Автор: Пользователь скрыл имя, 06 Декабря 2011 в 13:02, курсовая работа
В настоящее время наблюдается бурное развитие сети Интернет, других сетей, основанных на протоколе IP, в том числе сетей IP – телефонии. Глобальная сеть Интернет прочно входит в жизнь людей, предоставляя множество услуг: от новостей и почты до многопользовательских конференций и виртуальных магазинов.
На данном этапе трудно представить успешную работу какой-либо ганизации, использующей компьютерную технику для ведения своих дел, без локальной сети. Крупные компании создают свои сети, располагающиеся в нескольких зданиях или даже городах.
• функции интерфейса с УАТС, телефонной сетью общего пользования и другими телефонными сетями;
• базовые функции обслуживания вызовов (соединение/разъединение и т. п.);
• компрессию и декомпрессию речи в реальном времени;
• упаковку и распаковку сжатой речи;
• функции интерфейса с сетью IP.
Шлюз, в совокупности с привратником сети IP-телефонии, образует
универсальную платформу для предоставления всего спектра услуг IP-
телефонии.
1.1.4.2. Привратник (gatekeeper)
Использование привратника повышает возможности масштабирования, за счет централизации данных о маршрутах и планах нумерации, что облегчает процессы модификации и расширения сети. Привратник работает с адресной системой, определяет IP адреса удаленного шлюза, указанного в конфигурации для вызываемого номера. Данное устройство также управляет полосой пропускания и качеством услуг. Каждый привратник имеет понятие "зоны" административного контроля, в пределах которой он управляет множеством шлюзов. Такие зоны, как правило, устанавливаются соответственно границам географических зон. Привратник управляет маршрутизацией сигнальных сообщений между терминалами, расположенными в одной зоне: привратник может организовывать сигнальный канал напрямую между терминалами или же ретранслировать сигнальные сообщения от одного терминала к другому. В этом случае привратник в любое время знает состояние конечных пользователей, поэтому на него может возлагаться предоставление дополнительных услуг: переадресация, передача, постановка на ожидание и перехват вызова и т.д.
При отсутствии в сети привратника, преобразование адреса вызываемого
абонента в транспортный адрес IP-сети должно выполняться шлюзом.
1.1.4.3. Серверы биллинга
Серверы биллинга используются для проведения расчетов за предоставляемые оператором услуги связи. Для того, чтобы не использовать различные биллинговые системы для учета различных услуг, лучше всего остановиться на биллинговых системах нового типа, позволяющих учитывать все современные услуги связи.
RADIUS сервер выполняет функции идентификации, авторизации и учета (ААА). Сервер RADIUS собирает и сохраняет данные о вызовах, которые поступают от шлюзов VoIP. Серверы биллинга собирают эти данные с серверов RADIUS и обрабатывают данные с помощью специальных биллинговых приложений. Счета рассылаются абонентам через Интернет или по почте в зависимости от модели обслуживания, принятой у того или иного провайдера.
1.2. Информационная безопасность
1.2.1. Общие положения и определения
Действующим ОСТ 45.127-99 «Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения » введены следующие ключевые понятия:
• Информационная безопасность сети - состояние защищенности информационной сферы сети от заданного множества угроз;
• Система обеспечения информационной безопасности сети, далее система защиты, - совокупность правовых норм, технических мероприятий и механизмов защиты, направленных на противодействие заданному множеству угроз информационной безопасности сети;
• Политика информационной безопасности – система мероприятий, направленных на обеспечение информационной безопасности.
Кроме того, определим ряд понятий, которые неоднократно будем использовать в ходе данной дипломной работы:
• Аутентификация – процесс проверки какого-либо идентификатора из известного пространства имен. В случае оператора IP-телефонии – проверки номера карты и пин-кода.
• Авторизация – процесс проверки пользователя на предмет возможности использования какого-либо ресурса.
• Аудит – процесс учета используемого сервиса.
• Хэш-функции – функции, отображающие сообщения произвольной длины в значения фиксированной длины, которые часто называют хэш- кодами.
Необходимость знания возможных угроз, способных привести к необратимым последствиям в функционировании сети в целом, очевидна. Перечень угроз и их классификация, в сочетании с оценкой вероятности реализации конкретной угрозы, служат основой для анализа риска реализации угроз и формулирования требований к системе защиты. Конечной целью классификации угроз является выбор эффективных средств противодействия при издержках на систему информационной безопасности не превосходящих стоимость потерь, ожидаемых от реализации угроз.
Необходимо оговорить еще один важный момент, заключающийся во внутреннем противоречии решаемых задач. Он состоит в том, что задачи, которые решает система защиты с точки зрения производителя всегда состоят в противоречии с задачами, которые она должна решать с точки зрения интересов пользователя. Нахождение «золотой середины» для снятия данного противоречия не всегда является рациональным. Достижение необходимого баланса должно осуществляться для каждого частного случая за счет гибкости самой системы защиты.
1.2.2. Атаки на операторов связи
О необходимости наличия эффективных механизмов обеспечения безопасности в сетях операторов связи говорят следующие примеры.
CloudNine Communications, один из самых старейших британских Internet- провайдеров, был атакован злоумышленниками в конце января 2002г. Против него были реализованы уже ставшие классикой распределенные атаки "отказ в обслуживании" (DDoS).
CloudNine, компания с шестилетним стажем, была вынуждена завершить свой бизнес и продать базу данных всех своих клиентов своему конкуренту - компании Zetnet. Атака была грамотно спланированной акцией, которая продолжалась не один месяц. В течение длительного времени злоумышленники собирали информацию о ключевых серверах и их пропускной способности. В решающий момент был нанесен удар, от последствий которого так и не удалось оправиться. Незадолго до атаки на CloudNine был зафиксирован ряд атак и на других провайдеров. Например, в конце января 2002г. также пострадали портал
британского представительства итальянского ISP Tiscali и британский ISP Donhost. Первый не мог работать в течение нескольких дней, а функционирование второго было нарушено на нескольких часов. Эти атаки затрагивают доходы компаний, т.к. пользователи не могут получить доступ к предоставляемым услугам. Это очень сильный удар по бизнесу. При этом обнаружить злоумышленников, которые задействовали сотни узлов для своей атаки и могли подготовить плацдарм задолго до осуществления ее, практически невозможно.
Вследствие DDoS-атак в феврале 2002 года была нарушена нормальная работа многих провайдеров, в том числе SniffOut, TheDotComplete, The DogmaGroup, Firenet и т.д. Надо сказать, что атаки начались задолго до 2002 года. Например, 7 и 14 декабря 1996 года Web-сервер американского Internet- провайдера Web Communications LLC был выведен из строя на и 9 и 40 часов соответственно. Эта атака, получившая название SYN Flood, нарушила деятельность более 2200 корпоративных клиентов Web Communications. Не проходит месяца, чтобы не была зафиксирована атака на операторов связи во всем мире.
По данным России-Онлайн в течение двух суток в 2000 г. крупнейший Internet-провайдер Армении "Арминко" подвергался распределенной атаке, в которой участвовало более 50 машин из разных стран. Хотя атаке подверглась в основном "Арминко", перегруженной оказалась вся магистраль, соединяющая Армению с всемирной паутиной.
Как же защититься от такого рода атак? Первое - применить списки контроля доступа маршрутизаторов или использовать межсетевые экраны. Именно так и делает абсолютное большинство провайдеров. Но эффективен ли такой метод? Лишь отчасти. Даже при использовании межсетевых экранов и задействованных списках контроля доступа на маршрутизаторах с распределенными атаками крайне трудно справиться. Какие еще способы существуют? Самый просто способ - это своевременно отслеживать все новые
способы DoS-атак и, особенно, их распределенных модификаций, чтобы своевременно противопоставить им соответствующие защитные механизмы. Если перейти к техническим мерам защиты, то к ним, помимо межсетевых экранов и списков контроля доступа, можно отнести применение сканеров безопасности и систем обнаружения атак. Эти средства достаточно подробно описаны в различных специализированных источниках. Отметим только, что существующие системы обнаружения атак уже лишены одного из главных недостатков - низкой скорости работы. На сегодняшний день есть решения, которым "по плечу" 100 Мбит/сек и даже выше. Например, модуль CiscoSecure
Catalyst 6000
IDS Module, который расширяет
Стоит отметить еще одну защитную меру, которая реализуется уже не техническими, а организационными мерами. Это страхование информационных рисков. В качестве практического примера ее реализации приведем опыт одной из крупнейших страховых компаний Германии - концерн Gerling, которая в 1998 стала предлагать всем фирмам, занятым в сфере Internet-услуг и IP-телефонии, страхование по возмещению ущерба.
1.2.3. Типы угроз в сетях IP-телефонии
Не смотря на несомненные преимущества IP-телефонии нельзя обойти вниманием такую ее проблемную область как безопасность. IT-специалистам, включая и специалистов по защите информации, крайне желательно знать возможные угрозы компонентам инфраструктуры IP-телефонии и возможные способы защиты от них, включая и возможности существующих VoIP- стандартов с точки зрения информационной безопасности.
Зачем атакуют сеть IP-телефонии? Это хорошая цель для взломщиков. Некоторые из них могут подшутить над вами, послав вам голосовое сообщение от имени руководства компании. Кто-то может захотеть получить доступ к голосовому почтовому ящику вашего руководства или даже захочет перехватить голосовые данные о финансовых сделках, которыми обмениваются сотрудники финансового департамента или бухгалтерии. Конкуренты могут захотеть подорвать репутацию провайдера IP-телефонии путем выведения из строя шлюзов и диспетчеров, тем самым, нарушая доступность телефонных услуг для абонентов, что, в свою очередь, может также привести к нанесению ущерба бизнесу клиентов. Существуют и другие причины, например, звонки за чужой счет (кража сервиса).
Главная проблема с безопасностью IP-телефонии в том, что она слишком открыта и позволяет злоумышленникам относительно легко совершать атаки на ее компоненты. Несмотря на то, что случаи таких нападений практически неизвестны, они могут быть при желании реализованы, т.к. атаки на обычные IP-сети практически без изменений могут быть направлены и на сети передачи оцифрованного голоса. С другой стороны, похожесть обычных IP-сетей и сетей IP-телефонии подсказывает и пути их защиты, но об этом чуть дальше. IP-телефония, являясь прямой родственницей обычной телефонии и IP- технологии, вобрала в себя не только их достоинства, но и их недостатки. Т.е. атаки, присущие обычной телефонии, также могут быть применены и для ее IP-составляющей. Перечислим некоторые из них, часть из которых рассмотрим более подробно:
• Перехват данных (подслушивание);
• Отказ от обслуживания (Denial of Service – DoS);
• Подмена номера;
• Кража сервисов;
• Неожидаемые вызовы;
• Несанкционированное изменение конфигурации;
• Мошенничество со счетом.
Перехват данных - самая большая проблема, как обычной телефонии, так и IP-телефонии. Однако в последнем случае эта опасность намного выше, т.к. злоумышленнику уже не надо иметь физический доступ к телефонной линии. Ситуацию ухудшает еще и тот факт, что множество протоколов, построенных на базе стека TCP/IP, передают данные в открытом виде. Например, это касается HTTP, SMTP, IMAP, FTP, Telnet и, в том числе, протоколы IP- телефонии. Злоумышленник, который смог перехватить голосовой IP-трафик (а он по умолчанию между шлюзами не шифруется) может без труда восстановить исходные переговоры. Для этого существуют даже автоматизированные средства. Например, утилита vomit (Voice Over Misconfigured Internet Telephones), которая конвертирует данные, полученные в результате перехвата трафика с помощью свободно распространяемого анализатора протоколов tcpdump, в обычный wav-файл, прослушиваемый с помощью любого компьютерного плейера. Эта утилита позволяет конвертировать голосовые данные, переданные с помощью IP-телефонов Cisco и сжатые с помощью кодека G.711. Мало того, помимо несанкционированного прослушивания злоумышленники могут повторно передать перехваченные голосовые сообщения (или их фрагменты) для достижения своих целей.
Однако стоит отметить, что перехват голосовых данных - не такая простая задача, как кажется на первый взгляд. Злоумышленник должен иметь информацию об адресах шлюзов или абонентских пунктов, используемых VoIP-протоколах (например, H.323) и алгоритмах сжатия (например, G.711). В противном случае, злоумышленнику будет трудно настроить ПО для перехвата трафика или объем перехваченных данных и время для их анализа превысит все допустимые пределы.