ВУЗ:
Составители:
Рубрика:
12
IP-телефонию может заключаться в посылке на сервер IP-телефонии
большого числа “шумовых” пакетов, которые засоряют канал передачи данных,
а в случае превышения некоторого порогового значения могут даже вывести из
строя часть сети IP-телефонии (атака “отказ в обслуживании”). Для реализации
такой атаки могут быть использованы известные DoS-атаки . Одной из мер
защиты является резервирование полосы пропускания [3].
Подмена номера в IP-телефонии может быть осуществлена с
использованием подмены IP-адреса, который играет роль телефонного номера.
Используя подмену IP-адреса, злоумышленник может выдать себя за другого
абонента. Поэтому во всех существующих VoIP-стандартах ставится задача
обеспечения аутентификации [3].
Атаки на абонентские пункты IP-телефонии, реализованные на базе
персонального компьютера, могут быть весьма эффективны , как и на любые
другие компоненты IP-телефонии, построенные на программной основе. Это
обусловлено меньшей защищенностью таких устройств , по сравнению со
специальными IP-телефонами . Поэтому на такие компоненты можно
реализовать не только атаки , специфичные для IP-телефонии, но и атаки ,
характерные для обычных компьютерных систем . Например, различные
трояны , вирусы , интернет- черви , DoS-атаки и их модификации способны
существенно нарушить функционирование голосовой IP-инфраструктуры [3].
При этом общая защищенность системы может быть низкой , если в ней
используется уязвимые программные компоненты третьих фирм (например,
диспетчер Cisco CallManager использует для своего функционирования
Windows 2000 Server, MS Internet Information Server и MS SQL Server, каждый
из которых обладает слабыми , с точки зрения защиты информации, местами )
[3].
Атаки на диспетчеры предполагают атаки на узлы , в которых хранится
информация о разговорах пользователей (имена абонентов , время,
продолжительность, причина завершения звонка и т . д .) могут приводить как к
нарушению конфиденциальности , так и является основой для модификации или
даже удаления данных. В последнем случае биллинговая система (например, у
оператора связи ) не сможет правильно выставить счета своим клиентам , что
может нанести ущерб всей инфраструктуре IP-телефонии [3].
2.3. Обеспечение информационной безопасности IP-телефонии [3]
1. Выбор правильной топологии. Не рекомендуется использовать для
VoIP-инфраструктуры концентраторы , которые облегчают злоумышленникам
перехват данных. Кроме того, так как оцифрованный голос обычно проходит по
той же кабельной системе и через тоже сетевое оборудование, что и обычные
данные, необходимо правильно разграничить между ними информационные
потоки . Это , например, может быть сделано с помощью механизма VLAN [3].
Серверы , участвующие в инфраструктуре IP-телефонии желательно размещать
в отдельном сетевом сегменте, защищенном не только с помощью встроенных в
коммутаторы и маршрутизаторы механизмов защиты (списки контроля
12
IP-телефонию может заключаться в посылке на сервер IP-телефонии
большого числа “шумовых” пакетов, которые засоряют канал передачи данных,
а в случае превышения некоторого порогового значения могут даже вывести из
строя часть сети IP-телефонии (атака “отказ в обслуживании”). Для реализации
такой атаки могут быть использованы известные DoS-атаки. Одной из мер
защиты является резервирование полосы пропускания [3].
Подмена номера в IP-телефонии может быть осуществлена с
использованием подмены IP-адреса, который играет роль телефонного номера.
Используя подмену IP-адреса, злоумышленник может выдать себя за другого
абонента. Поэтому во всех существующих VoIP-стандартах ставится задача
обеспечения аутентификации [3].
Атаки на абонентские пункты IP-телефонии, реализованные на базе
персонального компьютера, могут быть весьма эффективны, как и на любые
другие компоненты IP-телефонии, построенные на программной основе. Это
обусловлено меньшей защищенностью таких устройств, по сравнению со
специальными IP-телефонами. Поэтому на такие компоненты можно
реализовать не только атаки, специфичные для IP-телефонии, но и атаки,
характерные для обычных компьютерных систем. Например, различные
трояны, вирусы, интернет-черви, DoS-атаки и их модификации способны
существенно нарушить функционирование голосовой IP-инфраструктуры [3].
При этом общая защищенность системы может быть низкой, если в ней
используется уязвимые программные компоненты третьих фирм (например,
диспетчер Cisco CallManager использует для своего функционирования
Windows 2000 Server, MS Internet Information Server и MS SQL Server, каждый
из которых обладает слабыми, с точки зрения защиты информации, местами)
[3].
Атаки на диспетчеры предполагают атаки на узлы, в которых хранится
информация о разговорах пользователей (имена абонентов, время,
продолжительность, причина завершения звонка и т.д.) могут приводить как к
нарушению конфиденциальности, так и является основой для модификации или
даже удаления данных. В последнем случае биллинговая система (например, у
оператора связи) не сможет правильно выставить счета своим клиентам, что
может нанести ущерб всей инфраструктуре IP-телефонии [3].
2.3. Обеспечение информационной безопасности IP-телефонии [3]
1. Выбор правильной топологии. Не рекомендуется использовать для
VoIP-инфраструктуры концентраторы, которые облегчают злоумышленникам
перехват данных. Кроме того, так как оцифрованный голос обычно проходит по
той же кабельной системе и через тоже сетевое оборудование, что и обычные
данные, необходимо правильно разграничить между ними информационные
потоки. Это, например, может быть сделано с помощью механизма VLAN [3].
Серверы, участвующие в инфраструктуре IP-телефонии желательно размещать
в отдельном сетевом сегменте, защищенном не только с помощью встроенных в
коммутаторы и маршрутизаторы механизмов защиты (списки контроля
