VoIP kusi i straszy

Telefonia IP nie sprawia już problemów wdrożeniowych. Problemem pozostaje głównie to, że wraz z systemem telefonii IP konieczne jest dokonanie - nie zawsze antycypowanych - inwestycji pomocniczych, np. systemu niezawodnego zasilania, dodatkowych zabezpieczeń sieciowych itp.

Telefonia IP nie sprawia już problemów wdrożeniowych. Problemem pozostaje głównie to, że wraz z systemem telefonii IP konieczne jest dokonanie - nie zawsze antycypowanych - inwestycji pomocniczych, np. systemu niezawodnego zasilania, dodatkowych zabezpieczeń sieciowych itp.

Na podstawie wypowiedzi, padających podczas zakończonej niedawno w Bostonie konferencji Fall VON 2004, można odnieść wrażenie, że technologia VoIP jest już na tyle dojrzała, że jej implementacja nie stwarza poważnych problemów wdrożeniowych. Nie oznacza to jednak, że klasyczne systemy telefoniczne zaczną być masowo i bezwzględnie wypierane przez sieci IP, co ma bezpośredni związek z kwestiami bezpieczeństwa.

Padały wręcz głosy, że telefonia realizowana za pośrednictwem pakietowych sieci IP to niebezpieczny teren, na którym czyha dziesiątki zagrożeń nieznanych w świecie telefonii tradycyjnej. Okazało się, że najwięcej zwolenników - przynajmniej w Stanach Zjednoczonych, mają rozwiązania mieszane - klasyczne centrale telefoniczne rozbudowane o obsługę VoIP lub alternatywnie - systemy telefoniczne oparte na IP korzystające z linii analogowych jako zapasowego wyjścia na świat.

Mimo rozwoju technologii, decydując się na zastosowanie VoIP warto też zdawać sobie sprawę, że możliwość uzyskania wysokich oszczędności w eksploatacji systemu telekomunikacyjnego może wymagać kompromisów dotyczących jakości połączeń głosowych i ich niezawodności. Niedogodności te można zminimalizować, jeśli system VoIP zostanie dobrze zaprojektowany. Niestety, brak jest gotowej recepty na taki dobry projekt, bo problemy związane z implementacją VoIP są tak różne, jak różne są firmy i przedsiębiorstwa.

Jak mówi Grzegorz Dobrowolski, dyrektor ds. rozwoju rynku w Cisco Systems Polska, "Bezpieczeństwo, niezawodność i jakość transmisji głosu to najczęściej spotykane problemy związane z instalacją sieci VoIP, ale trudno jest uszeregować ich znaczenie, bo zależy ono od konkretnej implementacji. Inne problemy należy pokonać, instalując sieć zawierającą 100 telefonów IP, a zupełnie inne pojawiają się w systemach wykorzystujących 1000 lub więcej takich urządzeń".

VoIP jako usługa operatora

Ze względu na konieczność utrzymywania kompetencji w dziedzinie bezpieczeństwa, alternatywą dla tradycyjnych wdrożeń telefonii może się okazać zdalne zarządzanie przez operatora rozwiązaniem telefonicznym działającym w siedzibie klienta. Alternatywą jest wynajem serwerów telekomunikacyjnych zainstalowanych w serwerowni operatora. Popularność wśród operatorów w USA zyskuje zwłaszcza ta ostatnia, jako że pozwala na fizyczne oddzielenie serwerów obsługujących jedną firmę od pozostałych. W razie awarii serwera usługi mogą być przełączone na inny serwer. W tym kierunku zmierzają też oferty dostawców rozwiązań, m.in. Avaya, Cisco Systems, Lucent Technologies, Mitel Networks, Nortel Networks i 3Com.

W USA większość firm oferujących takie usługi adresuje swoją ofertę do małych lub średniej wielkości przedsiębiorstw wykorzystujących do 500 aparatów telefonicznych. Jednak np. Avaya zamierza koncentrować się na rynku przedsiębiorstw o obrotach 200-800 mln USD. W Polsce usługi outsourcingu oferowane są w segmencie SMB, ale przede wszystkim w formie zarządzania rozwiązaniami działającymi u klienta. Na usługi hostingowe popyt dopiero się budzi. Jedną z firm, która zamierza budować ten rynek jest Avaya.

Opracowywane przez Avaya rozwiązanie hostingowe wykorzystuje Linuxową centralę programową działającą na kompaktowych serwerach intelowskich. Firma planuje migrację większości funkcji obsługiwanych dotychczas sprzętowo przez centralki PBX do rozwiązań programowych zgodnych z wyśrubowanymi operatorskimi standardami bezpieczeństwa NEBS. Architektura systemu ma zapewniać operatorom telekomunikacyjnym możliwość przydzielania pojedynczych komputerów blade do obsługi indywidualnych firm, ale co ważniejsze Avaya sama zamierza finansować budowę centrów telekomunikacyjnych, systemów zarządzania usługami, a także wspomagać wykorzystujących je operatorów.

Wirusy, spam i podsłuch

Konwergencja systemów telefonicznych i IP powoduje, że dobrze znane zagrożenia bezpieczeństwa w sieciach danych pojawiają się, choć w nieco innej formie, również w systemach komunikacji głosowej VoIP. "Zapewnienie bezpieczeństwa w systemach VoIP to w zasadzie takie samo zadanie dla administratora, jak ochrona sieci danych. VoIP jest po prostu jedną z aplikacji wykorzystywanych w systemie IT, a różnice mechanizmów zabezpieczeń występują w praktyce tylko na poziomie szczegółów" - uważa Grzegorz Dobrowolski.

Przedstawiciele AT&T zaprezentowali ostatnio jedno z takich realnych zagrożeń - możliwość wprowadzania do strumienia danych głosowych VoIP dodatkowych słów, które nie są bezpośrednio słyszane przez odbiorcę. Wykorzystując tego typu technikę, naukowcy z laboratorium AT&T wprowadzili do strumienia VoIP pełen tekst ukrytej wiadomości głosowej, której jakość była tak wysoka, że analiza przeprowadzona przez specjalistów z FBI wykazała, że jest to oryginalne, prawdziwe nagranie głosu. Inne rodzaje zagrożeń to np. głosowy spam, czyli wiadomości nagrywane na skrzynce poczty głosowej. Możliwe są także ataki typu DoS, czy to przez przepełnienie skrzynek głosowych, czy też całkowite uniemożliwienie korzystania z usług telefonicznych.

Niebezpieczeństw nie należy jednak przeceniać - wiele z nich można wyeliminować stosując rozwiązania i technologie znane już dziś. Na przykład szyfrowanie pakietów zawierających zakodowany głos skutecznie zapobiega "iniekcji", zaś szyfrowanie pakietów odpowiedzialnych za sygnalizację uniemożliwia rozpoznanie adresów komunikujących się stron, co znacznie zmniejsza ryzyko ataku. Większość producentów wprowadza obecnie do produktów mechanizmy szyfrowania i inne zabezpieczania dostępu do standardowych aplikacji i urządzeń VoIP.

"W początkowej fazie rozwoju technologii VoIP nie zwracano większej uwagi na zabezpieczenia transmisji przed podsłuchem. Obecnie jest to jeden z ważnych elementów systemu. Nortel na początku przyszłego roku zamierza wprowadzić na rynek oprogramowanie SRTP (Secure Real Time Protocol) umożliwiające standardowe szyfrowanie połączeń VoIP w czasie rzeczywistym" - mówi Maciej Pogorzelski z Nortel Networks Polska. Podobne mechanizmy już dziś oferuje Cisco.

Mając na uwadze bezpieczeństwo usług VoIP VeriSign wprowadził do oferty usługę zabezpieczania transmisji VoIP przy wykorzystaniu centrów VeriSign SOC (Security Operations Center). Poprzez skanowanie ruchu usługa zapewnia skanowanie sieci w poszukiwaniu wirusów lub robaków oraz jej monitorowanie umożliwiające wykrywanie zjawisk odbiegających od normy i blokowanie podejrzanych transmisji, dopóki użytkownik nie potwierdzi, czy jest to atak czy uprawnione przesyłanie informacji. Dodatkowo VeriSign prowadzi rozmowy z producentami aparatów VoIP dotyczące implementacji w tych urządzeniach podpisów cyfrowych, które umożliwiłyby sprawdzenie, czy są to aparaty bezpieczne, np. nieprzekazujące strumienia danych do innych, podsłuchujących urządzeń.

Zagrożeniem dla systemów telefonii IP jest brak standardowego mechanizmu zamykania portów. Połączenia VoIP odbywają się przez losowo wybrane porty UDP, które po zakończeniu rozmowy mogą pozostać otwarte i stanowić zagrożenie dla sieci wewnętrznej firmy. Do zabezpieczenia instalacji pod tym kątem konieczne jest wdrożenie serwerów H.323-proxy lub SIP-proxy, które dbają o prawidłowe otwieranie i zamykanie portów i koordynację działania systemów telefonii IP z firewallami. Zintegrowany system tego rodzaju przedstawiły ostatnio wspólnie Juniper Networks i Avaya (Juniper Security Appliance + Avaya VoIP).

Analogowy w odwodzie

Ponieważ systemy telefonii IP działają w firmowych sieciach LAN/WAN, zatem cokolwiek złego dzieje się z siecią, odbija się na działaniu usług głosowych. Z punktu widzenia bezpieczeństwa, ale i dostępności, dobrym rozwiązaniem jest obsługa VoIP wyłącznie w ramach wydzielonej podsieci VLAN. Umożliwia to zniwelować lub ograniczyć wpływ ataku/infekcji na system telekomunikacyjny. Znacznie utrudnia także bezpośredni atak na usługi VoIP.

Problemem trapiącym VoIP i hamującym jego popularyzację jest zawodność zasilania. Klasyczna telefonia wykorzystuje własne zasilanie zapewniane przez operatora, natomiast w przypadku wdrożenia VoIP za zasilanie odpowiada klient. Ponieważ dłuższa przerwa w działaniu systemu telefonicznego jest nie do zaakceptowania, bardzo często jest tak, że o konieczności zakupu dobrej klasy zasilacza firmy dowiadują się już po zakupie systemu telefonii IP. Przy tej okazji warto też sprawdzić, jakie zabezpieczenia na wypadek awarii łącza zewnętrznego przewidział lokalny operator sieci transmisji danych. Jedyne pocieszenie jest takie, że telefony IP powszechnie wykorzystują zasilanie przez Ethernet.

Grzegorz Dobrowolski z Cisco uważa, że "ochrona przed awarią zasilania systemu IT, która mogłaby sparaliżować system telekomunikacyjny VoIP, nie stanowi obecnie dużego problemu. Dostępne są np. moduły umożliwiające automatyczne przełączanie kanałów telekomunikacyjnych z VoIP na linie analogowe". Mimo to największą popularność ma rozszerzanie funkcjonalności tradycyjnych central PBX o funkcje VoIP. Jak mówi Maciej Pogorzelski z Nortela "Bezpieczeństwo systemów VoIP i ich niezawodność stwarza praktycznie takie same problemy, jak w wypadku standardowej sieci. W wewnętrznej sieci zależy to np. od implementacji mechanizmów automatycznego przełączania portów w wypadku przerwania połączenia. W przypadku łączy WAN jest to kwestia gwarancji jakości usług przez operatora".

Czy Istanbul zmonopolizuje rynek?

Microsoft zaprezentował ostatnio aplikację o kodowej nazwie Istanbul - pierwszą wersję oprogramowania klienckiego, które ma obsługiwać funkcje komunikacji w czasie rzeczywistym (telefonia IP, telekonferencje, transmisja wideo, wiadomości IM - Instant Messaging) w systemach korporacyjnych. W przyszłości ma się pojawić wersja dla urządzeń kieszonkowych. Klient Istanbul współpracuje z serwerem Live Communications Server (LCS) 2005, ale może też obsługiwać połączenia z centralami telefonicznymi TDM i IP PBX oraz bramkami SIP innych producentów.

Program za pośrednictwem dedykowanego API ma oferować użytkownikom wszystkie funkcje udostępniane przez centralę PBX. Tego typu aplikacje są już dostępne na rynku, jak choćby system Nortel Networks Multimedia Communication Server 5100. Wersja beta Istanbul oraz serwer LCS 2005 mają pojawić się na rynku w grudniu tego roku, a premiera wersji komercyjnej Istanbul jest zapowiadana na pierwszą połowę 2005.

IP dla specjalnych

Alcatel opracowuje system szyfrowania głosu w sieciach IP przeznaczony dla firm i instytucji szczególnie wrażliwych na możliwość podsłuchu rozmów. System wykorzystuje serwer telekomunikacyjny Alcatel OmniPCX Enterprise IP oraz moduły szyfrujące Mistral opracowane przez firmę Thales, które zapewniają szyfrowanie danych w czasie rzeczywistym. Moduły te automatycznie generują odpowiednie klucze szyfrujące dla każdego urządzenia IP, co zapewnia łatwą ich identyfikację i możliwość utrzymania integralności transmisji. Według Alcatela jest to rozwiązanie prostsze od implementacji i zarządzania w porównaniu do standardowych systemów certyfikacji wykorzystujących cyfrowe podpisy i klucze publiczne.

Rozmowy szyfrowane

Cisco Systems ogłosiła rozszerzenie funkcjonalności CallManager o możliwość kontrolowania korelacji między numerami telefonicznymi i adresami IP telefonów cyfrowych oraz automatycznego śledzenia połączeń. Aplikacja została też wyposażona w funkcje umożliwiające szyfrowanie transmisji podczas połączeń z cyfrowymi telefonami 7940G i 7960G. Cisco zapowiedziała również rozszerzenie wsparcia technicznego dla użytkowników jej systemów o pomoc w integracji telefonów IP z systemami i centralami innych producentów.

Dotychczas Cisco oferowała funkcje szyfrowania transmisji tylko w aparatach najwyższej klasy. Obecnie wprowadza je do modeli standardowych, których użytkownicy mogą dokonać bezpłatnego upgrade'u przez instalację odpowiedniej aktualizacji oprogramowania. Protokół Cisco Q.SIG wykorzystywany do komunikacji między systemami telefonii IP Cisco a centralkami innych producentów został rozszerzony o możliwość bezpiecznej transmisji wprowadzonej do nowej wersji CallManager.

Licencja na Cisco CallManager 4.1 (wraz z Cisco Media Convergence Server) kosztuje od ok. 6000 USD. Użytkownicy CallManager 4.0 mogą dokonać bezpłatnego upgrade'u do wersji 4.1.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200