Firewally brání přenosu vašeho hlasu

Firewall představuje na jedné straně oblíbený bezpečnostní nástroj IT profesionálů, na druhé straně však může p...


Firewall představuje na jedné straně oblíbený bezpečnostní nástroj IT
profesionálů, na druhé straně však může působit problémy firmám, které se snaží
zavést IP telefonii přes internet. Mnoho firewallů nabízí totiž jen malou nebo
dokonce žádnou podporu pro protokoly používané v oblasti VoIP.
Dodavatelé firewallů a návrháři standardů VoIP (Voice over IP) spolupracují na
tom, aby umožnili efektivní spolupráci mezi firewallem a široce přijímaným
protokolem H.323 či nově zaváděným SIPem (Session Initiation Protocol). Mnozí
uživatelé však potřebují problém řešit již nyní.
Mnozí z nich ho obcházejí za pomoci šifrování komunikace VoIP ve WAN a jejího
tunelování přes VPN, což umožňuje bezproblémové spojení mezi pobočkami firmy.
Odborníci tvrdí, že tato metoda provozování VoIP prostřednictvím WAN zachovává
bezpečnost vlastních hovorů přes IP a zároveň eliminuje ta rizika vystavení
sítě potenciálním vetřelcům, která s sebou nese povolení portů na firewallu pro
VoIP komunikaci.
"Přinutit firewall, aby rozuměl hlasovým nebo multimediálním protokolům,
zejména H.323, to není jednoduchý úkol," říká Joel Snyder, starší partner firmy
Opus One, která se zabývá testováním sítí, a současně redaktor amerického
Network Worldu. Dodává, že firewall v podstatě musí fungovat jako proxy server
pro H.323 přenosy.
"H.323 proxy v rámci firewallu musí provádět důkladné zkoumání protokolu H.323.
Ve skutečnosti je tedy třeba, aby rozuměla celému protokolu tak, aby vždy
poznala, které IP adresy spolu chtějí hovořit, na kterých portech atd.,"
vysvětluje Snyder.
Bez těchto schopností proxy by bylo nutné na firewallu povolit porty pro každý
uskutečněný hovor, aniž by bylo možno určit, zda jde o legitimní pakety.
Takovéto mezery ve firewallu, umožňující komunikaci prostřednictvím H.323 nebo
dalších multimediálních protokolů, ale současně znamenají, že sítě za ním se
stávají zranitelnými. Vetřelec by podle názoru odborníků mohl využít hlasové
přenosy k podvržení paketů firewallu, a tím k získání přístupu do sítě.
"Problémem je, že stack H.323 je doširoka otevřený," říká Mike Venner, výkonný
ředitel firmy Broadcom, která vyrábí síťové komponenty. "Lze jej snadno
nabourat a jen obtížně kontrolovat."

Částečné řešení
Aby se vyhnul záludným problémům v oblasti spolupráce firewallu a VoIP, využívá
Venner ve své firmě pro spojení se zaměstnanci pracujícími z domova a pro DS3
PPTP linky sloužící k propojení větších poboček již zmíněnou techniku
tunelování před VPN. Padesát zaměstnanců Broadcomu, kteří vykonávají práci
doma, využívá IP telefony a hardwarové VPN klienty k připojení na IP ústředny
od firem Avaya a Cisco přes šifrovaný tunel IP Security. Takové nastavení v
praxi znamená, že ti, kdo pracují doma nebo ve vzdálených pobočkách, mají
stejné telefonní linky, jako kdyby pracovali v sídle firmy v Irvine. "Zjistili
jsme, že telefonování přes VPN tunel funguje opravdu velice dobře," komentuje
aktuální situaci Venner. I když neprozradil, jaká konkrétní zařízení jejich VPN
využívá, tvrdí, že kvalita telefonních hovorů je srovnatelná s kvalitou IP
telefonie prostřednictvím jejich firemní LAN.

Dva druhy problémů
Potenciální problémy s hlasovou IP komunikací přes firewall je možno rozdělit
do dvou oblastí: NAT (Network Address Translation) a komplexní povaha VoIP
komunikace.
NAT mění zdrojovou IP adresu paketu z adresy v soukromém rozsahu na adresu
veřejnou tak, aby jej bylo možno směrovat přes internet. Překládající (NAT)
zařízení, jako např. firewall, uchovává záznam o privátní IP adrese, takže
zpětný přenos je možno přesměrovat zpět na odesílající zařízení. VoIP
komunikace sestává ze signalizační komunikace a z paketů přenášejících samotný
hlasový signál. Signalizační komunikace, kterou zajišťuje SIP nebo H.323,
využívá protokolů obsahujících informace o adrese nejen v hlavičce, ale také
hlouběji v rámci paketu.
K realizaci překladu síťových adres pro tuto signalizační komunikaci musí být
firewall schopen zpracovat a modifikovat paket až na aplikační úroveň, což je
cosi, pro co většina firewallů není určena. Signalizační komunikace a samotné
užitečné pakety jednoho jediného hlasového hovoru využívají mnoha typů portů
firewallu v rámci UDP i TCP. Aby mohl hlasový hovor úspěšně překonat firewall,
musejí být tyto porty otevřené. A aby nebyla narušena bezpečnost, je třeba je
uzavřít, jakmile komunikace skončí. Běžné firewally nejsou navrženy se
schopností zvládnout takový způsob síťového provozu.
Uživatelé by mohli otevřít firewall pro veškerou UDP komunikaci, aby tak
umožnili příchozí a odchozí hlasové hovory, nicméně takto si většina lidí
bezpečnost nepředstavuje. "Fungovalo by to, ale bezpečnostní manažer by dostal
na hodinu padáka," říká Opher Kahane, výkonný ředitel Kagoor Networks. Tato
firma dodává produkt VoiceFlow, zařízení, které je schopno zvládnout problém
NAT a průchodu VoIP přes firewall.
VioceFlow také řeší, jakým způsobem povolit signalizačním paketům přejít přes
firewall, a umožnit tak funkci VoIP zařízením; běžně je totiž taková komunikace
s firewallem z důvodu bezpečnosti blokována.

Znatelné pokroky
Výrobci firewallů, jako např. Cisco nebo Check Point Software, již podporu pro
SIP a H.323 do svých produktů přidali. Jiní výrobci, včetně například švédské
firmy Ingate či Acme Packets a Jasomi, nabízejí speciální firewall pro VoIP
nebo zařízení, která doplňují firewally tak, aby lépe zvládala hlasové přenosy.
Zařízení od Ingate podporuje SIP na dynamicky přidělovaných portech, což
umožňuje uskutečnit velký objem hovorů, a na rozdíl od otevření jednoho
specifického portu pro VoIP neznamená podle výrobce možnost narušení sítě.
Jasomi o svém firewallu PeerPoint s podporou protokolu SIP tvrdí, že toto
zařízení je určeno k umístění mimo běžný firemní firewall a funguje jako
bezpečná proxy pro hlasovou IP komunikaci mezi jednotlivými pobočkami
prostřednictvím nezabezpečené sítě. IETF (Internet Engineering Task Force)
pracuje na návrhu specifikace označované jako MidCom, která by takovouto proxy
pro hlasovou IP komunikaci, oddělenou od firewallu, standardizovala.

Hlasy proti
"Komunikace VoIP přes internet samozřejmě je realizovatelnou záležitostí,
nicméně já bych ji nedoporučoval," říká Mike Shisko, ředitel IT konzultantské
firmy Experio Solutions. Experio využívá VoIP zařízení od společnosti Shoreline
Communications v celkem 18 svých pobočkách po celé zemi. Produkty Shoreline
analogový hlasový hovor v počítači digitalizují a přemění jej na IP pakety,
které lze dále posílat v rámci podnikové WAN realizované jako IP VPN u
telekomunikační společnosti. Routery Cisco jakožto koncová zařízení v každé
pobočce upřednostňují komunikaci VoIP před jejím odeslání do sítě
poskytovatele, kde pak data proudí v zašifrované podobě přes VPN namísto přes
otevřený internet. Přestože podle Shiska jeho firma již realizovala několik
videokonferencí na bázi H.323 přes firemní firewally a internet, pro každodenní
hlasové hovory hodlá zůstat u VPN. "Diskutovali jsme o možnosti otevření portů
na našich firewallech tak, abychom umožnili hlasovou komunikaci, ale myslím, že
to není potřeba," říká Shisko a dodává, že čím méně je firemní síť vystavena
přístupu z internetu, tím je bezpečnější.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.