Bezpečnost VoIP - 3

Je zřejmé, že technologie přenášení hlasu přes sítě IP – Voice-over-IP (VoIP) – představuje budoucnost telefonování. Na počátku šlo o spíše těžkopádný způsob, jak spolu mohli šetřiví nadšenci mluvit pomocí počítače. Teď IP telefonie pokročila mnohem dál – představuje nový způsob, jak dodávat plně vybavené telefonní služby, které slibují velké úspory a otevírají cestu nové nabídce multimediálních komunikačních služeb.

Bezpečnost VoIP


Význam různých slabin a možných problémových míst závisí na užití sítí VoIP. Služby IP telefonie, které fungují v rámci veřejného internetu, jsou daleko ohroženější než další aplikace této technologie. Jsou ale často užívané jen k doplnění a ne nahrazení dalších telefonních služeb. Soukromé sítě IP telefonie, které fungují v rámci jediné organizace, jsou z definice lépe ochráněné, protože představují jediný způsob, jak telefonovat, ale náklady a důsledky případných výpadků služby jsou s ohledem na výše popsaná fakta ve svém dopadu závažnější.

Volání přes veřejný internet

Lidé mohou použít stále rostoucího počtu služeb, aby mohli volat přes internet, a tak využít volné kapacity širokopásmového připojení doma nebo v kanceláři. Příkladem může být Skype, Vonage, BT Communicator nebo BT Broadband Talk.

Tyto služby pracují různými způsoby. Například Skype je aplikace pro osobní počítače, kterou je možné používat i pomocí speciálních sluchátek připojených do USB portu počítače – tato sluchátka je možno připojit jen k zapnutému počítači. Ale Vonage a BT Broadband Talk mohou pracovat se standardními telefony, které jsou připojené přímo k širokopásmovému routeru pomocí adaptéru. Tyto služby pracují nezávisle na jakémkoliv počítači připojeném k síti, a fungují tedy spíše jako běžné telefony.

Protože všechny tyto služby sdílejí kapacitu sítě s dalším provozem, hovory mohou občas zaznamenat určité zpoždění, rušení nebo pozastavení. Může jít o důsledek běžných vrcholů v poptávce nebo o útok typu odepření služby na dotyčnou infrastrukturu daného operátora.

Ať již používáte k volání počítač nebo jiný programovatelný přístroj, vždy existuje nebezpečí nákazy viry nebo jinými škodlivými kódy, jako jsou třeba dialery. A bez ohledu na použitou techniku je vždy otázkou, jak umožnit datovým paketům telefonních hovorů bezpečně projít počítačem, firemními a dalšími firewally. Některé aplikace VoIP generují aktivitu, která je podobná útokům hackerů nebo jiným útokům, což kupříkladu znesnadňuje hovorům pomocí IP telefonie projít firewallem, aniž by byla snížená ochrana. Proto mnoho firem zakazuje využití služeb IP telefonie, které fungují přes veřejný internet.

Využití v domácnostech

Znatelně odlišné je využití VoIP mimo firemní prostředí. Hovory jsou většinou přijímány z prostředí veřejné telefonní sítě pomocí „běžných“ linek nebo spojení T1/E1. Do formátu VoIP jsou překonvertovány branou a přenášeny do daných IP telefonů pomocí firemní soukromé datové sítě.

Mnoho firem provozuje logicky oddělené sítě, pro hlasový a datový provoz zvlášť, a toto oddělení může být udržováno v organizacích, které mají různé pobočky kupříkladu propojeny pomocí služby virtuální privátní sítě (VPN) operátora. Síť MPLS, kterou provozuje BT, může být kupříkladu využita pro propojení systémů IP telefonie v různých místech, což umožňuje, že jsou telefony zaměstnanců přenášeny „v síti“. BT také nabízí zabezpečené brány pro PSTN-IP jako součást své sítě VPN.

Toto oddělení firemní sítě IP telefonie od veřejného internetu znamená, že není třeba hovory směřovat přes externí firewally a tímto je sníženo riziko mnoha forem útoku. Nicméně při využití logické separace zůstávají některá spojení firemní infrastrukturou pro IP telefonii a datovou sítí. Tato spojení mohou být využita útočníky, kteří úspěšně překonají vnější firemní ochranu, a proto je potřeba je minimalizovat. Softwarové telefony vytvářejí mosty mezi datovým a hlasovými sítěmi, což je důvodem, proč také Americký národní institut pro standardy a technologii doporučil, aby byly podobné přístroje zakázány v místech, kde je třeba dodržovat vysoké standardy bezpečnosti a dostupnosti.

Sítě pro 21. století

V nadcházejících letech budou operátoři využívat sítě IP, aby nahradili své stávající telefonní sítě a starší typy datových sítí. Výsledkem bude, že IP telefonie se nakonec rozšíří a převládne, případně se stane jediným způsobem, jak poskytovat veřejné telefonní služby.

Tyto nové sítě pro 21. století se ale budou podobat spíše stávajícím konvergovaným firemním datovým a hlasovým sítím než veřejnému internetu. Dostupná kapacita bude distribuována mezi několik logicky rozdělených sítí, které ponesou různé typy provozu. Hlasové hovory budou tedy odděleny od ostatních typů provozu, zejména internetového.

Je potřeba ještě určit, jak budou propojeny tyto budoucí sítě jednotlivých firem, aby mohly hovory přecházet z jedné sítě do druhé. Je ale zřejmé, s ohledem na bezpečnost, že tyto nové telefonní sítě budou soukromého rázu (tedy vlastněné a provozované jednou firmou), což zajistí vysokou úroveň bezpečnosti.

Závěr

VoIP už není nová technologie, Gartner ji umístil na „hladinu produktivity“ (plateau of productivity) v rámci svého široce přijímaného cyklu technologického vývoje. Nejde ale ani zdaleka o vyspělou technologii. Zatímco v podnikové sféře je velmi užívaná, tak veřejnost přijala telefonní služby založené na VoIP jen do omezené míry.

To do této chvíle pomáhalo VoIP a IP telefonii dosáhnout relativně dobrých bezpečnostních stupňů. Tato technologie má své slabiny a citlivá místa, ale není lákavým cílem pro útočníky. Tato situace se změní, až se zvýší úroveň jejího používání. Proto je velmi důležité pro uživatele této technologie, aby dbali na efektivní ochranu a přijali adekvátní bezpečnostní opatření.

Autor je ředitelem British Telecom pro střední a východní Evropu a Rusko.

Foto: Wikipedia, licence GFDL








Komentáře