Eden za dopłatą

Wdrożenia VoIP w ogóle, a "zagraniczne" w szczególności, odkrywają wiele problemów w sieciach, w tym także w dziedzinie bezpieczeństwa.

Wdrożenia VoIP w ogóle, a "zagraniczne" w szczególności, odkrywają wiele problemów w sieciach, w tym także w dziedzinie bezpieczeństwa.

Przeglądając oferty telefonii VoIP firm działających poza granicami Polski dwie sprawy budzą zainteresowanie na pierwszy rzut oka. Po pierwsze cena, która nie odbiega, a często jest niższa niż cena za połączenia stacjonarne - w tym zagraniczne. Po drugie - bogactwo usług, opcji konfiguracyjnych i udogodnień, jak darmowe połączenia między oddziałami, pełne zarządzanie połączeniami za pomocą oprogramowania i wiele innych.

Zachodnie oferty bywają naprawdę bardzo atrakcyjne, jednak możliwość skorzystania z nich przez firmę działającą na terenie Polski napotyka wiele problemów i wyzwań. Objęcie wdrożenia usług VoIP oferowanych transgranicznie ścisłym harmonogramem, bądź co gorsza, uzależnienie od niego innych etapów większego projektu, może skończyć się kosztownymi opóźnieniami.

Pewne niezgodności

Przy zakupie centrali VoIP, usług głosowych, dodatkowych elementów typu karty analogowe lub ISDN, dostawcy oferują zwykle darmową konfigurację i pomoc w implementacji. Zachodnie firmy najczęściej uznają przy tym, że polskie firmy telekomunikacyjne odpowiadają standardom europejskim i ustawienia "Euro-podobne" będą odpowiednie (Cisco, Planet). Niektóre zaś poproszą nas o kontakt z osobą techniczną w firmie telekomunikacyjnej, która płynnie włada angielskim i/lub/niemieckim i orientuje się w standardach technicznych obowiązujących w danym kraju.

Niestety, u naszego głównego operatora takie próby prawie zawsze kończą się niepowodzeniem lub co najmniej różnicą zdań. Można przytoczyć przykład, że jedna z firm telekomunikacyjnych w naszym kraju nie ma standardu central cyfrowych. W każdym mieście działają urządzenia innego producenta, inaczej konfigurowane i łączone, często na zasadzie "byle działało", bez uwzględnienia dostępnych metod strojenia wydajności.

Tymczasem zakupiona centralka trafia do nas skonfigurowana tak, jakby po stronie krajowego dostawcy łączy sieć była skonfigurowana profesjonalnie. Nic zatem dziwnego, że w momencie uruchomienia łącza pojawiają się problemy. Uruchomienie łącza polega na tym, że w firmie pojawiają się pracownicy operatora, testują łącze (nazwijmy je linią Multi-ISDN) i na tym koniec. Konfiguracja centralki nie leży w ich kompetencjach, a w każdym razie nikt im za to nie zapłacił. Dla jasności: na "standardowo" zastawionym łączu centralka na pewno nie będzie działać poprawnie. Dlaczego?

Standard kodowania Euro-ISDN jest jednolity w całej Europie, ale już nie w Polsce. Częste szumy i przerwania są winą błędnego kodowania po stronie central polskiego operatora. Mamy więc łącze zestawione "po polsku" i podłączoną do niego centralkę, która rozumie tylko Euro-ISDN. Niby nic strasznego - od tego jest oprogramowanie konfiguracyjne. Problem w tym, że niektórzy producenci kart VoIP nie udostępniają opcji zmiany typu kodowania. Wyjścia są dwa: wymiana centrali lub zakup karty Euro-ISDN umożliwiającej konfigurację kodowania. Oddzielną kwestią będzie jednak jej dostrojenie do "lokalnych zwyczajów" operatora - o jednolitej konfiguracji dla całej krajowej sieci nie ma mowy.

Sieci nie oszukasz

VoIP to relatywnie nowa technologia, której twórcy zakładali istnienie nowoczesnej infrastruktury sieciowej. Tymczasem w większości średniej klasy biurowców w Polsce sieci strukturalne opierają się na Ethernecie 10 Mb/s lub ewentualnie 100 Mb/s, lecz niecertyfikowanym (tanim).

Brak certyfikacji oznacza, że sieć ma prawo być zawodna - mogą w niej pojawiać się szumy, przesłuchy, zakłócenia związane z uszkodzeniami fizycznymi itp. Wszystko to może, i oddziałuje na wydajność sieci. Telefonia IP natychmiast odkrywa słabości sieci strukturalnych, co przy planowaniu wdrożeń jest notorycznie ignorowane. Przed wprowadzeniem VoIP do firmy należy przeprowadzić porządny audyt wszystkich sieci i uzyskać dla nich certyfikaty. To podstawa.

Problem nie pojawia się tylko w strefie kabli, ale także wtedy, gdy telefonia IP ma działać po łączach radiowych, np. poprzez most radiowy do odległego magazynu. Znamienne, że nawet sami dostawcy oferujący rozwiązania dla telefonii IP z "wyższej półki", np. Mitel czy Cisco, w szczerych rozmowach nie popierają rozwiązań telefonii IP opartych na sieciach radiowych, a w każdym razie takich, w których tym samym łączem mają być transmitowane dane i rozmowy. Jedynym rozwiązaniem wireless jest postawienie oddzielnej sieci bezprzewodowej tylko dla telefonów, co zwykle nie jest przewidywane w budżetach.

Można przyjąć regułę, że im tańsze są rozwiązania i usługi VoIP, tym większe problemy techniczne mogą nas spotkać. Jako przykład można podać telefony VoIP firmy Planet, najtańsze na rynku, sprawiają najwięcej problemów z przesyłem sygnału. Nie do zniesienia stają się szumy i przegłosy, które występują nawet w sieciach lokalnych. To spektakularny przykład, ale rozwiązania innych firm również bywają problematyczne.

Twórcy technologii VoIP zakładali połączenie przez sieć publiczną z limitem 8,6/64 Kb/s dla jednego telefonu, a także bezawaryjność sieci WAN. Aktualnie stan polskich sieci rozległych się poprawia, lecz wciąż odbiega od standardów europejskich (zwłaszcza daleko im do jakości sieci w krajach takich jak Szwecja, Holandia czy Finlandia). Tak naprawdę łączenie oddziałów zagranicznych mija się z celem, bez uprzedniego miesięcznego testowania łączy i zakłóceń/awaryjności, jakie wynikają podczas 24-godzinnej transmisji.

Bezpieczeństwo teoretyczne

Usługi VoIP nie mogą być bezpieczne, jeżeli bezpieczna nie jest sieć, w której mają działać. Czynników mających wpływ na bezpieczeństwo jest wiele. Brak ekranowania kabli, łatwy dostęp do urządzeń sieciowych, brak list dostępowych na urządzeniach - wszystko to ułatwia podsłuch, a nawet włamanie i korzystanie z usług VoIP na koszt firmy przez osoby do tego nieupoważnione.

Niedocenianym problemem przy wdrożeniach telefonii IP jest niestabilność przełączników Ethernet wbudowanych w telefony IP, a służących do tego, by na tym samym łączu fizycznym mogły działać komputer i telefon. Przełączniki w telefonach nie są odporne na zaburzenia napięcia - gdy zdarzy się przepięcie, co w polskich warunkach jest częste, telefon może ulec trwałemu uszkodzeniu.

Zagrożenie dla bezpieczeństwa stanowią architektury, w których telefony pobierają swoje oprogramowanie z centralki. Podsłuchanie odpowiednich pakietów, a następnie sfałszowanie ich nie jest trudne - transmisje między centralką a telefonem rzadko są kodowane. To właśnie z tego powodu producenci zalecają zwykle zestawienie oddzielnych tuneli VLAN dla telefonów IP. Telefony z przełącznikami obsługującymi tunelowanie VLAN są jednak, niestety, droższe.

Telefonia IP nie może być bezpieczna, skoro bezpieczeństwo samych centralek programowych pozostawia wiele do życzenia. Standard TLS/SSL niby się przyjął, ale producenci nie spieszą się z jego implementowaniem. W efekcie, jeśli ktoś ma wiedzę i ochotę, bez większego trudu może zawiesić oprogramowanie centralki, zmienić jej konfigurację, podszywać się pod prawowitych użytkowników, uszkodzić konfigurację, uniemożliwiając nawiązanie łączności ze światem...

Co więcej, zakup droższego sprzętu nic nie gwarantuje. Producenci "lepszych" rozwiązań dla telefonii IP lubią mówić o bezpieczeństwie, odstraszając klientów od zakupu tańszych urządzeń, ale w praktyce zasad bezpieczeństwa sami nie stosują lub popełniają kardynalne błędy. Wie to każdy, kto zamiast czytać kolorowe prezentacje producentów spędził kilka godzin na analizie ruchu sieciowego ich rozwiązań VoIP. Twórcom rozwiązań VoIP należy życzyć większego zaangażowania w kwestiach bezpieczeństwa, bo to, co do tej pory zaprezentowali, raczej nie imponuje.

Technologia i ludzie

Aktualnie na zagranicznym rynku są dziesiątki producentów rozwiązań VoIP produkujących produkty na każdą kieszeń. To oczywiste, że poszukuje się rozsądnego kompromisu między funkcjonalnością, jakością i ceną, aczkolwiek te najtańsze na pewno nie spełnią oczekiwań - oszczędności powstałe dzięki ich zakupowi zostaną szybko skonsumowane przez wydatki na nadgodziny i zewnętrzną pomoc techniczną.

Na podstawie własnych doświadczeń mogę powiedzieć, że oprócz funkcjonalności produktu, renomy i referencji producenta i dostawcy, w przypadku rozwiązań VoIP bardzo liczą się kompetencje pracowników ich działów wsparcia technicznego. Specjaliści, którzy przyjeżdżają z zagranicy i stają oko w oko z polskimi realiami sieciowymi, często nie wiedzą, co mają począć.

To proste - problemy, z jakimi polscy specjaliści muszą radzić sobie chcąc nie chcąc, na Zachodzie się nie zdarzają. Na Zachodzie instalację VoIP może przeprowadzić informatyk po zwykłym przeszkoleniu. W Polsce wciąż trzeba do tego szerokiej wiedzy, a przede wszystkim doświadczenia z różnymi "ciekawymi przypadkami".