Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Czy VoIP jest bezpieczne?

Printer Friendly and PDF

lead.jpg Nowe technologie zmieniły świat komunikacji biznesowej. Tradycyjna telefonia odchodzi do lamusa, coraz więcej firm wdraża technologię VoIP. Jednak główną wadą tej technologii, wymienianą przez wielu branżowych ekspertów, jest niższe bezpieczeństwo. Czy telefonia VoIP jest bezpieczna? Jak chronić poufność naszych rozmów? Tradycyjne centrale telefoniczne są o wiele mniej podatne na niektóre typy ataku, takie jak np. zablokowanie sieci. Jednak wprowadzenie telefonii VolP do firmy nie musi automatycznie oznaczać zmniejszenia bezpieczeństwa komunikacji. Właściwie zarządzana sieć IP, bazująca na systemie wykorzystującym właściwe zabezpieczenia, posiada możliwości ochrony danych nawet bardziej efektywne niż tradycyjna sieć telefoniczna. Dla firm z sektora finansowego, podobnie jak dla instytucji zdrowotnych, agencji rządowych, spółek giełdowych oraz innych organizacji, w których zarządza się danymi poufnymi, zabezpieczenia komunikacji IP są kwestią o najwyższym priorytecie.

Z tego powodu producenci systemów komunikacyjnych klasy IP oraz VolP wprowadzają najbardziej zaawansowane zabezpieczenia znane branży telekomunikacyjnej. Pierwsze i najważniejsze zabezpieczenie systemu IP stanowi osadzenie na otwartych standardach, z których najbardziej popularnym jest SIP ( Session Initiation Protocol). Kodowanie bazujące na standardach pozwala korzystać z narzędzi tworzonych przez społeczność deweloperów na całym świecie. Cała ta społeczność zaangażowana jest w tworzenie nowych narzędzi ochrony, przeciwdziałających pomysłowości hakerów. Standard SIP ma również bardzo rygorystyczne wymagania odnośnie uwierzytelniania użytkowników i szyfrowania wiadomości. Wysoki poziom bezpieczeństwa standardu zapewnia i kontroluje organizacja IETF (Internet Engineering Task Force), która stale wprowadza, zmienia i ściśle monitoruje specyfikacje zabezpieczeń protokołu SIP, zapisywane w ogólnodostępnych archiwach RFC.

Najpowszechniejsze rodzaje ataków

Wyróżniłbym trzy najczęściej spotykane typy ataków związane z VoIP. Pierwszy z nich to podsłuchiwanie rozmów i przechwytywanie wartościowych informacji, ewentualnie analizowanie danych przepływających w sieci. Możemy mieć tutaj do czynienia zarówno z zewnętrznym podsłuchem i wykradaniem informacji, jak i możliwością nielegalnego użytkowania danych przez pracowników firmy.
Kolejnym rodzajem ataku jest możliwość sparaliżowania komunikacji w firmie, czyli atak typu DoS (Denial of Services). Atak ten, znany od dawna użytkownikom internetu, jest w przypadku komunikacji VolP o wiele bardziej niebezpieczny. Brak dostępu do strony www może spowodować irytację użytkownika, jednak brak kontaktu telefonicznego z firmą najprawdopodobniej doprowadzi do utraty klienta. Inny typ ataku, na który komunikacja IP jest bardzo podatna, to wydobywanie poufnych danych dzięki podszyciu się pod rozmówcę (vishing, czyli phishing poprzez VolP).

Jak zapobiegać atakom?

Odkąd problemy bezpieczeństwa trafiły do centrum uwagi, eksperci doszli do wniosku, że sama technologia nie wystarczy, aby zagwarantować skuteczną ochronę biura firmy oraz komunikacji przed zagrożeniami. Nawet jeżeli stosuje się w niej „najmocniejsze szyfrowanie na świecie”, może być nieskuteczna, jeśli nie wspierają jej prawidłowe, efektywnie realizowane procesy.

To samo dotyczy planowania i wdrażania procesów bezpieczeństwa oraz integrowania ludzi w organizacji, o ile działania te będą kompleksowe i spójne w obrębie całego przedsiębiorstwa. Wówczas pracownicy mogą wręcz wzmocnić zabezpieczenia. W przeciwnym wypadku mają oni szansę stać się najsłabszym ogniwem. Dlatego najsolidniejszy program bezpieczeństwa łączy nie tylko najlepszą technologię oraz najbardziej surowe procesy możliwe do zastosowania w stosunku do systemów i danych biznesowych, ale i ludzi, którzy rozumieją te procesy i do nich się stosują.
Pracownicy mogą znacząco zwiększyć ryzyko ataku, jeśli nie stosują się do korporacyjnych zasad bezpieczeństwa lub celowo je łamią dla osobistej korzyści. Coraz więcej przedsiębiorców ma świadomość luk w zabezpieczeniach, które w komunikacji IP pojawiają się z powodu czynnika ludzkiego, i stara się im przeciwdziałać. Wśród dobrych praktyk należy tutaj wymienić:

  • dokładne sprawdzenie podczas rekrutacji faktów z życia potencjalnego pracownika;
  • przypisanie pracownikom w organizacji praw dostępowych do poszczególnych funkcji systemu zgodnych z ich pozycją w firmie oraz pełnionymi obowiązkami. Dostęp do serwerowni, gdzie przechowywane są poufne dane, powinien być ograniczony wyłącznie dla pracowników o najwyższych uprawnieniach dostępu do informacji;
  • wprowadzenie systemu monitoringu rozmów oraz ekranu pracownika, przydzielenie ścisłych uprawnień do odtwarzania i korzystania z nagrań monitoringu;
  • przypisanie pracownikom uprawnień do rozmów zewnętrznych, międzymiastowych oraz międzynarodowych (zależnie od potrzeb).

Za bezpieczeństwo odpowiedzialni są zarówno ludzie, jak i narzędzia systemowe. Mając na uwadze najpopularniejsze typy ataków, skuteczna strategia bezpieczeństwa powinna koncentrować się na następujących obszarach:

  • Zapobieganie oszustwom. Konfiguracja systemu komunikacyjnego klasy IP powinna w możliwie maksymalnym stopniu uniemożliwiać podszywanie się lub inne złośliwe działania.
  • Zapewnienie ciągłości działania systemu. Jeżeli dojdzie do ataku, wówczas serwery IP, serwery danych, telefony oraz inne urządzenia muszą zachować swoje funkcje, zapewniając wymaganą ciągłość biznesową i umożliwiając funkcjonowanie organizacji oraz pracę pracowników.
  • Ochrona poufności. System powinien w możliwie maksymalnym stopniu chronić prywatność zapisów audio oraz wszelkich przechowywanych danych.

Jak chronić się przed podsłuchem

Ataki polegające na przechwyceniu danych podczas ruchu w sieci lub kradzieży zapisanych plików są możliwe głównie wtedy, gdy system komunikacji nie stosuje kodowania wiadomości. Szyfrowanie wiadomości powinno rozpoczynać się już na poziomie urządzenia, czyli telefonu (lub ekranu komputera), i rozciągać się na cały proces transportu wiadomości przez sieć, a także obejmować nagrywanie i przechowywanie informacji.

Zalecaną praktyką konieczną do ochrony rozmów w sieci komunikacyjnej IP jest szyfrowanie wiadomości za pomocą TLS (Transport Layer Security) oraz SRTP (Real-time Transport Protocol). Innym użytecznym środkiem bezpieczeństwa jest IPsec (Internet Protocol Security) – zabezpieczenie protokółu internetowego, tworzące szkielet o otwartym standardzie, na którym wdrażane są procesy bezpieczeństwa kryptograficznego w celu ochrony komunikacji w sieci IP. IPsec umożliwia m.in. uwierzytelnianie terminali użytkowników na poziomie sieci, uwierzytelnienie źródła danych, kodowanie danych dla zachowania poufności oraz ochronę ponownego odczytu. W przypadku telefonii korporacyjnej dostawcy zaawansowanego oprogramowania telekomunikacyjnego bazują na standardzie AES 256. Jest to jeden z najsilniejszych kluczy szyfrowania, który jest potwierdzonym i zalecanym przez wiele międzynarodowych instytucji oraz departamentów bezpieczeństwa standardem bezpieczeństwa.

Wyobraźmy sobie sytuację, gdy klient podaje przez telefon numer konta, co zostaje następnie zmagazynowane w pliku nagraniowym. Rozmowa jest świetnym celem dla złodzieja, zatem możliwość szyfrowania rozmowy, jak również kodowanie monitorowanego nagrania jest niezbędną i najlepszą praktyką ustrzeżenia się przed takimi zagrożeniami. Najlepiej rozmowy równocześnie nagrywać, monitorować i szyfrować.

Leszek Winiarski
Presales Engineer
Interactive Intelligence

Zabezpieczenia 4/2009

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony