История развития передачи голоса в компьютерных сетях берет свое начало в далеком 1994 году. Так как интернет трафик стоил существенно дешевле, чем аренда линий аналоговых и цифровых каналов связи, при междугородних и международных переговорах, то возник совершенно законный интерес со стороны владельцев малого, среднего и крупного бизнесов. Естественно идея передачи голоса через IP была очень интересна и для производителей, поэтому каждый пытался реализовать ее по-своему.

Но это время прошло, появились конкретные стандарты/протоколы для передачи голоса по IP, такие как SIP , H.323 , MGCP . Вместе с этими открытыми протоколами появились как проприетарные решения, так и вредоносные программы, а так же методы взлома, которые усложняли жизнь, как потребителям, так и разработчикам решений на основе VoIP (Voice over IP – голос через IP).

Технологии VoIP позволяют закрыть актуальные задачи компании, связанные с коммуникациями, повысить лояльность клиентов, повысить эффективность работы сотрудников, сэкономить на телефонных переговорах, за счет:

1. Организации телефонной сети внутри одного здания/офиса компании;
2. Объединение телефонной сети между зданиями/офисами компании;
3. Организации кол-центра для офиса/компании;
4. Интеграции решений VoIP с бизнес-приложениями компании;
5. Внедрением таких сервисов как интерактивное голосовое меню, голосовая почта, конференц-связь, запись разговоров, факс-сервер, и т.п.

Но решения VoIP носят в себе так же ряд недостатков, связанных с обеспечением безопасности. VoIP решения живут как в IP-сетях, так и сетях аналоговых и цифровых линий связи, поэтому обеспечивать безопасность необходимо со всех трех сторон. Иначе мы рискуем получить решение, которое только увеличивает затраты на содержание и усложняет рабочий процесс.

Угроза есть всегда!

Системы IP-Телефонии несут в себе угрозы, которые негативно сказываются на работе всей инфраструктуры и организации в целом. Сами угрозы можно разделить на 2 категории –технологическая и кадровая. Рассмотрим каждую по отдельности.

Технологическая категория

1. Хищение денежных средств – атака, при которой происходит взлом вашей IP-АТС, которая используется как анонимный голосовой прокси-сервер, тем самым происходит хищение денежных средств с вашего счета, а в некоторых случаях и начисление на счет мошенников;
2. Факс-модемы и факсовые аппараты – атака, при которой происходит атака на факсовый аппарат вашей компании, перегружая его ресурсы, что очень часто выводит его нагревательный элемент из строя;
3. Отказ в обслуживании – атака, вследствие которой, становится невозможным совершать как исходящие вызовы, так и принимать входящие звонки;
4. Прослушивание звонков – прослушивание аналоговых линий связи не составляет особого труда, так же как и не требует особых навыков, а информация, которую перехватят, может быть очень ценной. В случае IP-телефонии, информацию перехватить и прослушать так же легко.

Кадровая категория

1. Компетенции специалиста. Недостаточное знание основ, а уж тем более специализированных вещей, в процессе пуско-наладки и обслуживания систем IP-телефонии, что часто приводит к необратимым последствиям, таким как «хищение денежных средств». Шанс возврата денежных средств конечно есть, но сколько пройдет времени, пока вы добьетесь правосудия, если мошенники находятся где-нибудь в китае, а атака происходила из доминиканской республики;
2. Человеческий фактор и халатность специалиста. Недовольный, невнимательный работник или попросту лентяй может сыграть не последнюю роль в успешной атаке на вашу систему IP-телефонии. И абсолютно неважно ваш это человек или из подрядной организации;
3. Руководством компании. Очень часто желание сэкономить на оборудовании и специалистах, приводит в последствии к еще большим убыткам и дополнительным затратам, которых можно было бы избежать, выбрав более дорогое, но правильное решение.

Как с этим бороться

Методов борьбы с угрозами, описанными выше, так же много, как и самих угроз:

С прослушиванием бороться очень просто. Используйте IP сеть, как транспорт для передачи голоса и используйте стойкие средства шифрования для защиты от прослушивания. Хочу заметить, что в данный момент использование криптографических средств шифрования не сертифицированных ФСБ/ФАПСИ запрещено законом. Но это уже тема для отдельного разговора.

От атак на факс-модемы и факсовые аппараты можно защититься так же просто. Используйте выделенные факс-серверы. Решений по факс серверам на рынке предостаточно, и во многих из них уже встроены средства защиты от подобного рода атак. К тому же использование факс-серверов существенно облегчает рабочий процесс. Ведь с помощью такого решения можно отправлять факсы одним кликом мыши, не отрываясь от рабочего места!

А вот с атаками типа отказ в обслуживании бороться немного сложнее. Тем более если это касается распределенных атак отказа в обслуживании (DDoS). Но методы и средства защиты давно уже существуют и при правильном подходе к делу, можно жить не боясь данного типа атак. Используйте VoIP специализированные межсетевые экраны, внедряйте сервисы качества обслуживания QoS и не забывайте своевременно обновлять программное обеспечение компонентов, ответственных за безопасность и стабильность работы вашей IP-телефонии.

Что касается человеческого фактора, то здесь дела обстоят намного сложнее. Мы не будем рассматривать методы отбора персонала, но хочется отметить, что данный тип проблемы встречается чаще, чем описанные выше типы атак. Поэтому, если вы не крупная компания со своим отделом ИТ, который занимается обслуживанием решений VoIP, то пользуйтесь услугами компаний профессионалов, которые занимаются данными решениями. Но даже в этом случае, будет полезно узнать мнение экспертов.

Не экономьте на VoIP решениях , потому как в дальнейшем это может привести к большим потерям. Финансовые показатели дешевых и недостаточно проверенных решений очень заманчивы, но если у вас стабильный развивающийся бизнес, то лишние полгода пути к его окупаемости не сделают большой погоды, а в будущем сэкономят время и позволят избежать множество проблем. Обязательно пользуйтесь услугами компаний-профессионалов. Такие компании достаточно серьезно относятся к своей репутации и в случае ошибки со своей стороны, сделают все, чтобы исправить их последствия.

Практические аспекты защиты корпоративной сети IP-телефонии

С IP-телефонией, как и любой новой технологией, связано множество различных мифов, слухов и домыслов, мешающих ее повсеместному распространению. Многие из них касаются безопасности IP-телефонии. Апологеты традиционной телефонии утверждают, что коль скоро в технологии VoIP в качестве среды передачи используется протокол IP, то к ней применимы и все сетевые атаки, а следовательно, IP-среда для передачи голосового трафика не подходит. С одной стороны, они правы: атаки действительно возможны. Однако аналогичные атаки (прослушивание, фальсификация абонента и другие) применимы и к традиционной телефонии (см. врезку "Стоимость перехвата информации..."). Более того, в случае с традиционной телефонией реализовать эти атаки гораздо проще, а обнаружить и локализовать - намного сложнее. А по стоимости защиты обычные телефонные переговоры отличаются от более современной IP-телефонии на несколько порядков (в худшую сторону). Но, конечно же, чтобы новая технология позволила обмениваться звонками защищенным образом, ее необх одимо правильно внедрить и настроить.

Стоимость перехвата информации
Купить телефонный жучок, радиозакладку или иное устройство съема информации можно на любом радиорынке и даже в Интернет-магазине: нижняя ценовая планка 10-30 дол. (но без гарантии качества). В детективном агентстве такое устройство предложат в аренду за 20-50 дол. плюс залоговая стоимость жучка (хотя эта деятельность и является незаконной). А заказ "прослушки" профессионалам обойдется всего в 50-100 дол. в час. Еще одно удобство для злоумышленников представляет тот факт, что во многих случаях радиозакладки не требуют дополнительных источников питания и тем более их замены, так как "питаются" от самой телефонной линии. Да и сами телефонные линии представляют потенциальную угрозу, поскольку могут использоваться для прослушивания помещений, через которые проходят, за счет различных электромагнитных наводок и излучений.
Про каждый из стандартов и протоколов IP-телефонии (Н.323, SIP, MGCP, Skinny) можно написать не одну статью, но это не входит в задачи данной публикации. Описание механизмов защиты самих протоколов передачи голоса поверх IP (например, протокол Н.235 или SRTP), представляющих собой неотъемлемую часть голосовой инфраструктуры, также не является целью этого обзора. Если начать говорить об общих принципах работы IP-телефонии, то до темы ее защиты можно никогда не добраться. Таким образом, в данной статье будет описан ряд практических аспектов, связанных с защищенным использованием "последовательницы" традиционной телефонии.

Разделение сети на сегменты
Главное, что необходимо сделать при построении инфраструктуры IP-телефонии, - отделить ее от сегментов, в которых передаются обычные данные (файлы, электронная почта и т.д.). Это можно сделать как с помощью технологии виртуальных локальных сетей (VLAN), так и с помощью межсетевых экранов (МЭ). Первый вариант более эффективен и не требует никаких дополнительных инвестиций, так как механизм VLAN реализован в большинстве коммутаторов. Подобная сегментация позволит создать дополнительный рубеж, предупреждающи й прослушивание переговоров обычными пользователями.
Хорошей практикой является использование отдельного адресного пространства для сегментов IP-телефонии (например, из диапазонов, указанных в RFC 1918). Если сеть, передающая голос поверх протокола IP, имеет достаточно большие масштабы, то в ней не обойтись без динамической адресации по протоколу DHCP. В этом случае необходимо использовать два DHCP-сервера: один для голосовой сети, а второй для сети данных.

Фильтрация и контроль доступа
Голосовые шлюзы (Voice Gateway), подключенные к телефонной сети общего пользования (ТфОП), должны отвергать все протоколы IP-телефонии (Н.323, SIP и другие), приходящие из сегмента данных корпоративной сети. Зачастую поддержка протоколов IP-телефонии реализуется в маршрутизаторах с интеграцией сервисов (Integrated Services Router), что позволяет сэкономить на оборудовании, обеспечивая при этом поддержку самых современных технологий. В этом случае встроенный в маршрутизатор пакетный фильтр с контролем состояни я может отслеживать любые нарушения в голосовом обмене и, например, блокировать пакеты, которые не являются частью процедуры установления вызова. Помимо встроенных в компоненты IP-телефонии механизмов фильтрации и контроля доступа существуют и специальные решения, защищающие элементы голосовой инфраструктуры от возможных несанкционированных воздействий. К таким решениям относятся межсетевые экраны (МЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и специализированные пограничные контроллеры (Session Border Controller).

Выбор межсетевого экрана
Для защиты сети IP-телефонии подходит не всякий межсетевой экран - он должен удовлетворять ряду специфичных требований, присущих именно этой технологии передачи голоса. Например, протокол передачи голосовых данных RTP использует динамические UDP-порты, исчисляемые тысячами. Попытка разрешить их все на межсетевом экране приводит к открытию одной большой "дыры" в защите. Следовательно, межсетевой экран должен также динамически определять используемые для связи п орты, открывать их в начале телефонного разговора и закрывать по его окончании.
Вторая особенность заключается в том, что ряд протоколов, например SIP, помещает информацию об используемых параметрах соединения не в заголовок пакета, а в тело данных. Поэтому обычный пакетный фильтр, исследующий только адреса и порты получателя и отправителя, а также тип протокола, в данном случае будет абсолютно бесполезным. Межсетевой экран должен уметь анализировать не только заголовок, но и тело данных пакета, вычленяя из него всю необходимую для организации соединения информацию.

Прикладные шлюзы и пограничные контроллеры
Другая серьезная проблема, решение которой необходимо продумать до приобретения межсетевого экрана, - трансляция сетевых адресов (Network Address Translation, NAT). Коль скоро при установке вызова используются динамические порты, указанные в запросе на установление соединения между абонентами, то технология скрытия топологии сети путем трансляции адресов делает телефонные переговоры нево зможными. Решением проблемы является использование специальных прикладных шлюзов (ALG), выпускаемых в виде выделенных устройств или интегрированных в межсетевые экраны, "понимающие" протоколы с динамическими портами (например, SIP или RTCP). Некоторые производители выпускают только специализированные защитные шлюзы для обработки VoIP-трафика. Но при их выборе следует помнить, что в защите корпоративной сети все равно не обойтись без обычного МЭ, умеющего анализировать не только протоколы Н.323, SIP и MGCP, но и другие распространенные в сетях протоколы: HTTP, FTP, SMTP, SQL*Net и т.д.
Ряд производителей предлагают решение проблемы защиты путем использования специализированных пограничных контроллеров (SBC). По сути, эти устройства во многом аналогичны описанным выше прикладным шлюзам.

Защита от подмены
Динамическая адресация во многих элементах инфраструктуры IP-телефонии дает злоумышленникам большой простор для деятельности: они могут "выдать" свой IP-адрес за IP-телефон, сервер управления звонками и т.д. А значит, перед администратором сети возникает задача аутентификации всех участников телефонных переговоров. Для этого необходимо использовать различные стандартизированные протоколы, включая 802.lx, RADIUS, сертификаты PKI Х.509 и т.д. И, конечно, нельзя сбрасывать со счетов уже упомянутые выше правила контроля доступа на маршрутизаторах и МЭ, усложняющие злоумышленникам задачу подключения к голосовым сегментам.
Указанные методы позволяют эффективно бороться с "левыми" подключениями, в отличие от традиционной телефонии, где эта задача если и решается, то очень дорогостоящими средствами.

Шифрование
Шифрование - наиболее эффективный способ сохранить телефонные переговоры в тайне (см. врезку "Скремблеры и вокодеры..."). Однако такая функциональность влечет за собой ряд сложностей, которые необходимо обязательно учитывать при построении защищенной сети связи.

Скремблеры и вокодеры для защиты традиционной телефонии
Среди средств защиты особняком стоят вокодеры (voice coder) и скремблеры, которые осуществляют шифрование телефонных переговоров. Очевидно, что такие устройства должны быть установлены у всех участников защищенных переговоров. Механизм шифрования встраивается в телефон или поставляется в виде отдельного устройства. В первом случае абонентский терминал становится слишком дорогим (и приходится отказываться от многофункциональных и удобных телефонных аппаратов зарубежного производства), во втором - практически полностью отсутствует возможность масштабирования, и пользование телефоном становится крайне неудобным. Оснастить каждого абонента скремблером или вокодером - задача не из легких. При этом вопрос стоимости также не снимается: цена одного скремблера колеблется от 200 до 500 дол. Если прибавить сюда цену телефонного аппарата и стоимость установки защитных устройств, получатся поистине астрономические цифры. Так что такой способ защиты традиционной телефонии нельзя считать экономичным.
Одна из самых главных проблем - задержка, добавляемая процессом зашифр ования/расшифрования. В случае применения потокового шифрования задержка гораздо ниже, чем при использовании блочных шифров, но полностью от нее избавиться не удастся. Эта проблема решается путем использования более быстрых алгоритмов или включения механизмов QoS в модуль шифрования.
Еще одна трудность - накладные расходы, связанные с увеличением длины передаваемых пакетов. Для протокола IPSec размер добавляемого заголовка составляет около 40 байт, что достаточно много для 50-70-байтовых пакетов IP-телефонии. Впрочем, скорости современных сетей постоянно растут, и с течением времени эта проблема будет снята. А пока оптимальным решением обеих проблем является протокол SecureRTP (SRTP), принятый в качестве стандарта весной 2004г. (RFC 3711).

Защита от нарушения работоспособности
Несмотря на то что различные компоненты IP-телефонии потенциально подвержены атакам "отказ в обслуживании" (о сбоях в традиционной телефонии см. врезку "Перемаршрутизация звонков..."), существует целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать встроенные в сетевое оборудование механизмы обеспечения информационной безопасности, а также дополнительные решения:
разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в "голосовом" участке распространенных атак, в том числе и DoS;
применение специальных правил контроля доступа на маршрутизаторах и МЭ, защищающих периметр корпоративной сети и отдельные ее сегменты;
использование системы предотвращения атак на сервере управления звонками и ПК с голосовыми приложениями;
установку специализированных систем защиты от DoS- и DDoS-атак;
«применение специальных настроек на сетевом оборудовании, которые предотвращают подмену адреса, часто используемую при DoS-атаках, и ограничивают полосу пропускания, не позволяя вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

Перемаршрутизация звонков в традиционной телефонии
Еще од на угроза - перемаршрутизация звонков на другие телефонные номера, сброс собеседника с линии или "прорыв" сигнала "занято". Например, в 1989 г. хакерская группа The Legion of Doom получила контроль над телефонной сетью компании BellSouth, включая возможность прослушивания телефонных каналов связи, перемаршрутизацию вызовов, маскировку под технический персонал станции и даже вывод из строя системы экстренной связи 911. Для расследования этого инцидента были приглашены 42 эксперта, а затраты BellSouth на их работу составили 1,5 млн дол. И это не считая потери репутации и других трудно вычисляемых потерь.

Управление
Для удаленного управления использование защищенных протоколов доступа (например, SSH) является обязательным (в данном случае шифрование вносит гораздо меньше задержек, чем при шифровании голосовых данных). Если же доступ к какому-либо компоненту сети IP-телефонии осуществляется по обычному протоколу (например, по HTTP), то непременным условием такого доступа должно быть применение протоко ла IPSec или SSL. В противном случае любой злоумышленник сможет не только перехватывать все данные с незащищенным элементом, но и подменять их.
Если требование криптографии вступает в конфликт с производительностью, то шифрованием на IP-телефонах или голосовых приложениях на ПК можно пренебречь. Если, конечно, к сети не применяются законодательные требования защиты всей конфиденциальной информации (включая и телефонные разговоры). Например, такое требование для всех федеральных структур США прописано в секции 5131 американского закона Information Technology Management Reform Act of 1996.
При отказе от скрытия голосового трафика его необходимо в обязательном порядке отделить от всех остальных типов передаваемых данных с помощью VLAN. При этом передача голоса между офисами должна быть защищена с помощью криптографических преобразований. Для этих целей можно задействовать встроенный в маршрутизаторы механизм IPSec VPN или установить отдельные шифраторы, сертифицированные в ФСБ России.

Организационные вопросы
Основная проблема безопасности IP-телефонии - не динамически открываемые порты на межсетевом экране, не NAT и не снижение качества голоса в результате шифрования. Все эти вопросы давно и эффективно решаются. Главная беда - "в головах", как говорил профессор Преображенский в "Собачьем сердце", а точнее, в недооценке существующих рисков и в непонимании новых технологий. Например, во многих организациях и компаниях существует классификатор конфиденциальной информации, обрабатываемой в автоматизированной системе. Но только в немногих организациях классифицируются еще и голосовые данные, передаваемые в рамках инфраструктуры IP-телефонии. А между тем информация, не включенная в такой классификатор, находится вне зоны внимания службы информационной безопасности и оказывается совершенно не защищенной.

Заключение
В опубликованном годовом отчете IBM "Security Threats and Attack Trends Report" приведен анализ основных угроз года прошедшего и дается прогноз на 2005 г. По мнению экспертов IBM, увеличение числа сетей IP-телефонии приведет к росту угроз для их существования и бесперебойного функционирования. Поэтому обеспокоиться защитой внедряемой или уже внедренной инфраструктуры IP-телефонии необходимо именно сейчас, чтобы позже не "кусать себе локти". И это не так трудно, как кажется на первый взгляд. Существуют технологии, значительно повышающие защищенность VoIP, и они давно известны специалистам по информационной безопасности. Более того, эти технологии зачастую уже внедрены в компоненты, применяемые в построении среды передачи голоса поверх протокола IP. А значит, надо просто воспользоваться ими.

По материалам ИА "Daily Sec".

В системе IP-телефонии должны обеспечиваться два уровня безопасности: системный и вызывной.

Для обеспечения системной безопасности используются следующие функции:

Предотвращение неавторизованного доступа к сети путем применения разделяемого кодового слова. Кодовое слово одновременно вычисляется по стандартным алгоритмам на инициирующей и оконечной системах, и полученные результаты сравниваются. При установлении соединения каждая из двух систем IP-телефонии первоначально идентифицирует другую систему; в случае по крайней мере одного отрицательного результата связь прерывается.

• Списки доступа, в которые вносятся все известные шлюзы IP-телефонии.
• Запись отказов в доступе.
• Функции безопасности интерфейса доступа, включая проверку идентификатора и пароля пользователя с ограничением доступа по чтению/записи, проверку прав доступа к специальному WEB-серверу для администрирования.
• Функции обеспечения безопасности вызова, включая проверку идентификатора и пароля пользователя (необязательно), статус пользователя, профиль абонента.

При установлении связи шлюза с другим шлюзом своей зоны производится необязательная проверка идентификатора и пароля пользователя. Пользователь в любое время может быть лишен права доступа.

Действительно, при разработке протокола IP не уделялось должного внимания вопросам информационной безопасности, однако со временем ситуация менялась, и современные приложения, базирующиеся на IP, содержат достаточно защитных механизмов. А решения в области IP-телефонии не могут существовать без реализации стандартных технологий аутентификации и авторизации, контроля целостности и шифрования и т. д. Для наглядности рассмотрим эти механизмы по мере того, как они задействуются на различных стадиях организации телефонного разговора, начиная с поднятия телефонной трубки и заканчивая сигналом отбоя.

1. Телефонный аппарат.

В IP-телефонии, прежде чем телефон пошлет сигнал на установление соединения, абонент должен ввести свой идентификатор и пароль на доступ к аппарату и его функциям. Такая аутентификация позволяет блокировать любые действия посторонних и не беспокоиться, что чужие пользователи будут звонить в другой город или страну за ваш счет.

2. Установление соединения.

После набора номера сигнал на установление соединения поступает на соответствующий сервер управления звонками, где осуществляется целый ряд проверок с точки зрения безопасности. В первую очередь удостоверяется подлинность самого телефона - как путем использования протокола 802.1x, так и с помощью сертификатов на базе открытых ключей, интегрированных в инфраструктуру IP-телефонии. Такая проверка позволяет изолировать несанкционированно установленные в сети IP-телефоны, особенно в сети с динамической адресацией. Явления, подобные пресловутым вьетнамским переговорным пунктам, в IP-телефонии просто невозможны (разумеется, при условии следования правилам построения защищенной сети телефонной связи).

Однако аутентификацией телефона дело не ограничивается - необходимо выяснить, предоставлено ли абоненту право звонить по набранному им номеру. Это не столько механизм защиты, сколько мера предотвращения мошенничества. Если инженеру компании нельзя пользоваться междугородной связью, то соответствующее правило сразу записывается в систему управления звонками, и с какого бы телефона ни осуществлялась такая попытка, она будет немедленно пресечена. Кроме того, можно указывать маски или диапазоны телефонных номеров, на которые имеет право звонить тот или иной пользователь.

В случае же с IP-телефонией проблемы со связью, подобные перегрузкам линий в аналоговой телефонии, невозможны: при грамотном проектировании сети с резервными соединениями или дублированием сервера управления звонками отказ элементов инфраструктуры IP-телефонии или их перегрузка не оказывает негативного влияния на функционирование сети.

3. Телефонный разговор.

В IP-телефонии решение проблемы защиты от прослушивания предусматривалось с самого начала. Высокий уровень конфиденциальности телефонной связи обеспечивают проверенные алгоритмы и протоколы (DES, 3DES, AES, IPSec и т. п.) при практически полном отсутствии затрат на организацию такой защиты - все необходимые механизмы (шифрования, контроля целостности, хэширования, обмена ключами и др.) уже реализованы в инфраструктурных элементах, начиная от IP-телефона и заканчивая системой управления звонками. При этом защита может с одинаковым успехом применяться как для внутренних переговоров, так и для внешних (в последнем случае все абоненты должны пользоваться IP-телефонами).

Однако с шифрованием связан ряд моментов, о которых необходимо помнить, внедряя инфраструктуру VoIP. Во-первых, появляется дополнительная задержка вследствие шифрования/дешифрования, а во-вторых, растут накладные расходы в результате увеличения длины передаваемых пакетов.

4. Невидимый функционал.

До сих пор мы рассматривали только те опасности, которым подвержена традиционная телефония и которые могут быть устранены внедрением IP-телефонии. Но переход на протокол IP несет с собой ряд новых угроз, которые нельзя не учитывать. К счастью, для защиты от этих угроз уже существуют хорошо зарекомендовавшие себя решения, технологии и подходы. Большинство из них не требует никаких финансовых инвестиций, будучи уже реализованными в сетевом оборудовании, которое и лежит в основе любой инфраструктуры IP-телефонии.

Самое простое, что можно сделать для повышения защищенности телефонных переговоров, когда они передаются по той же кабельной системе, что и обычные данные, - это сегментировать сеть с помощью технологии VLAN для устранения возможности прослушивания переговоров обычными пользователями. Хорошие результаты дает использование для сегментов IP-телефонии отдельного адресного пространства. И, конечно же, не стоит сбрасывать со счетов правила контроля доступа на маршрутизаторах (Access Control List, ACL) или межсетевых экранах (firewall), применение которых усложняет злоумышленникам задачу подключения к голосовым сегментам.

5. Общение с внешним миром.

Какие бы преимущества IP-телефония ни предоставляла в рамках внутренней корпоративной сети, они будут неполными без возможности осуществления и приема звонков на городские номера. При этом, как правило, возникает задача конвертации IP-трафика в сигнал, передаваемый по телефонной сети общего пользования (ТфОП). Она решается за счет применения специальных голосовых шлюзов (voice gateway), реализующих и некоторые защитные функции, а самая главная из них - блокирование всех протоколов IP-телефонии (H.323, SIP и др.), если их сообщения поступают из неголосового сегмента.

Для защиты элементов голосовой инфраструктуры от возможных несанкционированных воздействий могут применяться специализированные решения - межсетевые экраны (МСЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и пограничные контроллеры сеансов (Session Border Controller). В частности, протокол RTP использует динамические порты UDP, открытие которых на межсетевом экране приводит к появлению зияющей дыры в защите. Следовательно, межсетевой экран должен динамически определять используемые для связи порты, открывать их в момент соединения и закрывать по его завершении. Другая особенность заключается в том, что ряд протоколов, например, SIP, информацию о параметрах соединения размещает не в заголовке пакета, а в теле данных. Поэтому устройство защиты должно быть способно анализировать не только заголовок, но и тело данных пакета, вычленяя из него все необходимые для организации голосового соединения сведения. Еще одним ограничением является сложность совместного применения динамических портов и NAT.

На сегодняшний день проблемы информационной безопасности в мире приобретают всё большую актуальность. В СМИ часто можно наткнуться на новость об очередной успешной хакерской атаке, крупной утечке критичных данных или очередном вирусе-вымогателе, который срывает работу целых компаний. Даже если Вы человек далёкий от информационной безопасности и мира информационных технологий, то Вы всё равно наверняка слышали о вирусе “WannaCry”, уязвимостях “Spectre” и “Meltdown” и может быть даже о недавней атаке на устройства компании Cisco, которая ударила по крупным провайдерам и парализовала много сервисов и сетевых сегментов.

Однако, широкой огласке обычно подвергаются новости об атаках и уязвимостях, носящие массовый характер, направленных на наиболее распространенные инфраструктурные системы. Мы же хотим рассказать о том, как обстоит ситуация с информационной безопасностью в отдельной в отдельно взятой сфере - IP телефонии и решений VoIP. Разберём наиболее важные проблемы и тренды развития данного направления.

Проблемы информационной безопасности в VoIP

Если раньше, выбирая на чём строить офисную телефонию, заказчиков больше всего волновали вопросы стоимости и надёжности, то в связи с нынешним положением, вопросы защиты и безопасности всё чаще начинают преобладать. Хотя IP телефония имеет массу преимуществ по сравнению с системами традиционной телефонии, её намного легче взломать. В случае с традиционной системой PSTN злоумышленник должен получить физический доступ к среде передачи или системам, которые задействованы в обмене голосовой информацией. IP телефония – это прежде всего сеть с коммутацией пакетов, которые передаются на ряду с другими корпоративными сервисами – Интернетом, почтой и другими. Если эта сеть недостаточно защищена, то злоумышленнику даже не обязательно находиться в одной стране с системой IP телефонии, чтобы получить доступ к критичным данным, украсть их или модифицировать.

Вот почему необходимо обеспечивать многоуровневую защиту систем корпоративной IP телефонии. Недостаточно просто поставить стойкий пароль к интерфейсу управления. Это должен быть чёткий набор определённых мер, применяемых в комплексе – межсетевое экранирование, антивирусная защита, регулярные обновления программного обеспечения, шифрование передаваемых данных и другое.

Отдельно следует уделить внимание повышению осведомлённости своих сотрудников об атаках из разряда социальной инженерии. Одним из наиболее распространённых векторов атаки данного типа на сегодняшний день является “фишинг”. Суть его заключается в том, что злоумышленник рассылает “письма счастья” с вредоносными вложениями, в надежде на то, что человек откроет это вложение и тем самым, загрузит на свой компьютер вредонос. Защититься от таких атак можно сразу на нескольких уровнях:

1. Межсетевой экран, на котором адрес отправителя фишинговых писем должен быть заблокирован. Автоматизировать процесс получения актуального списка адресов активных отправителей для блокировки на МСЭ, можно с помощью решений Threat Intelligence. Существуют как платные решения от таких компаний как Anomali, ThreatConnect или EclecticIQ, так и OpenSource, например, YETI и MISP.
2. Решение для защиты почтового сервера, которое проверяет все письма на предмет подозрительных вложений, адреса отправителя, блокирует спам. Примерами таких решений является Kaspersky Security для почтовых серверов, AVG Email Server Edition для ME, McAfee Security for Email Servers. Кстати, в этом случае также можно автоматизировать процесс блокировки с помощью решений TI.
3. Антивирусное ПО для защиты оконечных устройств, которое заблокирует опасное вложение, если всё-таки вредонос сможет пролезть через МСЭ и почтовый сервер. Для этого подойдёт Kaspersky Endpoint Security, Norton, Trend Micro и другие.

Но если от фишинга можно защититься с помощью специализированных программ и аппаратных решений, то от следующих видов атак, основанной на социальной инженерии, защититься гораздо труднее. Возможно, Вы не знали, но помимо традиционного email “фишинга”, существует также и телефонный. Например, сотруднику Вашей компании на голосовую почту может прийти сообщение от “банка” о том, что кто-то пытался получить доступ к его счёту и что ему необходимо срочно перезвонить по оставленному номеру. Не трудно догадаться, что на другом конце провода, его будет ждать злоумышленник, который постарается сделать всё, чтобы втереться в доверие, украсть данные его счёта, чтобы в итоге похитить денежные средства.

Существует также телефонный “вишинг”. Этот тип атаки направлен на первую линию сотрудников, которые принимают все входящие звонки в Вашей компании. На общий номер поступает звонок от какой-нибудь известной организации или персоны, а дальше с помощью методов психологического давления, доверчивого сотрудника заставляют что-либо сделать. В самом лучшем случае, позвонивший будет агрессивно требовать соединить его с руководством компании, чтобы предложить какие-нибудь услуги, в самом худшем - выдать конфиденциальную или критически важную информацию. А что, если злоумышленник узнает каким банком обслуживается Ваша компания и позвонит бухгалтеру от лица “Вашего банка”? К такому тоже нужно быть готовым.

Защититься от подобного типа атак можно было бы с помощью некоего аналога Threat Intelligence для VoIP – списка телефонных номеров, с которых поступают “фишинговые” и “вишинговые” звонки, чтобы заблокировать их на АТС. Однако, такого решения пока нет, поэтому придётся просвещать сотрудников на тему безопасности.

Безопасность облачных систем

Сейчас уже сложно обозначить чёткие границы офисной сети. С распространением облачных решений, распределённых сетей VPN и всеобщей виртуализации, корпоративная сеть уже перестала иметь чёткую географическую привязку.

Аналогично обстоят дела и в сфере VoIP. Каждый крупный провайдер IP телефонии имеет в своем наборе услуг облачную АТС, которая настраивается в считанные минуты и способна обеспечить телефонией компанию любого размера и неважно где территориально она расположена. Облачная или виртуальная АТС – это очень удобное решение, которое привлекает заказчиков тем, что не надо держать лишние сервера в здании и обслуживать их. Вместо этого, можно просто арендовать необходимые серверные мощности или сервис телефонии. Однако, с точки зрения информационной безопасности, облачные АТС – это идеальная цель для хакерских атак. Потому что, как правило, аккаунты для доступа к настройкам АТС, находятся в открытом доступе. Если владелец аккаунта не озаботится созданием стойкого пароля, то он рискует оплатить немаленький счёт за телефонные разговоры злоумышленника или предоставить доступ к записям разговоров своих сотрудников. В этой связи при выборе провайдера следует также проверить обеспечивает ли он дополнительные мероприятия по защите целостности и конфиденциальности данных. Используется шифрование при подключении к аккаунту с настройками облачной АТС, шифруются ли данные при их транспортировке.

Тренды развития направления ИБ в VoIP

Наиболее распространённым методом защиты корпоративной инфраструктуры является организация защищённой сети VPN, когда подключение извне осуществляется по зашифрованному каналу, а данные внутри сети передаются в незашифрованном виде. Это относится и к голосовому трафику. Однако, тенденции развития информационных технологий указывают на то, что в недалёком будущем голосовая информация также будет подвергаться шифрованию. Большинство VoIP вендоров уже давно имплементируют в своих решениях поддержку таких протоколов как SIP/TLS, SRTP, ZRTP и д.р, стимулируя пользователей применять внедрять ещё один уровень защиты. Например, большинство IP-телефонов и решений видеоконференцсвязи от компании Cisco, а также системы CUCM, CUBE, Cisco SBC, UCCS и д.р поддерживают TLS 1.2 и SRTP. Самое распространённое Open Source решение IP-АТС Asterisk имеет поддержку защищённых протоколов передачи медиа трафика начиная с версии 1.8. В программной Windows-based АТС 3CX версии V15, поддержка SRTP включена по умолчанию.

VoIP решения зачастую очень тесно интегрируются с другими корпоративными системами, такими как CRM, ERP, CMS, не говоря уже о таких каналах бизнес коммуникаций как email, обмен мгновенными сообщениями (чат) и социальные сети, формируя в совокупности концепцию UC (Unified Communications). Потенциальные преимущества, которые несёт данная концепция очень привлекательны, но вместе с тем, создаётся множество точек уязвимых к возможному взлому. Недостаточный уровень защиты одной из них может быть угрозой всей корпоративной сети. Поэтому разработчики, несомненно, будут усиливать безопасность каналов интеграции данных систем.

Можно также ожидать интеграцию систем корпоративной телефонии в такие средства защиты как DLP (средства защиты от утечек), адаптации метрик VoIP в SIEM системах (система управления информацией и событиями безопасности), а также появление унифицированных репутационных баз (Threat Intelligence) со списками потенциально опасных номеров или других индикаторов компрометации, относящихся к VoIP, которые будут автоматически блокироваться имеющимися средствами защиты.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас:(Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Очень интересную статью о безопасности в IP телефонии, опубликовали на сайте linkmeup.ru . Выкладываем ее без изменений, так сказать, от автора.

=======================

Здравствуйте, коллеги и друзья, я, Семенов Вадим, совместно с командой проектаnetwork-class.net представляем вниманию обзорную статью, которая затрагивает основные тенденции и угрозы в IP телефонии, и самое главное, те инструменты защиты, что на данный момент предлагает производитель в качестве защиты (если выражаться языком специалистов по безопасности, то рассмотрим какие инструменты предлагает производитель для уменьшения уязвимостей, которыми смогут воспользоваться нелегитимные лица). Итак, меньше слов– переходим к делу.
Для многих читающих термин IP телефония уже давно сформировался, а также и то, что данная телефония «лучше», дешевле по сравнению с телефонией общего пользования (ТФОП), богата различными дополнительными функциями и т.д. И это действительно так, однако… отчасти. По мере перехода от аналоговой (цифровой) телефонии со своими абонентскими линиями (от абонентского телефона до станции или станционного выноса) и соединительными линиями (меж станционная линия связи) ни много ни мало были только лишь в зоне доступа и управления провайдера телефонии. Иными словами, обычным обывателям туда доступа не было (ну или практически так, если не учитывать кабельную канализацию). Вспоминается один вопрос на старом добром форуме хакеров «Подскажите, как получить доступ к АТС? – ответ: «Ну как, берешь бульдозер – таранишь стену здания АТС и вуаля». И эта шутка имеет свою долю правды) Однако с переносом телефонии в дешевую IP среду мы получили в довесок и те угрозы, которые несет в себе открытая IP среда. Примером приобретенных угроз может служить следующее:

• Сниффинг сигнальных портов с целью совершения платных вызовов за чужой счет
• Подслушивание за счет перехвата голосовых IP пакетов
• Перехват звонка, представление нелегитимным пользователем как легитимный пользователь, атака «человек по середине»
• DDOS атаки на сигнальные сервера станции с целью вывода из строя всей телефонии
• Спам-атаки, обрушение большого количества фантомных вызовов на станцию с целью занять все её свободные ресурсы

Несмотря на очевидность в необходимости устранять все возможные уязвимости дабы уменьшить вероятность реализации той или иной атаки - по факту внедрение тех или иных мер защиты необходимо начинать с составления графика, учитывающего стоимость внедрения защитных мер от конкретной угрозы и убытков предприятия от реализации злоумышленниками этой угрозы. Ведь глупо тратить денег на безопасность актива больше, чем стоит сам актив, который мы защищаем.
Определив бюджет на безопасность, начнем устранение именно тех угроз, которые наиболее вероятны для компании, например для малой организации больнее всего будет получить большой счет за несовершенные междугородние и международные звонки, в то время как для государственных компаний важнее всего сохранить конфиденциальность разговоров. Начнем же постепенное рассмотрение в текущей статье с базовых вещей – это обеспечение безопасного способа доставки служебных данных от станции к телефону. Далее рассмотрим аутентификацию телефонов перед подключением их к станции, аутентификацию станции со стороны телефонов ну и шифрование сигнального трафика (для скрытия информации кто и куда звонит) и шифрование разговорного трафика.
У многих производителей голосового оборудования (в том числе и у Cisco Systems) есть уже интегрированные инструменты безопасности от обычного ограничения диапазона ip адресов, с которых можно совершать вызовы, до аутентификации оконечных устройств по сертификату. Например, у производителя Cisco Systems с его голосовой линейкой продуктов CUCM (Cisco Unified CallManager) с версии продукта 8.0 (дата выхода в свет май 2010г.; на данный момент доступна версия 10.5 от мая 2014г.) стала интегрироваться функция «Безопасность по умолчанию». Что она в себя включает:

• Аутентификация всех скачиваемых по/с TFTP файлов (конфигурационные файлы, файлы прошивки для телефонов т.д.)
• Шифрование конфигурационных файлов
• Проверка сертификата с инициализации телефоном HTTPS соединения

Давайте рассмотрим пример атаки «человека по середине», когда нелегитимное лицо перехватывает конфигурационный файлы для телефонов, из которого телефон узнает на какую станцию ему регистрироваться, на каком протоколе работать, какую прошивку скачивать и т.д. Перехватив файл, злоумышленник сможет вносить в него свои изменения либо полностью затереть файл конфигурации, тем самым не дав телефонам всего офиса (см. рисунок) зарегистрироваться на станции, а, следовательно, лишив офиса возможности совершать звонки.

Рис.1 Атака «человек посередине»

Для защиты от этого нам понадобятся знания по несимметричному шифрованию, инфраструктуре открытых ключей и представления о составляющих «Безопасности по умолчанию», с которыми мы сейчас познакомимся: Identity Trust List (ITL) и Trust Verification Service (TVS). TVS – сервис, предназначенный для обработки запросов с IP телефонов, у которых нет ITL или CTL файла во внутренней памяти. IP телефон обращается к TVS в случае необходимости удостовериться может ли он доверять тому или иному сервису перед тем, как начать обращаться к нему. Станция к тому же выступает в роли репозитория, хранящем сертификаты доверенных серверов. В свою очередь ITL представляет собой список из открытых ключей составляющих кластер станции элементов, но для нас важно, что там хранится открытый ключ TFTP сервера и открытый ключ TVS сервиса. При первоначальной загрузке телефона, когда телефон получил свой IP адрес и адрес TFTP сервера, он запрашивает наличие ITL файла (рис.2). Если он есть на TFTP сервере, то, слепо доверяя, загружает его в свою внутреннюю память и хранит до следующей перезагрузки. После скачивания ITL файла телефон запрашивает подписанный конфигурационный файл.

Теперь рассмотрим как мы сможем использовать инструменты криптографии – подписывание файла с помощью хеш-функций MD5 или SHA и шифрование с помощью закрытого ключа TFTP сервера (рис.3). Особенность хеш-функций заключается в том, что это однонаправленные функции. По полученному хешу с какого-либо файла, нельзя проделать обратную операцию и получить в точности оригинальный файл. При изменении файла - изменяется и сам хеш, полученный с этого файла. Стоит отметить, что хеш не записывается в сам файл, а просто добавляется к нему и передается совместно с ним.

Рис.3 Подписывание файла конфигурации телефона

При формировании подписи берется сам конфигурационный файл, извлекается с него хеш и шифруется закрытым ключом TFTP сервера (который обладает только TFTP-сервер).
При получении данного файла с настройками, телефон первоначально проверяет его на целостность. Мы помним, что хеш - это однонаправленная функция, поэтому телефону не остается ничего делать, кроме как отделить зашифрованный TFTP сервером хеш от конфигурационного файла, расшифровать его с помощью открытого ключа TFTP (а откуда его знает IP телефон? – а как раз из ITL файла), из чистого конфигурационного файла вычислить хеш и сравнить его с тем, что мы получили при расшифровании. Если хеш совпадает - значит при передаче в файл не вносились никакие изменения и его можно смело применять на телефоне (рис.4).

Рис.4 Проверка файла конфигурации IP телефоном

Подписанный конфигурационный файл для телефона представлен ниже:

Рис. 5 Подписанный файл IP телефона в Wireshark

Подписав конфигурационный файл, мы смогли обеспечить целостность передаваемого файла с настройками, однако мы не защитили его от просмотра. Из пойманного файла конфигурации можно получить достаточно много полезной информации, например ip адрес телефонной станции (в нашем примере это 192.168.1.66) и открытые порты на станции (2427) и т.д. Не правда ли достаточно важная информация, которую не хотелось бы просто так «светить» в сети? Для скрытия данной информации производители предусматривают использование симметричного шифрования (для шифрования и дешифрования используется один и тот же ключ). Ключ в одном случае может быть введен на телефон вручную, в другом случае шифрование файла конфигурации телефона на станции происходит с использованием открытого ключа телефона. Перед отправлением файла телефону – tftp сервер, на котором хранится этот файл, шифрует его с помощью открытого ключа телефона и подписывает с помощью своего закрытого ключа (тем самым мы обеспечиваем не только скрытость, но и целостность передаваемых файлов). Здесь главное не запутаться, кто какой ключ использует, но давайте разберем по порядку: tftp сервер, зашифровав файл открытым ключом IP телефона, обеспечил тем самым, что этот файл сможет открыть только владелец парного открытого ключа. Подписав файл своим закрытым ключом, tftp сервер подтверждает, что именно он создал его. Зашифрованный файл представлен на рисунке 6:

Рис.6 Зашифрованный файл IP телефона

Итак, на данный момент мы рассмотрели возможность защищать наши конфигурационные файлы для телефонов от просмотра и обеспечивать их целостность. На этом функции «Безопасности по умолчанию» заканчиваются. Для обеспечения шифрования голосового трафика, скрытия сигнальной информации (о том кто звонит и куда звонит), необходимы дополнительные инструменты, основанные на списке доверенных сертификатов – CTL, который мы рассмотрим далее.

Аутентификация телефонной станции

Когда телефону необходимо взаимодействие с телефонной станцией (например, согласовать TLS соединение для обмена сигнализации), IP телефону необходимо аутентифицировать станцию. Как можно догадаться, для решения данной задачи также широко используются сертификаты. На данный момент современные IP станции состоят из большого количества элементов: несколько сигнальных серверов для обработки вызовов, выделенный сервер администрирования (через него добавляются новые телефоны, пользователи, шлюзы, правила маршрутизации и т.д.), выделенный TFTP сервер для хранения файлов конфигурации и программного обеспечения для телефонов, сервер для вещания музыки на удержании и проч, кроме этого в голосовой инфраструктуре может быть голосовая почта, сервер определения текущего состояния абонента (online, offline, «на обеде») – список набирается внушительный и, что самое главное, каждый сервер имеет свой самоподписанный сертификат и каждый работает как корневой удостоверяющий центр (рис.7). По этой причине любой сервер в голосовой инфраструктуре не будет доверять сертификату другого сервера, например голосовой сервер не доверяет TFTP серверу, голосовая почта – сигнальному серверу и к тому же телефоны должны хранить у себя сертификаты всех участвующих в обмене сигнального трафика элементов. Сертификаты телефонной станции изображены на рисунке 7.

Рис.7 Самоподписанные сертификаты Cisco IP станции

Для задач установления доверительных отношений между вышеописанными элементами в голосовой инфраструктур, а также шифрования голосового и сигнального трафика в игру входит так называемый список доверенных сертификатов Certificate Trust List (CTL). CTL содержит все самоподписанные сертификаты всех серверов в кластере голосовой станции, а также участвующих в обмене сигнальными сообщениями телефонии (например, файервол) и этот файл подписывается закрытым ключом доверенного центра сертификации (рис.8). CTL файл эквивалентен проинсталлированным сертификатам, которые используются в работе веб браузеров при работе с https протоколом.

Рис.8 Список доверенных сертификатов

Для того чтобы создать CTL файл на оборудовании Cisco, потребуется ПК с USB разъемом, установленная на нем программа CTL client и сам токен Site Administrator Security Token (SAST) (рис.9), содержащий закрытый ключ и X.509v3 сертификат, подписанный центром аутентификации производителя (Cisco).

Рис.9 eToken Cisco

CTL client - программа, которая устанавливается на Windows ПК и с которой можно перевести ВСЮ телефонную станцию в так называемый mixed mode, то есть смешанный режим поддержки регистрации оконечных устройств в безопасном и небезопасном режимах. Запускаем клиент, указываем IP адрес телефонной станции, вводим логин/пароль администратора и CTL client устанавливает TCP соединение по порту 2444 со станцией (рис.10). После этого будет предложено всего лишь два действия:

Рис.10 Cisco CTL Client

После создания CTL файла, остается перезагрузить TFTP сервера для того, чтобы они подкачали к себе новый созданный CTL файл, и далее перезагрузить голосовые сервера, чтобы IP телефоны также перезагрузились и загрузили новый CTL файл (32 килобайта). Загруженный CTL файл можно просмотреть из настроек IP телефона (рис.11)

Рис.11 CTL файл на IP телефоне

Аутентификация оконечных устройств

Для обеспечения подключения и регистрации только доверенных оконечных устройств необходимо внедрение аутентификации устройств. На этот случай многие производители используют уже проверенный способ – аутентификация устройств по сертификатам (рис.12). Например, в голосовой архитектуре Cisco это реализовано следующим образом: имеются два вида сертификатов для аутентификации с соответствующими открытыми и закрытыми ключами, которые хранятся на телефоне:
Manufacturer Installed Certificate – (MIC). Сертификат, установленный производителем, содержит 2048 битный ключ, который подписан центром сертификации компании производителя (Cisco). Данный сертификат установлен не на все модели телефонов, и если он установлен, то в наличии другого сертификата (LSC) нет необходимости.
Locally Significant Certificate – (LSC) Локально значащий сертификат, содержит открытый ключ IP телефона, который подписан закрытым ключом локального центра аутентификации, который работает на самой телефонной станции Сertificate Authority Proxy Function (CAPF).
Итак, если у нас есть телефоны с предустановленным MIC сертификатом, то каждый раз, когда телефон будет регистрироваться на станцию, станция будет запрашивать для аутентификации предустановленный производителем сертификат. Однако, в случае компрометации MIC-а для его замены необходимо обращение в центр сертификации производителя, что может потребовать большого количества времени. Дабы не зависеть от времени реакции центра сертификации производителя на перевыпуск скомпрометированного сертификата телефона, предпочтительней использование локального сертификата.

Рис.12 Сертификаты для аутентификации оконечных устройств

По умолчанию на IP телефон не установлен LSC сертификат и его установка возможна, используя MIB сертификат (при его наличии), или через TLS соединение (Transport Layer Security) по разделяемому общему ключу, сгенерированному администратором вручную на станции и введенном на телефоне.
Процесс установки на телефон локально значащего сертификата (LSC), содержащий открытый ключ телефона, подписанного локальным центром сертификации изображен на рисунке 13:

Рис.13 Процесс установки локально значащего сертификата LSC

1. После загрузки IP телефон запрашивает доверенный список сертификатов (CTL-файл) и файл с конфигурацией
2. Станция отправляет запрашиваемые файлы
3. Из полученной конфигурации телефон определяет – нужно ли ему загружать локально значащий сертификат (LSC) со станции
4. Если мы на станции выставили для телефона, чтобы он установил LSC сертификат (см.ниже), который станция будет использовать для аутентификации данного IP телефона, то мы должны позаботиться о том, чтобы на запрос об выдаче LSC сертификата – станция выдала его тому, кому он предназначается. Для этих целей мы можем использовать MIC-сертификат (если он есть), сгенерировать одноразовый пароль на каждый телефон и ввести его на телефоне вручную либо не использовать авторизацию вообще.
На примере продемонстрирован процесс установки LSC с использованием сгенерированно

Powered by SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)