Podstata a problémy IP-telefonie, její použití v chráněném režimu. Ochrana proti odposlechu konverzací – bezpečnou SIP telefonii budujeme vlastníma rukama

• tutorial

Čau Habr!
Tentokrát chci mluvit o šifrovacích technologiích pro VoIP hovory, o tom, jaký druh ochrany poskytují různé přístupy a jak uspořádat ty, které jsou nejvíce chráněny před odposlechem. hlasová komunikace se zárukami technologické bezpečnosti.
V tomto článku se pokusím přístupným způsobem popsat vlastnosti takových technologií jako SIP\TLS, SRTP a ZRTP. A na příkladu naší služby ppbbxx.com předvedu konkrétní vzorce použití

Trochu teorie

Co je tedy šifrovaný hovor VoIP? Dále budeme hovořit o protokolu SIP jako o nejoblíbenějším.
Jak jsme již zjistili, hovor se skládá ze signálové a mediální části, z nichž každá může být šifrována samostatně pomocí speciálních protokolových metod. SIP\TLS se používá k šifrování signalizačních informací, k šifrování „hlasu“ se používají protokoly ZRTP a SRTP.

SIP/TLS- zhruba řečeno, analog HTTPS pro běžný SIP. Protokol umožňuje klientovi ujistit se, že s ním komunikuje správný server za předpokladu, že klient důvěřuje certifikátu poskytnutému serverem. Více si můžete přečíst na wikipedii

SRTP A ZRTP jsou dva různé způsoby šifrování RTP streamů. Zásadní rozdíl mezi nimi je v tom, že k výměně klíče za SRTP dochází v signalizaci (v první signalizační fázi sestavování hovoru). A u ZRTP přímo na začátku výměny RTP paketů (v druhé, „mediální“ části) podle speciálního protokolu založeného na kryptografické metodě Diffie-Hellman.
Je důležité, že pro SRTP je předpokladem spolehlivosti šifrování hovorů současné použití SIP\TLS + SRTP, jinak nebude pro útočníka obtížné získat klíče (které budou přenášeny přes nešifrovaný SIP) a poslouchat konverzace. I když to není důležité pro ZRTP, RTP stream bude bezpečně zašifrován, ať už je signalizace zašifrována nebo ne. Kromě toho je protokol schopen určit přítomnost "člověka uprostřed" (včetně servisních serverů!) mezi přímo mluvícími klienty. Tím je zajištěno, že konverzaci nelze odposlouchávat, alespoň z pohledu odposlechu síťové/datové komunikace.

Schéma připojení pro klienty SIP s různým nastavením šifrování:

Lze rozlišit následující schémata pro nastavení šifrovaného hovoru:

1. Oba uživatelé používají SIP\TLS a SRTP. V tomto případě výměna klíčů pro šifrování médií probíhá přes bezpečný signalizační protokol. Předpokládá se důvěra v server zapojený do navazování spojení. Osoby zvenčí nemají přístup k signálním informacím ani k hlasovým datům. Nevýhodou je, že uživatel není upozorněn na úrovni protokolu (klienta) a není přesvědčen, že druhý uživatel také používá šifrované připojení k serveru.
2. Oba uživatelé používají ZRTP, zatímco hlas prochází serverem. V tomto případě je server definován protokolem ZRTP jako Trusted MitM (man in the middle). Výměna klíčů probíhá podle algoritmu založeného na metodě Diffie-Hellman (která zaručuje nemožnost odposlechu) pomocí protokolu RTP. Je-li použito zabezpečené SIP\TLS, cizí osoby také nemají přístup k signalizačním informacím ani k „hlasu“. Stejně jako v první možnosti se předpokládá důvěra v přepínací server, ale na rozdíl od něj pro spolehlivé šifrování hlasu Ne je vyžadováno povinné používání zabezpečeného SIP\TLS. Na rozdíl od první možnosti také každý uživatel vidí, že konverzace je šifrována na serveru na obou stranách a že jsou obě připojeny ke stejnému (důvěryhodnému) serveru.
3. Oba uživatelé používají ZRTP, ale média se instalují přímo mezi klienty. Protože výměna klíčů probíhá přímo mezi klienty, nemůže konverzaci naslouchat ani server, který provedl přepnutí. V tomto případě oba klienti zobrazí informaci, že byla vytvořena zabezpečená přímá relace. Můžete si to ověřit zaškrtnutím SAS (krátké autorizační řetězce) – budou stejné. Pokud chcete skrýt signalizační informace před cizími lidmi, měli byste použít SIP\TLS. Tohle je nejvíc bezpečná varianta, ale v tomto případě server nebude schopen provádět mnoho funkcí, které se na něm provádějí v jiných situacích, například nahrávání samotné konverzace, překódování hlasu pro klienty s různá nastavení audio kodeky atd.
4. Jeden uživatel používá první metodu popsanou výše a druhý používá druhou. V tomto případě je také vyžadována důvěra v server. Signalizační informace jsou šifrovány pomocí SIP\TLS. Pro uživatele se ZRTP protokol ohlásí, že bylo navázáno šifrované spojení se serverem (Konec na MitM). Zda se na druhé straně používá šifrování na úrovni protokolu, nelze zjistit.

Skončeme s teorií a přejděme k praxi! Pojďme si nastavit vlastní SIP server, vytvořit SIP uživatele, nainstalovat SIP klienty a naučit se, jak uskutečňovat šifrované hovory pomocí bezplatné

Ladění serveru

Za prvé, pojďme na " Interní síť -> Domény" a vytvořit si vlastní doménu, abychom nebyli omezováni ve výběru uživatelských jmen SIP. Doménu můžete zaparkovat nebo si vytvořit osobní subdoménu v jedné ze servisních zón.
Dále v sekci " Interní síť -> Sip Users" vytvořit SIP uživatele a nakonfigurovat některé parametry jejich klientů. SIP uživatelská jména mohou být libovolná, ale protože je pohodlnější vytáčet čísla na softphonech a hardwarových telefonech, vytvoříme identifikátory formuláře [e-mail chráněný] a podobně. Zadal jsem 1000, 1001, 1002, 1003. Po vytvoření identifikátoru SIP nezapomeňte kliknout na tlačítko "Uložit". Pokud v rozhraní nastavení nejsou žádné nevyplněné formuláře, systém nebude nadávat a zobrazí protokol změn se stavem „Hotovo“.

Dále je třeba nakonfigurovat používané kodeky a metody šifrování. Chcete-li to provést, klikněte na ikonu ozubeného kola nalevo od SIP ID. Plánuji na svém smartphonu používat klienta SIP (CSipSimple) a chci používat metodu šifrování ZRTP, takže v " základní"Záložka Nastavení Vyberu kodeky G729 a SILK a na záložce" ochrana"Metoda ZRTP.

Můžete si vybrat další možnosti. Důležité je pouze poznamenat, že nastavení pro SIP účet v rozhraní služby musí odpovídat nastavení v klientovi SIP. To je nezbytné pro zajištění správné komunikace mezi klienty s různým nastavením kodeků a šifrování. Také nezapomeňte uložit vytvořenou konfiguraci.

Obecně to stačí k nastavení nejjednodušší konfigurace. Můžete konfigurovat SIP klienty a volat mezi nimi vytočením jejich čísel 1000, 1001, 1002, 1003. V případě potřeby můžete přidat společnou SIP bránu pro hovory do telefonní sítě a nakonfigurovat příslušné směrování hovorů. V tomto případě se ale již jedná o trochu jiné schéma používání služby, které vyžaduje jiný druh bezpečnostních opatření než šifrování provozu na bránu.

Pojďme ke konfiguraci SIP klientů

Spusťte CSipSimple a přejděte do konfiguračního rozhraní. Vybereme průvodce „Základní“ a nakonfigurujeme pomocí dat z webového rozhraní. Mělo by to dopadnout takto:

Dále v obecném nastavení CSipSimple v sekci " Média -> Audio kodeky" musíte vybrat preferované kodeky. Pro volání přes 3G doporučuji použít SILK, OPUS, iLBC, G729. Vzhledem k tomu, že nastavení v rozhraní serveru a v rozhraní klienta se musí shodovat a na serveru jsem si vybral SILK a G729, pak v seznamu zvukových kodeků CSipSimple zaškrtnu pouze tyto kodeky a zbytek odškrtnu.
V klientské sekci Síť -> Zabezpečený protokol"je třeba vybrat požadované parametry šifrování. Povoluji pouze ZRTP. Zbytek nechávám vypnutý. Pokud chcete, můžete použít SIP\TLS - musíte vzít v úvahu, že server očekává připojení TLS na 443. portu." To se provádí speciálně pro příliš chytré operátory mobilní komunikace, blokující standardní porty pro VoIP.
Je třeba také vzít v úvahu, že SRTP a ZRTP nejsou vždy kompatibilní a je velmi žádoucí vybrat v klientovi pouze jeden z nich.

Telefonování pomocí ZRTP

Ihned po provedení instrukce bude SIP volání uživatele 1001 uživateli 1000 vypadat takto.
CSipSimple ukazuje, že volání zahrnuje server MitM, ke kterému jsou připojeni oba klienti. Nastavení EC25 znamená, že se používá protokol Elliptic Curve Diffie-Hellman s 256bitovým nastavením. AES-256 je symetrický šifrovací algoritmus, který se používá. Stav ZRTP - Ověřeno znamená, že řídicí řetězec SAS byl ověřen uživatelem.

Změňme režim přenosu médií v nastavení ppbbxx pro oba klienty. Nastavení přímého média = ano umožní přímý přenos hlasu. V tomto případě strany vidí stejné řetězce SAS, je použit symetrický šifrovací algoritmus Twofish-256. Použití ZRTP v tomto režimu vyžaduje, aby klienti byli mnohem kompatibilnější a méně spolehliví z hlediska navazování spojení, protože server se nepodílí na přenosu dat. Ujistěte se, že používáte stejné zvukové kodeky na všech klientech a NAT funguje správně.

Pokud uživatel SIP 1001 nemá nainstalované šifrování, zatímco 1000 používá ZRTP, pak druhý klient ukáže, že šifrovaný přenos hlasu probíhá pouze na server (Konec na MitM).

Shrnutí

Velmi zajímavý článek o bezpečnosti v IP telefonii byl publikován na webu linkmeup.ru. Šíříme to beze změn takříkajíc od autora.

=======================

Ahoj kolegové a přátelé, já, Vadim Semenov, spolu s projektovým týmem network-class.net vám předkládám přehledný článek, který se dotýká hlavních trendů a hrozeb v IP telefonii a především těch ochranných nástrojů, které jsou tento moment je výrobcem nabízena jako ochrana (řečeno bezpečnostními experty, uvažme, jaké nástroje výrobce nabízí ke snížení zranitelnosti, kterých mohou nemanželské osoby využít). Takže méně slov – pojďme na věc.
Pro mnoho čtenářů se již dávno zformoval pojem IP telefonie a také to, že tato telefonie je „lepší“, levnější ve srovnání s veřejnou telefonií (PSTN), bohatá na různé další funkce atd. A to je pravda, nicméně...zčásti. Jak přecházíme od analogové (digitální) telefonie s vlastní účastnické linky(od účastnického telefonu ke stanici nebo staniční pobočce) a spojovací linky (mezistaniční komunikační linka) byly neméně než pouze v přístupové a kontrolní zóně poskytovatele telefonie. Jinými slovy, nebyl tam přístup pro běžné obyvatele (no, nebo prakticky, pokud nepočítáte kabelovody). Vzpomínám si na jednu otázku na starém dobrém hackerském fóru „Řekni mi, jak získat přístup k ústředně? - odpověď: "No, vezmeš buldozer - narazíš do zdi budovy ATS a voila." A tento vtip má svůj díl pravdy) S přechodem telefonování do levného IP prostředí jsme ale navíc dostali hrozby, které s sebou otevřené IP prostředí nese. Příklady získaných hrozeb zahrnují:

• Snímání signalizačních portů k potvrzení mýtné hovory na cizí náklady
• Odposlouchávání odposlechem IP hlasových paketů
• Zachycování hovorů, předstírání identity nelegitimního uživatele jako legitimního uživatele, útok typu man-in-the-middle
• DDOS útoky na signalizační servery stanice s cílem deaktivovat veškerou telefonii
• Spamové útoky, zhroucení velkého počtu fantomových volání na stanici s cílem vzít všechny její volné zdroje

Navzdory zřejmé potřebě eliminovat všechny možné zranitelnosti za účelem snížení pravděpodobnosti konkrétního útoku, ve skutečnosti musí realizace určitých ochranných opatření začínat harmonogramem, který zohledňuje náklady na provedení ochranných opatření proti konkrétní hrozbě a ztráty podniku z implementace této hrozby útočníky. Je přece pošetilé utrácet více peněz za zabezpečení aktiva, než kolik stojí samotné aktivum, které chráníme.
Po stanovení rozpočtu na bezpečnost začneme eliminovat přesně ty hrozby, které jsou pro společnost nejpravděpodobnější, například pro malou organizaci bude nejbolestivější dostat velký účet za nedokonalé meziměstské a mezinárodní hovory, zatímco pro státní společnosti je nejdůležitější zachovat důvěrnost rozhovorů. Postupnou úvahu v aktuálním článku začněme od základních věcí – jde o ustanovení bezpečným způsobem doručení servisních dat ze stanice do telefonu. Dále zvažte autentizaci telefonů před jejich připojením ke stanici, autentizaci stanice ze strany telefonů a šifrování signalizačního provozu (pro skrytí informací o tom, kdo kam volá) a šifrování konverzačního provozu.
Mnoho výrobců hlasových zařízení (včetně Cisco Systems) již má integrované bezpečnostní nástroje z obvyklého omezení rozsahu IP adres, ze kterých lze volat na autentizaci koncových bodů pomocí certifikátu. Například výrobce Cisco Systems se svou hlasovou produktovou řadou CUCM (Cisco Unified CallManager) od verze produktu 8.0 (datum vydání květen 2010; aktuálně je k dispozici verze 10.5 z května 2014) začal integrovat funkci „Security by default“. Co to zahrnuje:

• Ověření všech souborů stažených přes/z TFTP (konfigurační soubory, soubory firmwaru pro telefony atd.)
• Šifrování konfiguračních souborů
• Ověření certifikátu telefonem inicializujícím připojení HTTPS

Podívejme se na příklad útoku „man in the middle“, kdy nemanželská osoba zachytí konfigurační soubory pro telefony, ze kterých se telefon dozví, na které stanici se má zaregistrovat, na jakém protokolu pracovat, jaký firmware stáhnout atd. . Zachycením souboru v něm útočník bude moci provést své vlastní změny nebo úplně přepsat konfigurační soubor, čímž zabrání telefonům celé kanceláře (viz obrázek) v registraci na stanici a v důsledku toho připraví kancelář o schopnost volat.

Obr.1 Útok "muž uprostřed"

Abychom se proti tomu chránili, potřebujeme znalosti o asymetrickém šifrování, infrastruktuře veřejných klíčů a porozumění komponentám „Security by Default“, se kterými se nyní setkáme: Identity Trust List (ITL) a Trust Verification Service (TVS). TVS je služba určená ke zpracování požadavků z IP telefonů, které nemají ve své vnitřní paměti soubor ITL nebo CTL. IP telefon v případě potřeby kontaktuje TVS, aby se ujistil, že může důvěřovat konkrétní službě, než k ní začne přistupovat. Stanice také funguje jako úložiště, které uchovává certifikáty důvěryhodných serverů. ITL je zase seznam veřejných klíčů prvků, které tvoří cluster stanic, ale pro nás je důležité, aby tam byl uložen veřejný klíč TFTP serveru a veřejný klíč služby TVS. Při úvodním bootování telefonu, kdy telefon obdrží svou IP adresu a adresu TFTP serveru, požaduje přítomnost souboru ITL (obr. 2). Pokud je na serveru TFTP, pak jej ve slepé důvěře nahraje do své vnitřní paměti a uloží jej až do příštího restartu. Po stažení souboru ITL si telefon vyžádá podepsaný konfigurační soubor.

Nyní se podívejme, jak můžeme využít kryptografické nástroje – podepsání souboru pomocí hashovacích funkcí MD5 nebo SHA a jeho zašifrování pomocí privátního klíče TFTP serveru (obr. 3). Zvláštností hašovacích funkcí je, že se jedná o jednosměrné funkce. Podle přijatého hashe z libovolného souboru není možné provést obrácenou operaci a získat přesně původní soubor. Při změně souboru se změní i samotný hash získaný z tohoto souboru. Stojí za zmínku, že hash není zapsán do samotného souboru, ale jednoduše k němu přidán a přenášen spolu s ním.

Obr.3 Podepsání konfiguračního souboru telefonu

Při generování podpisu se vezme samotný konfigurační soubor, z něj se extrahuje hash a zašifruje se soukromým klíčem TFTP serveru (který má pouze TFTP server).
Při příjmu tohoto souboru s nastavením telefon nejprve zkontroluje jeho integritu. Pamatujeme si, že hash je jednosměrná funkce, takže telefonu nezbývá nic jiného, ​​než oddělit hash zašifrovaný TFTP serverem od konfiguračního souboru, dešifrovat jej pomocí veřejného klíče TFTP (jak to IP telefon pozná? - ale jen ze souboru ITL ), vypočítejte hash z čistého konfiguračního souboru a porovnejte jej s tím, co jsme obdrželi při dešifrování. Pokud se hash shoduje, pak nebyly v souboru během přenosu provedeny žádné změny a lze jej bezpečně použít v telefonu (obr. 4).

Obr.4 Kontrola konfiguračního souboru IP telefonu

Podepsaný konfigurační soubor pro telefon je zobrazen níže:

Rýže. 5 Podepsaný soubor IP telefonu ve Wiresharku

Podepsáním konfiguračního souboru jsme mohli zajistit integritu přenášeného souboru nastavení, ale nechránili jsme jej před prohlížením. Z uloveného konfiguračního souboru lze získat poměrně hodně užitečné informace, například IP adresa telefonní ústředny (v našem příkladu je to 192.168.1.66) a otevřené porty na ústředně (2427) atd. Není to docela důležitá informace, kterou byste nechtěli jen tak „zazářit“ na síti? Pro skrytí těchto informací výrobci poskytují použití symetrického šifrování (stejný klíč se používá pro šifrování a dešifrování). V jednom případě lze klíč zadat do telefonu ručně, v druhém případě je konfigurační soubor telefonu zašifrován na stanici pomocí veřejného klíče telefonu. Před odesláním souboru do telefonu jej tftp server, na kterém je tento soubor uložen, zašifruje pomocí veřejného klíče telefonu a podepíše pomocí svého soukromého klíče (tím zajistíme nejen utajení, ale i integritu přenesené soubory). Zde jde především o to, aby se nepletlo, kdo jaký klíč používá, ale vezměme to popořadě: tftp server zašifrováním souboru veřejným klíčem IP telefonu zajistil, že otevřít mohl pouze vlastník spárovaného veřejného klíče tento soubor. Podepsáním souboru jeho soukromým klíčem tftp server ověří, že to byl ten, kdo jej vytvořil. Zašifrovaný soubor je znázorněn na obrázku 6:

Obr.6 Šifrovaný soubor IP telefonu

V tuto chvíli jsme tedy zvažovali možnost ochrany našich konfiguračních souborů pro telefony před zobrazením a zajištění jejich integrity. Zde funkce „Výchozí zabezpečení“ končí. Pro zajištění šifrování hlasového provozu, skrytí signalizačních informací (o tom, kdo volá a kam volat), jsou zapotřebí další nástroje založené na seznamu důvěryhodných certifikátů - CTL, které budeme zvažovat níže.

Autentizace telefonní ústředny

Když telefon potřebuje komunikovat s telefonní ústřednou (například vyjednat TLS spojení pro signalizační ústřednu), IP telefon potřebuje ústřednu autentizovat. Jak asi tušíte, certifikáty se také široce používají k řešení tohoto problému. V současné době se moderní IP stanice skládají z velkého množství prvků: několik signalizačních serverů pro zpracování hovorů, dedikovaný administrační server (jehož prostřednictvím se přidávají nové telefony, uživatelé, brány, pravidla směrování atd.), dedikovaný TFTP server pro ukládání konfiguračních souborů a softwaru pro telefony, server pro vysílání hudby na počkání atd., kromě toho může mít hlasová infrastruktura hlasovou poštu, server pro zjištění aktuálního stavu účastníka (online, offline, "na obědě") - seznam je působivý a co je nejdůležitější, každý server má svůj vlastní certifikát s vlastním podpisem a každý funguje jako kořenová certifikační autorita (obr. 7). Z tohoto důvodu žádný server v hlasové infrastruktuře nebude důvěřovat certifikátu jiného serveru, například hlasový server nedůvěřuje serveru TFTP, hlasová pošta nedůvěřuje signalizačnímu serveru a telefony navíc musí uchovávat certifikáty všechny prvky účastnící se výměny signalizačního provozu. Certifikáty telefonní ústředny jsou zobrazeny na obrázku 7.

Obrázek 7 Cisco IP Station Self-Signed Certificates

Pro úkoly navazování důvěryhodných vztahů mezi výše uvedenými prvky v hlasové infrastruktuře a také šifrování hlasového a signalizačního provozu přichází v úvahu tzv. Certificate Trust List (CTL). CTL obsahuje všechny certifikáty s vlastním podpisem všech serverů v clusteru hlasových stanic i těch, které se účastní výměny telefonních signalizačních zpráv (například firewall) a tento soubor je podepsán soukromým klíčem důvěryhodné certifikační autority ( Obr. 8). Soubor CTL je ekvivalentní nainstalovaným certifikátům, které používají webové prohlížeče při práci s protokolem https.

Obr.8 Seznam důvěryhodných certifikátů

Abyste mohli vytvořit soubor CTL na zařízení Cisco, budete potřebovat počítač s USB konektorem, na něm nainstalovaný klientský program CTL a samotný bezpečnostní token správce webu (SAST) (obr. 9), který obsahuje soukromý klíč a certifikát X.509v3 podepsaný výrobcem ověřovacího centra (Cisco).

Obrázek 9 Cisco eToken

CTL klient je program, který se instaluje na PC s Windows a pomocí kterého převedete celou telefonní ústřednu do tzv. smíšeného režimu, tedy smíšeného režimu pro podporu registrace koncových zařízení v bezpečném a nezabezpečeném režimu. Spustíme klienta, zadáme IP adresu telefonní ústředny, zadáme administrátorské jméno / heslo a CTL klient naváže TCP spojení na portu 2444 se stanicí (obr. 10). Poté budou nabídnuty pouze dvě akce:

Obrázek 10 Cisco CTL Client

Po vytvoření souboru CTL zbývá restartovat servery TFTP, aby si nahrály nově vytvořený soubor CTL, a poté restartovat hlasové servery, aby se restartovaly i IP telefony a stáhly nový soubor CTL (32 kB). Stažený soubor CTL lze zobrazit v nastavení IP telefonu (obr. 11)

Obr.11 Soubor CTL na IP telefonu

Autentizace koncového bodu

Ověření zařízení musí být implementováno, aby bylo zajištěno, že se připojují a registrují pouze důvěryhodná koncová zařízení. Mnoho výrobců v tomto případě používá již osvědčený způsob – autentizaci zařízení pomocí certifikátů (obr. 12). Například v hlasové architektuře Cisco je to implementováno následovně: existují dva typy certifikátů pro autentizaci s odpovídajícími veřejnými a soukromými klíči, které jsou uloženy v telefonu:
Certifikát instalovaný výrobcem - (MIC). Certifikát nainstalovaný výrobcem obsahuje 2048bitový klíč, který je podepsán certifikační autoritou společnosti výrobce (Cisco). Tento certifikát není nainstalován na všech modelech telefonů, a pokud je nainstalován, není potřeba mít další certifikát (LSC).
Lokálně významný certifikát – (LSC) Lokálně významný certifikát, který obsahuje veřejný klíč IP telefonu, který je podepsán soukromým klíčem místního autentizačního centra, které běží na funkci proxy certifikačního úřadu (CAPF) telefonní ústředny.
Pokud tedy máme telefony s předinstalovaným MIC certifikátem, tak při každé registraci telefonu ke stanici si stanice vyžádá výrobcem předinstalovaný certifikát pro autentizaci. Pokud je však MIC kompromitován, je třeba jej vyměnit certifikační autoritou výrobce, což může zabrat spoustu času. Abyste nebyli závislí na době odezvy certifikační autority výrobce při opětovném vydání kompromitovaného certifikátu telefonu, je vhodnější použít místní certifikát.

Obr.12 Certifikáty pro autentizaci koncových bodů

Ve výchozím nastavení není certifikát LSC na IP telefonu nainstalován a jeho instalace je možná pomocí certifikátu MIB (pokud existuje), nebo prostřednictvím připojení TLS (Transport Layer Security) pomocí sdíleného klíče, který ručně vygeneruje správce na adrese stanice a zadali na telefonu.
Proces instalace lokálně významného certifikátu (LSC) do telefonu obsahujícího veřejný klíč telefonu podepsaný místní certifikační autoritou je znázorněn na obrázku 13:

Obrázek 13 Proces instalace lokálně významného certifikátu LSC

1. Po stažení IP si telefon vyžádá důvěryhodný seznam certifikátů (soubor CTL) a konfigurační soubor
2. Stanice odešle požadované soubory
3. Z přijaté konfigurace telefon určí, zda potřebuje ze stanice stáhnout lokálně významný certifikát (LSC).
4. Pokud jsme nastavili stanici pro telefon na instalaci LSC certifikátu (viz níže), kterým stanice tento IP telefon autentizuje, pak musíme dbát na to, aby žádost o vydání LSC certifikátu - stanice jej vydala tomu, komu je určeno. Pro tyto účely můžeme použít certifikát MIC (pokud existuje), vygenerovat jednorázové heslo pro každý telefon a zadat jej ručně v telefonu, nebo autorizaci vůbec nepoužívat.
Příklad ukazuje proces instalace LSC pomocí generovaného

Běží na SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Hostováno na http://www.allbest.ru/

Úvod

1 Budování sítě IP telefonie

1.1 Dopravní technologie přepínání paketů

1.2 Vrstvy architektury IP telefonie

1.3 Různé přístupy k budování sítí IP telefonie

1.3.1 Síť založená na H.323

1.3.2 Síť založená na SIP

1.3.3 Síť založená na MGCP

1.4 Porovnání přístupů k budování sítě IP telefonie

1.5 Varianty systémů IP telefonie (scénáře)

2. Typy hrozeb v IP telefonii a způsoby jejich řešení

2.1 Typy hrozeb v IP telefonii

2.2 Způsoby ochrany kryptografických informací

2.3 Odposlech

2.4 Zabezpečení přístupové sítě

2.5 Autentizační technologie

3. Zajištění bezpečnosti z hlediska kontroly přístupových práv ke zdrojům (AAA). Porovnání protokolů TACACS+ a RADIUS

3.1 Nepřímá autentizace

3.2 Technologie AAA založené na protokolu TACACS+

3.2.1 Protokol TACACS+

3.2.2 Vlastnosti protokolu TACACS+

3.2.3 AAA procesy v protokolu TACACS+

3.3 Technologie AAA založené na protokolu RADIUS

3.3.1 Protokol RADIUS

3.3.2 Vlastnosti a možnosti protokolu RADIUS

3.3.4 Proces auditu RADIUS

3.3.5 Porovnání vlastností protokolů TACACS+ a RADIUS

3.3.6 Technické nesrovnalosti s teoretickými charakteristikami protokolů TACACS a RADIUS

Závěr

Seznam použitých zdrojů

Úvod

IP-telefonie má dostatek výhod na to, aby se brzy rozšířila po celé naší zemi; s přihlédnutím k ekonomickým aspektům a poselství prezidenta Republiky Kazachstán Nursultana Abisheviče Nazarbajeva k lidu Kazachstánu „Nová dekáda, nová hospodářská obnova, nové příležitosti pro Kazachstán“: „Přední světové ekonomiky budou fungovat v obtížnějším , konkurenční prostředí a přijme preventivní opatření k přípravě na další ekonomický cyklus, zvýšení produktivity práce, investice do infrastruktury a telekomunikací, posílení finančních systémů, zefektivnění veřejné správy a vytvoření příznivého prostředí pro rozvoj podnikání.“

VoIP je komunikační systém, který zajišťuje přenos hlasového signálu přes internet nebo přes jakékoli jiné IP sítě. Signál je přenášen komunikačním kanálem v digitální formě a zpravidla je před přenosem konvertován (komprimován), aby se odstranila redundance.

Pryč jsou doby, kdy se operátoři obávali použití IP telefonie, protože úroveň zabezpečení takových sítí byla nízká. Dnes již můžeme říci, že IP-telefonie se stala jakýmsi standardem v telefonické komunikaci. To je způsobeno pohodlím, relativní spolehlivostí a relativně nízkou cenou IP telefonie ve srovnání s analogová komunikace. Lze tvrdit, že IP telefonie zvyšuje efektivitu podnikání a umožňuje takové dříve nedostupné operace, jako je integrace s různými obchodními aplikacemi.

Pokud mluvíme o nedostatcích a zranitelnostech IP telefonie, měli bychom si v první řadě povšimnout stejných „nemocí“, kterými trpí jiné služby využívající IP protokol. Jedná se o náchylnost k útokům červů a virů, útokům DoS, neoprávněnému vzdálenému přístupu atd.

Přestože při budování infrastruktury IP telefonie bývá tato služba oddělena od síťových segmentů, do kterých „chodí“ nehlasová data, není to ještě záruka bezpečnosti. Dnes velký počet společnosti integrují IP telefonii s dalšími aplikacemi, jako je e-mail. Na jedné straně se tak objevují další vymoženosti, na druhé straně však nové zranitelnosti. Kromě toho je pro provoz sítě IP telefonie vyžadováno velké množství komponent, jako jsou podpůrné servery, přepínače, směrovače, firewally, IP telefony atd.

Mezi hlavní hrozby, kterým je IP telefonní síť vystavena, patří:

Registrace terminálu někoho jiného, ​​což vám umožní volat na cizí náklady;

Substituce předplatitele;

Ukončení komunikační relace;

Odmítnutí služby;

Vzdálený neoprávněný přístup ke komponentám infrastruktury IP telefonie;

Neoprávněná aktualizace softwaru na IP telefonu (například za účelem zavedení trojského koně nebo spywaru);

Hackování fakturačního systému (pro telefonování operátora).

Toto není celý seznam možné problémy související s používáním IP telefonie. Organizace VoIP Security Alliance (VOIPSA) vypracovala dokument popisující širokou škálu hrozeb pro IP telefonii, která kromě technických hrozeb zahrnuje i vydírání prostřednictvím IP telefonie, spam atd.

A přesto je hlavní zranitelností IP telefonie lidský faktor, který nastavil zuby. Bezpečnostní problém při nasazení IP telefonní síťčasto odsouvány do pozadí a výběr řešení probíhá bez účasti bezpečnostních specialistů. Kromě toho specialisté ne vždy správně nakonfigurují řešení, i když má správné ochranné mechanismy, nebo jsou zakoupeny ochranné nástroje, které nejsou navrženy pro efektivní zpracování hlasového provozu (například firewally nemusí rozumět proprietárnímu signalizačnímu protokolu používanému v IP telefonní řešení). V konečném důsledku je organizace nucena vynaložit další finanční a lidské zdroje na ochranu nasazeného řešení nebo na překonání jeho nejistoty.

1 . Budování sítěIP-telefonie

1.1 Technologie přenosu paketů

Většina prodejců se širokou škálou produktů pro paketovou telefonii je v „technologicky neutrální“ pozici a umožňuje zákazníkovi vybrat si technologii, která nejlépe vyhovuje jejich integrační strategii. Hlavní technologie pro přenos paketového hlasu - Frame Relay, ATM a směrování paketů IP - se liší efektivitou využívání komunikačních kanálů, stupněm pokrytí různých částí sítě, spolehlivostí, ovladatelností, ochranou informací a přístupu a také cenou. .

Obrázek 1.1. Řeč na bankomatu

Obrázek 1.2. Řeč přes Frame Relay

Obrázek 1.3. Řeč přes IP

Transportní technologie ATM se již několik let úspěšně používá ve veřejných páteřních sítích a podnikových sítích a nyní je aktivně využívána pro vysokorychlostní přístup přes kanály xDSL (pro malé kanceláře) a SDH / Sonet (pro velké podniky).

Hlavními výhodami této technologie jsou její vyspělost, spolehlivost a dostupnost pokročilých nástrojů pro správu provozu sítě. Má nepřekonatelné mechanismy účinnosti pro řízení kvality služeb a sledování využití síťových zdrojů. Omezený výskyt a vysoké náklady na vybavení však neumožňují uvažovat o bankomatech Nejlepší volba pro organizování koncových telefonních spojení z jednoho koncového uzlu do druhého. Technologie Frame Relay byla předurčena k tomu, aby hrála stejnou roli v paketové telefonii jako kvazielektronické ústředny v telefonii s přepojováním okruhů: ukázaly příklad účinné programově řízené techniky, ale měly omezené příležitosti další vývoj.

Mnoho podnikových sítí se stalo uživateli levných služeb Frame Relay, které poskytují předvídatelný výkon, a většina z nich je se svou volbou docela spokojena. V krátkodobém horizontu bude technologie přenosu hlasu přes Frame Relay docela efektivní pro organizaci multi-servisního přístupu a komunikačních kanálů na dlouhé vzdálenosti. Sítě Frame Relay ale nejsou příliš běžné: v praxi se zpravidla používají nepřepínaná spojení v režimu point-to-point.

Technologie pro přenos hlasových informací po sítích s IP směrováním paketů zaujme především svou všestranností – řeč lze převést na proud IP paketů v jakémkoli místě síťové infrastruktury: na páteři sítě operátora, na okraj geograficky distribuované sítě, v firemní síť a to i přímo v terminálu koncového uživatele. Nakonec se stane nejrozšířenější technologií paketové telefonie, protože je schopna pokrýt všechny segmenty trhu a zároveň je vysoce přizpůsobivá novým aplikacím. Navzdory všestrannosti protokolu IP je přijetí systémů IP telefonie omezeno skutečností, že mnoho operátorů je považuje za nedostatečně spolehlivé, špatně spravované a málo efektivní. Ale dobře navržená síťová infrastruktura s účinnými mechanismy pro zajištění kvality služeb činí tyto nedostatky bezvýznamnými. Náklady na systémy IP telefonie na jeden port jsou na úrovni (nebo mírně nižší) nákladů na systémy Frame Relay a rozhodně nižší než náklady na zařízení ATM. Již nyní je přitom zřejmé, že ceny produktů IP telefonie klesají rychleji než ostatních produktů a že na tomto trhu výrazně roste konkurence.

1.2 Vrstvy architektury IP telefonie

Architekturu technologie Voice over IP lze zjednodušit jako dvě roviny. Spodní rovina je jádrová síť se směrováním paketů IP, horní rovina je architektura řízení služby otevřeného volání (požadavek na komunikaci).

Nižší rovina, zjednodušeně řečeno, je kombinací dobře známých internetových protokolů: jedná se o RTP (Real Time Transport Protocol), který funguje nad UDP (User Datagram Protocol), který se zase nachází v zásobník protokolu TCP/IP nad protokolem IP.

Hierarchie RTP/UDP/IP je tedy jakýmsi transportním mechanismem pro hlasový provoz. Zde také poznamenáváme, že v sítích se směrováním paketů IP pro přenos dat jsou vždy k dispozici mechanismy pro opětovné vysílání paketů v případě ztráty.

Při přenosu informací v reálném čase použití takových mechanismů situaci pouze zhorší, a proto k přenosu informací citlivých na zpoždění, ale méně citlivých na ztráty, jako jsou řečové a obrazové informace, doručování informací RTP / UDPD / IP používá se mechanismus. Doporučení ITU-T umožňují zpoždění v jednom směru nepřesahující 150 ms. Pokud přijímací stanice požaduje opětovné odeslání paketu IP, budou zpoždění příliš dlouhá.

Nyní se přesuneme do horní řídicí roviny pro obsluhu požadavků na komunikaci. Obecně řečeno, řízení služby volání zahrnuje rozhodování o tom, kam by měl být hovor směrován a jak by mělo být navázáno spojení mezi účastníky.

Nástroj pro takové řízení je telefonní systémy signalizace, počínaje systémy podporovanými výměnami v krocích dekády a poskytujícími kombinaci funkcí směrování a funkcí vytváření přepínaného konverzačního kanálu ve stejných vyhledávačích v krocích dekády. Principy signalizace se dále vyvinuly k signalizačním systémům přes vyhrazené signalizační kanály, k vícefrekvenční signalizaci, k protokolům společné signalizace kanálu č. 7 a k přenosu směrovacích funkcí do odpovídajících uzlů pro zpracování služeb inteligentní sítě.

V sítích s přepojováním paketů je situace složitější. Síť se směrováním paketů IP zásadně podporuje širokou škálu směrovacích protokolů současně.

Tyto protokoly jsou dnes: RIP – Routing Information Protocol, IGRP – Interior Gateway Routing Protocol, EIGRP – Enhanced Interior Gateway Routing Protocol, IS-IS – Intermediate System-to-intermediate System, OSPF – Open Shortest Path First, BGP – Border Gateway Protocol , atd. Stejným způsobem byla vyvinuta řada protokolů pro IP telefonii.

Protokol specifikovaný v ITU-T H.323 je nejrozšířenější, částečně proto, že byl používán dříve než jiné protokoly, které navíc před zavedením H.323 vůbec neexistovaly.

Další protokol řídicí roviny služby volání, SIP, se zaměřuje na to, aby byla koncová zařízení a brány inteligentnější a podporovaly se Doplňkové služby pro uživatele.

Další protokol - SGCP - byl vyvíjen od roku 1998 za účelem snížení nákladů na brány implementací funkcí inteligentního zpracování hovorů v centralizovaných zařízeních. Protokol IPDC je velmi podobný SGCP, ale má mnohem více provozních kontrolních mechanismů (OAM&P) než SGCP. Koncem roku 1998 pracovní skupina MEGACO IETF vyvinula protokol MGCP, založený převážně na protokolu SGCP, ale s některými doplňky OAM&P.

Pracovní skupina MEGACO se tam nezastavila, pokračovala ve zdokonalování protokolu pro ovládání brány a vyvinula protokol MEGACO, který je funkčnější než MGCP.

1.3 Různé přístupy k budování sítí IP telefonie

Aby bylo jasné, jak přesně se od sebe protokoly liší, krátce zopakuji architekturu sítí vybudovaných na základě těchto protokolů a postupy pro navazování a ukončování spojení pomocí nich.

1.3 .1 Síť založená na protokolu H.323

Vůbec první přístup k budování sítí IP telefonie na standardizovaném základě navrhla Mezinárodní telekomunikační unie (ITU) v doporučení H.323. Sítě založené na protokolech H.323 jsou orientovány na integraci s telefonními sítěmi a lze je považovat za sítě ISDN nadřazené datovým sítím.

Zejména postup navazování spojení v takových sítích IP telefonie je založen na doporučení Q.931 a je podobný postupu používanému v sítích ISDN.

Doporučení H.323 poskytuje poměrně složitou sadu protokolů, které jsou určeny k více než pouhému přenosu hlasových informací po sítích IP s přepojováním paketů. Jeho účelem je zajistit provoz multimediálních aplikací v sítích s negarantovanou kvalitou služby. Hlasový provoz je spolu s videem a daty jen jednou z aplikací H.323.

Možnost budování sítí IP telefonie, navržená Mezinárodní telekomunikační unií v doporučení H.323, je vhodná pro ty operátory lokálních telefonních sítí, kteří mají zájem využívat paketově přepínanou síť (IP síť) k poskytování meziměstských a mezinárodních sítí. komunikační služby. Protokol RAS, který je součástí rodiny protokolů H.323, poskytuje kontrolu nad využíváním síťových zdrojů, podporuje ověřování uživatelů a může poskytovat poplatky za služby.

Obrázek 1.4 ukazuje architekturu sítě založenou na doporučení H.323. Hlavní síťová zařízení jsou: terminál (Terminal), brána (Gateway), gatekeeper (Gatekeeper) a zařízení pro řízení konferencí (Multipoint Control Unit - MCU).

Obrázek 1.4. Síťová architektura H.323

Terminál H.323 je uživatelský terminál sítě IP telefonie, který zajišťuje obousměrnou hlasovou (multimediální) komunikaci s jiným terminálem H.323, bránou nebo zařízením pro řízení konference.

Brána IP telefonie implementuje přenos hlasového provozu po sítích s IP směrováním paketů pomocí protokolu H.323. Hlavním účelem brány je převádět hlasové informace přicházející z PSTN do podoby vhodné pro přenos po sítích s IP paketovým směrováním. Kromě toho brána převádí signalizační zprávy DSS1 a SS7 na signalizační zprávy H.323 a provádí zpětnou transformaci v souladu s doporučením ITU H.246.

Veškerá inteligence sítě IP telefonie je soustředěna v gatekeeperu.

Síť vybudovaná v souladu s doporučením H.323 má zónovou architekturu (obrázek 1.5). Gatekeeper plní funkce správy jedné zóny sítě IP telefonie, která zahrnuje: terminály, brány, zařízení pro řízení konferencí registrovaná u tohoto gatekeepera. Samostatné fragmenty zóny sítě H.323 mohou být geograficky rozptýleny a vzájemně propojeny prostřednictvím směrovačů.

Obrázek 1.5. Zóna sítě H.323

Nejdůležitější funkce vrátného jsou:

Registrace koncových a jiných zařízení;

Řízení přístupu uživatelů systému ke službám IP telefonie pomocí RAS signalizace;

Převod volaného uživatele (inzerované jméno účastníka, telefonní číslo, e-mailová adresa atd.) na transportní adresu sítí s IP paketovým směrováním (IP adresa + číslo TCP portu);

Řízení, správa a rezervace šířky pásma sítě;

Přenos H.323 signalizačních zpráv mezi terminály.

V jedné IP telefonní síti, která splňuje požadavky doporučení ITU H.323, může být několik gatekeeperů vzájemně interagujících pomocí protokolu RAS.

Kromě základních funkcí definovaných H.323 může být gatekeeper zodpovědný za autentizaci uživatele a účtování za telefonní spojení. Zařízení pro řízení konference poskytuje možnost organizovat komunikaci mezi třemi nebo více účastníky.

Doporučení H.323 poskytuje tři typy konferencí (obrázek 1.6): centralizované (tj. řízené MCU, ke kterému se každý účastník konference připojuje v režimu point-to-point), decentralizované (kdy se každý účastník konference připojuje ke zbytku své konference). účastníci v režimu point-to-point).skupina bodů) a smíšené.

Výhodou centralizované konference je relativně jednoduché koncové vybavení, nevýhodou vysoká cena ovládacího zařízení konference.

Decentralizované konference vyžadují sofistikovanější koncové zařízení a je žádoucí, aby IP síť podporovala přenos IP paketů v režimu multicast (IP multicasting). Pokud tento režim není v síti podporován, musí terminál přenášet hlasové informace každému z ostatních účastníků konference v režimu point-to-point.

Zařízení pro řízení konference se skládá z jednoho povinného prvku - správce konference (Multipoint Controller - MC), a navíc může obsahovat jeden nebo více procesorů pro zpracování uživatelských informací (Multipoint Processor - MP). Ovladač může být fyzicky umístěn společně se správcem brány, bránou nebo konferenčním řídicím zařízením, a to druhé může být umístěno společně s bránou nebo správcem brány.

Výkres. 1.6. Typy konferencí v sítích H.323

Konferenční správce se používá k uspořádání konference jakéhokoli druhu. Organizuje výměnu dat mezi účastníky konference o režimech podporovaných jejich terminály a udává, v jakém režimu mohou účastníci konference přenášet informace, přičemž tento režim se může v průběhu konference měnit, například když se k ní připojí nový účastník.

Protože v síti může být několik kontrolérů, pro každou nově vytvořenou konferenci a speciální postup identifikace správce, který bude tuto konferenci řídit.

Při organizaci centralizované konference musí být kromě MS controlleru použit MP procesor, který zpracovává informace o uživatelích. Procesor MP je zodpovědný za přepínání nebo míchání hlasových, obrazových a datových toků. Decentralizovaná konference nevyžaduje procesor.

Existuje další prvek sítě H.323, proxy H.323, tzn. proxy server. Tento server pracuje na aplikační vrstvě a může kontrolovat pakety informací vyměňovaných mezi dvěma aplikacemi.

Proxy server může určit, se kterou aplikací (H.323 nebo jinou) je volání spojeno, a vytvořit příslušné připojení. Proxy server provádí následující klíčové funkce:

Připojení prostřednictvím zařízení pro telefonický přístup nebo místních sítí terminálů, které nepodporují protokol RSVP (Resource Reservation Protocol). Dva takové proxy servery mohou vytvořit tunelové spojení v IP síti s danou kvalitou služby;

Směrování provozu H.323 odděleně od běžného datového provozu;

Zajištění kompatibility s NAT, protože zařízení H.323 lze umístit do sítí s adresním prostorem privátní sítě;

Ochrana přístupu – dostupnost pouze pro provoz H.323.

Protokol RAS (Registration Admission Status) umožňuje koncovým bodům a dalším zařízením komunikovat se správcem brány.

Hlavní funkce protokolu jsou: registrace zařízení v systému, řízení jeho přístupu k síťovým zdrojům, změna šířky pásma během komunikace, dotazování a indikace aktuálního stavu zařízení. Jako transportní protokol je použit protokol s negarantovaným doručením UDP informací.

Protokol H.225.0 (Q.931) podporuje postupy pro navazování, udržování a ukončování připojení. Jako transportní protokol je použit protokol s navázáním spojení a garantovaným doručením TCP informace.

Podle protokolu H.245 dochází k výměně informací mezi účastníky spojení, což je nezbytné pro vytvoření logických kanálů. Tyto kanály přenášejí hlasové informace zabalené do paketů RTP/UDP/IP.

Provádění procedur poskytovaných protokolem RAS je počáteční fází navazování spojení pomocí H.323 signalizace. Následuje fáze signalizace H.225.0 (Q.931) a výměna řídicích zpráv H.245. Spojení je zničeno v opačném pořadí: nejprve je uzavřen řídící kanál H.245 a signalizační kanál H.225.0, načež je gatekeeper prostřednictvím kanálu RAS upozorněn na uvolnění dříve obsazené šířky pásma.

Složitost protokolu H.323 ukazuje obrázek 1.7, který ukazuje zjednodušený scénář pro navázání spojení mezi dvěma uživateli. Tento scénář to předpokládá koneční uživatelé již znají své IP adresy. Normálně existuje více kroků, protože na navazování spojení se podílejí strážci brány a brány.

Pojďme si projít tento zjednodušený scénář krok za krokem.

1) Uživatelský koncový bod A odešle požadavek na připojení – zprávu SETUP – koncovému uživateli B na TCP portu 1720;

2) Terminál B volaného uživatele odpoví na zprávu SETUP zprávou ALERTING oznamující, že zařízení je volné a volaný uživatel signalizuje příchozí hovor;

3) Poté, co uživatel B přijme hovor, je volajícímu A zaslána zpráva CONNECT s číslem portu TCP řídicího kanálu H.245;

4) Koncová zařízení si na kanálu H.245 vyměňují informace o typech použitých kodeků řeči (G.729, G.723.1 atd.), jakož i o dalších funkcích zařízení, a vzájemně se informují o počtech portů RTP na jaké informace by měly být sdělovány;

5) Logické kanály jsou otevřeny pro přenos řečových informací;

6) Hlasové informace jsou přenášeny v obou směrech ve zprávách protokolu RTP; přenos informací je navíc řízen pomocí protokolu RTCP.

Obrázek 1.7. Zjednodušený scénář vytvoření připojení H.323

Výše uvedený postup zpracování hovorů je založen na protokolu H.323 verze 1. Verze 2 protokolu H.323 umožňuje přenášení informací nezbytných k vytvoření logických kanálů přímo ve zprávě H.225.0 SETUP bez použití protokolu H.245 .

Tento postup se nazývá rychlý start» (Fast Start) a umožňuje snížit počet cyklů výměny informací při navazování spojení. Kromě organizace základního připojení zajišťují sítě H.323 poskytování doplňkových služeb v souladu s doporučeními ITU H.450.X.

Další důležitou otázkou, kterou je třeba poznamenat, je kvalita služeb v sítích H.323. Terminál požadující přístupové oprávnění od správce brány MŮŽE použít pole transportQoS ve zprávě RAS ARQ k označení své schopnosti rezervovat síťové zdroje.

Doporučení H.323 definuje protokol RSVP (Resource Reservation Protocol) jako prostředek poskytování garantované kvality služby, který vyžaduje, aby terminály podporovaly RSVP. Bohužel RSVP není v žádném případě univerzálně používáno, takže sítě H.323 zůstávají bez základního mechanismu pro poskytování garantované kvality služeb. Tento - běžný problém Sítě IP telefonie, charakteristické nejen pro sítě H.323.

1.3.2 Síť založená na protokoluSIP

Druhý přístup k budování sítí IP telefonie, navržený pracovní skupinou IETF MMUSIC v RFC 2543, je založen na použití protokolu SIP - Session Initiation Protocol.

SIP je textový protokol, který je součástí globální multimediální architektury vyvinuté Internet Engineering Task Force (IETF).

Tato architektura také zahrnuje protokol rezervace prostředků (RSVP, RFC 2205), protokol přenosu v reálném čase (RTP, RFC 1889), protokol streamování v reálném čase, RTSP, RFC 2326, protokol popisu relace (SDP, RFC 2327), oznámení relace Protokol (SAP). Funkce protokolu SIP jsou však nezávislé na kterémkoli z těchto protokolů.

Ihned je třeba poznamenat, že ačkoliv je dnes nejrozšířenější protokol H.323, stále větší počet výrobců se snaží poskytovat podporu protokolu SIP ve svých nových produktech.

Zatím se jedná o izolované jevy a protokolu H.323 nemohou konkurovat. Vzhledem k tempu růstu popularity protokolu SIP je však velmi pravděpodobné, že v blízké budoucnosti na něm založená řešení zaujmou významnou mezeru na trhu IP telefonie.

Přístup SIP k budování sítí IP telefonie je mnohem jednodušší na implementaci než H.323, ale je méně vhodný pro organizaci interakce s telefonními sítěmi. Je to způsobeno především tím, že signalizační protokol SIP, který je založen na protokolu HTTP, se příliš neshoduje se signalizačními systémy používanými v PSTN. Proto je pro poskytovatele internetových služeb pro poskytování služby IP telefonie vhodnější protokol SIP, který bude pouze součástí balíčku služeb.

SIP však podporuje služby Intelligent Network (IN), jako je mapování jmen, předávání a směrování, což je nezbytné pro použití SIP jako veřejného síťového signalizačního protokolu, kde je prioritou operátora poskytovat širokou škálu telefonních služeb.

Další důležitou vlastností protokolu SIP je podpora mobility uživatelů, tzn. jeho schopnost přistupovat k objednaným službám odkudkoli a z jakéhokoli terminálu, stejně jako schopnost sítě identifikovat a autentizovat uživatele, když se pohybuje z jednoho místa na druhé.

Tato vlastnost SIP není ojedinělá a například protokol H.323 tuto schopnost také z velké části podporuje. Nyní nadešel čas, kdy se tato funkce stane hlavním atraktivním prvkem sítí IP telefonie nové generace. Tento režim provozu bude vyžadovat registraci vzdáleného uživatele na identifikačním a ověřovacím serveru.

Pojďme přímo k architektuře sítí založených na protokolu SIP (obrázek 1.8).

Obrázek 1.8. Příklad sítě založené na SIP

Síť SIP obsahuje tři základní prvky: uživatelské agenty, proxy a přesměrovací servery.

Uživatelští agenti (User Agent nebo SIP klient) jsou aplikace koncového zařízení a zahrnují dvě součásti: uživatelský agent - klient (User Agent Client - UAC) a uživatelský agent - server (User Agent Server - UAS), jinak známý jako klient a server. respektive.

Klient UAC iniciuje požadavky SIP, tzn. vystupuje jako volající. Server UAS přijímá požadavky a vrací odpovědi, tzn. vystupuje jako volaná strana.

Kromě toho existují dva typy síťových serverů SIP: proxy servery (mediační servery) a přesměrovací servery.

SIP servery mohou pracovat jak ve stavovém režimu aktuálních spojení (statefull), tak v bezstavovém režimu aktuálních spojení (stateless).

SIP server pracující v bezstavovém režimu může obsluhovat libovolně velký počet uživatelů, na rozdíl od H.323 gatekeeperu, který může současně pracovat s omezeným počtem uživatelů.

Proxy server (Proxy-server) jedná „jménem ostatních klientů“ a obsahuje funkce klienta (UAC) a serveru (UAS). Tento server interpretuje a může přepisovat hlavičky požadavků před jejich odesláním na jiné servery (obrázek 1.9). Zprávy odpovědí následují stejnou cestu zpět k serveru proxy namísto ke klientovi.

Obrázek 1.9. SIP síť s proxy serverem

Obrázek 1.9 ukazuje algoritmus pro navázání spojení pomocí protokolu SIP za účasti proxy serveru:

1) Proxy server přijme požadavek INVITE na připojení od zařízení volajícího uživatele;

2) Proxy server vyhledá klienta pomocí lokalizačního serveru;

3) Proxy server odešle volanému uživateli požadavek INVITE;

4) Volané uživatelské zařízení upozorní volaného uživatele na příchozí hovor a vrátí zprávu proxy serveru, že se zpracovává požadavek INVITE (kód 100). Proxy server zase předá tyto informace do zařízení volajícího uživatele;

5) Když volaný účastník přijme hovor, jeho zařízení upozorní proxy server (kód 200), který předá informaci o přijetí hovoru do zařízení volajícího uživatele;

6) Volající potvrdí spojení zasláním ACK požadavku, který proxy předá volanému. Navázání spojení je dokončeno, účastníci si mohou vyměňovat hlasové informace.

Přesměrovací server zjistí aktuální polohu volaného a oznámí to volajícímu uživateli (obrázek 1.10). Pro určení aktuální polohy volaného účastníka se přesměrovací server odkazuje na lokalizační server, jehož principy nejsou specifikovány v RFC 2543.

Algoritmus pro navázání spojení pomocí protokolu SIP za účasti přesměrovacího serveru je následující:

1) Přesměrovací server obdrží od volajícího požadavek na připojení INVITE a kontaktuje lokalizační server, který vydá aktuální adresu volaného klienta;

2) Přesměrovací server předá tuto adresu volající straně. Na rozdíl od proxy serveru nepřesílá přesměrovací server požadavek INVITE na zařízení volaného uživatele;

3) Zařízení volajícího uživatele potvrdí dokončení transakce přesměrovacím serverem požadavkem ACK;

5) Volané uživatelské zařízení oznámí druhému příchozí hovor a vrátí volajícímu zařízení zprávu, že se zpracovává požadavek INVITE (kód 100);

6) Když volaný účastník přijme hovor, je upozorněno zařízení volajícího uživatele (kód 200).Navazování spojení je dokončeno, účastníci si mohou vyměňovat hlasové informace.

Obrázek 1.10. SIP síť s přesměrovacím serverem

Existuje také možnost připojení bez serveru, kdy jeden terminál může odeslat požadavek jinému terminálu přímo.

Signalizace SIP umožňuje uživatelským agentům a síťovým serverům vyhledávat, vydávat požadavky a spravovat připojení.

INVITE - požadavek vyzývá uživatele nebo službu k účasti na komunikační relaci a obsahuje popis parametrů této komunikace. Pomocí tohoto požadavku může uživatel určit funkčnost terminálu svého komunikačního partnera a zahájit komunikační relaci pomocí omezeného počtu zpráv a potvrzení o jejich přijetí.

ACK - požadavek potvrdí přijetí odpovědi na příkaz INVITE od volaného a dokončí transakci.

MOŽNOSTI - požadavek umožňuje získat informace o funkčnosti uživatelských agentů a síťových serverů. Tento požadavek se však nepoužívá k organizaci komunikačních relací.

BYE - Požadavek slouží volajícímu a volanému k ukončení spojení. Před zničením spojení odešlou uživatelští agenti tento požadavek na server a označují svůj záměr ukončit spojení.

ZRUŠIT – Požadavek umožňuje uživatelským agentům a síťovým serverům zrušit jakýkoli dříve odeslaný požadavek, pokud odpověď na něj dosud nebyla přijata.

1. 3.3 Na základě sítěMGCP

Třetí přístup k budování sítí IP telefonie, založený na použití protokolu MGCP, navrhuje také výbor IETF, pracovní skupina MEGACO.

Při vývoji tohoto protokolu se pracovní skupina MEGACO spoléhala na síťovou architekturu obsahující hlavní funkční bloky tří typů (obrázek 1.11):

Brána - Media Gateway (MG), která plní funkce převodu hlasových informací přicházejících z PSTN s konstantní přenosovou rychlostí do podoby vhodné pro přenos po sítích s IP směrováním paketů (kódování a balení hlasových informací do RTP/UDP/IP paketů , stejně jako inverzní transformace);

Řadič brány - Call Agent, který provádí funkce správy bran;

Signalizační brána - Signalizační brána (SG), která zajišťuje doručení signalizačních informací přicházejících z PSTN do řadiče brány a přenos signalizačních informací v opačném směru.

Veškerá inteligence funkčně distribuované brány je tedy soustředěna v řadiči, jehož funkce lze rozdělit mezi několik počítačových platforem.

Obrázek 1.11. Síťová architektura založená na protokolu MGCP

Signalizační brána plní funkce STP - tranzitního bodu signalizační sítě SS7. Samotné brány plní pouze funkce převodu řečových informací. Jeden kontrolér spravuje několik bran současně.

V síti může být více ovladačů. Předpokládá se, že jsou vzájemně synchronizovány a důsledně řídí brány zapojené do spojení. MEGACO však nedefinuje protokol pro synchronizaci regulátorů.

V řadě prací věnovaných studiu schopností protokolu MGCP se pro tento účel navrhuje použít protokoly H.323, SIP nebo ISUP / IP. Zprávy protokolu MGCP jsou přenášeny protokolem bez zaručeného doručení zpráv UDP. Pracovní skupina SIGTRAN IETF v současné době vyvíjí mechanismus pro spolupráci mezi řadičem brány a signalizační bránou.

Signalizační brána musí přijímat pakety tří nižších úrovní signalizačního systému SS7 (úrovně subsystému přenosu zpráv MTP) přicházející z PSTN a vysílat signalizační zprávy vyšší uživatelské úrovně do řadiče brány. Signalizační brána musí být také schopna přenášet příchozí signalizační zprávy Q.931 z PSTN přes IP síť.

Pracovní skupina SIGTRAN se zaměřuje na vývoj nejúčinnějšího mechanismu pro přenos signalizačních informací přes IP sítě.

Je třeba poznamenat, že existuje několik důvodů, proč muselo být použití protokolu TCP pro tento účel opuštěno. Pracovní skupina SIGTRAN navrhuje pro přenos signalizační informace využít Stream Control Transport Protocol (SCTP), který má oproti protokolu TCP řadu výhod, z nichž hlavní je výrazné zkrácení doby doručení signalizační informace a následně i zkrácení doby doručení signalizační informace. doba navázání spojení - jedna z nejdůležitější parametry kvalita služeb.

Pokud PSTN používá signalizaci přes vyhrazené signalizační kanály (VSC), pak signály nejprve dorazí spolu s uživatelskými informacemi do transportní brány a poté jsou přenášeny do řadiče brány bez zprostředkování signalizační brány.

Všimněte si, že protokol MGCP je interní protokol pro výměnu informací mezi funkčními bloky distribuované brány, která je externě reprezentována jednou bránou. Protokol MGCP je protokol master/slave. To znamená, že ovladač brány je hlavní a brána samotná je podřízené zařízení, které musí provádět všechny příkazy přicházející z ovladače Call Agent.

Výše uvedené řešení poskytuje škálovatelnost sítě a snadnou správu sítě prostřednictvím řadiče brány. Brány nemusí být chytrá zařízení, vyžadují menší výkon procesoru, a proto jsou levnější. Navíc jsou velmi rychle zaváděny nové signalizační protokoly nebo doplňkové služby, protože tyto změny se týkají pouze řadiče brány a nikoli samotných bran.

Třetí přístup navržený IETF (pracovní skupina MEGACO) se dobře hodí pro nasazení globálních sítí IP telefonie, které nahradí tradiční telefonní sítě.

Zvažte algoritmy pro navázání a zničení připojení pomocí protokolu MGCP. První příklad popisuje interakci protokolu MGCP s protokolem SS7 (obrázek 1.12).

Obrázek 1.12. Navázání a zničení připojení pomocí protokolu MGCP (Příklad 1)

1) Z telefonní ústředny PBX-A je přijat požadavek na spojení se signalizační bránou SG1 společným signalizačním kanálem ve formě IAM zprávy protokolu ISUP. Na obrázku 1.12 jsou signalizační brány SG1 a SG2 zarovnány s transportními bránami TGW1 a TGW2. SG1 odešle zprávu IAM do řadiče brány, který zpracuje požadavek a určí, že hovor má být směrován do PBX-B přes TGW2.

2) Kontrolér si vyhrazuje port brány TGW1 (kanál hovoru). Za tímto účelem odešle bráně příkaz CreateConnection. Všimněte si, že port brány TGW1 může pouze přijímat informace (režim „recvonly“), protože ještě neví, jakou adresu a jak má přenášet informace.

3) V reakci na tento příkaz vrátí TGW1 popis parametrů relace.

4) Po obdržení odpovědi od TGW1 řadič odešle CRCX příkaz druhému TGW2, aby rezervoval port v této bráně.

5) TGW2 vybere port, který se zúčastní spojení, a potvrdí přijetí příkazu CRCX. Pomocí dvou příkazů CRCX je pro přenos vytvořen jednosměrný konverzační kanál volajícího akustické signály nebo řečové výzvy a upozornění. Port brány TGW2 přitom již může informace nejen přijímat, ale i vysílat, neboť od protější brány obdržel popis komunikačních parametrů.

7) Exchange B odpoví na zprávu IAM potvrzením ACM, které je okamžitě předáno na Exchange A.

8) Poté, co volaný účastník přijme hovor, odešle ústředna PBX-B zprávu ANM do ovladače brány.

10) TGW1 provede a potvrdí změnu režimu.

11) Řadič odešle zprávu ANM do ústředny-A, načež začne konverzační fáze spojení.

12) Dokončení konverzační fáze probíhá následovně. V našem případě volající B zavěsí jako první. PBX-B posílá REL zprávu přes signalizační bránu do řadiče brány.

13) Po přijetí zprávy REL ovladač brány ukončí hovor s volanou stranou.

14) Brána potvrdí ukončení spojení a odešle statistiku shromážděnou během spojení do kontroléru.

15) Ovladač brány odešle zprávu RLC do ústředny-B pro potvrzení uvolnění.

16) Paralelně ovladač ukončí spojení s volající stranou

17) Brána TGW1 potvrdí ukončení spojení a předá kontroléru statistická data shromážděná během spojení.

18) Ukončení spojení potvrdí ústředna PBX-A zasláním RLC zprávy, po které je spojení považováno za zrušené.

Obrázek 1.13. Navázání a zničení připojení pomocí protokolu MGCP (Příklad 2)

Druhý příklad ilustruje interakci protokolu MGCP s protokoly SS7 a H.323 (obrázek 1.13).

1) Požadavek na spojení (IAM zpráva) je přijat z telefonní ústředny PBX-A k signalizační bráně SG1 přes společný signalizační kanál. Na obrázku 1.13 je signalizační brána SG1 rovněž umístěna společně s transportní bránou TGW1. SG1 odešle zprávu IAM do řadiče brány, který zpracuje požadavek a určí, že hovor má být směrován na terminál volaného uživatele, terminál H.323.

2) Řadič brány rezervuje port brány TGW1 (kanál hovoru). Za tímto účelem odešle bráně příkaz CreateConnection. A v tomto příkladu může port brány TGW1 pouze přijímat informace (režim „recvonly“).

3) V reakci na přijatý příkaz vrací TGW1 popis komunikačních parametrů.

4) Po obdržení odpovědi z TGW1 ovladač odešle ARQ zprávu do brány H.323 s aliasovou adresou volané strany.

5) V reakci na zprávu ARQ, gatekeeper posílá ACF zprávu indikující transportní adresu jeho signalizačního kanálu.

6) Řadič odešle požadavek SETUP na spojení na přenosovou adresu signalizačního kanálu gatekeepera pomocí procedury Fast Start. Gatekeeper předá zprávu SETUP volanému terminálu.

7) Volaný terminál odešle žádost o přijetí do zdrojů sítě ARQ.

8) V reakci na požadavek ARQ pošle gatekeeper potvrzení požadavku ACF.

9) Volaný terminál odešle zprávu ALERTING, kterou vrátný nasměruje do ovladače brány. To dává volanému uživateli vizuální nebo zvukové upozornění na příchozí hovor a dává volajícímu uživateli indikaci, že volaný uživatel je nečinný a signalizuje hovor.

10) Kontrolér převede zprávu ALERTING na zprávu ACM, která je okamžitě předána do ústředny-A.

11) Poté, co volaný uživatel přijme příchozí hovor, ovladač obdrží zprávu CONNECT.

12) Ovladač brány změní režim recvonly v TGW1 na plně duplexní režim.

13) TGW1 provede a potvrdí změnu režimu připojení.

14) Řadič odešle zprávu ANM do PBX-A, načež začne konverzační fáze spojení, během níž zařízení volajícího uživatele přenese hlasové informace zabalené v paketech RTP / UDP / IP na přenosovou adresu kanálu RTP volaného účastnického terminálu a ten přenáší paketové hlasové informace na přenosovou adresu RTP kanálu terminálu volajícího. Kanál RTCP řídí přenos informací přes kanál RTP.

15) Po skončení konverzační fáze začíná fáze destrukce spojení. Uživatelské zařízení iniciující ukončení spojení musí zastavit přenos hlasových informací, uzavřít logické kanály a odeslat zprávu RELEASE COMPLETE, načež se signální kanál uzavře.

16) Gatekeeper pošle zprávu RELEASE do PBX-A pro ukončení spojení.

17) Kromě toho řadič odešle bráně příkaz DLCX.

18) Brána potvrdí ukončení připojení a odešle statistické údaje shromážděné během připojení do kontroléru.

19) Po výše uvedených akcích řadič a koncové zařízení oznámí gatekeeperovi, že obsazená šířka pásma je volná. Za tímto účelem každý z účastníků spojení odešle DRQ do gatekeepera přes kanál RAS, kterému musí gatekeeper poslat potvrzení DCF.

20) Potvrzení odpojení RLC přichází z PBX-A, po kterém je spojení považováno za zničené.

Je třeba poznamenat, že algoritmus pro interakci protokolů SIP a MGCP se příliš neliší od výše popsaného algoritmu.

Pracovní skupina MEGACO IETF pokračuje ve své práci na vylepšení protokolu pro ovládání brány, která vyvinula funkčnější protokol než MGCP, protokol MEGACO.

Mezinárodní telekomunikační unie v návrhu verze 4 doporučení H.323 zavedla princip dekompozice brány. Funkční bloky distribuované brány budou řízeny řadičem brány - Media Gateway Controller - pomocí protokolu MEGACO přizpůsobeného H.323, který se v doporučení H.248 nazývá Gateway Control Protocol.

Zprávy protokolu MEGACO se liší od zpráv protokolu MGCP, ale procedury navázání a ukončení spojení jsou při použití obou protokolů totožné, takže zde není uveden popis procedury navázání spojení založeného na protokolu MEGACO.

1.4 Porovnání přístupů k budování sítě IP telefonie

IP telefonie kryptografické ověřování tacacs+

V současné době jsou protokoly H.323 a MGCP vhodné pro budování dobře fungujících a PSTN kompatibilních sítí IP telefonie. Jak již bylo uvedeno, protokol SIP poněkud hůře interaguje se signalizačními systémy používanými v PSTN.

Přístup založený na MGCP má oproti přístupu navrženému ITU v doporučení H.323 velmi důležitou výhodu: podpora řadiče pro signalizační brány SS7 a další typy signalizace, stejně jako transparentní přenos signalizačních informací přes síť IP telefonie.

Hlavní nevýhodou třetího z přístupů uvedených v tomto odstavci je neúplnost norem.

Funkční komponenty distribuovaných bran vyvinuté různými výrobci telekomunikačních zařízení jsou prakticky nekompatibilní.

Funkce ovladače brány nejsou dobře definovány. Mechanismy přenosu signalizační informace ze signalizační brány do řadiče a naopak nejsou standardizovány.

Mezi nevýhody patří absence standardizovaného protokolu pro interakci mezi regulátory. Kromě toho je protokol MGCP protokolem pro řízení brány, ale není určen k řízení připojení zahrnujících uživatelská koncová zařízení (IP telefony).

To znamená, že v síti postavené na protokolu MGCP musí být přítomen gatekeeper nebo SIP server pro ovládání koncového zařízení.

Za zmínku také stojí, že v stávající aplikace IP telefonie, jako je poskytování služeb mezinárodní a dálkové komunikace, nemá smysl používat protokol MGCP (stejně jako protokol SIP) z toho důvodu, že naprostá většina sítí IP telefonie je dnes založena na tzv. protokol H.323. Operátor bude muset vybudovat samostatnou IP telefonní síť založenou na protokolu MGCP (nebo SIP), což je spojeno s významnými kapitálovými investicemi. Telekomunikační operátor s vybavením H.323 se zároveň může připojit ke stávajícím sítím IP telefonie.

V posledním zmíněném přístupu (v návrhu H.323 verze 4) zavedla ITU-T princip hradlové dekompozice použitý ve třetím přístupu.

Funkční bloky distribuované brány budou řízeny řadičem brány - MGC (Media Gateway Controller) pomocí protokolu MEGACO/H.248. Draft verze 4 H.323 také zajišťuje transparentní přenos signalizace SS7 a další signalizace po sítích IP telefonie a zpracování veškeré signalizace gatekeeperem bez konverze na signalizační zprávy H.225.0.

Informace uvedené v této kapitole nejsou v žádném případě dostatečné pro konečné závěry ohledně vyhlídek na používání toho či onoho protokolu IP telefonie, i když první dojem již může být vytvořen. V následujících kapitolách se autoři pokusí poskytnout k tomuto tématu podrobnější informace, ale zavazují se nevnucovat čtenáři žádný jediný úhel pohledu, ale poskytnout mu vše potřebné, aby si sám mohl vyvodit patřičné závěry .

1.5 Možnosti systémuIP telefonie(skripty)

Existují tři nejběžněji používané scénáře IP telefonie:

- "počítač-počítač";

- "počítač-telefon";

- "telefon-telefon".

Scénář "od počítače k ​​počítači" je implementován na základě standardní počítače, vybavené multimediálním zařízením a připojeným k internetu .

Komponenty modelu IP telefonie mezi počítači jsou znázorněny na obrázku 1.14. V tomto scénáři jsou analogové řečové signály z mikrofonu účastníka A digitalizovány analogově-digitálním převodníkem (ADC), typicky rychlostí 8000 vzorků/s, 8 bitů/vzorek, celkem 64 kb/s.

Vzorky digitalizovaných řečových dat jsou poté komprimovány kodérem, aby se zmenšila šířka pásma potřebná pro jejich přenos v poměru 4:1, 8:1 nebo 10:1. Algoritmy komprese řeči jsou podrobně diskutovány v další kapitole. Výstupní data po kompresi jsou formována do paketů, ke kterým jsou přidány hlavičky protokolu, načež jsou pakety přenášeny přes IP síť do IP telefonního systému obsluhujícího účastníka B.

Když jsou pakety přijaty systémem účastníka B, hlavičky protokolu jsou odstraněny a komprimovaná hlasová data jsou odeslána do zařízení, které je dekomprimuje do původní podoby, načež jsou hlasová data opět převedena do analogové podoby pomocí digitálního na- analogový převodník (DAC) a vstoupí do telefonu účastníka B.

Pro typické spojení mezi dvěma účastníky IP telefonního systému jsou na obou koncích současně implementovány jak vysílací, tak přijímací funkce.

Síť IP zobrazená na obrázku 1.14 znamená buď globální síť Internet nebo podniková síť podnikového intranetu. Popis protokolů používaných v sítích IP, včetně protokolů pro přenos hlasových informací po síti IP.

Obrázek 1.14 Scénář IP telefonie mezi hostitelem a počítačem

Pro podporu scénáře počítač-počítač je žádoucí, aby ISP měl samostatný server (gatekeeper), který převádí uživatelská jména na dynamické adresy IP. Samotný scénář je zaměřen na uživatele, který síť potřebuje hlavně pro přenos dat a software pro IP telefonii je potřeba jen občas pro komunikaci s kolegy.

Efektivní použití telefonická komunikace Scénář desktop-to-computer je obvykle spojen se zvýšením produktivity velkých společností, například při organizování virtuální prezentace v podnikové síti s možností nejen vidět dokumenty na webovém serveru, ale také diskutovat o jejich obsahu pomocí IP telefon.

Podobné dokumenty

Zvážení vlastností vývoje komplexu pro automatizaci analýzy pokusů o vnější průniky a kontrolu místní spojení pro telefonní server. Obecná charakteristika protokolu SSH, hlavní verze. Analýza základní autentizace heslem.

semestrální práce, přidáno 22.02.2013


Perspektivy rozvoje IP telefonie (internetové telefonie). Internet a IP protokol. Historie vývoje IP telefonie. Výhody používání IP telefonie. Index kvality IP telefonie. Platební systém za služby IP telefonie, fakturace a správa.

semestrální práce, přidáno 16.05.2008


Struktura protokolu TCP/IP. Interakce obvodů a systémů přepojování paketů. Charakteristika sítě s přepojováním paketů. Služby poskytované OJSC "MGTS" pomocí sítě s přepojováním paketů. Výpočet efektivity realizace navržené sítě.

práce, přidáno 22.05.2012


Základní pojmy IP telefonie, struktura sítí IP telefonie. Struktura sítě ASU. Řešení Systémy Cisco pro IP telefonii. Směrovače Cisco systémy. Přepínač Catalyst řady 2950. IP telefon. Nastavení sítě VPN. Metody a prostředky ochrany informací.

práce, přidáno 09.10.2008


Původ konceptu víceúrovňové hierarchické struktury telefonní sítě. Elektronická technologie, která umožnila přenést všechny prostředky telefonie do elementová základna. Vývoj IP telefonie, poskytování přenosu hlasu po sítích s přepojováním paketů.

abstrakt, přidáno 12.6.2010


Použití IP adresy v protokolu TCP/IP, její role při organizaci připojení k internetu. Koncept masky podsítě. Data potřebná ke konfiguraci protokolu TCP/IP. Mechanismus pro testování jeho konfigurace a připojení k sítím pomocí utilit.

prezentace, přidáno 11.2.2014


Koordinace různých scénářů IP telefonie. Realizace přenosu hlasu a videa pomocí IP telefonie. Způsoby zobrazení obrazu, který se přenáší do partnera. Velikost vyrovnávací paměti zvuku a zpoždění hovoru účastníka.

kontrolní práce, přidáno 20.02.2011


Základy IP telefonie: komunikační metody, výhody a standardy. Vývoj schématu hlavního komunikačního kanálu pro organizaci IP telefonie. Funkce mobilního kontrolního bodu. Vývoj schématu pro záložní komunikační kanál pro organizaci IP telefonie.

semestrální práce, přidáno 11.10.2013


IP-telefonie a Wi-Fi technologie. Potřeba mobilu kancelářská síť IP-telefonie, její návrhový plán. Nastavení serveru Yeastar MyPBX 400 pro připojení k Zebra Telecom. Kalkulace kapitálových nákladů a provozních nákladů.

práce, přidáno 19.02.2013


Historie činnosti moskevské městské telefonní sítě. Struktura protokolu TCP/IP. Interakce obvodů a systémů přepojování paketů. Charakteristika sítě s přepojováním paketů. Služby perspektivní sítě, ekonomická efektivnost její realizace.

Ve firmách se stále více využívá IP telefonie. Zvyšuje efektivitu podnikání a umožňuje provádět mnoho dříve nemožných operací (například integraci s CRM a dalšími podnikovými aplikacemi, snížení nákladů na vybudování a provoz telekomunikační infrastruktury, vytvoření efektivních call-center, snížení celkových nákladů na vlastnictví systém atd.). Aktivní rozvoj IP telefonie je však omezován skutečností, že kolem této technologie koluje mnoho fám o její nízké bezpečnosti. Společnost Cisco Systems dokázala, že tomu tak není, a tato publikace má vyvrátit převládající mýty o nejistotě IP telefonie.

Ihned je třeba poznamenat, že Cisco je jediným výrobcem, který poskytuje ochranu infrastruktury IP telefonie na všech jejích úrovních, od transportního prostředí až po hlasové aplikace. Toho je dosaženo implementací řešení v rámci iniciativy Cisco Self-Defending Network. Vysoká úroveň Bezpečnost řešení Cisco Systems potvrzují také nezávislé testovací laboratoře. Zejména časopis NetworkWorld (http://www.nwfusion.com/reviews/2004/0524voipsecurity.html) testoval několik řešení IP telefonie a pouze řešení Cisco získalo nejvyšší možné hodnocení „ZABEZPEČENÉ“.

1. IP-telefonie nechrání před odposlechem

Řešení Cisco IP telefonie využívají několik technologií a mechanismů k zajištění důvěrnosti komunikace. Za prvé se jedná o přidělení hlasového provozu do vyhrazeného segmentu sítě a řízení přístupu k hlasovému toku pomocí pravidel řízení přístupu na směrovačích a firewally. Za druhé, veškerý hlasový provoz lze chránit před neoprávněným odposloucháváním pomocí technologie virtuální privátní sítě (VPN). Protokol IPSec umožňuje zabezpečit telefonní rozhovor, a to i prostřednictvím sítí s otevřeným přístupem, jako je internet. A konečně, Cisco implementovalo do svých IP telefonů protokol SecureRTP (SRTP), speciálně navržený pro zajištění důvěrnosti hlasového toku, který nedovoluje cizím lidem proniknout do tajemství telefonních hovorů.

2. IP telefonie je náchylná k infekci červy, viry a trojskými koni

K ochraně vaší infrastruktury IP telefonie před infekcí různými malware nabízí Cisco řadu ochranných opatření, která vám umožní vybudovat vrstvenou obranu, která zabrání nejen zavlečení, ale také šíření červů, virů, trojských koní a dalších typů škodlivé činnosti. . První linií obrany je použití firewallů a systémů detekce a prevence narušení spolu s partnerskými antiviry Cisco k omezení přístupu k infrastruktuře IP telefonie.

Druhá linie obrany je založena na použití antivirů a systémů prevence útoků na koncových uzlech účastnících se infrastruktury IP telefonie – Cisco IP SoftPhone, Cisco CallManager, Cisco Unity, Cisco IP Contact Center (IPCC) Express, Cisco Personal Assistant, Cisco IP interaktivní hlasová odezva atd.

V neposlední řadě je linií obrany iniciativa Network Admission Control společnosti Cisco Systems. V rámci této iniciativy nebudou mít všechny pracovní stanice a servery, které nesplňují bezpečnostní politiku (včetně těch s odinstalovaným antivirovým softwarem), přístup k podnikové síti a poškodí její zdroje.

3. IP telefonie nechrání před záměnou telefonů a řídicích serverů

K ochraně před zařízeními, která se snaží maskovat jako autorizované IP telefony nebo jsou neoprávněně připojena k síťové infrastruktuře, Cisco navrhuje používat nejen výše zmíněná pravidla řízení přístupu na routerech a firewallech, ale také pokročilé prostředky silné autentizace všech účastníků sítě. infrastrukturu IP telefonie (včetně serveru pro správu Call Manager), která k autentizaci používá různé standardizované protokoly, včetně certifikátů RADIUS, PKI X.509 a tak dále.

4. Útočník s administrátorskými právy může narušit fungování 1P telefonní infrastruktury

CallManager poskytuje pokročilé možnosti, které různým správcům systému poskytují pouze ta práva, která potřebují k plnění svých povinností. Taková práva mohou zahrnovat - přístup pouze pro čtení ke konkrétním nastavením, úplný nedostatek přístupu k nim, přístup ke změnám atd.). Kromě toho jsou všechny akce provedené správcem zaznamenávány do speciálního protokolu a lze je kdykoli analyzovat při hledání stop neoprávněné činnosti.

Správa konfigurace IP telefonů a jejich interakce s CallManagerem se provádí přes kanál chráněný před neoprávněným přístupem, který zabraňuje pokusům o čtení nebo úpravu ovládacích příkazů. K ochraně řídicího kanálu se používají různé standardizované protokoly a algoritmy - IPSec, TLS, SHA-1 atd.

5. CallManager není zabezpečený, protože je nainstalován na platformě Windows

Navzdory skutečnosti, že server pro správu infrastruktury IP telefonie CallManager je nainstalován na platformě Windows, nemá vlastní slabiny této platformy. Je to proto, že CallManager běží bezpečně a optimalizovaně Verze Windows kde:

• všechny nepotřebné služby a účty jsou deaktivovány,
• jsou nainstalovány všechny potřebné a pravidelně aktualizované „záplaty“,
• nakonfigurovaná bezpečnostní politika.

6. IP telefonii lze snadno deaktivovat

Přestože různé součásti IP telefonie jsou potenciálně náchylné k útokům odmítnutí služby, řešení Cisco Systems nabízejí řadu ochranných opatření, která zabrání útokům DoS a jejich následkům. K tomu můžete použít mechanismy zabudované do síťového zařízení informační bezpečnost a další řešení nabízená společností Cisco Systems:

• Rozdělení podnikové sítě na nepřekrývající se segmenty přenosu hlasu a dat, které zabrání tomu, aby se v sekci „hlas“ objevovaly běžné útoky vč. a DoS.
• Aplikace speciálních pravidel řízení přístupu na routery a firewally, které chrání perimetr podnikové sítě a její jednotlivé segmenty.
• Implementace systému prevence útoků na hostitele Cisco Secure Agent.
• Aplikace specializovaného systému ochrany před DoS a DDoS útoky Cisco Guard a Cisco Traffic Anomaly Detector.
• Použití speciálních nastavení na síťová zařízení Cisco, které zabraňují falšování adresy, které se často používá při DoS útocích, a omezují šířku pásma, což neumožňuje deaktivovat napadené zdroje velkým tokem zbytečného provozu.

Samotné IP telefony obsahují řadu speciálních nastavení, která zabraňují neoprávněnému přístupu k nim. Mezi taková nastavení patří například přístup k funkcím telefonu pouze po předložení ID a hesla, zákaz lokálních změn nastavení atp.

Aby nedocházelo ke stahování neoprávněných úprav softwaru a konfiguračních souborů do IP telefonu, je jejich integrita kontrolována elektronickým digitálním podpisem a certifikáty X.509.

8. CallManager může být přetížen velkým počtem hovorů

Maximální počet hovorů za hodinu na server CallManager je až 100 000 (v závislosti na konfiguraci) a při použití clusteru CallManager lze tento počet zvýšit až na 250 000. Zároveň jsou v CallManageru speciální nastavení, která omezují počet příchozích hovorů na požadovanou hodnotu. V případě ztráty komunikace s některým z CallManagerů je navíc možné automaticky přeregistrovat IP telefon na záložní CallManager, stejně jako automatická změna trasa hovoru.

9. V IP telefonii je snadné spáchat podvod

Server pro správu infrastruktury IP telefonie CallManager obsahuje řadu funkcí, které snižují pravděpodobnost telefonního podvodu v závislosti na jeho typu (krádež služeb, falšování hovorů, odmítnutí platby atd.). Pro každého předplatitele můžete zejména:

• blokovat hovory do az určitých skupin čísel,
• blokovat možnost přesměrování hovorů na různé typy čísel – městská, mobilní, meziměstská, mezinárodní atd.,
• filtrovat hovory podle různých parametrů,
• atd.

10. Tradiční telefonování je bezpečnější než IP telefonie

Toto je nejčastější mýtus, který v oblasti telefonie existuje. Tradiční telefonie vyvinutá před desítkami let je mnohem méně chráněna novou a pokročilejší technologií IP telefonie. V tradiční telefonii je mnohem snazší připojit se ke konverzaci někoho jiného, ​​podvrhovat čísla, „zahltit“ hovory a mnoho dalších hrozeb, z nichž některé nemají v IP telefonii obdoby (například válečné vytáčení). Ochranu tradiční telefonie zajišťují mnohem dražší prostředky a mechanismy než u IP telefonie, ve které jsou tyto nástroje zabudovány do samotných komponent této technologie. Například k ochraně před odposlechem ten tradiční využívá speciální zařízení – scramblery, které nelze centrálně ovládat; nemluvě o nákladech na jejich pořízení a instalaci před každý telefon.

Pryč jsou doby, kdy se operátoři obávali použití IP telefonie, protože úroveň zabezpečení takových sítí byla nízká. Dnes již můžeme říci, že IP-telefonie se stala jakýmsi de facto standardem v telefonické komunikaci. To je způsobeno pohodlím, spolehlivostí a relativně nízkou cenou IP telefonie ve srovnání s analogovou komunikací. Lze tvrdit, že IP telefonie zvyšuje efektivitu podnikání a umožňuje takové dříve nedostupné operace, jako je integrace s různými obchodními aplikacemi.

Pokud mluvíme o nedostatcích a zranitelnostech IP telefonie, měli bychom si v první řadě povšimnout stejných „nemocí“, kterými trpí jiné služby využívající IP protokol. Jedná se o náchylnost k útokům červů a virů, DoS útokům, neoprávněnému vzdálenému přístupu atd. I přesto, že při budování infrastruktury IP telefonie je tato služba obvykle oddělena od síťových segmentů, do kterých „jdou nehlasová data“, nejde o přesto zárukou jistoty. V dnešní době velké množství společností integruje IP telefonii s dalšími aplikacemi, jako je e-mail. Na jedné straně se tak objevují další vymoženosti, na druhé straně však nové zranitelnosti. Kromě toho provoz sítě IP telefonie vyžaduje velké množství komponent, jako jsou podpůrné servery, přepínače, routery, firewally, IP telefony atd. Současně se k podpoře provozu často používají nespecializované operační systémy. sítě IP. Například většina IP PBX je postavena na konvenčních a dobře známých operačních systémech (Windows nebo Linux), které teoreticky mají všechny zranitelnosti, které jsou pro tyto systémy specifické.

Některé IP PBX používají DBMS a webové servery, které mají své vlastní zranitelnosti. A i když pro univerzální operační systém nebo zásobník protokolů, můžete použít známé nástroje ochrany - antiviry, osobní firewally, systémy prevence útoků atd., nedostatek "vybroušení" takových nástrojů pro práci s aplikacemi IP telefonie může nepříznivě ovlivnit úroveň zabezpečení.

Mezi hlavní hrozby, kterým je IP telefonní síť vystavena, patří:

• registrace cizího terminálu, která vám umožní volat na cizí náklady;
• změna předplatitele;
• provádění změn v hlasovém nebo signalizačním provozu;
• snížení kvality hlasového provozu;
• přesměrování hlasového nebo signálního provozu;
• zachycování hlasového nebo signálního provozu;
• falešné hlasové zprávy;
• ukončení komunikační relace;
• odmítnutí služby;
• vzdálený neoprávněný přístup ke komponentám infrastruktury IP telefonie;
• neoprávněná aktualizace softwaru v IP telefonu (například za účelem vložení trojského koně nebo spywaru);
• hackování fakturačního systému (pro telefonování operátora).

Toto není celý seznam možných problémů spojených s používáním IP telefonie. Organizace VoIP Security Alliance (VOIPSA) vypracovala dokument popisující širokou škálu hrozeb pro IP telefonii, která kromě technických hrozeb zahrnuje i vydírání prostřednictvím IP telefonie, spam atd.

A přesto je hlavní zranitelností IP telefonie lidský faktor, který nastavil zuby. Otázka bezpečnosti při nasazení sítě IP telefonie je často odsouvána do pozadí a výběr řešení probíhá bez účasti bezpečnostních specialistů. Kromě toho specialisté ne vždy správně nakonfigurují řešení, i když má správné ochranné mechanismy, nebo jsou zakoupeny ochranné nástroje, které nejsou navrženy pro efektivní zpracování hlasového provozu (například firewally nemusí rozumět proprietárnímu signalizačnímu protokolu používanému v IP telefonní řešení). V konečném důsledku je organizace nucena vynaložit další finanční a lidské zdroje na ochranu nasazeného řešení nebo na překonání jeho nejistoty.

Co postavit?

Z hlediska ovladatelnosti a výkonu se jako nejvýhodnější jeví taková architektura IP telefonie, kde jsou všechny komponenty ochrany zabudovány do prvků samotné sítě. Uvažujeme-li IP telefonní síť bez použití dodatečné finanční prostředky ochrany, pak pomocí ochranných mechanismů zabudovaných v síťových přepínačích je možné dosáhnout vybudování relativně stabilní ochrany proti útokům na perimetr. Vestavěná funkce umožňuje poskytovat:

• schopnost vytvářet virtuální místní sítě (VLAN) pomocí vestavěných možností přepínačů;
• použití vestavěných mechanismů filtrování a kontroly přístupu;
• omezení a prezentace garantované šířky pásma, která dokáže účinně potlačit DoS útoky;
• omezení počtu zařízení s různými MAC adresami připojených ke stejnému portu;
• prevence útoků na spotřebu fondu adres služby DHCP;
• prevence zanášení ARP tabulek a „krádeže“ adres;
• prevence útoků z anonymních adres;
• použití seznamů řízení přístupu, které omezují adresy uzlů, které mohou přenášet data do IP telefonů.

Další „linku“ ochrany navíc představuje systém řízení hovorů zabudovaný do architektury IP sítě, který se může připojit ke speciální vyhrazené místní síti izolované od pracovní sítě organizace. Mezi nevýhody patří skutečnost, že ochranné funkce zabudované do síťového zařízení neposkytují vždy adekvátní úroveň zabezpečení a k jejímu zvýšení mohou být nutné další investice do upgradu zařízení.

I přes použití protokolu IP v jeho jádru nelze IP telefonii vždy dostatečně chránit tradičními řešeními. Je to dáno tím, že nezohledňují jeho specifika – přenos provozu v reálném čase, řízení kvality a provozu na aplikační úrovni atd. V ideálním případě, když jsou aplikace IP telefonie a jejich zabezpečení neoddělitelně propojeny a integrovány do jediného platformu, včetně síťové infrastruktury. To vám umožní zvýšit účinnost ochrany a snížit náklady na ni. V opačném případě musíte vybudovat čtyři nezávislé nebo prakticky se nepřekrývající infrastruktury: LAN, síť IP telefonie, zabezpečení LAN a infrastrukturu zabezpečení IP telefonie.

Použití specializovaných firewallů výrazně zvyšuje bezpečnost IP telefonní sítě, například filtrováním provozu na základě stavu připojení ( stavová kontrola), který umožňuje procházet pouze nezbytný provoz a spojení navázaná v určitém směru (ze serveru ke klientovi nebo naopak). Kromě toho brána firewall poskytuje možnost:

• filtrování řízení provozu navazování IP-telefonních spojení;
• přenos řídícího provozu prostřednictvím NAT a síťových tunelů;
• Zachycování TCP, které zajišťuje kontroly uzavření relací TCP, což vám umožňuje bránit se řadě útoků typu DoS (Denial of Service).

Při návrhu sítě, která má využívat další bezpečnostní nástroje, jako je systém detekce nebo prevence narušení, by měla být věnována zvláštní pozornost výběru výrobce takových nástrojů, protože problém správy heterogenní IP sítě nelze vždy vyřešit. efektivně a rychle a téměř vždy vyžaduje vážné dodatečné investice.

Je vhodnější zvolit výrobce, na jehož zařízení již síť funguje, protože podporu a správu zařízení lze v tomto případě provádět centrálně as nižšími náklady.

Ochrana poslouchání

Nejpokročilejším způsobem, jak čelit takové manipulaci, je použití IP telefonů s vestavěným šifrováním. Šifrování provozu mezi telefony a bránami navíc poskytuje další ochranu. Prakticky všichni dnešní dodavatelé, jako je Avaya, Nortel a Cisco, nabízejí vestavěné šifrování pro provoz a signalizaci. Šifrování provozu je nejlogičtějším řešením ochrany před konverzacemi, ale taková funkcionalita přináší i řadu úskalí, se kterými je nutné počítat při budování zabezpečeného připojení. Hlavním problémem může být zpoždění přidané procesem šifrování a dešifrování provozu. Při práci v místní síti se takový problém zpravidla nepociťuje, ale při komunikaci prostřednictvím geograficky distribuované sítě může způsobit nepříjemnosti. Navíc šifrování signalizace, ke kterému dochází na aplikační vrstvě, může ztížit fungování firewallů. V případě šifrování streamu jsou zpoždění mnohem menší než při použití blokových šifer, i když nebude možné se jich úplně zbavit. Řešením problému mohou být rychlejší algoritmy nebo zahrnutí mechanismů QoS do šifrovacího modulu.

QoS

Ochrana proti záměně telefonů a serverů pro správu

DoS ochrana

• rozdělení podnikové sítě na nepřekrývající se segmenty přenosu hlasu a dat, což zabraňuje tomu, aby se v sekci „hlas“ objevovaly běžné útoky včetně DoS;
• speciální pravidla řízení přístupu na routerech a firewallech, která chrání perimetr podnikové sítě a její jednotlivé segmenty;
• systém prevence útoků na serveru pro řízení hovorů a PC s hlasovými aplikacemi;
• specializované systémy ochrany proti útokům DoS a DDoS;
• speciální nastavení na síťových zařízeních, která zabraňují falšování adresy a omezují šířku pásma, což neumožňuje deaktivovat napadené zdroje velkým proudem zbytečného provozu.

Ochrana IP telefonů

Ochrana proti podvodům v IP telefonní síti

Standardy v IP telefonii

Závěr

Mezi primární požadavky na zajištění bezpečnosti IP telefonní sítě patří potřeba oddělit hlas a běžná data. To znamená, že IP telefonie musí být oddělena od sítě, kde jsou jiná data přenášena pomocí VLAN. Segmentace umožňuje vytvořit další hranici, která zabrání útokům a zneužití, včetně těch, které pocházejí z vnitřní sítě. Kromě toho je při navrhování sítě IP telefonie důležité poskytnout odpovídající šířku pásma a pamatovat na použití mechanismů QoS k upřednostnění provozu IP telefonie.

A konečně použití ochranných nástrojů zaměřených na zvláštnosti provozu IP telefonie pomůže vyhnout se nejen „dírám“ v zabezpečení vybudované sítě, jako je „nepochopení“ IP provozu ochrannými nástroji, ale i dodatečným finanční výdaje na modernizaci stávajících zařízení nebo nákup nových ochranných zařízení.