Céleszközök, szakemberek

Mélyen a technikába

Mivel a VoIP szabványok (SIP, H.323) alapvetően valós idejű protokollt (RTP) használnak, csak kismértékben hibatűrők. Valamivel pontosabban: az IP-alapú hangátvitel felépítésére jellemző, hogy kisméretű adatcsomagokat forgalmaz, azonban ezeknek minimális késleltetéssel, pontosan kell megérkezniük a fogadóhoz, csomagvesztés nélkül. A gyakorlatban ez azt jelenti, hogy ha egy-egy weboldal néhány képe nem elsőre, hanem második próbálkozásra töltődik csak le, minimális kényelmetlenséget jelent. Azonban az élőbeszéd viszonylag kis mértékű veszteség esetén is gépiessé vagy akár érthetetlenné torzulhat.

További gondot jelent, hogy a VoIP-ot megvalósító protokollok nagyszámú portból választják ki az éppen használtakat, és ezek dinamikusan változhatnak a kapcsolat felépítése, működtetése közben, ezért a csak statikus szabályokat kezelő (előre rögzített portokat figyelő) tűzfalak nem nyújtanak kellő védettséget. Ilyenkor vagy letiltjuk az ilyen alkalmazások adatforgalmazását, vagy olyan sok „lyukat” hagyunk a védelmi vonalainkon, hogy veszélyeztetjük hálózatunk alapvető biztonságát.

A VoIP még adatcsomag szinten is érdekességekkel szolgál: az IP csomagokba ágyazott VoIP célú csomagok saját fejlécükben szintén tartalmazzák a célállomás IP címét, ezzel mintegy kétszeresére növelve a tűzfal által feldolgozandó adatok mennyiségét (ez különösen a NAT – hálózati címfordítás – esetén jelentkezik). És itt ugye újra megjelenik a késleltetés, mint zavaró tényező: a túlságosan lassan feldolgozott és továbbított csomagok zavart okozhatnak a beszéd megértésében.

Tanulságként leszűrhető, hogy a hálózat védelmével megbízott eszközöknek – különös tekintettel a tűzfalakra – beépített VoIP-támogatással kell rendelkezniük, hogy egyaránt megfeleljenek a VoIP által támasztott speciális követelményeknek és korábbi rendszerünk elvárásainak.

Átfogó kockázatcsökkentés

Az eddig elmondottakból kitűnik, hogy a VoIP által felvetett biztonsági kérdéseket nem lehet apróbb foltozásokkal, vagy akár egyetlen eszköz cseréjével megoldani. Átfogó biztonsági keretrendszert kell kialakítani, majd megkeresni az ebbe beilleszthető hardver-szoftver rendszerelemeket. A biztonsági keretrendszer alapját a tartományi modell adhatja, ahol a hasonló feladatokat ellátó, hasonló kockázatot jelentő elemeket egy csoportba foglaljuk, és erre a csoportra adjuk meg a pontos biztonsági szabályzatot. Majd a csoportok közötti átjárást, valamint a tartományok határait védjük további eszközökkel. Végül pedig megfogalmazzuk azokat a specifikus biztonsági előírásokat, amelyeket az egyes komponensek, így a VoIP eszközök is megkövetelnek. Minderre azért is van szükség, mert a feje tetejére állított, csak VoIP védelemre berendezkedő szemlélet figyelmen kívül hagyja a hang- és adatcélú kommunikáció között fellépő kölcsönhatásokat, továbbá elég akár egy biztonsági lyuk is ahhoz, hogy az amúgy önmagában védett szolgáltatásaink nyitottá váljanak a külvilág számára.

A valódi szakértők szerepe

Bár az itt felsorolt kockázatok könnyen elriaszthatnak a fejlesztéstől, nem ez volt a célunk. Ellenben vegyük tudomásul, hogy a reklámszövegek hatására beszerzett bármilyen hálózati eszköz kockázatot jelenthet, ha nem felkészülten állítjuk üzembe. Ilyenkor az igazi kérdés az: mi ér többet? A kísérletezés vagy esetleg cégünk működőképessége?

Vannak már hazánkban is olyan szakértők, akiknek az általános hálózatbiztonsági területek mellett a VoIP-pal kapcsolatos kérdésekben is van tapasztalatuk. Amit tehetünk, hogy a kiszemelt szakértőtől megtudjuk, milyen referenciákkal rendelkezik az IP-s hangátvitel terén ő, valamint az általa forgalmazott eszközcsalád.

Fazakas László

Tanácsadónk a RelNet Technológia Kft. volt. Háttéranyagként a „Biztonságos IP telefónia” c. META Group tanulmányt használtuk.