Фортификационная матрёшка, или новый защитный слой Астериск

23 января 2014, 11:01

Проект закрытой телефонной станции «Форт» разрабатывался преследуя две основных цели:
- защита каналов связи до станции (VPN IPsec), в том числе для мобильных клиентов (Android, iPhone);
- полная защищенность станции от взломов третьими лицами;

 
В связи с развитием технологий связи и почти полным переходом их в интернет, встает вопрос о защите передачи не только электронных документов, но и голоса. Проект «Форт» позволяет снизить риск перехвата важной информации во время телефонного разговора. Одной из ключевых функций является возможность подключаться к телефонной станции из любой точки планеты с использованием протокола IPSec и быть уверенным при этом в защищенности канала связи. Полная закрытость от внешнего мира, за исключением служебных портов для возможности построения динамического IPSec туннеля позволяет также обезопасить себя от SIP сканеров и, как следствие, от взломов телефонной станции. Ядро SIP привязано только к внутреннему локальному интерфейсу 192.168.100.10 и не имеет никакой трансляции NAT. Зарегистрироваться на станции из внешнего мира можно только используя статический или динамический туннель IPsec.

Стойкость системы повышается за счёт двухэтапной авторизации пользователей на телефонной станции класса "Бастион". В качестве логина и пароля на первом этапе VPN туннеля используются данные подключения SIP клиента, на втором этапе для аутентификации используется RSA ключ полученный от доверенного центра сертификации. Гибкость такого метода заключается в возможности отзыва скомпрометированного сертификата и как следствие предотвращение подключения к системе третьими лицами. Также возможно подключение VPN по упрощённой схеме, используя разделяемые ключи (pre-shared keys, PSK).