Na úvod » Voip telefonie » články k problematice voip
VoIP, bezpečnost - 9.díl
Spam over Internet Telephony (SPIT)
Ačkoliv si to třeba ještě neuvědomujeme, víme, že to pomalu přichází. Jednoduchý, faktem je, že na světě existují lidé, kteří ač úmyslně či bezmyšlenkovitě zaplavují Internet obrovským objemem SPAMu. Dá se očekávat, že tito lidé v tomto snažení začnou využívat i VoIP. Všichni jistě známe co to je být otravován telemarketingovými hovory a teď si představte, že náklady telemarketingové firmy nebo jedince klesnou na nulu! Jak se nepodařilo regulacemi zastavit email spam, dá se očekávat stejný problém i s hlasovým spamem, což bude úkol pro nás jej zastavit.
Šifrování zvuku pomocí secure RTP
Odchycením RTP streamu může dojít k odposlechu komunikace, během níž může být přeneseno mnoho citlivých informací. Tyto streamy mohou být navíc obohaceny o DMTF tóny zadávané do různých aplikací přes číselnici, čili odposlech znamená velké bezpečnostní riziko.
Použití SRTP je řešením problému, ale jeho implementace a nároky mohou činit systémům jistě problémy.
Spoofing (podvržení identity)
V tradiční telefonní síti je velmi obtížné převzít něčí identitu. Ve světě IP je mnohem snažší zůstat v anonymitě. A není zas tak obtížné si představit záškodníka, který volá do banky pod vaší identitou. Pokud nebudou používány důkladné mechanizmy v boji proti podvržení identity, rychle se naučíme, že není možné VoIP telefonii věřit.
Prevence
První měcí, kterou je třeba mít na paměti je že bezpečnost ve VoIP síti je mnohem jiná než bezpečnost v PSTN. Ve VoIP vychází ze síťových protokolů a je na ni třeba pohlížet z náhledu.
Jedna z nejefektivnějších věcí, které můžeme udělat je zabezpečit přístup do hlasové sítě. Používání firewallů a VLANů jsou příklady, jak toho může být dosáhnuto. Standardně by měla být hlasová síť dostupná pouze za účelem, ke kterému je navržena.
Přestože je třeba mít hlas a data ve stejné síti, může být účelné mít tyto dvě služby oddělené (zjednodušená konfigurace QoS).
Umístěním VoIP systému do DMZ (demilitarizované zóny) může poskytnout další vrstvu ochrany pro LAN při zachování konektivity pro významné aplikace. V případě napadení VoIP systému zvenčí je potom mnohem těžší atakovat zbytek LAN.
Zabezpečení serveru je nejdůležitějším faktorem zabezpečení. Aplikace by NEměla být spuštěna pod rootem.
Šifrovat VoIP provoz budováním VPN tunelů. Je na zvážení, jak je poté provoz náročný na prostředky serveru, ale jedná se o velmi efektivní cestu k zabezpečení VoIP provozu s relativně jednoduchou implementací.
Fyzické zabezpečení by také nemělo být ignorováno. Všechna síťová zařízení i samotná ústředna by měly být umístěny do prostředí přístupné jen autorizovaným osobám. Cestou k zabezpečení může být také zákaz DHCP nebo filtrace MAC adres, které zabrání připojení neautorizovaného zařízení.
Literatura:
Asterisk : The Future of Telephony by Jared Smith ; Jim Van Meggelen ; Leif Madsen, ISBN