Asterisk™: будущее телефонии Второе издание

Соединения peer

Соединение типа peer является исходящим. Представим это так: пользователи (users) звонят нам, тогда как мы звоним равноправным участникам (peers). Поскольку равноправные участники не звонят нам, описание peer обычно не требует задания имени контекста. Однако есть одно исключение: если звонки, берущие начало в вашей системе, возвращаются в вашу же систему, входящие звонки (которые берут начало на SIP-прокси, а не на агенте пользователя) будут сопоставляться с описанием peer. Контекст default должен обрабатывать эти входящие звонки соответствующим образом, хотя предпочтительнее, чтобы контексты были определены для каждого peer отдельно [97]. Чтобы знать, куда отправлять вызов, необходимо иметь информацию о местонахождении хоста в Интернете (то есть знать его IP-адрес). Местоположение peer может быть определено или статически, или динамически. Динамический peer конфигурируется с помощью строки host=dynamic, размещаемой под заголовком описания. Поскольку IP- адрес динамического peer может меняться постоянно, он должен регистрироваться на сервере Asterisk, чтобы его IP-адрес был известен и звонки могли успешно направляться к нему. Если удаленным концом является другой сервер Asterisk, необходимо использовать выражение register, что обсуждается ниже.

Соединения friend

Определение типа friend является сокращенной записью для соединения, которое может быть и user, и peer. Однако соединения, являющиеся и user, и peer, не всегда определяются так, потому что индивидуаль-

Рис. 8.2. Источник вызова относительно Asterisk для соединений типа user, peer и friend

ное описание каждого направления создания вызова (использование двух описаний, user и peer) обеспечивает возможность более тонкой настройки и управления каждым отдельно взятым соединением. На рис. 8.2 показан поток управления аутентификацией по отношению к Asterisk.

Выражения register

Выражение register - это средство сообщить удаленному равноправному участнику сети, где в Интернете находится ваш сервер Asterisk. Asterisk использует выражения register для аутентификации у удаленных поставщиков сервисов, если вы используете динамические IP- адреса или если ваш IP-адрес не зарегистрирован у поставщика. Возможны ситуации, когда выражение register не требуется, но, чтобы продемонстрировать случаи, когда выражение register необходимо, рассмотрим следующий пример.

Допустим, имеется удаленный равноправный участник сети, предоставляющий вам сервисы DID. Когда кто-то вызывает номер +1-800555-1212, звонок поступает по физической сети PSTN к вашему поставщику сервисов и на его сервер Asterisk, возможно, через Т1-линию. После этого данный вызов направляется по Интернету на ваш сервер Asterisk.

Ваш поставщик услуг будет располагать описанием вашего сервера Asterisk в одном из конфигурационных файлов, sip.conf или iax.conf (в зависимости от того, выполняется ли соединение по протоколу SIP или IAX соответственно). Если вы получаете вызовы только от этого поставщика сервисов, вы определили бы их тип как user (если бы это была другая система Asterisk, вы могли бы быть определены в ней как

peer).

Теперь, допустим, ваш сервер использует ваше домашнее соединение с Интернетом с динамическим IP-адресом. Поставщик услуг имеет статический IP-адрес (или, возможно, полностью определенное доменное имя), которое указано в вашем конфигурационном файле. Поскольку у вас динамический адрес, поставщик сервисов в своем конфигурационном файле указывает host=dynamic. Чтобы знать, куда направлять ваш звонок на номер +1-800-555-1212, поставщику сервисов необходимо знать ваше местонахождение в Интернете. Вот где понадобится выражение register.

Выражение register - это средство аутентификации и сообщения peer своего местонахождения. В разделе [general] своего конфигурационного файла поместите выражение, аналогичное данному:

register => имяпользователя:секрет@мой_удаленнный_равноправный_участник Убедиться в успешности регистрации можно с помощью команд iax2 show registry и sip show registry из консоли Asterisk.

Безопасность VoIP

В данной книге мы можем лишь коснуться сложного и широкого вопроса безопасности VoIP; поэтому, прежде чем углубиться в него, мы хотели бы направить вас к VoIP Security Alliance ( http://www.voipsa. org). Этот фантастический ресурс имеет превосходную рассылку, техническую документацию, практические рекомендации и общий перечень всех материалов, касающихся безопасности VoIP. Как и сообщения электронной почты, речевые данные тоже могут быть подвергнуты атакам корыстного или криминального характера. Хорошие парни на VoIPSA делают все, что в их силах, чтобы мы могли справиться с этими проблемами сейчас, до того как они станут эпидемией. Из книг, посвященных этому вопросу, мы рекомендуем самую лучшую - «Hacking Exposed VoIP» (издательство McGraw-Hill Osborne Media) Дэвида Энд- лера (David Endler) и Марка Коллиера (Mark Collier). Те, кто отвечает за развертывание любой системы VoIP, должны знать этот материал.

Спам по сети интернет-телефонии (СПИТ)

Нам не хочется думать об этом, но мы знаем, что он будет. Чтобы предсказать это, достаточно того простого факта, что в этом мире есть люди, в которых отсутствие определенных социальных навыков сочетается с тупой жадностью, и такие парни думают только о том, как наводнить Интернет огромной массой электронной почты. Эти же ребята, недолго думая, начнут делать то же самое с голосовой связью. Мы уже знаем, что значит утопать в звонках систем продаж по телефону; а теперь попытайтесь представить ситуацию, когда рассылка голосового спама не стоит телемаркетинговой фирме практически ни копейки. Никакие меры не остановили спам по электронной почте и, вероятно, не остановят голосовой спам, поэтому борьба с ним будет нашей задачей.

Шифрование звука с помощью безопасного RTP

Если можно перехватывать пакеты, исходящие из системы Asterisk, значит, можно извлекать аудиоданные из RTP-потоков. Эти данные могут поставляться в автономном режиме в систему обработки речи, которая будет слушать ключевые слова, такие как «номер кредитной карты» или «пин», и предоставлять эти данные тому, кто заинтересован в них. Поток также может быть проанализирован на предмет встроенных DTMF-тонов, что представляет опасность, потому что многие сервисы запрашивают ввод пароля и информации кредитной карты через номеронабиратель. Также и в деловой сфере, имея возможность сбора и анализа аудиоданных, можно выведать стратегически важную информацию.

Использование безопасного RTP (Secure RTP, SRTP) может помочь справиться с этой проблемой за счет шифрования RTP-потоков; но Asterisk не поддерживала SRTP на момент написания данной книги. Работы по обеспечению поддержки SRTP ведутся (для готовящейся к выпуску версии есть патч, но на данный момент неизвестно, будет ли он перенесен в более раннюю версию 1.4).

Спуфинг

В традиционной телефонной сети очень сложно действовать от лица кого-либо. Ваша деятельность может быть (и будет) отслежена, и полномочные органы быстро положат конец забавам. В мире IP намного проще сохранять анонимность. Поэтому несложно догадаться, что орды предприимчивых злоумышленников станут охотно звонить в компанию по выдаче кредитных карт или в банк от вашего имени. Если не будет придуман надежный механизм борьбы со спуфинг-мошенничес- твом [98], мы быстро поймем, что не можем доверять звонкам по VoIP.

Что можно сделать

Первое, что надо помнить при рассмотрении вопросов безопасности в VoIP-системе, - VoIP основывается на сетевых протоколах, то есть анализ необходимо проводить с данной точки зрения. Мы не хотим

сказать, что должны игнорироваться традиционные меры защиты, используемые в телекоммуникациях, но необходимо обратить внимание на сеть, лежащую в основе.