Bezpečnost konvergované komunikace: možnosti, rizika, příležitost

Pavel Truneček , 13. září 2013 10:00 0 komentářů
Bezpečnost konvergované komunikace: možnosti, rizika, příležitost

Všichni máme neuvěřitelně málo času. Ochota scházet se k projednání čehokoli výrazně klesá se vzdáleností a časem. Hitem posledních let se proto stala tzv. konvergovaná komunikace umožňující efektivně pracovat z libovolného místa, a to včetně komunikace s partnery a kolegy. Jenže, vše má své ale…

Věčné dilema: bezpečnost vs. funkcionalita

Podstatným úkolem konvergované komunikace je, zabezpečit ji tak, aby nedošlo k jejímu zneužití či kompromitaci. Základní podoba zabezpečení jednotlivých variant konvergované komunikace (video, hlas, zprávy apod.) souvisí především s bezpečností síťové infrastruktury. A i když existují některé možnosti, jak posílit bezpečnost v rámci tohoto typu komunikace, běžně používané bezpečnostní principy jsou mnohdy v rozporu s požadavky na funkcionalitu. Přesněji řečeno, jdou přímo proti sobě. Čím více chceme z konvergované komunikace vytěžit, tím méně máme prostředků pro zvýšení její bezpečnosti. Například filtrování pomocí firewallů nemusí vést k požadovanému stavu, neboť dojde k zablokování komunikace, nikoli ke zvýšení bezpečnosti komunikace jako takové.

Šifrování a ověření identity

Základním prvkem zvyšujícím bezpečnost v konvergované komunikaci je ověřování identity přístroje, se kterým komunikujeme. Na našem přístroji v podobě signalizace ihned a během celé komunikace vidíme, zda je identita přístroje druhé strany ověřena. Důležité je uvědomit si, že jde o identitu přístroje, nikoli osoby, se kterou komunikace probíhá.

Druhým prvkem bezpečnosti je šifrování komunikace, opět přístroj může signalizovat, zda je komunikace šifrována. Nejde přitom o šifrování v rámci síťové infrastruktury například na bázi VPN, kdy je šifrován přístup do firemní sítě. Šifrování komunikace probíhá přímo mezi dvěma zařízeními, obě strany tedy musí tuto variantu podporovat. V opačném případě je i nadále možné komunikaci uskutečnit bez šifrování.

Podvržení je možné, ale…

Teoreticky je možné pro průnik do komunikace v podobě podvržení přístroje využít jiné zařízení, které identicky odpovídá tomu, se kterým komunikace aktuálně probíhá. Při znalosti přístupových údajů má tento typ útoku šanci na úspěch, která ovšem výrazně klesá s využitím dalších bezpečnostních prvků.

Míru bezpečnosti zvyšuje především využívání certifikátů. Například v případě zařízení společnosti Cisco Systems je certifikát (technicky jde o certifikáty dva) nejprve umístěn na ústřednu, která následně umožní generovat a podepisovat certifikáty pro jednotlivá koncová zařízení – od IP telefonů až po softwarové klienty.

Příkladem bezpečnosti v konvergované komunikaci jsou také strategické videokonference, řešené například pomocí prostředí Cisco TelePresence. Také v tomto případě se využívá šifrování a standardizovaných protokolů (protokoly SIP, SRTP apod.). Bezpečnostní přístup se ale liší podle toho, zda klient přistupuje z vnitřní či vnější infrastruktury, například z internetu. Při přístupu z vnějšku zajistí rozhraní aktivně šifrování, zatímco komunikace mezi klienty v rámci vnitřní infrastruktury již šifrována není.

Omezení se dnes nevyplatí obcházet

O bezpečnosti v konvergovaných komunikacích má smysl hovořit i směrem k omezením využití komunikace, například kdy, kam a jak často může konkrétní zařízení volat. Tato omezení je možné definovat systémovými prostředky pomocí pravidel konkrétní ústředny. Obejití či změna těchto pravidel vyžaduje dostatečné znalosti a tyto pokusy tak ve srovnání s jinými typy bezpečnostních incidentů nebudou příliš efektivní. Například můžeme jednoduše využít kolegův telefon.

IM

Na konvergované komunikaci se i ve firemním prostředí stále častěji podílí tzv. chatování využívající především technologie pro zasílání instantních zpráv (ICQ, Jabber, Skype apod.) Chat mezi dvěma i více osobami představuje bezpečnostní riziko především ve smyslu možnosti podvržení obsahu a šíření virových nákaz. Nicméně v této oblasti takřka vždy souvisí úspěšné bezpečnostní incidenty se selháním lidského faktoru, zejména pak v podobě spuštění neověřeného obsahu. Podobně jako v případě internetové telefonie lze posílit zabezpečení šifrováním a ověřováním identit. Otázkou ale zůstává, zda nejde o zbytečně vynaložené prostředky, protože případné útoky lze realizovat jednodušeji, než využitím chatování.

Dům stavět jen na skále

Pro drtivou většinu zákazníků je základem bezpečnosti konvergované komunikace kvalitní zabezpečení základů, tedy infrastruktury a dalších hlavních prvků podnikové informační architektury.

V poslední době bylo mnohokrát slyšet o zneužití IP telefonní ústředny útočníkem, který na náklady majitele provolal na drahá telefonní čísla nebo do zahraničí značné finanční prostředky. Aby k takovému zneužití nedocházelo, je důležité správně nastavit telefonní infrastrukturu a nadále kontrolovat systém, sledovat logy, reagovat na zjištěné problémy a implementovat bezpečnostní záplaty vydávané výrobcem.

Bezpečnost v oblasti konvergované komunikace je zejména o výběru kvalifikovaného partnera, který zná veškeré bezpečnostní aspekty navrhovaného řešení, zná potenciální slabiny, dovede je vhodným nastavením eliminovat a provádí kvalitní servis implementovaného řešení.

Pavel Truneček

Pavel Truneček

Autor pracuje na pozici Solution Architect ve společnosti Dimension Data.


Komentáře


RSS 

Komentujeme

Sinclair, Jobs a Watson

Richard Jan Voigts , 31. prosinec 2016 08:00
Richard Jan Voigts

ZX Spectrum byla hračka, kterou nám dal před l...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Facebook v Německu spustí systém pro ověřování pravdivosti zpráv

ČTK , 16. leden 2017 07:00

Internetová sociální síť Facebook v příštích týdnech zavede v Německu systém pro ověřování pravdivos...

Více 0 komentářů

Yahoo Japan zvažuje třídenní víkend, chce zaměstnance motivovat

ČTK , 15. leden 2017 15:00

Japonská internetová společnost Yahoo Japan zvažuje, že by do roku 2020 zavedla třídenní víkend. Chc...

Více 0 komentářů

Uber se dohodl s Google na využití jeho map

ČTK , 15. leden 2017 12:32

Internetová firma Google nově propojila své mapy s poskytovatelem přeprav Uber. S novou aktualizací ...

Více 1 komentářů

Starší zprávičky

Fakulta elektrotechnická ČVUT v Praze představí zájemcům o studium moderní techniku i její historii

ITBiz.cz , 14. leden 2017 16:30

Fakulta elektrotechnická ČVUT v Praze pořádá v pátek 20. ledna od 8.30 hodin první letošní Den otevř...

Více 0 komentářů

Čína chce zakázat elektrošoky pro mládež závislou na internetu

ČTK , 14. leden 2017 13:35

Čínská vláda chce zákonem zakázat používání elektrošoků a dalších fyzických trestů v táborech pro zá...

Více 5 komentářů

Za internetový prodej ohrožených brouků soud udělil podmínku

ČTK , 13. leden 2017 15:00

Český soud poprvé potrestal prodejce, který na internetu nabízel ohrožené druhy hmyzu. Jedenatřiceti...

Více 0 komentářů

Tržby za videokonference letos v regionu vzrostou o desetinu

ČTK , 13. leden 2017 11:00

Tržby za videokonferenční systémy ve východní Evropě včetně Česka v letošním roce meziročně vzrostou...

Více 0 komentářů