Bezpečnost konvergované komunikace: možnosti, rizika, příležitost

Pavel Truneček , 13. září 2013 10:00 0 komentářů
Bezpečnost konvergované komunikace: možnosti, rizika, příležitost

Všichni máme neuvěřitelně málo času. Ochota scházet se k projednání čehokoli výrazně klesá se vzdáleností a časem. Hitem posledních let se proto stala tzv. konvergovaná komunikace umožňující efektivně pracovat z libovolného místa, a to včetně komunikace s partnery a kolegy. Jenže, vše má své ale…

Věčné dilema: bezpečnost vs. funkcionalita

Podstatným úkolem konvergované komunikace je, zabezpečit ji tak, aby nedošlo k jejímu zneužití či kompromitaci. Základní podoba zabezpečení jednotlivých variant konvergované komunikace (video, hlas, zprávy apod.) souvisí především s bezpečností síťové infrastruktury. A i když existují některé možnosti, jak posílit bezpečnost v rámci tohoto typu komunikace, běžně používané bezpečnostní principy jsou mnohdy v rozporu s požadavky na funkcionalitu. Přesněji řečeno, jdou přímo proti sobě. Čím více chceme z konvergované komunikace vytěžit, tím méně máme prostředků pro zvýšení její bezpečnosti. Například filtrování pomocí firewallů nemusí vést k požadovanému stavu, neboť dojde k zablokování komunikace, nikoli ke zvýšení bezpečnosti komunikace jako takové.

Šifrování a ověření identity

Základním prvkem zvyšujícím bezpečnost v konvergované komunikaci je ověřování identity přístroje, se kterým komunikujeme. Na našem přístroji v podobě signalizace ihned a během celé komunikace vidíme, zda je identita přístroje druhé strany ověřena. Důležité je uvědomit si, že jde o identitu přístroje, nikoli osoby, se kterou komunikace probíhá.

Druhým prvkem bezpečnosti je šifrování komunikace, opět přístroj může signalizovat, zda je komunikace šifrována. Nejde přitom o šifrování v rámci síťové infrastruktury například na bázi VPN, kdy je šifrován přístup do firemní sítě. Šifrování komunikace probíhá přímo mezi dvěma zařízeními, obě strany tedy musí tuto variantu podporovat. V opačném případě je i nadále možné komunikaci uskutečnit bez šifrování.

Podvržení je možné, ale…

Teoreticky je možné pro průnik do komunikace v podobě podvržení přístroje využít jiné zařízení, které identicky odpovídá tomu, se kterým komunikace aktuálně probíhá. Při znalosti přístupových údajů má tento typ útoku šanci na úspěch, která ovšem výrazně klesá s využitím dalších bezpečnostních prvků.

Míru bezpečnosti zvyšuje především využívání certifikátů. Například v případě zařízení společnosti Cisco Systems je certifikát (technicky jde o certifikáty dva) nejprve umístěn na ústřednu, která následně umožní generovat a podepisovat certifikáty pro jednotlivá koncová zařízení – od IP telefonů až po softwarové klienty.

Příkladem bezpečnosti v konvergované komunikaci jsou také strategické videokonference, řešené například pomocí prostředí Cisco TelePresence. Také v tomto případě se využívá šifrování a standardizovaných protokolů (protokoly SIP, SRTP apod.). Bezpečnostní přístup se ale liší podle toho, zda klient přistupuje z vnitřní či vnější infrastruktury, například z internetu. Při přístupu z vnějšku zajistí rozhraní aktivně šifrování, zatímco komunikace mezi klienty v rámci vnitřní infrastruktury již šifrována není.

Omezení se dnes nevyplatí obcházet

O bezpečnosti v konvergovaných komunikacích má smysl hovořit i směrem k omezením využití komunikace, například kdy, kam a jak často může konkrétní zařízení volat. Tato omezení je možné definovat systémovými prostředky pomocí pravidel konkrétní ústředny. Obejití či změna těchto pravidel vyžaduje dostatečné znalosti a tyto pokusy tak ve srovnání s jinými typy bezpečnostních incidentů nebudou příliš efektivní. Například můžeme jednoduše využít kolegův telefon.

IM

Na konvergované komunikaci se i ve firemním prostředí stále častěji podílí tzv. chatování využívající především technologie pro zasílání instantních zpráv (ICQ, Jabber, Skype apod.) Chat mezi dvěma i více osobami představuje bezpečnostní riziko především ve smyslu možnosti podvržení obsahu a šíření virových nákaz. Nicméně v této oblasti takřka vždy souvisí úspěšné bezpečnostní incidenty se selháním lidského faktoru, zejména pak v podobě spuštění neověřeného obsahu. Podobně jako v případě internetové telefonie lze posílit zabezpečení šifrováním a ověřováním identit. Otázkou ale zůstává, zda nejde o zbytečně vynaložené prostředky, protože případné útoky lze realizovat jednodušeji, než využitím chatování.

Dům stavět jen na skále

Pro drtivou většinu zákazníků je základem bezpečnosti konvergované komunikace kvalitní zabezpečení základů, tedy infrastruktury a dalších hlavních prvků podnikové informační architektury.

V poslední době bylo mnohokrát slyšet o zneužití IP telefonní ústředny útočníkem, který na náklady majitele provolal na drahá telefonní čísla nebo do zahraničí značné finanční prostředky. Aby k takovému zneužití nedocházelo, je důležité správně nastavit telefonní infrastrukturu a nadále kontrolovat systém, sledovat logy, reagovat na zjištěné problémy a implementovat bezpečnostní záplaty vydávané výrobcem.

Bezpečnost v oblasti konvergované komunikace je zejména o výběru kvalifikovaného partnera, který zná veškeré bezpečnostní aspekty navrhovaného řešení, zná potenciální slabiny, dovede je vhodným nastavením eliminovat a provádí kvalitní servis implementovaného řešení.

Pavel Truneček

Pavel Truneček

Autor pracuje na pozici Solution Architect ve společnosti Dimension Data.


Komentáře

RSS 

Komentujeme

Microsoft a GitHub

Pavel Houser , 13. červen 2018 13:30
Pavel Houser

Transakce v hodnotě 7,5 miliardy dolarů je dost velká i na poměry Microsoftu, takže se prodejem GitH...

Více







RSS 

Zprávičky

Foxconn otevře severoamerické ústředí ve Wisconsinu

ČTK , 18. červen 2018 00:00

Foxconn již loni oznámil, že ve Wisconsinu investuje 10 miliard dolarů do výstavby továrny na LCD....

Více 0 komentářů

Češi obměňují počítač za šest let, dvakrát déle než vyspělý svět

ČTK , 16. červen 2018 08:00

Výpočetní techniku si na leasing v tuzemsku pořizuje 23 % firem, ve vyspělých zemích jsou to až 3/4 ...

Více 0 komentářů

Dell představuje úložiště PowerMax

Pavel Houser , 15. červen 2018 16:14

Dell oznámil uvedení několika nových úložných a serverových produktů s podporou uceleného portfolia ...

Více 0 komentářů

Kalendář

17. 06.

21. 06.
Cyber Week 2018
19. 06.

22. 06.
Automatica 2018
23. 06.

24. 06.
Maker Faire Prague 2018

Starší zprávičky

AT&T dokončila převzetí mediální firmy Time Warner

ČTK , 15. červen 2018 13:22

Očekává se, že spojení AT&T a Time Warner vyvolá vlnu fúzí. Comcast chce převzít Twenty-First Centur...

Více 0 komentářů

Po dohodě s USA čínská ZTE ztratila 3 miliardy dolarů tržní hodnoty

ČTK , 15. červen 2018 08:00

Americký zákaz před dohodou paralyzoval klíčové aktivity ZTE a firmě hrozil bankrot....

Více 0 komentářů

Vláda schválila nižší platby za kmitočty, firmy ušetří 145 mil. Kč

ČTK , 14. červen 2018 13:16

Výběr poplatků by se ale měl do 2-3 let vrátit nad úroveň roku 2016, protože operátoři budou využíva...

Více 0 komentářů

Internet Intelligence Map: Co udělá s Internetem přírodní katastrofa?

Pavel Houser , 14. červen 2018 13:09

Oracle poskytuje zdarma mapu narušení internetového provozu, sleduje traceroute, BGP i dotazy DNS....

Více 0 komentářů