Obrona rozbudowana

Kiedy serwery VoIP i aplikacje na nich pracujące są już bezpiecznie skonfigurowane, można przystąpić do budowania "obrony głębokiej" poprzez dodawanie poziomów zabezpieczeń wokół serwera. Serwery VoIP i wymaganą infrastrukturę (DNS, LDAP) można izolować od maszyn klienckich (telefonów, pecetów i laptopów), używając do przenoszenia zarządzania, głosu i danych fizycznie separowanych lub wirtualnych LAN (VLAN).

Do ograniczania typów ruchu przekraczającego granice VLAN, tylko do niezbędnych protokołów, używa się zapór ogniowych. Takie odgrodzenie może efektywnie ograniczać rozprzestrzenianie się złośliwych kodów z zainfekowanych klientów do serwerów VoIP, zwłaszcza w sieci homogenicznej (np. Windows). Często ma też wpływ na uproszczenie polityki bezpieczeństwa - rozdzielenie jej na ograniczające zapory ogniowe ułatwia zarządzanie, staje się mniej skomplikowane niż utrzymywanie reguł polityki na pojedynczej zaporze ogniowej.

Segmentacja jest silnym narzędziem zapewniania bezpieczeństwa, tak więc nie można jej zaniechać. Takie same metody segmentacji, jakie są używane do podniesienia bezpieczeństwa, mogą być stosowane do implementacji QoS. Przydzielenie telefonów SIP do ich własnych VLAN pomaga ograniczyć VoIP do dozwolonych urządzeń i nadać wyższy priorytet pakietom VoIP przemieszczanym z obrzeża sieci do takiego segmentu.

Rozważyć też można oddzielenie agentów VoIP użytkownika (softfonów) od komputerów PC i laptopów używanych do dostępu do sieciowych aplikacji danych. Taka segregacja obniży skuteczność ataków skierowanych przeciw segmentom danych, rozprzestrzeniających i interferujących się z systemami głosowymi.

Wirtualne sieci lokalne pozwalają na logiczne odseparowanie danych głosowych od pozostałych danych sieciowych. Wdrożenie mechanizmów QoS w zarządzaniu pasmem przeznaczonym dla aplikacji głosowych umożliwia nadawanie priorytetów dla specyficznych usług. Zarządzanie przepustowością każdego komponentu VoIP może ograniczyć ataki SYN flood czy DDoS.

Gdy zastosuje się segmentację i rozgraniczanie wykorzystujące reguły polityki, problemem może być wydajność zapory ogniowej. Dlatego takie przedsięwzięcia należy planować ostrożnie, aby uniknąć nadmiernych opóźnień na drodze transportu strumienia głosu.

Bezpieczeństwo punktów końcowych zapewnia zewnętrzny poziom ochrony w systemach VoIP. Kontrola dostępu do sieci oparta na IEEE 802.1X i ekwiwalentne techniki udostępniania sieci zapewniają dodatkowy poziom kontroli autoryzacji poprzez blokowanie dostępu do LAN czy WAN dopóki urządzenie końcowe nie spełni wymagań obowiązującej polityki bezpieczeństwa.

Administratorzy mogą blokować urządzenia zainfekowane lub takie, które nie spełniają innych kryteriów dopuszczenia do sieci, jak np. aktualne łatki czy odpowiednio skonfigurowana zapora ogniowa. Mogą też skierować niespełniające wymagań urządzenia do wyizolowanego segmentu LAN, który oferuje ograniczony zakres usług lub do LAN, gdzie użytkownicy softfonów mogą uzyskać dostęp do oprogramowania, łatek i aktualnych sygnatur wirusowych zapewniających spełnienie przyjętych kryteriów. W wielu przypadkach te środki bezpieczeństwa mogą być podejmowane przed uwierzytelnieniem, uniemożliwiając kodom złośliwym (np. rejestratorom klawiatury) przechwytywanie referencji.

Trzeba też pamiętać, że VoIP jest często problemem dla tradycyjnych zapór ogniowych, ponieważ mogą być one niedostosowane do zadań zabezpieczania strumienia głosu i danych. Tradycyjne sieciowe zapory ogniowe są przygotowane do dopuszczania lub blokowania ruchu na podstawie informacji nagłówkowej TCP, UDP (User Datagram Protocol) i IP. Na przykład adres IP, typ protokołu i numer portu.

Protokoły VoIP używają szerokiego zakresu portów UDP i przydzielają je dynamicznie do strumienia głosu. Wiele tradycyjnych zapór ogniowych jest nieprzystosowanych do takiego działania, tj. dużego zakresu numerów portów stale otwartych dla użytku VoIP. Niektóre zapory ogniowe nie przetwarzają efektywnie UDP. Inne nie obsługują mechanizmów QoS zarządzających opóźnieniem i różnicami w czasie nadejścia pakietów głosowych (jitter) w sposób zapewniający połączeniom VoIP jakość połączeń nieodbiegającą od telefonii tradycyjnej.

Innym problemem połączeń VoIP przechodzących przez zaporę ogniową są wiadomości sygnalizacyjne. Są one ignorowane przez tradycyjną translację adresów (NAT). Typowe zapory ogniowe nie monitorują również wszystkich protokołów VoIP dla różnych typów ataków, które mogą mieć miejsce.

Pod uwagę należy więc brać zapory ogniowe obsługujące SIP, które mogą wykrywać i przeciwdziałać atakom na komunikaty sygnałowe SIP oraz przetwarzać strumienie pakietów RTP bez dokładania znaczących opóźnień.

Bramy poziomu aplikacyjnego (proxy) mogą odgrywać znaczącą rolę we wdrażaniu VoIP. Włączenie tuneli SSL do proxy SIP staje się coraz bardziej popularną metodą ulepszenia uwierzytelniania oraz wprowadzania poufności i ochrony integralności komunikatów sygnałowych wymienianych pomiędzy agentem użytkownika i proxy SIP.

W wielu implementacjach bierze się pod uwagę łańcuchowanie połączeń SIP w celu ochrony ruchu sygnałowego pomiędzy proxy SIP w całej organizacji, jak również między różnymi organizacjami. Jeżeli organizacja musi przekazywać strumienie głosu między lokalnymi i globalnymi adresami IP oraz portami RTP, odpowiednim rozwiązaniem może być zastosowane proxy RTP. Organizacje, które już poczyniły pewne inwestycje w infrastrukturę IPSec, mogą wykorzystać ją do zabezpieczania ruchu VoIP pomiędzy ośrodkami.

W pewnych konfiguracjach można próbować preferencyjnego przetwarzania ruchu VoIP poprzez tworzenie asocjacji bezpieczeństwa IPSec, które nadają priorytet ruchowi multimedialnemu nad ruchem danych. Można też stosować filtrowanie ruchu sygnałowego i strumieni multimedialnych RCP przez Session Border Controller (SBC). SBC mogą stosować politykę bezpieczeństwa w odniesieniu do połączeń pomiędzy prywatnymi i publicznymi agentami użytkownika. Pod kilkoma względami SBC zachowuje się podobnie jak proxy bezpiecznej poczty elektronicznej. Może zmieniać nagłówki wiadomości w celu ukrycia szczegółów o prywatnej sieci (takich jak adresy), usuwać nieznane i niepożądane pola nagłówka SIP, a także zabraniać specyficznych połączeń.

Takie środki bezpieczeństwa, wraz z proaktywnym planem monitorowania bezpieczeństwa oraz systemem wykrywania i zapobiegania wtargnięciom, nie tylko poprawiają bezpieczeństwo VoIP, ale, po ich wprowadzeniu w organizacji, także w znacznym stopniu zmniejszają ryzyko dla sieci danych. Wiele z tych środków będzie nadal użytecznych dla różnych wdrożeń, nawet po wniesieniu do protokołów i architektury VoIP rozszerzeń związanych z bezpieczeństwem.

W przedsiębiorstwach trzeba także wziąć pod uwagę wdrożenie odpowiedniego help desku. Usuwanie problemów związanych z zakłóceniem usługi, podszywaniem się pod abonenta czy kradzieżą impulsów musi mieć odpowiednie wsparcie. Rozwiązywanie sporów i przywracanie usługi pracownikom, którzy padli ofiarą takich ataków, wymaga odpowiednich zasobów i wpływa na ich wydajność.