slide 4

VoIP

.

.

Яка наша думка?

IT-фахівцям, включаючи і фахівців із захисту інформації, вкрай бажано знати потенційні загрози компонентам інфраструктури IP-телефонії та способи захисту від них, включаючи і можливості VoIP-стандартів з точки зору інформаційної безпеки. Саме це дозволило б так організувати роботу корпоративної системи IP-телефонії, щоб вона не стала ще одним джерелом небезпеки для бізнесу компанії.

МОЖЛИВІ ЗАГРОЗИ

IP- телефонія занадто відкрита для атак зловмисників. Хоча поки про такі напади практично не чутно, але при бажанні реалізувати їх відносно легко - атаки на звичайні IP-мережі практично без змін можуть бути спрямовані і на мережі передачі оцифрованого голосу.

Для її IP-складової можливі наступні види атак:

Перехоплення даних

Перехоплення даних - найбільша проблема як звичайної телефонії, так і її IP-родички. Однак в останньому випадку ця небезпека набагато вище, так як зловмисникові вже не потрібен фізичний доступ до телефонної лінії. Ситуацію погіршує і те, що безліч протоколів, побудованих на базі стека TCP/IP, передають дані у відкритому вигляді. Таким гріхом страждають HTTP, SMTP, IMAP, FTP, Telnet, SQL * net, у тому числі протоколи IP-телефонії. Перехопивши голосової IP-трафік (а він за замовчуванням між шлюзами не шифрується), зловмисник може без праці відновити вихідні переговори. Для цього існують навіть автоматизовані засоби. Наприклад, утиліта vomit (Voice Over Misconfigured Internet Telephones), яка конвертує дані, отримані в результаті перехоплення трафіку за допомогою вільно розповсюджуваного аналізатора протоколів tcpdump, в звичайний WAV-файл, який можна прослухати на будь-якому комп'ютерному плеєрі. Ця утиліта дозволяє конвертувати голосові дані, передані за допомогою IP-телефонів Cisco і стислі за допомогою кодека G.711.

Перехоплення даних можливий як зсередини корпоративної мережі, так і зовні. Причому якщо у внутрішній мережі несанкціоновано підключений пристрій, перехоплює голосові дані, з певною часткою ймовірності буде виявлено, то в зовнішній мережі помітити відгалуження практично неможливо. Тому будь незашифрований трафік, що виходить за межі корпоративної мережі, повинен вважатися небезпечним.

Відмова в обслуговуванні

Традиційна телефонний зв'язок завжди гарантує якість зв'язку навіть у випадку високих навантажень, що для IP-телефонії зовсім не аксіома. Високе навантаження на мережу передачі оцифрованих голосових даних призводить до істотного спотворення і навіть пропаданию частини повідомлень. Тому одна з атак на IP-телефонію може полягати в посилці на сервер IP-телефонії великого числа "шумових" пакетів. Що характерно, для реалізації атаки "відмова в обслуговуванні" - досить використовувати широкі відомі DoS-атаки Land, Ping of Death, Smurf, UDP Flood і т. д. Одне з рішень - резервування смуги пропускання за допомогою сучасних протоколів, наприклад RSVP.

Підміна номера

Для зв'язку з абонентом в звичайній телефонній мережі необхідно знати його номер, а в IP-телефонії роль телефонного номера виконує IP-адресу. Отже, можлива ситуація, коли зловмисник, використовуючи підміну адреси, видає себе за потрібного вам абонента. Саме тому завданню забезпечення аутентифікації приділяється увага в усіх VoIP-стандартах.

Атаки на абонентські пункти

Абонентські пункти, реалізовані на базі персонального комп'ютера, менш захищені, ніж спеціальні IP-телефони. Це відноситься і до будь-яких інших компонентів IP-телефонії на програмній основі і пов'язане з тим, що на такі компоненти можна реалізувати не тільки специфічні для IP-телефонії атаки. Сам комп'ютер і його складові (операційна система, прикладні програми, бази даних і т. д.) схильні до різних атак, які можуть вплинути і на компоненти IP-телефонії.

Атаки на диспетчерів

Зловмисники можуть атакувати і вузли (Gatekeeper в термінах H.323 або Redirect server в термінах SIP), які зберігають інформацію про розмови користувачів (імена абонентів, час, тривалість, причина завершення дзвінка і т. д. ), як для отримання конфіденційної інформації про самих розмовах, так і з метою модифікації і навіть видалення зазначених даних. В останньому випадку білінгова система (наприклад, у оператора зв'язку) не зможе правильно виставляти рахунки клієнтам, що завдасть шкоди всій інфраструктурі IP-телефонії, порушивши її функціонування.

Стандарти IP-телефонії та механізми їх безпеки

Відсутність єдиних прийнятих стандартів у цій галузі не дозволяє розробити універсальні рекомендації щодо захисту пристроїв IP-телефонії. Кожна робоча група або виробник по-своєму вирішує завдання забезпечення безпеки шлюзів і диспетчерів, ретельно їх вивчаючи, перш ніж вибрати адекватні заходи по захисту.

 

Безпека H.323

Протокол H.323 дозволяє побудувати VoIP-систему від початку і до кінця. Він включає в себе ряд специфікацій, в тому числі і H.235, яка реалізує деякі механізми безпеки (аутентифікацію, цілісність, конфіденційність і неможливість відмови від повідомлень) для голосових даних.

Аутентифікація в рамках стандарту H.323 здійснюється як за допомогою алгоритмів симетричного криптографії, так і за допомогою сертифікатів або паролів. Крім того, специфікація H.235 дозволяє використовувати в якості механізму аутентифікації IPSec, рекомендований до застосування і в інших стандартах IP-телефонії.

Після установки захищеного з'єднання через 1300 tcp-порт вузли, які беруть участь в обміні голосовими даними, обмінюються інформацією про метод шифрування, яке може бути задіяне на транспортному (шифрування пакетів RTP-протоколу) або мережевому (за допомогою IPSec) рівні.

Безпека SIP

Даний протокол, схожий на HTTP і використовуваний абонентськими пунктами для встановлення з'єднання (необов'язково телефонного, але й, скажімо, для ігор), не володіє серйозним захистом і орієнтований на застосування рішень третіх фірм (наприклад, PGP). В якості механізму аутентифікації RFC 2543 пропонує кілька варіантів, зокрема базову автентифікацію (як в HTTP) і аутентифікацію на базі PGP. Намагаючись посилити захищеність даного протоколу, Майкл Томас з компанії Cisco Systems розробив проект стандарту IETF, названий "SIP security framework", з описом зовнішніх і внутрішніх загроз для протоколу SIP та способів захисту від них. До таких способів можна віднести захист на транспортному рівні за допомогою TLS або IPSec.

Безпека MGCP

Стандарт MGCP, визначений в RFC 2705 і не застосовуваний на кінцевих пристроях (шлюзи MGCP можуть працювати як з компонентами, що підтримують H.323, так і з компонентами, що підтримують SIP), використовує для захисту голосових даних протокол ESP специфікації IPSec. Годиться і протокол AH (крім мереж IPv6), який забезпечує аутентифікацію і цілісність даних (connectionless integrity) і захист від повторень, переданих між шлюзами. Але конфіденційності даних він не гарантує, і для її підтримки застосовують ESP.

ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ

Вибір правильної топології

Не рекомендується використовувати для VoIP-інфраструктури концентратори, які полегшують зловмисникам перехоплення даних. Крім того, оскільки оцифрований голос зазвичай проходить за тією ж кабельній системі та через той же мережеве обладнання, що і звичайні дані, слід правильно розмежувати між ними інформаційні потоки. Це, наприклад, може бути зроблено за допомогою механізму VLAN (однак не варто покладатися тільки на них). Сервери, що беруть участь в інфраструктурі IP-телефонії, бажано розміщувати в окремому мережевому сегменті, захищеному не тільки вбудованими в комутатори і маршрутизатори механізмами захисту (списки контролю доступу, трансляція адрес і виявлення атак), але і за допомогою додатково встановлених засобів (міжмережеві екрани, системи виявлення атак, системи аутентифікації і т.д.).

Фізична безпека

Бажано заборонити неавторизований доступ користувачів до мережевого устаткування, в тому числі і комутаторів, і по можливості всі неабонентское обладнання розмістити в спеціально обладнаних серверних кімнатах. Це дозволить запобігти несанкціоноване підключення комп'ютера зловмисника. Крім того, слід регулярно перевіряти наявність несанкціоновано підключених до мережі пристроїв, які можуть бути "врізані" напряму в мережевий кабель. Визначити такі пристрої можна по-різному, наприклад за допомогою сканерів (Internet Scanner, Nessus), дистанційно розпізнають наявність в мережі "чужих" пристроїв.

Контроль доступу

Ще один досить простий спосіб захисту інфраструктури VoIP - контроль MAC-адрес. Не дозволяйте IP-телефонами з невідомими MAC-адресами отримувати доступ до шлюзів та іншим елементам IP-мережі, передавальної голосові дані. Це дозволить запобігти несанкціоноване підключення "чужих" IP-телефонів, які можуть прослуховувати ваші переговори або здійснювати телефонний зв'язок за ваш рахунок. Зрозуміло, MAC-адресу можна підробити, але все-таки не варто нехтувати такою простою захисним заходом, яка без особливих проблем реалізується на більшості сучасних комутаторів і навіть концентраторів.

Вузли (в основному шлюзи, диспетчери та монітори) повинні бути налаштовані таким чином, щоб блокувати всі спроби несанкціонованого доступу до них. Для цього можна скористатися як вбудованими в операційні системи можливостями, так і продуктами третіх фірм. А так як ми працюємо в Росії, то і застосовувати слід засоби, сертифіковані в Держтехкомісії Росії, тим більше що таких коштів чимало.

VLAN

Технологія віртуальних локальних мереж (VLAN) забезпечує безпечне поділ фізичної мережі на кілька ізольованих сегментів, що функціонують незалежно один від одного. В IP-телефонії ця технологія використовується для відділення передачі голосу від передачі звичайних даних (файлів, повідомлень електронної пошти і т. д.). Диспетчери, шлюзи і IP-телефони поміщають у виділену VLAN для передачі голосу. Як я вже зазначив вище, VLAN істотно ускладнює життя зловмисникам, але не знімає всіх проблем з підслуховуванням переговорів. Існують методи, які дозволяють зловмисникам перехоплювати дані навіть в комутованого середовищі.

Шифрування

Шифрування повинно використовуватися не тільки між шлюзами, але і між IP-телефоном та шлюзом. Це дозволить захистити весь шлях, який проходять голосові дані з одного кінця в інший. Забезпечення конфіденційності не тільки є невід'ємною частиною стандарту H.323, але і реалізовано в обладнанні деяких виробників. Однак цей механізм практично ніколи не задіюється. Чому? Тому що якість передачі даних є першочерговим завданням, а безперервне зашифрування/розшифрування потоку голосових даних вимагає часу і вносить найчастіше неприйнятні затримки в процес передачі і прийому трафіку (затримка в 200-250 мс може суттєво знизити якість переговорів). Крім того, як вже було сказано вище, відсутність єдиного стандарту не дозволяє прийняти усіма виробниками єдиний алгоритм шифрування. Однак справедливості заради треба сказати, що складності перехоплення голосового трафіку поки дозволяють дивитися на його шифрування крізь пальці.

Але зовсім відмовлятися від шифрування таки не варто - убезпечити свої переговори необхідно.

Крім того, можна використовувати вибіркове шифрування тільки для певних полів в VoIP-пакетах.

Міжмережевий екран

Корпоративну мережу зазвичай захищають міжмережеві екрани (МСЕ), які з успіхом можуть бути використані і для VoIP-інфраструктури. Необхідно просто додати ряд правил, що враховують топологію мережі, місце розташування встановлених компонентів IP-телефонії і т. д.

Для захисту компонентів IP-телефонії можна використовувати два типи міжмережевих екранів. Перший, корпоративний, ставиться на виході з корпоративної мережі і захищає одразу всі її ресурси. Другий тип - персональний МСЕ, що захищає тільки один конкретний вузол, на якому може стояти абонентський пункт, шлюз або диспетчер Protector. Крім того, деякі операційні системи (Linux або Windows 2000) мають вбудовані персональні міжмережеві екрани, що дозволяє задіяти їх можливості для підвищення захищеності інфраструктури VoIP.

Залежно від використовуваного стандарту IP-телефонії застосування міжмережевих екранів може спричинити за собою різні проблеми. Після того як за допомогою протоколу SIP абонентські пункти обмінялися інформацією про параметри з'єднання, вся взаємодія здійснюється через динамічно виділені порти з номерами більше 1023. У цьому випадку МСЕ заздалегідь "не знає" про те, який порт буде використаний для обміну голосовими даними, і буде такий обмін блокувати. Тому міжмережевий екран повинен вміти аналізувати SIP-пакети з метою визначення використовуваних для взаємодії портів та динамічно створювати чи змінювати свої правила. Аналогічна вимога пред'являється і до інших протоколах IP-телефонії.

Ще одна проблема пов'язана з тим, що не всі МСЕ вміють грамотно обробляти не тільки заголовок протоколу IP-телефонії, але і його тіло даних, так як часто важлива інформація, наприклад інформація про адреси абонентів у протоколі SIP, знаходиться саме в тілі даних. Невміння міжмережевого екрану "вникати в суть" може призвести до неможливості обміну голосовими даними через міжмережевий екран або "відкриття" в ньому занадто великий дірки, якою можуть скористатися IP-телефони підтримують механізми аутентифікації, що дозволяють скористатися його можливостями тільки після пред'явлення та перевірки пароля або персонального номера PIN, дозволяючого користувачеві доступ до IP-телефону. Однак треба зауважити, що дане рішення не завжди зручно для кінцевого користувача, особливо в умовах щоденного використання IP-телефону. Виникає звичайне протиріччя між захищеністю і зручністю.

RFC 1918 і трансляція адрес

Не рекомендується використовувати для VoIP IP-адреси, доступні з Інтернету, це істотно знижує загальний рівень безпеки інфраструктури. Тому при можливості використовуйте адреси, вказані в RFC 1918 (10.xxx, 192.168.xx і т. д.) і немаршрутізіруемие в Інтернеті. Якщо це неможливо, то необхідно задіяти на міжмережевим екрані, що захищає вашу корпоративну мережу, механізм трансляції адрес (network address translation, NAT).

Системи виявлення атак

Вище вже було розказано про деяких атаках, які можуть порушити працездатність VoIP-інфраструктури. Для захисту від них можна використовувати добре себе зарекомендували і відомі в Росії засоби виявлення атак (intrusion detection system), які не тільки своєчасно ідентифікують нападу, але і блокують їх, не дозволяючи завдати шкоди ресурсів корпоративної мережі. Такі засоби можуть захищати як цілі мережеві сегменти (наприклад, RealSecure Network Sensor або Snort), так і окремі вузли (CiscoSecure IDS Host Sensor або RealSecure Server Sensor).

***

Різнобічність і обширність теми не дозволяють докладно розглянути забезпечення інформаційної безпеки IP-телефонії. Але ті аспекти, які мені вдалося висвітлити, все ж показують, що VoIP не така закрита і незрозуміла область, як здається на перший погляд. До неї можуть бути застосовані вже відомі по звичайної телефонії і IP-мереж методи нападу. А відносна легкість їх реалізації ставить безпеку на перше місце поряд із забезпеченням якості обслуговування IP-телефонії.


Вгору
Copyright © 2000-2015 NetStar.net.ua - Design: NetStar