Недостатки в обеспечении безопасности ограничивают передачу голоса по сетям IP
Скотт Беринато, Джим Керстеттер, Джон Рендлмен
Многим корпорациям уже пришлось столкнуться с неожиданно большими затратами на развертывание систем передачи голоса по сетям протокола IP (voice over IP, VoIP), а впереди их ожидает и еще более серьезная проблема - недостаточный уровень безопасности. Уже одно это обстоятельство может заставить корпоративных менеджеров по информационным технологиям полностью пересмотреть планы развертывания новых средств, настолько оно важно.
Современный способ передачи голосовой информации по сетям с коммутацией каналов отвечает самым высоким требованиям безопасности, а цифровые данные, передаваемые по корпоративным IP-сетям, предварительно подвергаются шифрованию. Трафик же передачи голоса по сети протокола IP оказывается значительно менее защищенным. И хотя поставщики оборудования уже начинают заниматься этой проблемой, она имеет помимо чисто технического еще и сложный юридический аспект - в тех случаях, когда планируется вести голосовой IP-обмен с зарубежными абонентами. В итоге технологические и юридические препятствия на пути обеспечения безопасности в сочетании с сомнениями относительно ценовых характеристик технологии VoIP могут стать для служб ИТ многих организаций достаточным основанием, чтобы отложить планы развертывания таких систем или передать их исполнение на субподряд внешнему поставщику услуг, готовому взяться за эту сложную интеграционную задачу.
“Безопасность определенно не относится к числу достоинств современных реализаций технологии VoIP, - считает аналитик из исследовательской корпорации International Data (Фреймингхем, шт. Массачусетс) Абнер Германов. - Инфраструктура шифрования на основе алгоритмов с открытым и закрытым ключом, широко внедряемая в настоящее время в Internet, не подходит для решения данной проблемы”.
“Даже если для передачи голоса используется частная сеть, я совершенно не поручусь за безопасность данных, эту проблему необходимо решать”, - говорит Роб Мортон, сетевой администратор из фирмы Productivity Point International (Даллас, шт. Техас), которая только приступает к тестированию технологии VoIP.
Производители уже готовят к выпуску продукты, в которых учтены некоторые из аспектов обеспечения безопасности VoIP, однако их появления на рынке следует ожидать не раньше будущего года. Отчасти это объясняется тем, что алгоритмы шифрования плохо совмещаются с алгоритмами сжатия голосовых данных, а также высокой чувствительностью голосового трафика к задержкам.
По словам директора по средствам передачи голосовых и цифровых данных из фирмы Cabletron Systems (Рочестер, шт. Нью-Гэмпшир) Джеффри Берка, решить эти вопросы оказалось сложнее, чем представлялось раньше: “Дело дошло до того, что наши клиенты просто отказываются от сжатия голосовых данных при передаче по своим частным глобальным сетям, поскольку безопасность важнее”. Это приводит к тому, что 64 кбит/с канал в составе линии T-1 используется для ведения всего одного сеанса голосовой связи, тогда как применение сжатия позволяет увеличивать число сеансов до восьми.
Решать данную проблему Cabletron планирует с помощью обновленной версии модуля аппаратного шифрования Zip-lock для своих коммутаторов сетей передачи данных. Разработка модели шифрования голосового трафика может быть завершена не ранее середины 1999 г., а переход на нее сведется, по словам Берка, к замене ПО, записанного в ПЗУ устройства.
Фирма Cisco Systems (Сан-Хосе, шт. Калифорния) также выпустит в будущем году аппаратные версии своего механизма IPSecurity, обеспечивающего шифрование голосового трафика.
Однако применение дополнительного оборудования имеет и свои недостатки: основанные на аппаратуре средства обеспечения безопасности оказываются дороже чисто программных.
“Обеспечение безопасности создает серьезную проблему с точки зрения производительности, - считает менеджер Cisco по продукту IOS Стюарт Филлипс. - Кроме того, мы не можем сказать обладателям 5000 наших маршрутизаторов, что для внедрения технологии VoIP им следует перейти на новую модель; так что приходится идти по пути программной модернизации. Обычно это выигрышный вариант, но когда речь заходит об обеспечении безопасности, некоторые клиенты могут сделать вывод, что аппаратное решение имеет больше преимуществ”.
Начинающая фирма RPK Security (Сан-Франциско, шт. Калифорния) планирует решать проблему безопасности с помощью фирменного алгоритма, оптимизированного для шифрования трафика реального времени. Как сообщил ее президент Джек Освальд, аппаратная реализация этого алгоритма, предназначенная специально для распространения среди производителей оборудования VoIP, появится в конце этого года.
Помимо технологических проблем, многонациональным компаниям, которые, казалось бы, должны больше других выиграть от низкой стоимости VoIP-связи, угрожает опасность совершенно с другой стороны: это американские ограничения на экспорт технологий шифрования.
К проблемам с обеспечением безопасности добавляются еще и сложности с реализацией ценовых преимуществ перехода на VoIP, в результате чего корпорация может быть вынуждена либо отказаться от развертывания новой технологии, либо переложить эту задачу на внешнего подрядчика - если такой вариант будет сочтен рациональным.
“Средства обеспечения безопасности, оборудование, протоколы - все это есть. Нужна только соответствующая квалификация, чтобы внедрить их”, - утверждает главный финансовый директор службы IP-голосовой связи Net2Phone корпорации IDT (Хакенсак, шт. Нью-Джерси) Дэвид Гринблатт.
Список контрольных вопросов по защищенной системе передачи голоса поверх IP
Вопросы, на которые необходимо ответить руководителю подразделения ИТ, прежде чем приступать к реализации системы передачи голоса поверх IP.
Каковы затраты на модернизацию оборудования для повышения производительности до необходимого уровня?
Как повлияют на построение и эксплуатацию системы американские экспортные ограничения на технологии надежной криптозащиты?
Есть ли в организации собственные ИТ-специалисты, обладающие необходимой квалификацией для управления средствами обеспечения безопасности?
Если решение задачи будет передано внешнему подрядчику, каковы будут условия заключенного с ним договора, касающиеся характеристик безопасности?
Не окажутся ли затраты на приобретение средств обеспечения безопасности больше, чем можно сэкономить благодаря их использованию?