ВУЗ:
Составители:
Рубрика:
13
доступа, трансляция адресов и обнаружение атак), но и с помощью
дополнительно установленных средств защиты (межсетевые экраны , системы
обнаружения атак, системы аутентификации и т.д.) [3].
При передаче голосовых данных по корпоративной сети особое внимание
должно уделяться вопросам высокой доступности и отказоустойчивости , так
как сбои в системе IP-телефонии, значительно более вероятные, чем в обычной
телефонной связи , могут привести к отказам пользователей от ее
использования.
2. Физическая безопасность. Желательно все неабонентское оборудование
по возможности разместить в специально оборудованных серверных комнатах ,
а также запретить неавторизованный доступ пользователей к сетевому
оборудованию . Это позволит предотвратить несанкционированное
подключение компьютера злоумышленника . Кроме того, следует регулярно
проверять наличие устройств , несанкционированно подключенных к сети ,
например, напрямую к сетевому кабелю . Для этого могут быть использованы
различные методы и устройства (например, Internet Scanner или Nessus) [3].
3. Контроль доступа. Для защиты инфраструктуры IP-телефонии может
быть испльзован контроль MAC-адресов. Запрет IP-телефонам с неизвестными
MAC-адресами на получение доступа к шлюзам и иным элементам IP-сети ,
передающей голосовые данные, позволит предотвратить несанкционированное
подключение “посторонних” IP-телефонов, которые могут прослушивать
переговоры или осуществлять телефонную связь за чужой счет.
Узлы (в основном, шлюзы , диспетчеры и мониторы ) должны быть
настроены таким образом, чтобы блокировать все попытки
несанкционированного доступа к ним [3].
4. VLAN. Технология виртуальных локальных сетей (VLAN) обеспечивает
безопасное разделение физической сети на несколько изолированных
сегментов, функционирующих независимо друг от друга. В IP-телефонии эта
технология используется для отделения передачи голоса от передачи обычных
данных (файлов, e-mail и т.д.). Диспетчеры , шлюзы и IP-телефоны помещают в
выделенную VLAN для передачи голоса. Однако существуют методы , которые
позволяют злоумышленникам перехватывать данные даже в коммутированной
среде [3].
5. Шифрование . Использование шифрования не только между шлюзами , но
и между IP-телефоном и шлюзом, дает возможность защитить весь путь,
который проходят голосовые данные. Однако непрерывное шифрование потока
голосовых данных требует времени и зачастую вносит неприемлемые задержки
в процесс передачи и приема трафика, что неприемлемо снижает качество
передачи данных и вынуждает отказываться от криптографической защиты [3].
При использовании шифрования голосовых данных средства обеспечения
контроля качества не смогут предоставить необходимую полосу пропускания и
приоритетное обслуживание, что может привести к снижению качества
обслуживания. Кроме того, сигнальные протоколы , используемые в IP-
телефонии, шифровать не рекомендуется, так как в этом случае будет
13 доступа, трансляция адресов и обнаружение атак), но и с помощью дополнительно установленных средств защиты (межсетевые экраны, системы обнаружения атак, системы аутентификации и т.д.) [3]. При передаче голосовых данных по корпоративной сети особое внимание должно уделяться вопросам высокой доступности и отказоустойчивости, так как сбои в системе IP-телефонии, значительно более вероятные, чем в обычной телефонной связи, могут привести к отказам пользователей от ее использования. 2. Физическая безопасность. Желательно все неабонентское оборудование по возможности разместить в специально оборудованных серверных комнатах, а также запретить неавторизованный доступ пользователей к сетевому оборудованию. Это позволит предотвратить несанкционированное подключение компьютера злоумышленника. Кроме того, следует регулярно проверять наличие устройств, несанкционированно подключенных к сети, например, напрямую к сетевому кабелю. Для этого могут быть использованы различные методы и устройства (например, Internet Scanner или Nessus) [3]. 3. Контроль доступа. Для защиты инфраструктуры IP-телефонии может быть испльзован контроль MAC-адресов. Запрет IP-телефонам с неизвестными MAC-адресами на получение доступа к шлюзам и иным элементам IP-сети, передающей голосовые данные, позволит предотвратить несанкционированное подключение “посторонних” IP-телефонов, которые могут прослушивать переговоры или осуществлять телефонную связь за чужой счет. Узлы (в основном, шлюзы, диспетчеры и мониторы) должны быть настроены таким образом, чтобы блокировать все попытки несанкционированного доступа к ним [3]. 4. VLAN. Технология виртуальных локальных сетей (VLAN) обеспечивает безопасное разделение физической сети на несколько изолированных сегментов, функционирующих независимо друг от друга. В IP-телефонии эта технология используется для отделения передачи голоса от передачи обычных данных (файлов, e-mail и т.д.). Диспетчеры, шлюзы и IP-телефоны помещают в выделенную VLAN для передачи голоса. Однако существуют методы, которые позволяют злоумышленникам перехватывать данные даже в коммутированной среде [3]. 5. Шифрование. Использование шифрования не только между шлюзами, но и между IP-телефоном и шлюзом, дает возможность защитить весь путь, который проходят голосовые данные. Однако непрерывное шифрование потока голосовых данных требует времени и зачастую вносит неприемлемые задержки в процесс передачи и приема трафика, что неприемлемо снижает качество передачи данных и вынуждает отказываться от криптографической защиты [3]. При использовании шифрования голосовых данных средства обеспечения контроля качества не смогут предоставить необходимую полосу пропускания и приоритетное обслуживание, что может привести к снижению качества обслуживания. Кроме того, сигнальные протоколы, используемые в IP- телефонии, шифровать не рекомендуется, так как в этом случае будет
