Тенденции развития VoIP (IP-телефонии) Высокого качества (Wi-Fi), защита передаваемых сигналов в этих системах

Наибольшую сложность для архитектуры безопасности представляют высокие требования голосовой связи (время доставки пакета, прогнозируемость) и возможность клиента перемещаться между точками доступа и подсетями.Аутентификация и шифрование, основанные на стандартах WPA и WPA2/802.11i предлагают мощную защиту и поддерживаются в новых устройствах большинства производителей.WPA2 или стандарт 801.11i - это финальный вариант стандарта безопасности беспроводных сетей доступа.Этим стандартом вводятся понятия надежно защищенной сети и надежно защищенного сетевого соединения.В качестве основного шифра в стандарте WPA2 выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом.Используемые шифры: AES-CCMP (стандарт), TKIP (1).Последней разработкой стандарта является поддержка технологии быстрого роуминга между точками доступа с использованием процедуры кэширования ключа PMK и преаутентификации. Клиент один раз проходит полную аутентификацию при подключении в первый раз к какой-то точке доступа, затем он сохраняет полученный от нее ключ PMK, и при следующем подключении к данной точке в ответ на запрос о подтверждении подлинности клиент посылает ранее полученный ключ PMK. На этом аутентификация заканчивается (5). Смысл процедурыпреаутентификации заключается в том, что после того, как клиент подключился и прошел аутентификацию на точке доступа, он может параллельно (заранее) пройти аутентификацию на остальных точках доступа с таким же SSID, т. е. заранее получить от них ключ PMK. И если при дальнейшей работе сигнал точки доступа окажется слабее, чем какой-то другой точки с таким же именем сети, то клиент быстро переподключится с закэшированным ключом PMK.Существует фирменный вариант аутентификации от компанииCISCO, который поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа (7).При роуминге одна только повторная аутентификация на сервере Radius занимает более 500 мс. Cisco использует Алгоритм централизованного управления ключами (CiscoCentralizedKeyManagement CCKM)), инновационное решение, которое позволяет снизить задержки при роуминге между точками доступа до 100 мс и менее. Алгоритм централизованного управления ключами Cisco обеспечивает согласование сеансового ключа из кешированногомастер-ключа и устраняет необходимость обмениваться информацией с сервером аутентификации, авторизации и аккаунтинга (AAA) во время роуминга. При роуминге клиент сообщает инфраструктуре о своем местоположении, и данные о ключах передаются на новую точку доступа. Эффективное сочетание технологии EAP-FAST и Алгоритма централизованного управления ключами Cisco обеспечивает максимальную защиту при минимальных временных затратах на выполнение операций. Для безопасности голосовых вызовов рекомендуетсяразделяет физическую сеть на несколько логических сетей.При этом, создаются отдельные сети VLAN и SSID для передачи голосовых данных. Сочетание голосового SSID и голосового VLAN создают единую голосовую сеть, которая объединяет и проводные, и беспроводные каналы, и использует согласованные средства безопасности и профили QoS. Контроллер WLAN коммутирует трафик от голосовых SSID к голосовым VLAN. Основное достоинство такого физического разделения голосового трафика и трафика данных заключается в недоступности трафика, проходящего по голосовой сети, сотрудникам и посторонним лицам, подключенным к информационной сети. Сети VLAN защищают систему передачи голосовых сообщений от следующих угроз безопасности:• Защита от мошенничества. Администраторы компании вголосовых VLAN могут использоватьразличные политики управления доступом. Например, открывая работникам на каком-нибудь участке доступ к информационному сегменту, в то же время запретить доступ к голосовым сервисам. Более того, отдельная голосовая сеть VLAN одного отдела не позволит сотрудникам другого отдела использовать VLAN для междугородних вызовов с целью сокращения собственных расходов.• Защита от DoS-атак. Большинство DoS-атак возникают на ПК, следовательно, они не могут затронуть IP-телефоны и серверы обработки вызовов, соединенные с отдельной голосовой сетью VLAN.• Защита от перехвата данных. Хакеры обычно подключаются к той же сети VLAN и выдавая себя за участника разговора перехватывают данные с помощью ПК со специальным программным обеспечением. Однако если участники разговора будут отделены логическим барьером, хакер не сможет подключиться к голосовой VLAN с помощью компьютера.ЗаключениеСети беспроводного доступа на предприятиях — уже не роскошь, а неотъемлемая часть ИТ-инфраструктуры. Распространение IP-телефонии и развитие беспроводных локальных сетей доступа позволяют внедрить беспроводные технологии, повышающие производительность мобильных сотрудников. Разработанные сетевые решения и выпускаемое современное оборудование WI-FI сетей позволяют развернуть качественную сеть VoWIFI, используяв системах голосовой коммуникации мобильность и гибкость беспроводных сетей.Альянс Wi-FiAlliance, признавая значительный потенциал услуги VoWiFi, подготовил программу аттестации Voice-Personal, которая обеспечивает соблюдение основных требований технологии VoWiFi для беспроводных устройств в домашних сетях и в небольших офисах. Сертифицированная программа Voice-Personal, основанная на проверке рабочих характеристик сети, не только обеспечивает строгое соблюдение требований протокола и возможности функционального взаимодействия, но и учитывает потребности конкретного приложения. Также готовится к выпуску сертификация VoiceEnterprise, которая будет использоваться с той же целью для офисных сетей. В тестовый пакет добавлены требования к роумингу и к безопасности предприятия, что обеспечит полноценное пользование услугой VoWiFi в офисах и общественных местах.Список литературы1.Википедия. Защита в сетях WI-FI[Электронный ресурс]: Материал из Википедии – свободной энциклопедии. URL: https://ru.wikipedia.org/wiki/Защита_в_сетях_Wi-Fi2.ГольдштейнБ.С., ПинчукА.В. IP – Телефония. – М.: Радио и связь, 20013.Горнак А. VoWLAN. Преодоление проблем [Электронный ресурс]: Журнал «Технологии и средства связи» №4, 2007. URL: http://www.nstel.ru/articles/vowlan4.Имаг. Телефонная связь WI-FI или DECT – основа мобильности [Электронный ресурс]: Официальный сайт компании ИМАГ. URL: https://wifi-solutions.ru/telefonnaya-svyaz-v-mobilnom-offise/5.Интерфейс. Безопасность в сетях Wi-Fi[Электронный ресурс]: Технический блок специалистов ООО «Интерфейс». URL: https://interface31.ru/tech_it/2014/05/bezopasnost-v-setyah-wi-fi-chast-1-otkrytye-seti.html6.ПередачаголосапосетиWi-FiспомощьютехнологииSingleStream 802.11n [Электронныйресурс]: Сокращенныйпереводстатьи «Voice-over-Wi-FiImplementationwithSingleStream 802.11n.» NarasimhanVenkatesh//www.portabledesign.com.URL:http://www.russianelectronics.ru/leader-r/review/2187/doc/40509/7.Cisco. Принципы проектирования систем голосовой связи по WLAN[Электронный ресурс]: Официальный документ. URL: https://www.cisco.com/c/dam/global/ru_ru/downloads/broch/cisco_vo_wlan.pdf8.WinncomTechnologies. Разгрузка сетей мобильной связи за счет перенаправления трафика данных в Wi-Fi сети. Решения компании ProximWireless[Электронный ресурс]: Официальный сайт компании WinncomTechnologies. URL: http://winncom.ru/wp/wp-content/uploads/Winncom_3G_ OFFLOAD_Proxim.pdf