Безопасность IP-телефонии

 Колледж Государственной и Муниципальной Службы 
 
 
 
 

Реферат 

по курсу: «автоматизированная система управления и связи»

«Безопасность IP-телефонии» 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

                                                                                      Выполнил: студент

                                                                                       группы ПБ-21

                                                                                       Тимофеев А.Н

                                                                                       Проверил:  
 
 
 

Ижевск 2010г.

Содержание: 

1. Введение……………………………………………………………………………………..3 

2. Типы угроз в сетях IP-телефонии……………………………………………………….....4 

3. Криптографическая защита информации………………………………………………....5 

4. Технологии аутентификации……………………………………………………………...10 

5. Особенности системы безопасности в IP-телефонии…………………………………...16 

6. Обеспечение безопасности в системах на базе стандарта Н.323…………………….…17 

7. Обеспечение безопасности IP-телефонии на базе VPN(виртуальные частные связи)..19 

8. Список литературы………………………………………………………………………..21 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2

1.Введение. 

IP-телефония  - это технология, позволяющая использовать  Интернет или любую другую IP-сеть  для ведения телефонных разговоров и передачи факсов в режиме реального времени. Особенно актуально, с экономической точки зрения, использование данной технологии для осуществления международных и междугородных телефонных разговоров или для создания распределенных корпоративных телефонных сетей.

Для организации  телефонной связи по IP-сетям используется специальное оборудование - шлюзы IP-телефонии. Общий принцип действия телефонных шлюзов IP-телефонии таков: с одной  стороны шлюз подключается к телефонным линиям - и может соединиться с любым телефоном мира. С другой стороны шлюз подключен к IP-сети - и может связаться с любым компьютером в мире. Шлюз принимает телефонный сигнал, оцифровывает его (если он исходно не цифровой), значительно сжимает, разбивает на пакеты и отправляет через IP-сеть по назначению с использованием протокола IP. Для пакетов, приходящих из IP-сети на шлюз и направляемых в телефонную линию, операция происходит в обратном порядке. Обе составляющие процесса связи (вход сигнала в телефонную сеть и его выход из телефонной сети) происходят практически одновременно, что позволяет обеспечить полнодуплексный разговор. На основе этих базовых операций можно построить много различных конфигураций. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3

2. Типы угроз в сетях IP-телефонии 

  Вопрос безопасности всегда был одним из важнейших в сетях телекоммуникаций. В настоящее время в связи с бурным развитием глобальных компьютерных сетей, и в том чисел сетей Интернет-телефонии, обеспечение безопасности передачи информации становится ещё более актуальным. Разработка мероприятий в области безопасности должна производиться на основе анализа рисков, определения критически важных ресурсов системы и возможных угроз. Существует несколько основных типов угроз, представляющих наибольшую опасность в сетях IP-телефонии. 

1. Подмена данных о пользователе.

 

     Подмена  данных о пользователе означает, что один пользователь выдаёт  себя за другого. При этом  возникает вероятность несанкционированного  доступа к важным функциям  системы. Использование механизмов  аутентификации и авторизации в сети повышает уверенность в том, что пользователь, с которым устанавливается связь, не является подставным лицом и что ему можно предоставить санкционированный доступ. 

2. Подслушивание.

 

      Во время передачи данных о  пользователях (пользовательских идентификаторов и паролей) или частных конфиденциальных данных по незащищённым каналам, эти данные можно "прослушать" с помощью специальных программ и средств, и в последствии злоупотреблять ими. Применение сеансового шифрования данных намного снижает вероятность этой угрозы. 

3. Манипулирование данными.

 

  Данные, передаваемые  по каналам связи, могут изменяться  как в следствии программно-аппаратных  сбоев, так и намеренно. Для  устранения приёма искажённой  информации, во многих видах шифрования используются технологии защиты целостности данных.    

4. Отказ от обслуживания (Denial of Service - DoS).

 

     Отказ от обслуживания является одним из видов "хакерской" атаки, или попросту говоря флудом (Flood (Англ.) - изобилие, потоп). В результате таких действий происходит перегрузка системы из-за обработки массы бесполезной информации, что приводит к значительному замедлению работы. Система связи должна иметь средства для распознавания таких атак и ограничения их действия. 

     Базовыми элементами в области безопасности являются аутентификация, целостность и активная проверка.  

Аутентификация предотвращает угрозу свободного доступа к ресурсам и данным. Она не всегда включается в состав авторизации, но, как правило, одно подразумевает другое.  

Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и достоверность передаваемой информации.  

Активная  проверка проверяет правильность реализации элементов технологии безопасности и помогает предотвратить атаки типа DoS.

4

3. Криптографическая защита информации 

     Основой  любой защищённой связи является  криптография. Криптографией называется  технология составления и расшифровки  закодированных сообщений. Кроме  того криптография является важной  составляющей для механизмов аутентификации, целостности и конфиденциальности. Аутентификация является средством подтверждения личности отправителя и получателя информации. Целостность означает, что данные не были изменены, а конфиденциальность исключает ситуацию, при которой данные может понять кто-либо кроме их отправителя и получателя.   Обычно криптографические механизмы существуют в виде алгоритма и ключа (секретной величины). Алгоритмы широко известны, в секрете надо держать криптографические ключи. От величины (разрядности) ключа зависит его уязвимость. 

     В  системах обеспечения безопасности  используются три основных криптографических  метода. Все существующие технологии  аутентификации, целостности и конфиденциальности  созданы на основе именно этих  трёх методов: 

     1. Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. При этом оба пользователя должны выбрать один и тот же  математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того им нужно выбрать общий секретный ключ, который будет использоваться с выбранным ими алгоритмом. 

     В  настоящее время широко используются  алгоритмы секретных ключей типа Data Encryption Standard (DES), 3DES ("тройной DES") и International Data Encrypting Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Когда объём сообщения превышает 64 бита, необходимо его разбить на блоки по 64 бита в каждом, а затем, на принимающей стороне, объединить их снова. Такое объединение, как правило, происходит одним из методов: 

Electronic Code Book Mode (режим  электронной кодовой книги, режим  простой замены). В этом режиме  все блоки текста шифруются  независимо, на одном и том  же ключе, в соответствии с алгоритмом. 

Stream Mode (поточный  режим, режим гаммирования). В  этом режиме открытый текст  складывается по модулю 2 с гаммой  шифра. Гамма получается следующим  образом: при помощи генератора  формируется предварительная гамма  (начальное заполнение этого генератора - так называемая синхропосылка - не является секретом и передается по каналу в открытом виде). Предварительная гамма подвергается зашифровыванию в режиме ECB, в результате чего и получается основная гамма, с которой складывается открытый текст. Если последний блок неполный (его длина меньше стандартного для данного алгоритма размера блока), берется только необходимое количество бит гаммы. 

Cipher Block Chaining Mode (режим сцепления блоков). В этом режиме очередной блок открытого текста складывается по модулю 2 с предыдущим блоком шифртекста, после чего подвергается зашифровыванию в режиме ECB. Для самого первого блока "предыдущим блоком шифртекста" является синхропосылка. Если последний блок открытого текста неполный - он дополняется до необходимой длины. 

5

Сipher Feedback Mode (гаммирование с обратной связью). В этом режиме открытый текст также складывается по модулю 2 с гаммой шифра. Гамма  получается следующим образом: сначала  шифруется (в режиме ECB) синхропосылка (она также передается по каналу в открытом виде). Результат шифрования складывается по модулю 2 с первым блоком открытого текста (получается первый блок шифртекста) и снова подвергается зашифровыванию. Полученный результат складывается со вторым блоком открытого текста и т.д. Обработка последнего блока - аналогично предыдущему режиму. 

Output Feedback Mode (гаммирование  с обратной связью по выходу). Как и в предыдущем режиме, сначала зашифрованию подвергается  синхропосылка. Результат складывается  по модулю 2 с первым блоком открытого текста - получается первый блок шифртекста. Далее, результат шифрования с предыдущего шага (до сложения!) шифруется еще раз и складывается со следующим блоком открытого текста. Таким образом, гамма шифра получается путем многократного шифрования синхропосылки в режиме ECB. Обработка последнего блока - аналогично предыдущему режиму. Легко видеть, что приведённое определение OFB полностью совпадает с определением SM. И это соотвествует криптографической практике. В частности в иногда отдельно не определяют SM, а OFB определяется так:

Ci = Pi ^ Si ; Si = Ek(Si-1) - шифрование

Pi = Ci ^ Si ; Si = Ek(Si-1) – расшифрование. 

Гамма - это псевдослучайная числовая последовательность, вырабатываемая по заданному алгоритму и используемая для зашифрования открытых данных и расшифрования зашифрованных. Гаммированием принято называть процесс наложения по определенному закону гаммы шифра на открытые данные для их зашифрования. 

     Шифрование  с помощью секретного ключа  очень эффективно реализуется  с помощью неизменяемых "вшитых" программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных. тем не менее, он имеет следующие недостатки: 

Необходимо часто  менять секретные ключи в целях  уменьшения риска их раскрытия.

Трудно обеспечить безопасное генерирование и распространение секретных ключей. 

     2. Асимметричное шифрование часто называют шифрованием с помощью общего ключа, при котором используются разные, но взаимно дополняющие друг друга алгоритмы и ключи. Этот механизм полагается на два взаимосвязанных ключа: общего ключа и частного ключа. Важным аспектом асимметричного шифрования является тайна частного ключа. 

     Механизмы  генерирования пар общих/частных  ключей являются достаточно сложными, но в результате получаются пары очень больших случайных чисел, одно из которых становится общим ключом, а другое - частным. Генерирование таких чисел требует больших процессорных мощностей, поскольку эти числа, а также их произведения должны отвечать строгим математическим критериям. Однако этот процесс генерирования абсолютно необходим для обеспечения уникальности каждой пары общих/частных ключей. Алгоритмы шифрования с помощью общих ключей редко используются для поддержки конфиденциальности данных из-за ограничений производительности. Вместо этого их часто используют в приложениях, где аутентификация проводится с помощью цифровой подписи и управления ключами.