Bezpečnost konvergované komunikace: možnosti, rizika, příležitost

Pavel Truneček , 13. září 2013 10:00 0 komentářů
Bezpečnost konvergované komunikace: možnosti, rizika, příležitost

Všichni máme neuvěřitelně málo času. Ochota scházet se k projednání čehokoli výrazně klesá se vzdáleností a časem. Hitem posledních let se proto stala tzv. konvergovaná komunikace umožňující efektivně pracovat z libovolného místa, a to včetně komunikace s partnery a kolegy. Jenže, vše má své ale…

Věčné dilema: bezpečnost vs. funkcionalita

Podstatným úkolem konvergované komunikace je, zabezpečit ji tak, aby nedošlo k jejímu zneužití či kompromitaci. Základní podoba zabezpečení jednotlivých variant konvergované komunikace (video, hlas, zprávy apod.) souvisí především s bezpečností síťové infrastruktury. A i když existují některé možnosti, jak posílit bezpečnost v rámci tohoto typu komunikace, běžně používané bezpečnostní principy jsou mnohdy v rozporu s požadavky na funkcionalitu. Přesněji řečeno, jdou přímo proti sobě. Čím více chceme z konvergované komunikace vytěžit, tím méně máme prostředků pro zvýšení její bezpečnosti. Například filtrování pomocí firewallů nemusí vést k požadovanému stavu, neboť dojde k zablokování komunikace, nikoli ke zvýšení bezpečnosti komunikace jako takové.

Šifrování a ověření identity

Základním prvkem zvyšujícím bezpečnost v konvergované komunikaci je ověřování identity přístroje, se kterým komunikujeme. Na našem přístroji v podobě signalizace ihned a během celé komunikace vidíme, zda je identita přístroje druhé strany ověřena. Důležité je uvědomit si, že jde o identitu přístroje, nikoli osoby, se kterou komunikace probíhá.

Druhým prvkem bezpečnosti je šifrování komunikace, opět přístroj může signalizovat, zda je komunikace šifrována. Nejde přitom o šifrování v rámci síťové infrastruktury například na bázi VPN, kdy je šifrován přístup do firemní sítě. Šifrování komunikace probíhá přímo mezi dvěma zařízeními, obě strany tedy musí tuto variantu podporovat. V opačném případě je i nadále možné komunikaci uskutečnit bez šifrování.

Podvržení je možné, ale…

Teoreticky je možné pro průnik do komunikace v podobě podvržení přístroje využít jiné zařízení, které identicky odpovídá tomu, se kterým komunikace aktuálně probíhá. Při znalosti přístupových údajů má tento typ útoku šanci na úspěch, která ovšem výrazně klesá s využitím dalších bezpečnostních prvků.

Míru bezpečnosti zvyšuje především využívání certifikátů. Například v případě zařízení společnosti Cisco Systems je certifikát (technicky jde o certifikáty dva) nejprve umístěn na ústřednu, která následně umožní generovat a podepisovat certifikáty pro jednotlivá koncová zařízení – od IP telefonů až po softwarové klienty.

Příkladem bezpečnosti v konvergované komunikaci jsou také strategické videokonference, řešené například pomocí prostředí Cisco TelePresence. Také v tomto případě se využívá šifrování a standardizovaných protokolů (protokoly SIP, SRTP apod.). Bezpečnostní přístup se ale liší podle toho, zda klient přistupuje z vnitřní či vnější infrastruktury, například z internetu. Při přístupu z vnějšku zajistí rozhraní aktivně šifrování, zatímco komunikace mezi klienty v rámci vnitřní infrastruktury již šifrována není.

Omezení se dnes nevyplatí obcházet

O bezpečnosti v konvergovaných komunikacích má smysl hovořit i směrem k omezením využití komunikace, například kdy, kam a jak často může konkrétní zařízení volat. Tato omezení je možné definovat systémovými prostředky pomocí pravidel konkrétní ústředny. Obejití či změna těchto pravidel vyžaduje dostatečné znalosti a tyto pokusy tak ve srovnání s jinými typy bezpečnostních incidentů nebudou příliš efektivní. Například můžeme jednoduše využít kolegův telefon.

IM

Na konvergované komunikaci se i ve firemním prostředí stále častěji podílí tzv. chatování využívající především technologie pro zasílání instantních zpráv (ICQ, Jabber, Skype apod.) Chat mezi dvěma i více osobami představuje bezpečnostní riziko především ve smyslu možnosti podvržení obsahu a šíření virových nákaz. Nicméně v této oblasti takřka vždy souvisí úspěšné bezpečnostní incidenty se selháním lidského faktoru, zejména pak v podobě spuštění neověřeného obsahu. Podobně jako v případě internetové telefonie lze posílit zabezpečení šifrováním a ověřováním identit. Otázkou ale zůstává, zda nejde o zbytečně vynaložené prostředky, protože případné útoky lze realizovat jednodušeji, než využitím chatování.

Dům stavět jen na skále

Pro drtivou většinu zákazníků je základem bezpečnosti konvergované komunikace kvalitní zabezpečení základů, tedy infrastruktury a dalších hlavních prvků podnikové informační architektury.

V poslední době bylo mnohokrát slyšet o zneužití IP telefonní ústředny útočníkem, který na náklady majitele provolal na drahá telefonní čísla nebo do zahraničí značné finanční prostředky. Aby k takovému zneužití nedocházelo, je důležité správně nastavit telefonní infrastrukturu a nadále kontrolovat systém, sledovat logy, reagovat na zjištěné problémy a implementovat bezpečnostní záplaty vydávané výrobcem.

Bezpečnost v oblasti konvergované komunikace je zejména o výběru kvalifikovaného partnera, který zná veškeré bezpečnostní aspekty navrhovaného řešení, zná potenciální slabiny, dovede je vhodným nastavením eliminovat a provádí kvalitní servis implementovaného řešení.

Pavel Truneček

Pavel Truneček

Autor pracuje na pozici Solution Architect ve společnosti Dimension Data.


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Vláda indického Kašmíru zakázala na měsíc sociální sítě

ČTK , 27. duben 2017 13:00

Vláda indického státu Džammú a Kašmír nařídila nejméně na měsíc blokádu sociálních sítí na kašmírské...

Více 0 komentářů

FlashStation pro analýzu velkých objemů dat

Pavel Houser , 27. duben 2017 11:54

Synology představuje zařízení FlashStation FS2017 Podle dodavatele jde o server NAS typu all-flash ...

Více 0 komentářů

Čtvrtletní zisk Samsungu stoupl téměř o polovinu

ČTK , 27. duben 2017 10:00

Ve druhém čtvrtletí by měl výsledky dále podpořit nový Galaxy 8....

Více 0 komentářů

Starší zprávičky

Kamery pro systémy SCADA

Pavel Houser , 27. duben 2017 09:00

Axis uvádí na trh kamery chráněné proti výbuchu pro rychlé zvládání nehod a efektivní běh kriticky n...

Více 0 komentářů

Praha pořídí navigaci pro návštěvníky Škodova paláce

ČTK , 26. duben 2017 15:30

Praha pořídí navigaci pro návštěvníky Škodova paláce. Na internetových stránkách karty MHD lítačka z...

Více 0 komentářů

Soudy mají dle Šabatové zveřejňovat více rozhodnutí elektronicky

ČTK , 26. duben 2017 13:30

Kancelář veřejného ochránce práv není spokojená s tím, jak okresní, krajské a vrchní soudy naplňují ...

Více 0 komentářů

QNAP představuje řadu NAS serverů TS-x53B se čtyřjádrovým procesorem

Pavel Houser , 26. duben 2017 12:00

Řada TS-x53B s podporou duálního systému QTS-Linux umožňuje uživatelům vyvíjet nebo využívat balíčky...

Více 0 komentářů