Методы защиты
Нерадостную картину безопасности VoIP несколько «осветляют» проверенные методы защиты, а также использование адаптированные к нуждам интернет-телефонии разработки в сфере сетевой безопасности. Множество алгоритмов защиты могут быть реализованы как на програмном уровне (различные специализированные приложения, проверенные годами и с успехом работающие на «боевых» серверах с доступом к Интернету), так и в виде аппаратных средств. На самом деле, сегодня в индустрии сетей уже трудно определить грань функциональности между аппаратными и программными возможностями, поэтому отметим принципиальные подходы, подлежащие реализации при помощи упомянутых двух подходов.
- Использование защищенных туннелей VPN.
- Фильтрация и передача управляющего трафика сквозь механизмы Network Address Translation и защищенные туннели.
- Слежение на уровне протокола TCP с целью подтверждения завершения открытых сессий (этот механизм необходим для упреждения атак типа DoS).
- Шифрование управляющего трафика.
- Защита портов - выражается в ограничении числа сетевых устройств с различными MAC-адресами, подключаемых к одному порту.
- Ограничение полосы пропускания трафика - также с целью противостояния DoS-атакам.
- Механизмы предотвращения атак, заключающихся в захвате всего пула IP-адресов, раздаваемых серверами DHCP.
- Предотвращение искажений ARP-таблицы и подмены MAC-адресов.
- Запрет любых действий с анонимных IP-адресов (включая трафик с анонимных прокси-серверов).
- Жесткие списки доступа адресов, которые подлежат VoIP-обслуживанию (это могут быть как IP-, так и MAC-адреса).
- Защита переполнения буферов сервера доступа VoIP.
- Защита стека TCP от атак типа syn flood.
- Упреждение сканирования портов на предмет обнаружения запущенных сетевых процессов с целью задействования известных эксплойтов.
Любой администратор UNIX-сервера не найдет в этом списке ничего принципиально нового - механизмы как защит, так и атак стары как мир, извечное противостояние лишь перешло в очередную фазу.
