает в себя общедоступную сеть Интернет ) определяет маршрут между инициатором и терминатором. Инициатор туннеля инкапсулирует пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, в принципе, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты немаршрутизируемых протоколов, например, NetBEUI. Терминатор туннеля выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в локальный стек протоколов или адресату в локальной сети.

Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шифрования. Поскольку методов шифрования данных существует множество, очень важно, чтобы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для успешного дешифрования данных они должны иметь возможность обмена ключами. Чтобы туннели создавались только между уполномоченными пользователями, конечные точки требуется идентифицировать. Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления изменений или удалений.

Для реализации унифицированного способа инкапсуляции трафика третьего уровня (и более высоких уровней) на клиентах и серверах Windows компании Microsoft, Ascend Communications и 3Com разработали туннельный протокол между двумя точками (Pointto-Point Tunneling Protocol, РРТР), представляющий собой расширение протокола РРР. В РРТР не специфицируется конкретный метод шифрования, однако, клиенты удаленного доступа в Windows NT 4.0 и Windows 95 с Dial-Up Networking 1.2 поставляются с версией шифрования DES компании RSA Data Security, получившей название «шифрование двухточечной связи Microsoft)) (Microsoft Point-to-Point Encryption, MPPE).

Функции безопасности Функции обслуживания вызовов RAS Н.225.0 Н.245 Аутентификация Цифровая подпись SHA1/MD5 (Процедура А) Цифровая подпись SHA1/MD5 (Процедура А) Цифровая подпись SHA1/MD5 (Процедура А) Отказ при Наличии Долгов Цифровая подпись SHA1/MD5 (

2011-09-23T22:21:00+04:00

Функции безопасности Функции обслуживания вызовов RAS Н.225.0 Н.245 Аутентификация Цифровая подпись SHA1/MD5 (Процедура А) Цифровая подпись SHA1/MD5 (Процедура А) Цифровая подпись SHA1/MD5 (Процедура А) Отказ при Наличии Долгов Цифровая подпись SHA1/MD5 (

2011-08-13T12:59:00+04:00

Компании 3Com, Cisco Systems, GRIC Communications, iPass и TransNexus сообщили о поддержке предварительного стандарта IP-телефонии - Open Settlement Protocol (OSP), - который предназначен для решения вопросов взаимодействия сетей различных провайдеров.

Это простой протокол, позволяющий различным компаниям - владельцам средств связи осуществлять коммуникации в пределах всей страны. К примеру, он позволяет устанавливать автора звонка, санкционировать обслуживание вызова и указывать расчетную информацию, которая будет включена в записи, содержащие подробные данные об этой транзакции (рис. 8.5).

Рабочая группа института European Telecommunications Standards Institute (ETSI) одобрила этот протокол, а производители в ближайшее время намерены провести его тестирование. Новый протокол был разработан в рамках проекта TIPHON. Протоколу OSP еще предстоит пройти процедуру окончательной ратификации. Однако ведущие компании, предоставляющие услуги IP-телефонии, включая Ascend, GTE, AT&T и Internet Telephony Exchange Carrier (ITXC), уже заявили о поддержке протокола OSP. В то же время компании Lucent и Nortel выразили свою заинтересованность и в целом готовы поддержать стандарты на IP-телефонию, но от окончательной оценки OSP пока воздержалась.

Основные характеристики спецификации Open Settlement Protocol (OSP):

• шифрование Secure Sockets Layer;

• безопасная аутентификация участников сеанса связи с помощью шифрования открытым и частным ключами;

• поддержка технологии цифровой подписи;

Обмен информацией с помощью XML.

Провайдера А провайдера В

Рис. 8.5. Использование протокола OSP

При условии внедрения единого способа выполнения аутентификации и обеспечения взаимосвязи различных сетей значительно упростится задача выбора провайдера услуг IP-телефонии. В настоящее время ни один провайдер не может пока предлагать свои услуги во всех регионах, а стандартный подход позволит им обеспечить более «прозрачные» службы и в более широкой географической области. Однако при этом возникает целый ряд вопросов. В частности, пока не установлено, каким образом сети будут взаимодействовать друг с другом на уровне расчетов, то есть не определено, как именно передавать между сетями данные о распределении прибыли при обмене.

8.6. Механизмы безопасности в проекте TIPHON

2011-07-28T00:36:00+04:00

В проект TIPHON включены следующие механизмы защиты для обеспечения безопасной телефонной связи с конечных устройств, основанные на приложении J Рекомендации ITU-T Н.323:

• механизм защиты, основанный на цифровых сертификатах (CBSP);

• механизм защиты, основанный на паролях (PBSP);

• механизм защиты, основанный на шифровании информации.

Основным механизмом защиты является использование цифровых сертификатов. Реализация функций безопасности в данном механизме показана в табл. 8.1. В тех странах, где технология CBSP не реализована, должен использоваться механизм на базе паролей. Однако следует отметить, что PBSP является самым простым механизмом и не обеспечивает уровень защиты, реализуемый при использовании CBSP.

Криптографическая защита информации является необязательным требованием и используется только в сценариях, когда необходимо обеспечить секретность передаваемой информации. Оба механизма CBSP и PBSP используют модель безопасности при маршрутизации через шлюз на базе Приложения F Рекомендации Н.323.

8.5. Обеспечение безопасности в системах. на базе стандарта Н.323 - Часть 2

2011-07-14T04:33:00+04:00

В целом следует отметить, что все основные механизмы аутентификации, определенные в Рекомендации Н.235, идентичны или получены из алгоритмов, разработанных Международной организации по стандартизации ISO, или основаны на протоколах IETF.