Zabezpečení IP telefonie pomocí SIP. VoIP šifrování, ochrana proti hackerům, VPN. Praktické aspekty ochrany podnikové IP telefonní sítě

Pryč jsou doby, kdy se operátoři obávali použití IP telefonie, protože úroveň zabezpečení takových sítí byla nízká. Dnes již můžeme říci, že IP-telefonie se stala jakýmsi de facto standardem v telefonické komunikaci. To je způsobeno pohodlím, spolehlivostí a relativně nízkou cenou IP telefonie ve srovnání s analogovou komunikací. Lze tvrdit, že IP telefonie zvyšuje efektivitu podnikání a umožňuje takové dříve nedostupné operace, jako je integrace s různými obchodními aplikacemi.

Pokud mluvíme o nedostatcích a zranitelnostech IP telefonie, měli bychom si v první řadě povšimnout stejných „nemocí“, kterými trpí jiné služby využívající IP protokol. Jedná se o náchylnost k útokům červů a virů, DoS útokům, neoprávněnému vzdálenému přístupu atd. I přesto, že při budování infrastruktury IP telefonie je tato služba obvykle oddělena od síťových segmentů, do kterých „jdou nehlasová data“, nejde o přesto zárukou jistoty. V dnešní době velké množství společností integruje IP telefonii s dalšími aplikacemi, jako je e-mail. Na jedné straně se tak objevují další vymoženosti, na druhé straně však nové zranitelnosti. Kromě toho provoz sítě IP telefonie vyžaduje velké množství komponent, jako jsou podpůrné servery, přepínače, routery, firewally, IP telefony atd. Současně se k podpoře provozu často používají nespecializované operační systémy. sítě IP. Například většina IP PBX je postavena na konvenčních a dobře známých operačních systémech (Windows nebo Linux), které teoreticky mají všechny zranitelnosti, které jsou pro tyto systémy specifické.

Některé IP PBX používají DBMS a webové servery, které mají své vlastní zranitelnosti. A přestože pro univerzální operační systém nebo zásobník protokolů můžete použít známé nástroje ochrany - antiviry, osobní firewally, systémy prevence útoků atd., nedostatek "vybroušení" takových nástrojů pro práci s aplikacemi IP telefonie může nepříznivě ovlivnit úroveň zabezpečení.

Mezi hlavní hrozby, kterým je IP telefonní síť vystavena, patří:

• registrace cizího terminálu, která vám umožní volat na cizí náklady;
• změna předplatitele;
• provádění změn v hlasovém nebo signalizačním provozu;
• snížení kvality hlasového provozu;
• přesměrování hlasového nebo signálního provozu;
• zachycování hlasového nebo signálního provozu;
• falešné hlasové zprávy;
• ukončení komunikační relace;
• odmítnutí služby;
• vzdálený neoprávněný přístup ke komponentám infrastruktury IP telefonie;
• neoprávněná aktualizace softwaru v IP telefonu (například za účelem vložení trojského koně nebo spywaru);
• hackování fakturačního systému (pro telefonování operátora).

Toto není celý seznam možných problémů spojených s používáním IP telefonie. Organizace VoIP Security Alliance (VOIPSA) vypracovala dokument popisující širokou škálu hrozeb pro IP telefonii, která kromě technických hrozeb zahrnuje i vydírání prostřednictvím IP telefonie, spam atd.

A přesto je hlavní zranitelností IP telefonie lidský faktor, který nastavil zuby. Otázka bezpečnosti při nasazení sítě IP telefonie je často odsouvána do pozadí a výběr řešení probíhá bez účasti bezpečnostních specialistů. Kromě toho specialisté ne vždy správně nakonfigurují řešení, i když má správné ochranné mechanismy, nebo jsou zakoupeny ochranné nástroje, které nejsou navrženy pro efektivní zpracování hlasového provozu (například firewally nemusí rozumět proprietárnímu signalizačnímu protokolu používanému v IP telefonní řešení). V konečném důsledku je organizace nucena vynaložit další finanční a lidské zdroje na ochranu nasazeného řešení nebo na překonání jeho nejistoty.

Co postavit?

Z hlediska ovladatelnosti a výkonu se jako nejvýhodnější jeví taková architektura IP telefonie, kde jsou všechny komponenty ochrany zabudovány do prvků samotné sítě. Pokud uvažujeme o IP telefonní síti bez použití dalších bezpečnostních nástrojů, pak pomocí ochranných mechanismů zabudovaných do síťových přepínačů můžeme dosáhnout poměrně silné ochrany proti útokům na perimetr. Vestavěná funkce umožňuje poskytovat:

• schopnost vytvářet virtuální místní sítě (VLAN) pomocí vestavěných možností přepínačů;
• použití vestavěných mechanismů filtrování a kontroly přístupu;
• omezení a prezentace garantované šířky pásma, která dokáže účinně potlačit DoS útoky;
• omezení počtu zařízení s různými MAC adresami připojených ke stejnému portu;
• prevence útoků na spotřebu fondu adres služby DHCP;
• prevence zanášení ARP tabulek a „krádeže“ adres;
• prevence útoků z anonymních adres;
• použití seznamů řízení přístupu, které omezují adresy uzlů, které mohou přenášet data do IP telefonů.

Další „linku“ ochrany navíc představuje systém řízení hovorů zabudovaný do architektury IP sítě, který se může připojit ke speciální vyhrazené místní síti izolované od pracovní sítě organizace. Mezi nevýhody patří skutečnost, že ochranné funkce zabudované do síťového zařízení neposkytují vždy adekvátní úroveň zabezpečení a k jejímu zvýšení mohou být nutné další investice do upgradu zařízení.

I přes použití protokolu IP v jeho jádru nelze IP telefonii vždy dostatečně chránit tradičními řešeními. Je to dáno tím, že nezohledňují jeho specifika – přenos provozu v reálném čase, řízení kvality a provozu na aplikační úrovni atd. V ideálním případě, když jsou aplikace IP telefonie a jejich zabezpečení neoddělitelně propojeny a integrovány do jediného platformu, včetně síťové infrastruktury. To vám umožní zvýšit účinnost ochrany a snížit náklady na ni. V opačném případě musíte vybudovat čtyři nezávislé nebo prakticky se nepřekrývající infrastruktury: LAN, síť IP telefonie, zabezpečení LAN a infrastrukturu zabezpečení IP telefonie.

Použití specializovaných firewallů výrazně zvyšuje bezpečnost IP telefonní sítě, například filtrováním provozu na základě stavu připojení ( stavová kontrola), který umožňuje procházet pouze nezbytný provoz a spojení navázaná v určitém směru (ze serveru ke klientovi nebo naopak). Kromě toho brána firewall poskytuje možnost:

• filtrování řízení provozu navazování IP-telefonních spojení;
• přenos řídícího provozu prostřednictvím NAT a síťových tunelů;
• Zachycování TCP, které zajišťuje kontroly uzavření relací TCP, což vám umožňuje bránit se řadě útoků typu DoS (Denial of Service).

Při návrhu sítě, která má využívat další bezpečnostní nástroje, jako je systém detekce nebo prevence narušení, by měla být věnována zvláštní pozornost výběru výrobce takových nástrojů, protože problém správy heterogenní IP sítě nelze vždy vyřešit. efektivně a rychle a téměř vždy vyžaduje vážné dodatečné investice.

Je vhodnější zvolit výrobce, na jehož zařízení již síť funguje, protože podporu a správu zařízení lze v tomto případě provádět centrálně as nižšími náklady.

Ochrana poslouchání

Nejpokročilejším způsobem, jak čelit takové manipulaci, je použití IP telefonů s vestavěným šifrováním. Šifrování provozu mezi telefony a bránami navíc poskytuje další ochranu. Prakticky všichni dnešní dodavatelé, jako je Avaya, Nortel a Cisco, nabízejí vestavěné šifrování pro provoz a signalizaci. Šifrování provozu je nejlogičtějším řešením ochrany před konverzacemi, ale taková funkcionalita přináší i řadu úskalí, se kterými je nutné počítat při budování zabezpečeného připojení. Hlavním problémem může být zpoždění přidané procesem šifrování a dešifrování provozu. Při práci v místní síti se takový problém zpravidla nepociťuje, ale při komunikaci prostřednictvím geograficky distribuované sítě může způsobit nepříjemnosti. Navíc šifrování signalizace, ke kterému dochází na aplikační vrstvě, může ztížit fungování firewallů. V případě šifrování streamu jsou zpoždění mnohem menší než při použití blokových šifer, i když nebude možné se jich úplně zbavit. Řešením problému mohou být rychlejší algoritmy nebo zahrnutí mechanismů QoS do šifrovacího modulu.

QoS

Ochrana proti záměně telefonů a serverů pro správu

DoS ochrana

• rozdělení podnikové sítě na nepřekrývající se segmenty přenosu hlasu a dat, což zabraňuje tomu, aby se v sekci „hlas“ objevovaly běžné útoky včetně DoS;
• speciální pravidla řízení přístupu na routerech a firewallech, která chrání perimetr podnikové sítě a její jednotlivé segmenty;
• systém prevence útoků na serveru pro řízení hovorů a PC s hlasovými aplikacemi;
• specializované systémy ochrany proti útokům DoS a DDoS;
• speciální nastavení na síťových zařízeních, která zabraňují falšování adresy a omezují šířku pásma, což neumožňuje deaktivovat napadené zdroje velkým proudem zbytečného provozu.

Ochrana IP telefonů

Ochrana proti podvodům v IP telefonní síti

Standardy v IP telefonii

Závěr

Mezi primární požadavky na zajištění bezpečnosti IP telefonní sítě patří potřeba oddělit hlas a běžná data. To znamená, že IP telefonie musí být oddělena od sítě, kde jsou jiná data přenášena pomocí VLAN. Segmentace umožňuje vytvořit další hranici, která zabrání útokům a zneužití, včetně těch, které pocházejí z vnitřní sítě. Kromě toho je při navrhování sítě IP telefonie důležité poskytnout odpovídající šířku pásma a pamatovat na použití mechanismů QoS k upřednostnění provozu IP telefonie.

A konečně, použití ochranných nástrojů zaměřených na zvláštnosti provozu IP telefonie pomůže vyhnout se nejen „dírám“ v zabezpečení vybudované sítě, jako je „nepochopení“ IP provozu ochrannými nástroji, ale také dalším finanční náklady na modernizaci stávajících zařízení nebo nákup nových ochranných zařízení.

Velmi zajímavý článek o bezpečnosti v IP telefonii byl publikován na webu linkmeup.ru. Šíříme to beze změn takříkajíc od autora.

=======================

Ahoj kolegové a přátelé, já, Vadim Semenov, spolu s projektovým týmem network-class.net vám předkládám přehledný článek, který se dotýká hlavních trendů a hrozeb v IP telefonii, a hlavně těch ochranných nástrojů, které výrobce aktuálně nabízí jako ochranu (řečeno bezpečnostními experty, uvažme, jaké nástroje výrobce nabízí ke snížení zranitelností, kterých mohou nemanželské osoby využít). Takže méně slov – pojďme na věc.
Pro mnoho čtenářů se již dávno zformoval pojem IP telefonie a také to, že tato telefonie je „lepší“, levnější oproti veřejné telefonii (PSTN), bohatá na různé doplňkové funkce atp. A to je pravda, nicméně...zčásti. Protože přechod od analogové (digitální) telefonie s vlastními účastnickými linkami (z účastnického telefonu na staniční nebo staniční vzdálené) a spojovacími linkami (mezistaniční komunikační linka) nebyl nic menšího než pouze v přístupové a kontrolní zóně telefonie poskytovatel. Jinými slovy, nebyl tam přístup pro běžné obyvatele (no, nebo prakticky, pokud nepočítáte kabelovody). Vzpomínám si na jednu otázku na starém dobrém hackerském fóru „Řekni mi, jak získat přístup k ústředně? - odpověď: "No, vezmeš buldozer - narazíš do zdi budovy ATS a voila." A tento vtip má svůj díl pravdy) S přechodem telefonování do levného IP prostředí jsme ale navíc dostali hrozby, které s sebou otevřené IP prostředí nese. Příklady získaných hrozeb zahrnují:

• Snímání signalizačních portů za účelem uskutečnění mýtných hovorů na cizí náklady
• Odposlouchávání zachycováním IP hlasových paketů
• Zachycování hovorů, předstírání identity nelegitimního uživatele jako legitimního uživatele, útok typu man-in-the-middle
• DDOS útoky na signalizační servery stanice s cílem deaktivovat veškerou telefonii
• Spamové útoky, zhroucení velkého počtu fantomových volání na stanici s cílem vzít všechny její volné zdroje

Navzdory zřejmé potřebě eliminovat všechny možné zranitelnosti za účelem snížení pravděpodobnosti konkrétního útoku, ve skutečnosti musí realizace určitých ochranných opatření začínat harmonogramem, který zohledňuje náklady na provedení ochranných opatření proti konkrétní hrozbě a ztráty podniku z implementace této hrozby útočníky. Je přece pošetilé utrácet více peněz za zabezpečení aktiva, než kolik stojí samotné aktivum, které chráníme.
Po stanovení rozpočtu na bezpečnost začneme eliminovat přesně ty hrozby, které jsou pro společnost nejpravděpodobnější, například pro malou organizaci bude nejbolestivější dostat velký účet za nedokonalé meziměstské a mezinárodní hovory, zatímco pro státní společnosti je nejdůležitější zachovat důvěrnost rozhovorů. Postupnou úvahu v aktuálním článku začněme od základních věcí – tím je zajištění bezpečného způsobu doručení služebních dat ze stanice do telefonu. Dále zvažte autentizaci telefonů před jejich připojením ke stanici, autentizaci stanice ze strany telefonů a šifrování signalizačního provozu (pro skrytí informací o tom, kdo kam volá) a šifrování konverzačního provozu.
Mnoho výrobců hlasových zařízení (včetně Cisco Systems) již má integrované bezpečnostní nástroje z obvyklého omezení rozsahu IP adres, ze kterých lze volat na autentizaci koncových bodů pomocí certifikátu. Například výrobce Cisco Systems se svou hlasovou produktovou řadou CUCM (Cisco Unified CallManager) od verze produktu 8.0 (datum vydání květen 2010; aktuálně je k dispozici verze 10.5 z května 2014) začal integrovat funkci „Security by default“. Co to zahrnuje:

• Ověření všech souborů stažených přes/z TFTP (konfigurační soubory, soubory firmwaru pro telefony atd.)
• Šifrování konfiguračních souborů
• Ověření certifikátu telefonem inicializujícím připojení HTTPS

Podívejme se na příklad útoku „man in the middle“, kdy nemanželská osoba zachytí konfigurační soubory pro telefony, ze kterých se telefon dozví, na které stanici se má zaregistrovat, na jakém protokolu pracovat, jaký firmware stáhnout atd. . Zachycením souboru v něm útočník bude moci provést své vlastní změny nebo úplně přepsat konfigurační soubor, čímž zabrání telefonům celé kanceláře (viz obrázek) v registraci na stanici a v důsledku toho připraví kancelář o schopnost volat.

Obr.1 Útok "muž uprostřed"

Abychom se proti tomu chránili, potřebujeme znalosti o asymetrickém šifrování, infrastruktuře veřejných klíčů a porozumění komponentám „Security by Default“, se kterými se nyní setkáme: Identity Trust List (ITL) a Trust Verification Service (TVS). TVS je služba určená ke zpracování požadavků z IP telefonů, které nemají ve své vnitřní paměti soubor ITL nebo CTL. IP telefon v případě potřeby kontaktuje TVS, aby se ujistil, že může důvěřovat konkrétní službě, než k ní začne přistupovat. Stanice také funguje jako úložiště, které uchovává certifikáty důvěryhodných serverů. ITL je zase seznam veřejných klíčů prvků, které tvoří cluster stanic, ale pro nás je důležité, aby tam byl uložen veřejný klíč TFTP serveru a veřejný klíč služby TVS. Při úvodním bootování telefonu, kdy telefon obdrží svou IP adresu a adresu TFTP serveru, požaduje přítomnost souboru ITL (obr. 2). Pokud je na serveru TFTP, pak jej ve slepé důvěře nahraje do své vnitřní paměti a uloží jej až do příštího restartu. Po stažení souboru ITL si telefon vyžádá podepsaný konfigurační soubor.

Nyní se podívejme, jak můžeme využít kryptografické nástroje – podepsání souboru pomocí hashovacích funkcí MD5 nebo SHA a jeho zašifrování pomocí privátního klíče TFTP serveru (obr. 3). Zvláštností hašovacích funkcí je, že se jedná o jednosměrné funkce. Na základě přijatého hashe z libovolného souboru není možné provést opačnou operaci a získat přesně původní soubor. Při změně souboru se změní i samotný hash získaný z tohoto souboru. Stojí za zmínku, že hash není zapsán do samotného souboru, ale jednoduše k němu přidán a přenášen spolu s ním.

Obr.3 Podepsání konfiguračního souboru telefonu

Při generování podpisu se vezme samotný konfigurační soubor, z něj se extrahuje hash a zašifruje se soukromým klíčem TFTP serveru (který má pouze TFTP server).
Při příjmu tohoto souboru s nastavením telefon nejprve zkontroluje jeho integritu. Pamatujeme si, že hash je jednosměrná funkce, takže telefonu nezbývá nic jiného, ​​než oddělit hash zašifrovaný TFTP serverem od konfiguračního souboru, dešifrovat jej pomocí veřejného klíče TFTP (jak to IP telefon pozná? - ale jen ze souboru ITL ), vypočítejte hash z čistého konfiguračního souboru a porovnejte jej s tím, co jsme obdrželi při dešifrování. Pokud se hash shoduje, pak nebyly v souboru během přenosu provedeny žádné změny a lze jej bezpečně použít v telefonu (obr. 4).

Obr.4 Kontrola konfiguračního souboru IP telefonu

Podepsaný konfigurační soubor pro telefon je zobrazen níže:

Rýže. 5 Podepsaný soubor IP telefonu ve Wiresharku

Podepsáním konfiguračního souboru jsme mohli zajistit integritu přenášeného souboru nastavení, ale nechránili jsme jej před prohlížením. Ze zachyceného konfiguračního souboru lze získat poměrně mnoho užitečných informací, například IP adresu telefonní ústředny (v našem příkladu je to 192.168.1.66) a otevřené porty na ústředně (2427) atd. Není to docela důležitá informace, kterou byste nechtěli jen tak „zazářit“ na síti? Pro skrytí těchto informací výrobci poskytují použití symetrického šifrování (stejný klíč se používá pro šifrování a dešifrování). V jednom případě lze klíč zadat do telefonu ručně, v druhém případě je konfigurační soubor telefonu zašifrován na stanici pomocí veřejného klíče telefonu. Před odesláním souboru do telefonu jej tftp server, na kterém je tento soubor uložen, zašifruje pomocí veřejného klíče telefonu a podepíše pomocí svého soukromého klíče (tím zajistíme nejen utajení, ale i integritu přenášených souborů) . Zde jde především o to, aby se nepletlo, kdo jaký klíč používá, ale vezměme to popořadě: tftp server zašifrováním souboru veřejným klíčem IP telefonu zajistil, že otevřít mohl pouze vlastník spárovaného veřejného klíče tento soubor. Podepsáním souboru jeho soukromým klíčem tftp server ověří, že to byl ten, kdo jej vytvořil. Zašifrovaný soubor je znázorněn na obrázku 6:

Obr.6 Šifrovaný soubor IP telefonu

V tuto chvíli jsme tedy zvažovali možnost ochrany našich konfiguračních souborů pro telefony před zobrazením a zajištění jejich integrity. Zde funkce „Výchozí zabezpečení“ končí. Pro zajištění šifrování hlasového provozu, skrytí signalizačních informací (o tom, kdo volá a kam volat), jsou zapotřebí další nástroje založené na seznamu důvěryhodných certifikátů - CTL, které budeme zvažovat níže.

Autentizace telefonní ústředny

Když telefon potřebuje komunikovat s telefonní ústřednou (například vyjednat TLS spojení pro signalizační ústřednu), IP telefon potřebuje ústřednu autentizovat. Jak asi tušíte, certifikáty se také široce používají k řešení tohoto problému. V současné době se moderní IP stanice skládají z velkého množství prvků: několik signalizačních serverů pro zpracování hovorů, dedikovaný administrační server (jehož prostřednictvím se přidávají nové telefony, uživatelé, brány, pravidla směrování atd.), dedikovaný TFTP server pro ukládání konfiguračních souborů a softwaru pro telefony, server pro vysílání hudby na počkání atd., kromě toho může mít hlasová infrastruktura hlasovou poštu, server pro zjištění aktuálního stavu účastníka (online, offline, "na obědě") - seznam je působivý a co je nejdůležitější, každý server má svůj vlastní certifikát s vlastním podpisem a každý funguje jako kořenová certifikační autorita (obr. 7). Z tohoto důvodu žádný server v hlasové infrastruktuře nebude důvěřovat certifikátu jiného serveru, například hlasový server nedůvěřuje serveru TFTP, hlasová pošta nedůvěřuje signalizačnímu serveru a telefony navíc musí uchovávat certifikáty všechny prvky účastnící se výměny signalizačního provozu. Certifikáty telefonní ústředny jsou zobrazeny na obrázku 7.

Obrázek 7 Cisco IP Station Self-Signed Certificates

Pro úkoly navazování důvěryhodných vztahů mezi výše uvedenými prvky v hlasové infrastruktuře a také šifrování hlasového a signalizačního provozu přichází v úvahu tzv. Certificate Trust List (CTL). CTL obsahuje všechny certifikáty s vlastním podpisem všech serverů v clusteru hlasových stanic i těch, které se účastní výměny telefonních signalizačních zpráv (například firewall) a tento soubor je podepsán soukromým klíčem důvěryhodné certifikační autority ( Obr. 8). Soubor CTL je ekvivalentní nainstalovaným certifikátům, které používají webové prohlížeče při práci s protokolem https.

Obr.8 Seznam důvěryhodných certifikátů

Abyste mohli vytvořit soubor CTL na zařízení Cisco, budete potřebovat počítač s USB konektorem, na něm nainstalovaný klientský program CTL a samotný bezpečnostní token správce webu (SAST) (obr. 9), který obsahuje soukromý klíč a certifikát X.509v3 podepsaný výrobcem ověřovacího centra (Cisco).

Obrázek 9 Cisco eToken

CTL klient je program, který se instaluje na PC s Windows a pomocí kterého převedete celou telefonní ústřednu do tzv. smíšeného režimu, tedy smíšeného režimu pro podporu registrace koncových zařízení v bezpečném a nezabezpečeném režimu. Spustíme klienta, zadáme IP adresu telefonní ústředny, zadáme administrátorské jméno / heslo a CTL klient naváže TCP spojení na portu 2444 se stanicí (obr. 10). Poté budou nabídnuty pouze dvě akce:

Obrázek 10 Cisco CTL Client

Po vytvoření souboru CTL zbývá restartovat servery TFTP, aby si nahrály nově vytvořený soubor CTL, a poté restartovat hlasové servery, aby se restartovaly i IP telefony a stáhly nový soubor CTL (32 kB). Stažený soubor CTL lze zobrazit v nastavení IP telefonu (obr. 11)

Obr.11 Soubor CTL na IP telefonu

Autentizace koncového bodu

Ověření zařízení musí být implementováno, aby bylo zajištěno, že se připojují a registrují pouze důvěryhodná koncová zařízení. Mnoho výrobců v tomto případě používá již osvědčený způsob – autentizaci zařízení pomocí certifikátů (obr. 12). Například v hlasové architektuře Cisco je to implementováno následovně: existují dva typy certifikátů pro autentizaci s odpovídajícími veřejnými a soukromými klíči, které jsou uloženy v telefonu:
Certifikát instalovaný výrobcem - (MIC). Certifikát nainstalovaný výrobcem obsahuje 2048bitový klíč, který je podepsán certifikační autoritou společnosti výrobce (Cisco). Tento certifikát není nainstalován na všech modelech telefonů, a pokud je nainstalován, není potřeba mít další certifikát (LSC).
Lokálně významný certifikát – (LSC) Lokálně významný certifikát, který obsahuje veřejný klíč IP telefonu, který je podepsán soukromým klíčem místního autentizačního centra, které běží na funkci proxy certifikačního úřadu (CAPF) telefonní ústředny.
Pokud tedy máme telefony s předinstalovaným MIC certifikátem, tak při každé registraci telefonu ke stanici si stanice vyžádá výrobcem předinstalovaný certifikát pro autentizaci. Pokud je však MIC kompromitován, je třeba jej vyměnit certifikační autoritou výrobce, což může zabrat spoustu času. Abyste nebyli závislí na době odezvy certifikační autority výrobce při opětovném vydání kompromitovaného certifikátu telefonu, je vhodnější použít místní certifikát.

Obr.12 Certifikáty pro autentizaci koncových bodů

Ve výchozím nastavení není certifikát LSC na IP telefonu nainstalován a jeho instalace je možná pomocí certifikátu MIB (pokud existuje), nebo prostřednictvím připojení TLS (Transport Layer Security) pomocí sdíleného klíče, který ručně vygeneruje správce na adrese stanice a zadali na telefonu.
Proces instalace lokálně významného certifikátu (LSC) do telefonu obsahujícího veřejný klíč telefonu podepsaný místní certifikační autoritou je znázorněn na obrázku 13:

Obrázek 13 Proces instalace lokálně významného certifikátu LSC

1. Po stažení IP si telefon vyžádá důvěryhodný seznam certifikátů (soubor CTL) a konfigurační soubor
2. Stanice odešle požadované soubory
3. Z přijaté konfigurace telefon určí, zda potřebuje ze stanice stáhnout lokálně významný certifikát (LSC).
4. Pokud jsme nastavili stanici pro telefon na instalaci LSC certifikátu (viz níže), kterým stanice tento IP telefon autentizuje, pak musíme dbát na to, aby žádost o vydání LSC certifikátu - stanice jej vydala tomu, komu je určeno. Pro tyto účely můžeme použít certifikát MIC (pokud existuje), vygenerovat jednorázové heslo pro každý telefon a zadat jej ručně v telefonu, nebo autorizaci vůbec nepoužívat.
Příklad ukazuje proces instalace LSC pomocí generovaného

Běží na SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)

IP telefonie? I ona je pod útokem!

Princip fungování

Princip fungování technologie IP telefonie je jednoduchý. Jeho centrální součástí je server (brána), který má na starosti propojení telefonní a IP sítě, tzn. je připojen jak k telefonní síti a může se připojit k jakémukoli běžnému telefonu, tak k datové síti (například k Internetu) a má přístup k libovolnému počítači. Mezi vlastnosti tohoto zařízení patří:

Odpověď vyzvednutí volajícího

Navázání spojení se vzdálenou bránou a volanou stranou

Digitalizace (kódování), komprese, paketizace a obnova signálu

Tato brána (například Cisco Catalyst 4000 Access Gateway Module nebo Cisco VG200) přijímá jako vstup běžný telefonní signál, digitalizuje jej (pokud signál není digitální) a přijatá data komprimuje, poté je předá do IP sítě v ve formě běžných paketů (ale ne příliš velkých). Na druhém konci brána obnoví signál v opačném pořadí. Tuto komponentu nelze použít, pokud neplánujete integrovat své IP telefony do PSTN (viz obrázek 1).

Abyste mohli vybudovat distribuovanou IP telefonní síť, musíte mít dispečera, který je zodpovědný za distribuci hovorů mezi bránami (například Cisco CallManager). Dispečer kromě této úlohy provádí autentizaci a autorizaci účastníků a má také rozhraní k fakturačnímu systému.

Pro usnadnění správy velkého počtu vzdálených bran a dispečerů lze použít speciální software zvaný monitor. A konečně posledním povinným prvkem sítě IP telefonie je účastnická stanice, kterou lze implementovat jak softwarově (například Cisco IP SoftPhone), tak i hardwarově (například Cisco IP Phone, připojený přímo k ethernetovému portu vypínač). Navíc v prvním případě lze volat i přes domácí počítač vybavený zvukovou kartou a mikrofonem a v druhém případě tzv. IP telefon. Další komponent architektury IP telefonie lze nazvat specializovanými uživatelskými aplikacemi, které vznikly díky integraci hlasu, videa a dat (call centra, unified messaging systémy).

Proč útočit na IP telefonii?

Sítě IP telefonie jsou dobrým cílem pro hackery. Někteří z nich si s vámi mohou zahrát tím, že vám jménem vedení společnosti pošlou hlasovou zprávu. Někdo může chtít získat přístup k hlasové schránce vašeho managementu nebo dokonce chtít zachytit hlasová data finančních transakcí vyměňovaných mezi zaměstnanci finančního oddělení nebo účetního oddělení. Vaši konkurenti mohou chtít podkopat vaši pověst tím, že zruší brány a dispečery, čímž naruší dostupnost telefonních služeb pro vaše předplatitele, což může také poškodit podnikání vašich zákazníků. Existují i ​​jiné důvody, například volání na cizí náklady (krádež služby).

Možné hrozby

Hlavním problémem bezpečnosti IP telefonie je, že je příliš otevřená a umožňuje útočníkům poměrně snadno napadnout její součásti. Navzdory skutečnosti, že případy takových útoků jsou prakticky neznámé, mohou být v případě potřeby implementovány, protože. Útoky na konvenční IP sítě mohou být téměř beze změny směrovány na digitalizované hlasové sítě. Na druhou stranu podobnost konvenčních IP sítí a sítí IP telefonie nám říká způsoby, jak je chránit, ale o tom později.

Útoky na konvenční telefonii jsou také použitelné na jeho IP příbuzného, ​​lucernu.

IP telefonie, která je přímým příbuzným konvenční telefonie a IP technologie, absorbovala nejen jejich výhody, ale i jejich nevýhody. Tito. útoky vlastní konvenční telefonii lze také aplikovat na její IP složku. Uvedu některé z nich, z nichž některé budu zvažovat podrobněji:

Odposlechy telefonních hovorů

Odmítnutí služby

Změna čísla

Krádež služeb

Neočekávané hovory

Neoprávněná změna konfigurace

Podvod s účtem.

Zachycování dat

Odposlech dat je největším problémem jak klasické telefonie, tak jejího IP bratrance.

Ve druhém případě je však toto nebezpečí mnohem vyšší, protože. útočník již nepotřebuje mít fyzický přístup k telefonní lince. Situaci zhoršuje skutečnost, že mnoho protokolů postavených nad zásobníkem TCP/IP přenáší data v čistém stavu. Tímto hříchem trpí protokoly HTTP, SMTP, IMAP, FTP, Telnet, SQL*net a mimo jiné i protokoly IP telefonie. Útočník, kterému se podařilo zachytit hlasový IP provoz (a ve výchozím nastavení není mezi bránami šifrován), může snadno obnovit původní konverzace. Dokonce na to existují automatizované nástroje. Například nástroj vomit (Voice Over Misconfigured Internet Telephones), který převádí data získaná v důsledku zachycení provozu pomocí volně distribuovaného analyzátoru protokolu tcpdump na běžný soubor WAV, který lze přehrát pomocí libovolného počítačového přehrávače. Tento nástroj umožňuje převádět hlasová data přenášená pomocí IP telefonů Cisco a komprimovaná pomocí kodeku G.711. Navíc kromě neoprávněného naslouchání mohou útočníci přeposílat zachycené hlasové zprávy (nebo jejich fragmenty), aby dosáhli svých cílů.

Chci však hned poznamenat, že zachycení hlasových dat není tak jednoduchý úkol, jak se na první pohled zdá. Útočník musí mít informace o adresách bran nebo účastnických stanic, použitých VoIP protokolech (například H.323) a kompresních algoritmech (například G.711). V opačném případě bude pro útočníka obtížné nastavit software pro zachycování provozu nebo objem zachycených dat a doba jejich analýzy překročí všechny přípustné limity.

Odposlech dat lze provádět jak z podnikové sítě, tak zvenčí. Šikovný útočník s přístupem k fyzickému médiu pro přenos dat může připojit svůj IP telefon k přepínači a odposlouchávat tak konverzace jiných lidí. Může také měnit trasy síťového provozu a stát se centrálním uzlem podnikové sítě, kterým prochází zájmový provoz. Navíc, pokud ve vnitřní síti dokážete s jistou mírou pravděpodobnosti odhalit neautorizované zařízení, které zachycuje hlasová data, pak je téměř nemožné detekovat pobočky ve vnější síti. Jakýkoli nešifrovaný provoz mimo podnikovou síť by proto měl být považován za nezabezpečený.

Odmítnutí služby

Tradiční telefonie vždy garantuje kvalitu komunikace i při vysoké zátěži, což není axiom pro IP telefonii. Vysoké zatížení sítě, ve které se přenášejí digitalizovaná hlasová data, vede k výraznému zkreslení až ztrátě části hlasových zpráv. Jeden z útoků na IP telefonii proto může spočívat v odesílání velkého množství „šumových“ paketů na server IP telefonie, které ucpávají kanál přenosu dat a při překročení určité prahové hodnoty mohou dokonce část znemožnit. sítě IP telefonie (tj. útok odmítnutí služby). Dá se říci, že k realizaci takového útoku není potřeba „znovu vymýšlet kolo“ – stačí použít známé DoS útoky Land, Ping of Death, Smurf, UDP Flood atd. Jedním z řešení tohoto problému je rezervace šířky pásma, které lze dosáhnout pomocí moderních protokolů, jako je RSVP. Podrobnější způsoby ochrany budou diskutovány níže.

Odmítnutí služby je vážný problém pro zařízení IP telefonie. - baterka

Změna čísla

Pro komunikaci s účastníkem v klasické telefonní síti musíte znát jeho číslo a v IP telefonii hraje IP adresa roli telefonního čísla. Proto je možná situace, kdy se útočník pomocí falšování adresy může vydávat za odběratele, kterého potřebujete. To je důvod, proč úkol poskytovat autentizaci není ignorován ve všech stávajících standardech VoIP a bude zvážen o něco později.

Útoky na předplatitelské body

Mělo by být zřejmé, že účastnické stanice založené na osobním počítači jsou méně bezpečná zařízení než speciální IP telefony. Tato práce je také použitelná pro jakékoli jiné softwarové komponenty IP telefonie. Důvodem je skutečnost, že proti takovým komponentům lze realizovat nejen útoky specifické pro IP telefonii. Samotný počítač a jeho součásti (operační systém, aplikační programy, databáze atd.) jsou vystaveny různým útokům, které mohou zasáhnout i součásti IP telefonie. Například internetoví červi Red Code, Nimda, různé trojské koně a viry, DoS útoky a jejich distribuované modifikace – to vše může, ne-li deaktivovat IP hlasovou infrastrukturu, tak výrazně narušit její fungování. Zároveň platí, že i když v samotném softwaru (prozatím) nebyly nalezeny žádné zranitelnosti, pak další jím používané softwarové komponenty třetích stran (zejména známé) mohou snížit celkovou bezpečnost na nulu. Ostatně obecné pravidlo je dávno známé – „bezpečnost celého systému se rovná bezpečnosti jeho nejslabšího článku“. Příkladem je Cisco CallManager, který ke svému provozu využívá Windows 2000 Server, MS Internet Information Server a MS SQL Server, z nichž každý má svou vlastní buketu děr.

Útoky na ovladače

Útočníci mohou také útočit na hostitele (Gatekeeper ve smyslu H.323 nebo Redirect server ve smyslu SIP), které uchovávají informace o uživatelských konverzacích (jména účastníků, čas, trvání, důvod ukončení hovoru atd.). To lze provést jak za účelem získání důvěrných informací o samotných konverzacích, tak za účelem úpravy a dokonce smazání uvedených údajů. V druhém případě nebude fakturační systém (například u telekomunikačního operátora) schopen správně fakturovat svým zákazníkům, což může narušit provoz nebo poškodit celou infrastrukturu IP telefonie.

Standardy IP telefonie a jejich bezpečnostní mechanismy

Neexistence jednotných přijatých standardů v této oblasti (viz obr. 2) neumožňuje vypracování univerzálních doporučení pro ochranu zařízení IP telefonie. Každá pracovní skupina nebo výrobce řeší problémy se zabezpečením bran a dispečerů po svém, což vede k nutnosti jejich pečlivého prostudování před volbou adekvátních ochranných opatření.

H.323 Zabezpečení

H.323 je protokol, který vám umožní vybudovat VoIP systém od začátku do konce. H.323 obsahuje řadu specifikací, včetně a H.235, který implementuje některé bezpečnostní mechanismy (ověření, integrita, důvěrnost a nepopiratelnost) pro hlasová data.

Autentizaci v rámci standardu H.323 lze realizovat jak pomocí symetrických kryptografických algoritmů (v tomto případě není nutná předběžná výměna mezi interagujícími zařízeními a CPU není tak intenzivně zatěžováno), tak pomocí certifikátů či hesel. Specifikace H.235 navíc umožňuje použití IPSec jako autentizačního mechanismu, který se doporučuje i pro použití v jiných standardech IP telefonie.

Po navázání zabezpečeného spojení, ke kterému dochází přes port 1300 tcp, si uzly účastnící se výměny hlasových dat vyměňují informace o metodě šifrování, kterou lze použít při přenosu (šifrování paketů protokolu RTP) nebo síti (pomocí IPSec). ) úroveň.

Zabezpečení SIP

Tento protokol, podobný HTTP a používaný účastnickými stanicemi k navázání spojení (ne nutně telefonního, ale např. i pro hry), nemá seriózní ochranu a je zaměřen na použití řešení třetích stran (např. například PGP). Jako autentizační mechanismus nabízí RFC 2543 několik možností a zejména základní autentizaci (jako v HTTP) a autentizaci založenou na PGP. Ve snaze vyřešit bezpečnostní slabiny tohoto protokolu vyvinul Michael Thomas ze společnosti Cisco Systems návrh standardu IETF nazvaný „SIP security framework“, který popisuje vnější a vnitřní hrozby pro protokol SIP a jak se proti nim chránit. Mezi takové metody patří zejména ochrana na úrovni přenosu pomocí TLS nebo IPSec. Mimochodem, Cisco ve své architektuře zabezpečení podnikové sítě SAFE věnuje velkou pozornost praktickým otázkám ochrany IP telefonie.

Zabezpečení MGCP

Standard MGCP, definovaný v RFC 2705 a nevztahuje se na koncová zařízení (brány MGCP mohou pracovat s komponentami podporujícími H.323 i SIP), používá k ochraně hlasových dat protokol ESP specifikace IPSec. Lze také použít protokol AH (ale ne v sítích IPv6), který zajišťuje autentizaci a integritu dat (integritu bez spojení) a ochranu před opakováním přenášeným mezi bránami. Protokol AH zároveň neposkytuje soukromí dat, čehož je dosaženo použitím ESP (spolu s dalšími třemi bezpečnostními prvky).

Bezpečnostní

Výběr správné topologie

Pro VoIP infrastrukturu se nedoporučuje používat koncentrátory, které útočníkům usnadňují zachycení dat. Navíc, protože digitalizovaný hlas obvykle prochází stejným kabelovým systémem a stejným síťovým zařízením jako běžná data, vyplatí se správně rozlišovat mezi nimi informační toky. To lze například provést pomocí mechanismu VLAN (neměli byste však spoléhat pouze na ně). Servery účastnící se infrastruktury IP telefonie je žádoucí umístit do samostatného segmentu sítě (viz obr. 3), chráněného nejen ochrannými mechanismy zabudovanými do přepínačů a směrovačů (přístupové seznamy, překlad adres a detekce útoků), ale i pomocí dodatečně instalovaných bezpečnostních nástrojů (firewally, systémy detekce narušení, autentizační systémy atd.).

Musíte si pamatovat, že přenos hlasových dat přes vaši podnikovou síť zanechává zvláštní otisk na jejím designu. Měli byste věnovat velkou pozornost otázkám vysoké dostupnosti a odolnosti proti chybám. Pokud si uživatelé stále mohou zvyknout na krátký výpadek webového serveru nebo poštovního systému, nebudou si moci zvyknout na přerušení telefonních služeb. Konvenční telefonní síť selže tak zřídka, že mnoho uživatelů přirozeně vybaví IP-sestru vlastností zabezpečenou proti selhání. Výpadek v provozu VoIP infrastruktury tedy může narušit její důvěru ze strany uživatelů, což může následně vést k odmítnutí jejího používání a způsobit hmotnou škodu jejímu majiteli.

Fyzická bezpečnost

Je žádoucí zakázat přístup neoprávněných uživatelů k síťovým zařízením vč. a přepínače, a pokud je to možné, umístěte všechna zařízení, která nejsou předplatiteli, do speciálně vybavených serveroven. Tím zabráníte neoprávněnému připojení z počítače útočníka. Kromě toho byste měli pravidelně kontrolovat, zda nejsou k síti připojena neautorizovaná zařízení, která lze „zabudovat“ přímo do síťového kabelu. K identifikaci takových zařízení lze použít různé metody, vč. a skenery (například Internet Scanner nebo Nessus), vzdáleně detekující přítomnost „cizích“ zařízení v síti.

Řízení přístupu

Dalším poměrně jednoduchým způsobem ochrany infrastruktury VoIP je kontrola MAC adres. Nedovolte IP telefonům s neznámými MAC adresami přistupovat k branám nebo jiným prvkům IP sítě přenášejícím hlasová data. Zabráníte tak neoprávněnému připojení „cizí“ IP telefony, které mohou poslouchat vaše rozhovory nebo telefonovat na vaše náklady. MAC adresa může být samozřejmě falešná, ale přesto byste neměli zanedbávat takové jednoduché ochranné opatření, které je bez problémů implementováno na většině moderních přepínačů a dokonce i hubů. Uzly (hlavně brány, dispečeři a monitory) musí být nakonfigurovány tak, aby blokovaly všechny pokusy o neoprávněný přístup k nim. K tomu můžete využít jak funkce zabudované do operačních systémů, tak do produktů třetích stran. A protože pracujeme v Rusku, doporučuji používat produkty certifikované Státní technickou komisí Ruska, zejména proto, že existuje mnoho takových produktů.

VLAN

Technologie virtuální místní sítě (VLAN) poskytuje bezpečné rozdělení fyzické sítě do několika izolovaných segmentů, které fungují nezávisle na sobě. V IP telefonii se tato technologie používá k oddělení přenosu hlasu od přenosu běžných dat (soubory, e-maily atd.). Manažeři, brány a IP telefony jsou umístěny na vyhrazené VLAN pro přenos hlasu. Jak jsem poznamenal výše, VLAN výrazně komplikuje život útočníkům, ale neodstraní všechny problémy s odposloucháváním jednání. Existují metody, které umožňují útočníkům zachytit data i v přepínaném prostředí.

Šifrování

Šifrování je nutné používat nejen mezi bránami, ale i mezi IP telefonem a bránou. To ochrání celou cestu, kterou hlasová data putují z jednoho konce na druhý. Zajištění důvěrnosti je nejen nedílnou součástí standardu H.323, ale je implementováno i do zařízení některých výrobců. Tento mechanismus se však téměř nepoužívá. Proč? Protože kvalita přenosu dat je prioritou a nepřetržité šifrování / dešifrování hlasového datového toku vyžaduje čas a často přináší nepřijatelná zpoždění v procesu vysílání a příjmu provozu (zpoždění 200 ... 250 ms může výrazně snížit kvalitu jednání). Kromě toho, jak bylo zmíněno výše, neexistence jednotného standardu neumožňuje všem výrobcům přijmout jediný šifrovací algoritmus. Poctivě je však třeba říci, že dosavadní potíže se zachytáváním hlasového provozu umožňují nahlížet na jeho šifrování skrz prsty.

Mimochodem, pokud se rozhodnete používat šifrování, pak pamatujte, že šifrováním hlasových dat je skryjete nejen před útočníkem, ale také před nástroji kontroly kvality (QoS), které jim nebudou schopny poskytnout odpovídající šířku pásma a přednostní servis.. Jakmile vyřešíte jeden problém (nejistota), budete postaveni před další (kvalita služeb). A můžete si být jisti, že v této situaci budete preferovat řešení druhého problému, řešení prvního zanedbáte. Mimochodem, zašifrovat se taky nedá všechno. Signalizační protokoly používané v IP telefonii se nedoporučuje šifrovat, protože v tomto případě také zašifrujete všechny servisní informace nezbytné k udržení zdraví celé sítě.

Šifrování ale hned neopouštějte – vždyť je také nutné zabezpečit vaše jednání. Proto byste měli být chytří při šifrování dat VoIP. Společnost Cisco například doporučuje používat příkaz Crypto v operačním systému IOS svého zařízení namísto použití tunelu GRE nebo použití koncentrátorů VPN Cisco VPN 3000, které umožňují chránit data při zachování kvality služeb. Kromě toho lze selektivní šifrování použít pouze pro určitá pole v paketech VoIP.

Firewall

K ochraně podnikové sítě se obvykle používají firewally, které se stejným úspěchem

lze také použít k ochraně infrastruktury VoIP. Jediné, co je potřeba udělat, je přidat řadu pravidel, která zohledňují topologii sítě, umístění instalovaných komponent IP telefonie atd. Například přístup k Cisco CallManager z internetu nebo DMZ je normálně blokován, ale pokud se používá Web-Based Management, měl by být takový přístup povolen, ale pouze na portu 80 a pouze pro omezený rozsah externích adres. A pro ochranu serveru SQL, který je součástí Cisco CallManager, můžete odepřít přístup ze všech portů kromě 1433.

Mimochodem, existují dva typy firewallů, které lze použít k ochraně součástí IP telefonie. První z nich, firemní, je umístěn na výstupu z podnikové sítě a chrání všechny její zdroje najednou. Příkladem takového firewallu je CiscoSecure PIX Firewall. Druhý typ je osobní, chrání pouze jeden konkrétní uzel, na kterém může být účastnická stanice, brána nebo dispečer. Příklady takových osobních firewallů jsou RealSecure Desktop Protector nebo BlackICE PC Protector. Některé operační systémy (například Linux nebo Windows 2000) mají navíc vestavěné osobní brány firewall, které umožňují využít jejich schopností ke zvýšení zabezpečení vaší infrastruktury VoIP. V závislosti na standardu používaném pro IP telefonii může použití firewallů vést k různým problémům. Například po použití protokolu SIP si účastnické body vyměnily informace o parametrech připojení, veškerá interakce probíhá přes dynamicky přidělované porty s čísly většími než 1023. V tomto případě ITU předem „neví“, který port bude používat k výměně hlasových dat a v důsledku toho bude taková výměna zablokována. Firewall proto musí být schopen analyzovat SIP pakety, aby mohl určit porty používané pro komunikaci a dynamicky vytvářet nebo měnit jeho pravidla. Podobný požadavek platí pro další protokoly IP telefonie.

Další problém souvisí s tím, že ne všechny ITU jsou schopny správně zpracovat nejen hlavičku protokolu IP telefonie, ale i jeho datové tělo, protože často jsou v něm důležité informace. Například informace o adresách účastníků v protokolu SIP se nachází v těle dat. Neschopnost firewallu „dostat se k jádru věci“ může vést k neschopnosti vyměňovat si hlasová data přes firewall nebo v něm „otevřít“ díru, která je příliš velká na to, aby ji útočníci zneužili.

Autentizace

Různé IP telefony podporují autentizační mechanismy, které umožňují využívat jeho schopnosti pouze po předložení a ověření hesla nebo osobního PIN čísla, které uživateli umožňuje přístup k IP telefonu. Je však třeba poznamenat, že toto řešení není vždy vhodné pro koncového uživatele, zejména při každodenním používání IP telefonu. Existuje obvyklý rozpor „bezpečnost nebo pohodlí“.

RFC 1918 a překlad adres

Pro VoIP se nedoporučuje používat IP adresy dostupné z internetu - výrazně to snižuje celkovou úroveň zabezpečení infrastruktury. Proto, kdykoli je to možné, používejte adresy uvedené v RFC 1918 (10.x.x.x, 192.168.x.x atd.), které nejsou směrovatelné na internetu. Pokud to není možné, je nutné použít mechanismus překladu síťových adres (NAT) na firewallu, který chrání vaši podnikovou síť.

Systémy detekce narušení

O některých útocích, které mohou narušit VoIP infrastrukturu, již bylo popsáno výše. K ochraně proti nim můžete použít v Rusku dobře zavedené a známé systémy detekce narušení, které útoky nejen včas identifikují, ale také je zablokují, čímž zabrání poškození podnikových síťových zdrojů. Takové nástroje mohou chránit jak celé segmenty sítě (například RealSecure Network Sensor nebo Snort), tak jednotlivé uzly (například CiscoSecure IDS Host Sensor nebo RealSecure Server Sensor).