• Informační bezpečnost ve VoIP. Zabezpečení IP telefonie: maximální ochrana pro podnikové IP sítě

    Pryč jsou doby, kdy se operátoři obávali použití IP telefonie, protože úroveň zabezpečení takových sítí byla nízká. Dnes již můžeme říci, že IP-telefonie se stala jakýmsi de facto standardem v telefonické komunikaci. To je způsobeno pohodlím, spolehlivostí a relativně nízkou cenou IP telefonie ve srovnání s analogovou komunikací. Lze tvrdit, že IP telefonie zvyšuje efektivitu podnikání a umožňuje takové dříve nedostupné operace, jako je integrace s různými obchodními aplikacemi.

    Pokud mluvíme o nedostatcích a zranitelnostech IP telefonie, měli bychom si v první řadě povšimnout stejných „nemocí“, kterými trpí jiné služby využívající IP protokol. Jedná se o náchylnost k útokům červů a virů, útokům DoS, neoprávněným vzdálený přístup atd. Přestože je tato služba při budování infrastruktury IP telefonie obvykle oddělena od segmentů sítě, do kterých „jdou nehlasová data“, není to zárukou bezpečnosti. V dnešní době velké množství firem integruje IP telefonii s dalšími aplikacemi, jako je např e-mailem. Na jedné straně se tak objevují další vymoženosti, na druhé straně však nové zranitelnosti. Kromě toho provoz sítě IP telefonie vyžaduje velké množství komponent, jako jsou podpůrné servery, přepínače, routery, firewally, IP telefony atd. Současně se k podpoře provozu často používají nespecializované operační systémy. sítě IP. Například většina IP PBX je postavena na konvenčních a dobře známých operačních systémech (Windows nebo Linux), které teoreticky mají všechny zranitelnosti, které jsou pro tyto systémy specifické.

    Některé IP PBX používají DBMS a webové servery, které mají své vlastní zranitelnosti. A přestože pro univerzální operační systém nebo zásobník protokolů můžete použít známé nástroje ochrany - antiviry, osobní firewally, systémy prevence útoků atd., nedostatek "vybroušení" takových nástrojů pro práci s aplikacemi IP telefonie může nepříznivě ovlivnit úroveň zabezpečení.

    Mezi hlavní hrozby, kterým je IP telefonní síť vystavena, patří:

    • registrace cizího terminálu, která vám umožní volat na cizí náklady;
    • změna předplatitele;
    • provádění změn v hlasovém nebo signalizačním provozu;
    • snížení kvality hlasového provozu;
    • přesměrování hlasového nebo signálního provozu;
    • zachycování hlasového nebo signálního provozu;
    • falešné hlasové zprávy;
    • ukončení komunikační relace;
    • odmítnutí služby;
    • dálkový neautorizovaný přístup na součásti infrastruktury IP telefonie;
    • neoprávněná aktualizace softwaru v IP telefonu (například za účelem vložení trojského koně nebo spywaru);
    • hackování fakturačního systému (pro telefonování operátora).

    Toto není celý seznam možné problémy související s používáním IP telefonie. Organizace VoIP Security Alliance (VOIPSA) vypracovala dokument popisující širokou škálu hrozeb pro IP telefonii, která kromě technických hrozeb zahrnuje i vydírání prostřednictvím IP telefonie, spam atd.

    A přesto je hlavní zranitelností IP telefonie lidský faktor, který nastavil zuby. Otázka bezpečnosti při nasazení sítě IP telefonie je často odsouvána do pozadí a výběr řešení probíhá bez účasti bezpečnostních specialistů. Kromě toho specialisté ne vždy správně nakonfigurují řešení, i když má správné ochranné mechanismy, nebo si zakoupíte ochranné nástroje, které nejsou určeny pro efektivní zpracování hlasový provoz (například firewally nemusí rozumět proprietárnímu signalizačnímu protokolu používanému v řešení IP telefonie). V konečném důsledku je organizace nucena vynaložit další finanční a lidské zdroje na ochranu nasazeného řešení nebo na překonání jeho nejistoty.

    Co postavit?

    Nebude objevem, že čím bezpečnější je IP telefonní síť, tím menší je pravděpodobnost, že bude v takové síti hacknuta a zneužita. Bude to znít banálně, ale na bezpečnost je potřeba myslet již ve fázi přípravy projektu IP telefonie a právě v této fázi je třeba se dohodnout, jaké ochranné mechanismy je v síti vhodnější použít. Bude to soubor vestavěných mechanismů? Nebo jsou možná zvláštnosti fungování této IP sítě takové, že jsou zapotřebí další a „namontované“ ochranné prostředky?

    Z hlediska ovladatelnosti a výkonu se jako nejvýhodnější jeví taková architektura IP telefonie, kde jsou všechny komponenty ochrany zabudovány do prvků samotné sítě. Uvažujeme-li IP telefonní síť bez použití dodatečné finanční prostředky ochranu pak pomocí vestavěného síťové přepínače obranných mechanismů je možné dosáhnout vybudování relativně stabilní obrany proti útokům na perimetr. Vestavěná funkce umožňuje poskytovat:

    • schopnost vytvářet virtuální místní sítě (VLAN) pomocí vestavěných možností přepínačů;
    • použití vestavěných mechanismů filtrování a kontroly přístupu;
    • omezení a prezentace garantované šířky pásma, která dokáže účinně potlačit DoS útoky;
    • omezení počtu zařízení s různými MAC adresami připojených ke stejnému portu;
    • prevence útoků na spotřebu fondu adres služby DHCP;
    • prevence zanášení ARP tabulek a „krádeže“ adres;
    • prevence útoků z anonymních adres;
    • použití seznamů řízení přístupu, které omezují adresy uzlů, které mohou přenášet data do IP telefonů.

    Kromě toho systém řízení hovorů zabudovaný do architektury IP sítě, který se může připojit k vyhrazené vyhrazené síti lokální síť izolovaný od pracovní síť organizace, představuje další „hranici“ v ochraně. Mezi nevýhody patří skutečnost, že ochranné funkce zabudované do síťového zařízení neposkytují vždy adekvátní úroveň zabezpečení a k jejímu zvýšení mohou být nutné další investice do upgradu zařízení.

    I přes použití protokolu IP v jeho jádru nelze IP telefonii vždy dostatečně chránit tradičními řešeními. Je to dáno tím, že neberou v úvahu jeho specifika – přenos provozu v reálném čase, řízení kvality a provoz na aplikační vrstva atd. V ideálním případě, když jsou aplikace IP telefonie a jejich zabezpečení neoddělitelně propojeny a integrovány do jediné platformy, včetně síťové infrastruktury. To vám umožní zvýšit účinnost ochrany a snížit náklady na ni. V opačném případě musíte vybudovat čtyři nezávislé nebo prakticky se nepřekrývající infrastruktury: LAN, síť IP telefonie, zabezpečení LAN a infrastrukturu zabezpečení IP telefonie.

    Použití specializovaných firewallů výrazně zvyšuje bezpečnost IP telefonní sítě, například filtrováním provozu na základě stavu připojení ( stavová kontrola), který umožňuje procházet pouze nezbytný provoz a spojení navázaná v určitém směru (ze serveru ke klientovi nebo naopak). Kromě toho brána firewall poskytuje možnost:

    • filtrování řízení provozu navazování IP-telefonních spojení;
    • přenos řídícího provozu prostřednictvím NAT a síťových tunelů;
    • Zachycování TCP, které zajišťuje kontroly uzavření relací TCP, což vám umožňuje bránit se řadě útoků typu DoS (Denial of Service).

    Při návrhu sítě, která má využívat další bezpečnostní nástroje, jako je systém detekce nebo prevence narušení, by měla být věnována zvláštní pozornost výběru výrobce takových nástrojů, protože problém správy heterogenní IP sítě nelze vždy vyřešit. efektivně a rychle a téměř vždy vyžaduje vážné dodatečné investice.

    Je vhodnější zvolit výrobce, na jehož zařízení již síť funguje, protože podporu a správu zařízení lze v tomto případě provádět centrálně as nižšími náklady.

    Ochrana poslouchání

    Virtuální sítě LAN do určité míry snižují riziko odposlechu, avšak v případě, že analyzátor zachytí pakety řeči, je obnovení záznamu hovoru pro odborníka jednoduchou záležitostí. VLAN jsou většinou schopny poskytnout ochranu proti vnějším průnikům, ale nemusí být schopny chránit před útokem iniciovaným ze sítě. Osoba v perimetru sítě může připojit počítač přímo do zásuvky ve zdi, nakonfigurovat jej jako prvek VLAN systému IP telefonie a zahájit útok.

    Nejpokročilejším způsobem, jak čelit takové manipulaci, je použití IP telefonů s vestavěným šifrováním. Kromě, dodatečná ochrana poskytuje šifrování provozu mezi telefony a bránami. Prakticky všichni dnešní dodavatelé, jako je Avaya, Nortel a Cisco, nabízejí vestavěné šifrování pro informační toky a alarmy. Šifrování provozu je nejlogičtějším řešením ochrany před konverzacemi, ale taková funkcionalita přináší i řadu úskalí, se kterými je nutné počítat při budování zabezpečeného připojení. Hlavním problémem může být zpoždění přidané procesem šifrování a dešifrování provozu. Při práci v místní síti se takový problém zpravidla nepociťuje, ale při komunikaci prostřednictvím geograficky distribuované sítě může způsobit nepříjemnosti. Navíc šifrování signalizace, ke kterému dochází na aplikační vrstvě, může ztížit fungování firewallů. V případě šifrování streamu jsou zpoždění mnohem menší než při použití blokových šifer, i když nebude možné se jich úplně zbavit. Řešení problému může být více rychlé algoritmy nebo zahrnutí QoS mechanismů do šifrovacího modulu.

    QoS

    Obecně se uznává, že hlavním účelem mechanismů QoS ( kvalita služeb) - zajištění správné kvality komunikace. Ale nezapomeňte, že hrají zásadní roli a při řešení bezpečnostních problémů. Hlas a data z logicky oddělených sítí VLAN využívají stejnou fyzickou šířku pásma. Když je hostitel infikován virem nebo červem, síť může být zaplavena provozem. Pokud se však použijí vhodně nakonfigurované mechanismy QoS, bude mít provoz IP telefonie stále přednost před sdílenými fyzickými kanály a útok DoS selže.

    Ochrana proti záměně telefonů a serverů pro správu

    Mnoho prvků IP telefonie má dynamické adresování, které útočníkům umožňuje používat toto pro své vlastní účely. Mohou se vydávat za IP telefon, server pro řízení hovorů atd. Pravidla řízení přístupu na směrovačích a firewallech lze použít k ochraně před zařízeními, která se snaží maskovat jako autorizované IP telefony nebo se neoprávněně připojují k síťové infrastruktuře. Kromě toho mohou být užitečná silná autentizační zařízení pro všechny účastníky infrastruktury IP telefonie. K autentizaci předplatitelů lze použít různé standardizované protokoly, včetně RADIUS, PKI x.509 certifikátů a tak dále.

    DoS ochrana

    Útoky typu Denial-of-service na aplikace IP telefonie (například servery pro zpracování hovorů) a média pro přenos dat představují poměrně vážný problém. Pokud mluvíme o útocích na médium pro přenos dat, povšimněme si, že za přenos dat v IP telefonii obvykle odpovídá protokol RTP ( Protokol v reálném čase). Je zranitelný vůči jakémukoli útoku, který přetíží síť pakety nebo zpomalí zpracování paketů koncovým zařízením (telefonem nebo bránou). Útočníkovi tedy stačí síť „zatlouct“. velké množství Pakety RTP nebo pakety služeb s vysokou prioritou, které budou soutěžit s legitimními pakety RTP. V tomto případě můžete pro ochranu použít mechanismy zabudované do síťového zařízení informační bezpečnost a další řešení:
    • oddělení firemní síť na nepřekrývajících se segmentech přenosu hlasu a dat, což zabraňuje tomu, aby se v sekci „hlas“ objevovaly běžné útoky včetně DoS;
    • speciální pravidla řízení přístupu na routerech a firewallech, která chrání perimetr podnikové sítě a její jednotlivé segmenty;
    • systém prevence útoků na serveru pro řízení hovorů a PC s hlasovými aplikacemi;
    • specializované systémy ochrany proti útokům DoS a DDoS;
    • speciální nastavení pro síťová zařízení, které zabraňují falšování adresy a omezují šířku pásma, což neumožňuje znefunkčnit napadené zdroje velkým tokem zbytečného provozu.

    Ochrana IP telefonů

    IP telefony obsahují řadu speciálních nastavení, která zabraňují neoprávněnému přístupu k nim. Mezi taková nastavení patří například přístup k funkcím telefonu pouze po předložení ID a hesla, zákaz lokálních změn nastavení apod. Aby se zabránilo stahování neoprávněných úprav do IP telefonu software a konfigurační soubory, jejich integritu lze řídit digitálním podpisem a certifikáty X.509.

    Ochrana proti podvodům v IP telefonní síti

    Mezi hlavní typy podvodů, se kterými se setkáváme v IP telefonní síti, lze zaznamenat krádeže služeb, falešné hovory, odmítnutí platby a další typy. Před podvody v sítích IP telefonie se můžete chránit pomocí možností serveru pro správu IT infrastruktury. Takže pro každého účastníka můžete blokovat hovory na určité skupiny čísel; blokovat hovory z nechtěných čísel; blokovat přesměrování hovorů na Různé typyčísla – městská, mobilní, meziměstská a mezinárodní; filtrovat volání podle různých parametrů. Všechny akce lze provádět bez ohledu na to, z čeho telefonní přístrojúčastník zavolá - toto je realizováno autentizací každého účastníka přistupujícího k IP telefonu. Pokud uživatel neprojde autentizačním procesem, může volat pouze na předem definovaný seznam čísel, např. pouze interní telefonní čísla a pohotovostní komunální služby.

    Standardy v IP telefonii

    SIP dnes nahrazuje H.323, přičemž mnoho vývojářů zařízení podporujících SIP se zaměřuje spíše na vylepšení funkcí než na bezpečnost. Na rozdíl od standardu H.323, podle kterého byla vyvinuta specifikace H.235, která popisuje různé bezpečnostní mechanismy, protokol SIP prakticky postrádá jakékoli závažné ochranné funkce. To vyvolává pochybnosti o bezmračné budoucnosti IP telefonie, kterou mnozí odborníci spojují s protokolem SIP. Určitá naděje se vkládá do IP Telephony Security Alliance, která vznikla v červenci 2005 a jejímž cílem je provádět výzkum, zvyšovat povědomí, vzdělávat a vyvíjet bezplatné metody a nástroje pro testování bezpečnosti IP telefonie. Ale zatím jediným výsledkem práce této aliance bylo vytvoření taxonomie útoků a zranitelností v IP telefonii.

    Závěr

    Na závěr bych chtěl ještě jednou poznamenat, že hlavním postulátem efektivního bezpečnostního systému IP telefonie je přemýšlet ve fázi návrhu o tom, jak bude systém ochrany takové sítě vybudován, aby se maximalizoval soulad se specifiky IP-komunikace v organizaci. Neměli bychom zapomínat, že IP telefonie je aplikace, která funguje v IP síti, a adekvátní opatření k ochraně IP sítě jako celku zbavují útočníka dalších příležitostí organizovat naslouchání, implementovat DoS útoky a využívat síťové zdroje jako mezery v IP. telefonní síť.

    Mezi primární požadavky na zajištění bezpečnosti IP telefonní sítě patří potřeba oddělit hlas a běžná data. To znamená, že IP telefonie musí být oddělena od sítě, kde jsou jiná data přenášena pomocí VLAN. Segmentace umožňuje vytvořit další hranici, která zabrání útokům a zneužití, včetně těch, které pocházejí z vnitřní sítě. Kromě toho je při navrhování sítě IP telefonie důležité poskytnout odpovídající šířku pásma a pamatovat na použití mechanismů QoS k upřednostnění provozu IP telefonie.

    A konečně, použití ochranných nástrojů zaměřených na zvláštnosti provozu IP telefonie pomůže vyhnout se nejen „dírám“ v zabezpečení vybudované sítě, jako je „nepochopení“ IP provozu ochrannými nástroji, ale také dalším finanční náklady na modernizaci stávajících zařízení nebo nákup nových ochranných zařízení.

    Velmi zajímavý článek o bezpečnosti v IP telefonii byl publikován na webu linkmeup.ru. Šíříme to beze změn takříkajíc od autora.

    =======================

    Ahoj kolegové a přátelé, já, Vadim Semenov, spolu s projektovým týmem network-class.net vám předkládám přehledný článek, který se dotýká hlavních trendů a hrozeb v IP telefonii a především těch ochranných nástrojů, které jsou tento moment je výrobcem nabízena jako ochrana (řečeno bezpečnostními experty, uvažme, jaké nástroje výrobce nabízí ke snížení zranitelnosti, kterých mohou nemanželské osoby využít). Takže méně slov – pojďme na věc.
    Pro mnoho čtenářů se již dávno zformoval pojem IP telefonie a také to, že tato telefonie je „lepší“, levnější ve srovnání s veřejnou telefonií (PSTN), bohatá na různé další funkce atd. A to je pravda, nicméně...zčásti. Jak přecházíme od analogové (digitální) telefonie s vlastní účastnické linky(od účastnického telefonu ke stanici nebo staniční pobočce) a spojovací linky (mezistaniční komunikační linka) byly neméně než pouze v přístupové a kontrolní zóně poskytovatele telefonie. Jinými slovy, nebyl tam přístup pro běžné obyvatele (no, nebo prakticky, pokud nepočítáte kabelovody). Vzpomínám si na jednu otázku na starém dobrém hackerském fóru „Řekni mi, jak získat přístup k ústředně? - odpověď: "No, vezmeš buldozer - narazíš do zdi budovy ATS a voila." A tento vtip má svůj díl pravdy) S přechodem telefonování do levného IP prostředí jsme ale navíc dostali hrozby, které s sebou otevřené IP prostředí nese. Příklady získaných hrozeb zahrnují:

    • Snímání signalizačních portů k potvrzení mýtné hovory na cizí náklady
    • Odposlouchávání zachycováním IP hlasových paketů
    • Zachycování hovorů, předstírání identity nelegitimního uživatele jako legitimního uživatele, útok typu man-in-the-middle
    • DDOS útoky na signalizační servery stanice s cílem deaktivovat veškerou telefonii
    • Spamové útoky, zhroucení velkého počtu fantomových volání na stanici s cílem vzít všechny její volné zdroje

    Navzdory zřejmé potřebě eliminovat všechny možné zranitelnosti za účelem snížení pravděpodobnosti konkrétního útoku, ve skutečnosti musí realizace určitých ochranných opatření začínat harmonogramem, který zohledňuje náklady na provedení ochranných opatření proti konkrétní hrozbě a ztráty podniku z implementace této hrozby útočníky. Je přece pošetilé utrácet více peněz za zabezpečení aktiva, než kolik stojí samotné aktivum, které chráníme.
    Po stanovení rozpočtu na bezpečnost začneme eliminovat přesně ty hrozby, které jsou pro společnost nejpravděpodobnější, například pro malou organizaci bude nejbolestivější dostat velký účet za nedokonalé dálkové a mezinárodní hovory, zatímco pro státní firmy je nejdůležitější zachovat důvěrnost rozhovorů. Postupnou úvahu v aktuálním článku začněme od základních věcí – jde o ustanovení bezpečným způsobem doručení servisních dat ze stanice do telefonu. Dále zvažte autentizaci telefonů před jejich připojením ke stanici, autentizaci stanice ze strany telefonů a šifrování signalizačního provozu (pro skrytí informací o tom, kdo kam volá) a šifrování konverzačního provozu.
    Mnoho výrobců hlasových zařízení (včetně Cisco Systems) již má integrované bezpečnostní nástroje z obvyklého omezení rozsahu IP adres, ze kterých lze volat na autentizaci koncových bodů pomocí certifikátu. Například výrobce Cisco Systems se svou hlasovou produktovou řadou CUCM (Cisco Unified CallManager) od verze produktu 8.0 (datum vydání květen 2010; aktuálně je k dispozici verze 10.5 z května 2014) začal integrovat funkci „Security by default“. Co to zahrnuje:

    • Ověření všech souborů stažených přes/z TFTP ( konfigurační soubory, soubory firmwaru pro telefony atd.)
    • Šifrování konfiguračních souborů
    • Ověření certifikátu telefonem inicializujícím připojení HTTPS

    Podívejme se na příklad útoku „man in the middle“, kdy nemanželská osoba zachytí konfigurační soubory pro telefony, ze kterých se telefon dozví, na které stanici se má zaregistrovat, na jakém protokolu pracovat, jaký firmware stáhnout atd. . Zachycením souboru v něm útočník bude moci provést své vlastní změny nebo úplně přepsat konfigurační soubor, čímž zabrání telefonům celé kanceláře (viz obrázek) v registraci na stanici a v důsledku toho připraví kancelář o schopnost volat.

    Obr.1 Útok "muž uprostřed"

    Abychom se proti tomu chránili, potřebujeme znalosti o asymetrickém šifrování, infrastruktuře veřejných klíčů a porozumění komponentám „Security by Default“, se kterými se nyní setkáme: Identity Trust List (ITL) a Trust Verification Service (TVS). TVS je služba určená ke zpracování požadavků z IP telefonů, které nemají ve své vnitřní paměti soubor ITL nebo CTL. IP telefon v případě potřeby kontaktuje TVS, aby se ujistil, že může důvěřovat konkrétní službě, než k ní začne přistupovat. Stanice také funguje jako úložiště, které uchovává certifikáty důvěryhodných serverů. ITL je zase seznam veřejných klíčů prvků, které tvoří cluster stanic, ale pro nás je důležité, aby tam byl uložen veřejný klíč TFTP serveru a veřejný klíč služby TVS. Při úvodním bootování telefonu, kdy telefon obdrží svou IP adresu a adresu TFTP serveru, požaduje přítomnost souboru ITL (obr. 2). Pokud je na serveru TFTP, pak jej ve slepé důvěře nahraje do své vnitřní paměti a uloží jej až do příštího restartu. Po stažení souboru ITL si telefon vyžádá podepsaný konfigurační soubor.

    Nyní se podívejme, jak můžeme využít kryptografické nástroje – podepsání souboru pomocí hashovacích funkcí MD5 nebo SHA a jeho zašifrování pomocí privátního klíče TFTP serveru (obr. 3). Zvláštností hašovacích funkcí je, že se jedná o jednosměrné funkce. Na základě přijatého hashe z libovolného souboru není možné provést opačnou operaci a získat přesně původní soubor. Při změně souboru se změní i samotný hash získaný z tohoto souboru. Stojí za zmínku, že hash není zapsán do samotného souboru, ale jednoduše k němu přidán a přenášen spolu s ním.

    Obr.3 Podepsání konfiguračního souboru telefonu

    Při generování podpisu se vezme samotný konfigurační soubor, z něj se extrahuje hash a zašifruje se soukromým klíčem TFTP serveru (který má pouze TFTP server).
    Po obdržení daný soubor s nastavením telefon nejprve zkontroluje jeho integritu. Pamatujeme si, že hash je jednosměrná funkce, takže telefonu nezbývá nic jiného, ​​než oddělit hash zašifrovaný TFTP serverem od konfiguračního souboru, dešifrovat jej pomocí veřejného klíče TFTP (jak to IP telefon pozná? - ale jen ze souboru ITL ), vypočítejte hash z čistého konfiguračního souboru a porovnejte jej s tím, co jsme obdrželi při dešifrování. Pokud se hash shoduje, pak nebyly v souboru během přenosu provedeny žádné změny a lze jej bezpečně použít v telefonu (obr. 4).

    Obr.4 Kontrola konfiguračního souboru IP telefonu

    Podepsaný konfigurační soubor pro telefon je zobrazen níže:

    Rýže. 5 Podepsaný soubor IP telefonu ve Wiresharku

    Podepsáním konfiguračního souboru jsme mohli zajistit integritu přenášeného souboru nastavení, ale nechránili jsme jej před prohlížením. Z uloveného konfiguračního souboru lze získat poměrně hodně užitečné informace, například IP adresa telefonní ústředny (v našem příkladu je to 192.168.1.66) a otevřené porty na nádraží (2427) atd. Není to dost? důležitá informace, které byste nechtěli jen tak „zazářit“ na síti? Pro skrytí těchto informací výrobci poskytují použití symetrického šifrování (stejný klíč se používá pro šifrování a dešifrování). V jednom případě lze klíč zadat do telefonu ručně, v druhém případě je konfigurační soubor telefonu zašifrován na stanici pomocí veřejného klíče telefonu. Před odesláním souboru do telefonu jej tftp server, na kterém je tento soubor uložen, zašifruje pomocí veřejného klíče telefonu a podepíše pomocí svého soukromého klíče (tím zajistíme nejen utajení, ale i integritu přenášených souborů) . Zde jde především o to, aby se nepletlo, kdo jaký klíč používá, ale vezměme to popořadě: tftp server zašifrováním souboru veřejným klíčem IP telefonu zajistil, že otevřít mohl pouze vlastník spárovaného veřejného klíče tento soubor. Podepsáním souboru jeho soukromým klíčem tftp server ověří, že to byl ten, kdo jej vytvořil. Zašifrovaný soubor je znázorněn na obrázku 6:

    Obr.6 Šifrovaný soubor IP telefonu

    V tuto chvíli jsme tedy zvažovali možnost ochrany našich konfiguračních souborů pro telefony před zobrazením a zajištění jejich integrity. Zde funkce „Výchozí zabezpečení“ končí. Pro zajištění šifrování hlasového provozu, skrytí signalizačních informací (o tom, kdo volá a kam volat), jsou zapotřebí další nástroje založené na seznamu důvěryhodných certifikátů - CTL, které budeme zvažovat níže.

    Autentizace telefonní ústředny

    Když telefon potřebuje komunikovat s telefonní ústřednou (například vyjednat TLS spojení pro signalizační ústřednu), IP telefon potřebuje ústřednu autentizovat. Jak asi tušíte, certifikáty se také široce používají k řešení tohoto problému. V současné době se moderní IP stanice skládají z velkého množství prvků: několik signalizačních serverů pro zpracování hovorů, dedikovaný administrační server (jehož prostřednictvím se přidávají nové telefony, uživatelé, brány, pravidla směrování atd.), dedikovaný TFTP server pro ukládání konfiguračních souborů a softwaru pro telefony, server pro vysílání hudby na počkání atd., kromě toho může mít hlasová infrastruktura hlasovou poštu, server pro zjištění aktuálního stavu účastníka (online, offline, "na obědě") - seznam je působivý a co je nejdůležitější, každý server má svůj vlastní certifikát s vlastním podpisem a každý funguje jako kořenová certifikační autorita (obr. 7). Z tohoto důvodu žádný server v hlasové infrastruktuře nebude důvěřovat certifikátu jiného serveru, například hlasový server nedůvěřuje serveru TFTP, hlasová pošta nedůvěřuje signalizačnímu serveru a telefony navíc musí uchovávat certifikáty všechny prvky účastnící se výměny signalizačního provozu. Certifikáty telefonní ústředny jsou zobrazeny na obrázku 7.

    Obrázek 7 Cisco IP Station Self-Signed Certificates

    Pro úkoly navazování důvěryhodných vztahů mezi výše uvedenými prvky v hlasové infrastruktuře a také šifrování hlasového a signalizačního provozu přichází v úvahu tzv. Certificate Trust List (CTL). CTL obsahuje všechny certifikáty s vlastním podpisem všech serverů v clusteru hlasových stanic i těch, které se účastní výměny telefonních signalizačních zpráv (například firewall) a tento soubor je podepsán soukromým klíčem důvěryhodné certifikační autority ( Obr. 8). Soubor CTL je ekvivalentní nainstalovaným certifikátům, které používají webové prohlížeče při práci s protokolem https.

    Obr.8 Seznam důvěryhodných certifikátů

    Abyste mohli vytvořit soubor CTL na zařízení Cisco, budete potřebovat počítač s USB konektorem, na něm nainstalovaný klientský program CTL a samotný bezpečnostní token správce webu (SAST) (obr. 9), který obsahuje soukromý klíč a certifikát X.509v3 podepsaný výrobcem ověřovacího centra (Cisco).

    Obrázek 9 Cisco eToken

    CTL klient je program, který se instaluje na PC s Windows a pomocí kterého převedete celou telefonní ústřednu do tzv. smíšeného režimu, tedy smíšeného režimu pro podporu registrace koncových zařízení v bezpečném a nezabezpečeném režimu. Spustíme klienta, zadáme IP adresu telefonní ústředny, zadáme administrátorské jméno / heslo a CTL klient naváže TCP spojení na portu 2444 se stanicí (obr. 10). Poté budou nabídnuty pouze dvě akce:

    Obrázek 10 Cisco CTL Client

    Po vytvoření souboru CTL zbývá restartovat servery TFTP, aby si nahrály nově vytvořený soubor CTL, a poté restartovat hlasové servery, aby se restartovaly i IP telefony a stáhly nový soubor CTL (32 kB). Stažený soubor CTL lze zobrazit v nastavení IP telefonu (obr. 11)

    Obr.11 Soubor CTL na IP telefonu

    Autentizace koncového bodu

    Ověření zařízení musí být implementováno, aby bylo zajištěno, že se připojují a registrují pouze důvěryhodná koncová zařízení. Mnoho výrobců v tomto případě používá již osvědčený způsob – autentizaci zařízení pomocí certifikátů (obr. 12). Například v hlasové architektuře Cisco je to implementováno následovně: existují dva typy certifikátů pro autentizaci s odpovídajícími veřejnými a soukromými klíči, které jsou uloženy v telefonu:
    Certifikát instalovaný výrobcem - (MIC). Certifikát nainstalovaný výrobcem obsahuje 2048bitový klíč, který je podepsán certifikační autoritou společnosti výrobce (Cisco). Tento certifikát není nainstalován na všech modelech telefonů, a pokud je nainstalován, není potřeba mít další certifikát (LSC).
    Lokálně významný certifikát – (LSC) Lokálně významný certifikát, který obsahuje veřejný klíč IP telefonu, který je podepsán soukromým klíčem místního autentizačního centra, které běží na funkci proxy certifikačního úřadu (CAPF) telefonní ústředny.
    Pokud tedy máme telefony s předinstalovaným MIC certifikátem, tak při každé registraci telefonu ke stanici si stanice vyžádá výrobcem předinstalovaný certifikát pro autentizaci. Pokud je však MIC kompromitován, je třeba jej vyměnit certifikační autoritou výrobce, což může zabrat spoustu času. Abyste nebyli závislí na době odezvy certifikační autority výrobce při opětovném vydání kompromitovaného certifikátu telefonu, je vhodnější použít místní certifikát.

    Obr.12 Certifikáty pro autentizaci koncových bodů

    Ve výchozím nastavení není certifikát LSC na IP telefonu nainstalován a jeho instalace je možná pomocí certifikátu MIB (pokud existuje), nebo prostřednictvím připojení TLS (Transport Layer Security) pomocí sdíleného klíče, který ručně vygeneruje správce na adrese stanice a zadali na telefonu.
    Proces instalace lokálně významného certifikátu (LSC) do telefonu obsahujícího veřejný klíč telefonu podepsaný místní certifikační autoritou je znázorněn na obrázku 13:

    Obrázek 13 Proces instalace lokálně významného certifikátu LSC

    1. Po stažení IP se telefon zeptá důvěryhodný seznam certifikáty (soubor CTL) a konfigurační soubor
    2. Stanice odešle požadované soubory
    3. Z přijaté konfigurace telefon určí, zda potřebuje ze stanice stáhnout lokálně významný certifikát (LSC).
    4. Pokud jsme nastavili stanici pro telefon na instalaci LSC certifikátu (viz níže), kterým stanice tento IP telefon autentizuje, pak musíme dbát na to, aby žádost o vydání LSC certifikátu - stanice jej vydala tomu, komu je určeno. Pro tyto účely můžeme použít certifikát MIC (pokud existuje), vygenerovat jednorázové heslo pro každý telefon a zadat jej ručně v telefonu, nebo autorizaci vůbec nepoužívat.
    Příklad ukazuje proces instalace LSC pomocí generovaného

    Běží na SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)

    Článek byl napsán speciálně pro linkmeup.

    =======================

    Ahoj kolegové a přátelé, já, Vadim Semenov, spolu s projektovým týmem network-class.net vám předkládám přehledný článek, který se dotýká hlavních trendů a hrozeb v IP telefonii a hlavně ochranných nástrojů, které výrobce v současnosti nabízí jako ochranu (řečeno bezpečnostními experty, uvažme, jaké nástroje výrobce nabízí ke snížení zranitelnosti, které mohou nemanželské osoby používat). Takže méně slov – pojďme na věc.
    Pro mnoho čtenářů se již dávno zformoval pojem IP telefonie a také to, že tato telefonie je „lepší“, levnější oproti veřejné telefonii (PSTN), bohatá na různé doplňkové funkce atp. A to je pravda, nicméně...zčásti. Protože přechod od analogové (digitální) telefonie s vlastními účastnickými linkami (z účastnického telefonu na staniční nebo staniční vzdálené) a spojovacími linkami (mezistaniční komunikační linka) nebyl nic menšího než pouze v přístupové a kontrolní zóně telefonie poskytovatel. Jinými slovy, nebyl tam přístup pro běžné obyvatele (no, nebo prakticky, pokud nepočítáte kabelovody). Vzpomínám si na jednu otázku na starém dobrém hackerském fóru „Řekni mi, jak získat přístup k ústředně? - odpověď: "No, vezmeš buldozer - narazíš do zdi budovy ATS a voila." A tento vtip má svůj díl pravdy) S přechodem telefonování do levného IP prostředí jsme ale navíc dostali hrozby, které s sebou otevřené IP prostředí nese. Příklady získaných hrozeb zahrnují:

    • Snímání signalizačních portů za účelem uskutečnění mýtných hovorů na cizí náklady
    • Odposlouchávání zachycováním IP hlasových paketů
    • Zachycování hovorů, předstírání identity nelegitimního uživatele jako legitimního uživatele, útok typu man-in-the-middle
    • DDOS útoky na signalizační servery stanice s cílem deaktivovat veškerou telefonii
    • Spamové útoky, zhroucení velkého počtu fantomových volání na stanici s cílem vzít všechny její volné zdroje
    Navzdory zřejmé potřebě eliminovat všechny možné zranitelnosti za účelem snížení pravděpodobnosti konkrétního útoku, ve skutečnosti musí realizace určitých ochranných opatření začínat harmonogramem, který zohledňuje náklady na provedení ochranných opatření proti konkrétní hrozbě a ztráty podniku z implementace této hrozby útočníky. Je přece pošetilé utrácet více peněz za zabezpečení aktiva, než kolik stojí samotné aktivum, které chráníme.
    Po stanovení rozpočtu na bezpečnost začneme eliminovat přesně ty hrozby, které jsou pro společnost nejpravděpodobnější, například pro malou organizaci bude nejbolestivější dostat velký účet za nedokonalé meziměstské a mezinárodní hovory, zatímco pro státní společnosti je nejdůležitější zachovat důvěrnost rozhovorů. Postupnou úvahu v aktuálním článku začněme od základních věcí – tím je zajištění bezpečného způsobu doručení služebních dat ze stanice do telefonu. Dále zvažte autentizaci telefonů před jejich připojením ke stanici, autentizaci stanice ze strany telefonů a šifrování signalizačního provozu (pro skrytí informací o tom, kdo kam volá) a šifrování konverzačního provozu.
    Mnoho výrobců hlasových zařízení (včetně Cisco Systems) již má integrované bezpečnostní nástroje z obvyklého omezení rozsahu IP adres, ze kterých lze volat na autentizaci koncových bodů pomocí certifikátu. Například výrobce Cisco Systems se svou hlasovou produktovou řadou CUCM (Cisco Unified CallManager) od verze produktu 8.0 (datum vydání květen 2010; aktuálně je k dispozici verze 10.5 z května 2014) začal integrovat funkci „Security by default“. Co to zahrnuje:
    • Ověření všech souborů stažených přes/z TFTP (konfigurační soubory, soubory firmwaru pro telefony atd.)
    • Šifrování konfiguračních souborů
    • Ověření certifikátu telefonem inicializujícím připojení HTTPS
    Podívejme se na příklad útoku „man in the middle“, kdy nemanželská osoba zachytí konfigurační soubory pro telefony, ze kterých se telefon dozví, na které stanici se má zaregistrovat, na jakém protokolu pracovat, jaký firmware stáhnout atd. . Zachycením souboru v něm útočník bude moci provést své vlastní změny nebo úplně přepsat konfigurační soubor, čímž zabrání telefonům celé kanceláře (viz obrázek) v registraci na stanici a v důsledku toho připraví kancelář o schopnost volat.

    Obr.1 Útok "muž uprostřed"

    Abychom se proti tomu chránili, potřebujeme znalosti o asymetrickém šifrování, infrastruktuře veřejných klíčů a porozumění komponentám „Security by Default“, se kterými se nyní setkáme: Identity Trust List (ITL) a Trust Verification Service (TVS). TVS je služba určená ke zpracování požadavků z IP telefonů, které nemají ve své vnitřní paměti soubor ITL nebo CTL. IP telefon v případě potřeby kontaktuje TVS, aby se ujistil, že může důvěřovat konkrétní službě, než k ní začne přistupovat. Stanice také funguje jako úložiště, které uchovává certifikáty důvěryhodných serverů. ITL je zase seznam veřejných klíčů prvků, které tvoří cluster stanic, ale pro nás je důležité, aby tam byl uložen veřejný klíč TFTP serveru a veřejný klíč služby TVS. Při úvodním bootování telefonu, kdy telefon obdrží svou IP adresu a adresu TFTP serveru, požaduje přítomnost souboru ITL (obr. 2). Pokud je na serveru TFTP, pak jej ve slepé důvěře nahraje do své vnitřní paměti a uloží jej až do příštího restartu. Po stažení souboru ITL si telefon vyžádá podepsaný konfigurační soubor.

    Nyní se podívejme, jak můžeme využít kryptografické nástroje – podepsání souboru pomocí hashovacích funkcí MD5 nebo SHA a jeho zašifrování pomocí privátního klíče TFTP serveru (obr. 3). Zvláštností hašovacích funkcí je, že se jedná o jednosměrné funkce. Na základě přijatého hashe z libovolného souboru není možné provést opačnou operaci a získat přesně původní soubor. Při změně souboru se změní i samotný hash získaný z tohoto souboru. Stojí za zmínku, že hash není zapsán do samotného souboru, ale jednoduše k němu přidán a přenášen spolu s ním.


    Obr.3 Podepsání konfiguračního souboru telefonu

    Při generování podpisu se vezme samotný konfigurační soubor, z něj se extrahuje hash a zašifruje se soukromým klíčem TFTP serveru (který má pouze TFTP server).
    Při příjmu tohoto souboru s nastavením telefon nejprve zkontroluje jeho integritu. Pamatujeme si, že hash je jednosměrná funkce, takže telefonu nezbývá nic jiného, ​​než oddělit hash zašifrovaný TFTP serverem od konfiguračního souboru, dešifrovat jej pomocí veřejného klíče TFTP (jak to IP telefon pozná? - ale jen ze souboru ITL ), vypočítejte hash z čistého konfiguračního souboru a porovnejte jej s tím, co jsme obdrželi při dešifrování. Pokud se hash shoduje, pak nebyly v souboru během přenosu provedeny žádné změny a lze jej bezpečně použít v telefonu (obr. 4).


    Obr.4 Kontrola konfiguračního souboru IP telefonu

    Podepsaný konfigurační soubor pro telefon je zobrazen níže:


    Rýže. 5 Podepsaný soubor IP telefonu ve Wiresharku

    Podepsáním konfiguračního souboru jsme mohli zajistit integritu přenášeného souboru nastavení, ale nechránili jsme jej před prohlížením. Ze zachyceného konfiguračního souboru lze získat poměrně mnoho užitečných informací, například IP adresu telefonní ústředny (v našem příkladu je to 192.168.1.66) a otevřené porty na ústředně (2427) atd. Není to docela důležitá informace, kterou byste nechtěli jen tak „zazářit“ na síti? Pro skrytí těchto informací výrobci poskytují použití symetrického šifrování (stejný klíč se používá pro šifrování a dešifrování). V jednom případě lze klíč zadat do telefonu ručně, v druhém případě je konfigurační soubor telefonu zašifrován na stanici pomocí veřejného klíče telefonu. Před odesláním souboru do telefonu jej tftp server, na kterém je tento soubor uložen, zašifruje pomocí veřejného klíče telefonu a podepíše pomocí svého soukromého klíče (tím zajistíme nejen utajení, ale i integritu přenášených souborů) . Zde jde především o to, aby se nepletlo, kdo jaký klíč používá, ale vezměme to popořadě: tftp server zašifrováním souboru veřejným klíčem IP telefonu zajistil, že otevřít mohl pouze vlastník spárovaného veřejného klíče tento soubor. Podepsáním souboru jeho soukromým klíčem tftp server ověří, že to byl ten, kdo jej vytvořil. Zašifrovaný soubor je znázorněn na obrázku 6:


    Obr.6 Šifrovaný soubor IP telefonu

    V tuto chvíli jsme tedy zvažovali možnost ochrany našich konfiguračních souborů pro telefony před zobrazením a zajištění jejich integrity. Zde funkce „Výchozí zabezpečení“ končí. Pro zajištění šifrování hlasového provozu, skrytí signalizačních informací (o tom, kdo volá a kam volat), jsou zapotřebí další nástroje založené na seznamu důvěryhodných certifikátů - CTL, které budeme zvažovat níže.

    Autentizace telefonní ústředny

    Když telefon potřebuje komunikovat s telefonní ústřednou (například vyjednat TLS spojení pro signalizační ústřednu), IP telefon potřebuje ústřednu autentizovat. Jak asi tušíte, certifikáty se také široce používají k řešení tohoto problému. V současné době se moderní IP stanice skládají z velkého množství prvků: několik signalizačních serverů pro zpracování hovorů, dedikovaný administrační server (jehož prostřednictvím se přidávají nové telefony, uživatelé, brány, pravidla směrování atd.), dedikovaný TFTP server pro ukládání konfiguračních souborů a softwaru pro telefony, server pro vysílání hudby na počkání atd., kromě toho může mít hlasová infrastruktura hlasovou poštu, server pro zjištění aktuálního stavu účastníka (online, offline, "na obědě") - seznam je působivý a co je nejdůležitější, každý server má svůj vlastní certifikát s vlastním podpisem a každý funguje jako kořenová certifikační autorita (obr. 7). Z tohoto důvodu žádný server v hlasové infrastruktuře nebude důvěřovat certifikátu jiného serveru, například hlasový server nedůvěřuje serveru TFTP, hlasová pošta nedůvěřuje signalizačnímu serveru a telefony navíc musí uchovávat certifikáty všechny prvky účastnící se výměny signalizačního provozu. Certifikáty telefonní ústředny jsou zobrazeny na obrázku 7.


    Obrázek 7 Cisco IP Station Self-Signed Certificates

    Pro úkoly navazování důvěryhodných vztahů mezi výše uvedenými prvky v hlasové infrastruktuře a také šifrování hlasového a signalizačního provozu přichází v úvahu tzv. Certificate Trust List (CTL). CTL obsahuje všechny certifikáty s vlastním podpisem všech serverů v clusteru hlasových stanic i těch, které se účastní výměny telefonních signalizačních zpráv (například firewall) a tento soubor je podepsán soukromým klíčem důvěryhodné certifikační autority ( Obr. 8). Soubor CTL je ekvivalentní nainstalovaným certifikátům, které používají webové prohlížeče při práci s protokolem https.


    Obr.8 Seznam důvěryhodných certifikátů

    Abyste mohli vytvořit soubor CTL na zařízení Cisco, budete potřebovat počítač s USB konektorem, na něm nainstalovaný klientský program CTL a samotný bezpečnostní token správce webu (SAST) (obr. 9), který obsahuje soukromý klíč a certifikát X.509v3 podepsaný výrobcem ověřovacího centra (Cisco).


    Obrázek 9 Cisco eToken

    CTL klient je program, který se instaluje na PC s Windows a pomocí kterého převedete celou telefonní ústřednu do tzv. smíšeného režimu, tedy smíšeného režimu pro podporu registrace koncových zařízení v bezpečném a nezabezpečeném režimu. Spustíme klienta, zadáme IP adresu telefonní ústředny, zadáme administrátorské jméno / heslo a CTL klient naváže TCP spojení na portu 2444 se stanicí (obr. 10). Poté budou nabídnuty pouze dvě akce:


    Obrázek 10 Cisco CTL Client

    Po vytvoření souboru CTL zbývá restartovat servery TFTP, aby si nahrály nově vytvořený soubor CTL, a poté restartovat hlasové servery, aby se restartovaly i IP telefony a stáhly nový soubor CTL (32 kB). Stažený soubor CTL lze zobrazit v nastavení IP telefonu (obr. 11)


    Obr.11 Soubor CTL na IP telefonu

    Autentizace koncového bodu

    Ověření zařízení musí být implementováno, aby bylo zajištěno, že se připojují a registrují pouze důvěryhodná koncová zařízení. Mnoho výrobců v tomto případě používá již osvědčený způsob – autentizaci zařízení pomocí certifikátů (obr. 12). Například v hlasové architektuře Cisco je to implementováno následovně: existují dva typy certifikátů pro autentizaci s odpovídajícími veřejnými a soukromými klíči, které jsou uloženy v telefonu:
    Certifikát instalovaný výrobcem – (MIC). Certifikát nainstalovaný výrobcem obsahuje 2048bitový klíč, který je podepsán certifikační autoritou společnosti výrobce (Cisco). Tento certifikát není nainstalován na všech modelech telefonů, a pokud je nainstalován, není potřeba mít další certifikát (LSC).
    Lokálně významný certifikát – (LSC) Lokálně významný certifikát obsahuje veřejný klíč IP telefonu, který je podepsán privátním klíčem místní autentizační autority, která běží na samotné telefonní ústředně na funkci Certificate Authority Proxy (CAPF).
    Pokud tedy máme telefony s předinstalovaným MIC certifikátem, tak při každé registraci telefonu ke stanici si stanice vyžádá výrobcem předinstalovaný certifikát pro autentizaci. Pokud je však MIC kompromitován, je třeba jej vyměnit certifikační autoritou výrobce, což může zabrat spoustu času. Abyste nebyli závislí na době odezvy certifikační autority výrobce při opětovném vydání kompromitovaného certifikátu telefonu, je vhodnější použít místní certifikát.


    Obr.12 Certifikáty pro autentizaci koncových bodů

    Ve výchozím nastavení není certifikát LSC na IP telefonu nainstalován a jeho instalace je možná pomocí certifikátu MIB (pokud existuje), nebo prostřednictvím připojení TLS (Transport Layer Security) pomocí sdíleného klíče, který ručně vygeneruje správce na adrese stanice a zadali na telefonu.
    Proces instalace lokálně významného certifikátu (LSC) do telefonu obsahujícího veřejný klíč telefonu podepsaný místní certifikační autoritou je znázorněn na obrázku 13:


    Obrázek 13 Proces instalace lokálně významného certifikátu LSC

    1. Po stažení IP si telefon vyžádá důvěryhodný seznam certifikátů (soubor CTL) a konfigurační soubor
    2. Stanice odešle požadované soubory
    3. Z přijaté konfigurace telefon určí, zda potřebuje ze stanice stáhnout lokálně významný certifikát (LSC).
    4. Pokud jsme nastavili stanici pro telefon na instalaci LSC certifikátu (viz níže), kterým stanice tento IP telefon autentizuje, pak musíme dbát na to, aby žádost o vydání LSC certifikátu - stanice jej vydala tomu, komu je určeno. Pro tyto účely můžeme použít certifikát MIC (pokud existuje), vygenerovat jednorázové heslo pro každý telefon a zadat jej ručně v telefonu, nebo autorizaci vůbec nepoužívat.
    Příklad ukazuje proces instalace LSC pomocí vygenerovaného klíče.
    Na stanici v režimu nastavení IP telefonu označíme, že chceme do telefonu nainstalovat certifikát LSC a instalace proběhne úspěšně, pokud je na telefonu zadán autentizační klíč, který jsme definovali jako 12345 (obr. 14). .


    Obr.14 Režim nastavení CAPF na telefonu

    Přejdeme do režimu nastavení telefonu a zadáme náš klíč (obr. 15):


    Obr.15 Autentizační klíč pro instalaci LSC

    Poté byla instalace certifikátu LSC do telefonu úspěšná (obr. 16):


    Obr.16 Nastavení zabezpečení na IP telefonu

    Zvláštností použití certifikátu LSC pro autentizaci koncových zařízení je, že v případě kompromitace samotného certifikátu jej může certifikační centrum CAPF telefonní ústředny znovu podepsat novým soukromým klíčem.

    V tuto chvíli jsme tedy dosáhli zabezpečení nejen stahovaných souborů, ale také autentizace signalizačních serverů z koncových zařízení (IP telefonů), ale i samotných koncových zařízení ze strany stanice. Podívejme se nyní na zachování důvěrnosti konverzací šifrováním hlasového provozu a skrytím signalizačních informací.

    Šifrování konverzace - SRTP

    Zvažte, co výrobce aktuálně nabízí k provedení nejžádanějšího úkolu – zajištění důvěrnosti konverzací.
    Standardně veškerý signál a hlasové zprávy jsou přenášeny v čistém textu, jak je znázorněno na obrázku 17:


    Obr.17 otevřít zprávu SIP

    Secure Real Time Protocol (SRTP)- Jedná se o speciálně vyvinutý RTP protokol určený pro přenos hlasu a videa, doplněný však o mechanismy pro zajištění důvěrnosti a integrity přenášených informací nejen prostřednictvím RTP, ale i RTCP. Hlasová aplikace které podporují SRTP, musí před odesláním přes síť převést pakety RTP na SRTP. Opačná operace musí být provedena na přijímací straně. Architektura SRTP definuje dva typy klíčů: hlavní klíč a klíč relace (pro šifrování a ověřování) (obrázek 18). SRTP však neupravuje pořadí výměny hlavního klíče, pro tyto účely je nutné použít TLS nebo IPSec. Pro výměnu klíčů je standardizovaným řešením pro SRTP MIKEY (Multimedia Internet Keying), ale lze použít i protokoly jako SDES a ZRTP.


    Obr.18 Uskutečnění hovoru pomocí SRTP

    Proces zasílání zpráv SRTP:

    • Telefon a server si vyměňují certifikáty;
    • Telefon a server se vzájemně ověřují;
    • Telefon generuje klíče TLS pro ověřování SHA a pro šifrování AES;
    • Telefon zašifruje klíče veřejným klíčem stanice a odešle. Stanice dešifruje pomocí svého soukromého klíče;
    • Stanice si vymění TLS klíče s každým z telefonů a přejde k zabezpečené výměně telefonních signalizačních zpráv (telefon volaného účastníka zazvoní);
    • Stanice generuje klíče relace pro SRTP SHA autentizaci a SRTP AES šifrování;
    • Stanice distribuuje klíče relace do obou telefonů prostřednictvím zabezpečeného signalizačního spojení;
    • Telefony si začnou vyměňovat hlasový provoz přes zabezpečené SRTP spojení (volaný zvedne telefon).
    Povolení šifrování a ověřování na zařízení Cisco je řízeno bezpečnostními profily. Vypadá to takto (obr. 19):


    Obrázek 19 Profil zabezpečení v aplikaci Cisco CallManager

    V něm určíme, v jakém režimu se budou koncová zařízení (telefony) registrovat a pracovat. Když je vybrána možnost Bez zabezpečení, nejsou šifrována ani signalizační data, ani hlas; Authenticated - signalizační zprávy jsou zašifrovány, ale hlas není zašifrován; Šifrováno – šifruje se signalizace i hlas. Můžete zvolit šifrování konfiguračních dat. Po vytvoření profilu je potřeba jej přiřadit k telefonu (obr. 20).


    Obrázek 20 Profil zabezpečení telefonu v aplikaci Cisco CallManager

    V tuto chvíli jsme zvažovali hlavní body v zabezpečení IP telefonie, které nám umožňují bojovat proti hlavním hrozbám telefonování, ale to je pouze špička ledovce celé bezpečnosti hlasové infrastruktury) Samostatně je nutné vzít v úvahu fyzické zabezpečení infrastruktury (například zde: GOST R ISO / IEC 17799-2005 Praktická pravidla manažerské informační bezpečnosti) a samostatné téma lze věnovat zabezpečení sítě. Doufám, že ti, kteří dočetli článek až do konce, s ním byli spokojeni a informace byly užitečné.
    Jste připraveni odpovědět na jakékoli dotazy e-mailem: [e-mail chráněný]
    Podporováno projektem network-class.net

    Vzhledem k tomu, že technologie VoIP je založena na technologii IP a využívá internet, zdědí také všechny její zranitelnosti. Důsledky těchto útoků, znásobené zranitelnostmi, které vyplývají z architektury sítí VoIP, nás nutí přemýšlet o způsobech zvýšení ochrany a pečlivě analyzovat stávající síť IP. Navíc přidání jakékoli nové služby, např. hlasová pošta do nedostatečně chráněné infrastruktury může vyvolat vznik nových zranitelností.

    Rizika a zranitelná místa zděděná ze sítí IP.

    Špatný web design

    Nevhodně navržená síť může vést k velkému množství problémů spojených s používáním a zajištěním potřebného stupně informační bezpečnosti ve VoIP sítích. Firewally jsou například zranitelností v síti, protože pro správnou funkci VoIP sítě je třeba otevřít další porty a firewally jiné než VoIP mohou jednoduše ponechat dříve používané porty otevřené i po ukončení hovorů.

    Zranitelné IP PBX a brány

    Pokud útočník získá přístup k bráně nebo ústředně, získá také přístup k zachycení celých relací (ve skutečnosti možnost poslechu hovoru), zjištění hovoru a parametrů sítě. Bezpečnosti ústředny by proto měla být věnována největší pozornost. Ztráty z takových průniků mohou dosáhnout značných částek.

    Útoky na přehrání paketů

    Útok přehráním paketů může být proveden v síti VoIP opakovaným přenosem série platných paketů, aby přijímací zařízení znovu zpracovalo informace a přeneslo pakety s odezvou, které lze analyzovat pro falšování paketů a získání přístupu k síti. Například, i když jsou data šifrována, je možné, aby uživatel uživatele opakoval paket s přihlašovacím jménem a heslem a získal tak přístup do sítě.

    Rizika a slabá místa specifická pro sítě VoIP

    Spoofing a maskování balíčku
    Spoofing pakety s nesprávnou zdrojovou IP adresou lze použít k následujícím účelům:

    Předávání paketů do jiné sítě nebo systému

    Zachycování dopravy a útok typu man-in-the-middle (obrázek níže)

    • Přestrojení pro důvěryhodné zařízení - "Přenesení odpovědnosti" za útok na jiné zařízení
    • Fuzzing- Zatěžování systému pakety s neúplně správnými informacemi, což způsobuje chyby v systému při jejich zpracování, jako jsou zpoždění v provozu, úniky informací a kompletní selhání systému
    • Skenování možných zranitelností- Skenování portů může útočníkovi poskytnout počáteční data k provedení plnohodnotného útoku, jako jsou modely operačního systému, typy používaných služeb a aplikací. Když je nalezena zranitelná služba, útočník může získat přístup ke kontrole nad celou sítí a v důsledku toho příležitost způsobit velké škody.
    • Nízká spolehlivost ve srovnání s tradičními sítěmi- Za účelem dosažení vysoce kvalitní komunikace mají pakety obsahující hlasový a video provoz vysokou prioritu v mechanismech QoS (Quality of Service). Spolehlivost VoIP a datových sítí však bývá 99,9 %, což je méně než spolehlivost tradičních telefonní sítě, u kterých tento parametr bývá 99,999 %. Rozdíl samozřejmě není tak velký, ale za rok se tento rozdíl promítá do dalších 8,7 hodin, během kterých systém nefunguje. Ale musíte pochopit, že to nemůže ublížit každému podniku.
    • Útoky DDoS (Distributed Denial of Service).- Útoky DoS A DDoS dojít, když útočník odešle extrémně velké objemy náhodných zpráv na jedno nebo více VoIP zařízení z jednoho nebo více míst (DoS a DDoS). Útok na více místech se používá pomocí "zombie" - kompromitovaných serverů a pracovních stanic, které automaticky odesílají škodlivé požadavky podle potřeb útočníka. Takový útok je považován za úspěšný v okamžiku, kdy počet požadavků překročí výpočetní výkon objekt, což má za následek odmítnutí služby pro koncové uživatele.

    Systémy VoIP jsou vůči takovým útokům obzvláště zranitelné, protože mají v technologii QoS vysokou prioritu a vyžadují menší provoz k narušení jejich provozu než konvenční datové sítě. Příkladem útoku DoS proti síti VoIP je útok s vícenásobným sestavením nebo zrušením signalizace, který se také nazývá útok SIP CANCEL DoS.


    • CID spoofing- Jeden typ útoku falešného paketu je založen na manipulaci s ID volajícího (Caller ID nebo CID), které se používá k identifikaci volajícího před odpovědí. Útočník může tento identifikátor nahradit textovým řetězcem nebo telefonním číslem a může být použit k provádění různých akcí, které poškozují síť nebo vlastníka podniku. Kromě toho v sítích VoIP neexistuje způsob, jak tento identifikátor skrýt, protože telefonní čísla jsou obsažena v hlavičkách paketů v protokolu SIP. To umožňuje útočníkovi se snickerem paketů, jako je tcpdump, zjistit telefonní čísla, i když jsou poskytovatelem služby nastavena jako „soukromá“.
    • Závěr- Využití IP-telefonie přináší obrovské množství výhod pro každou organizaci - Řešení na bázi VoIP jsou škálovatelnější, snadno se integrují a jejich cena je nižší než u klasických řešení. Každá organizace implementující řešení VoIP by si toho měla být vědoma možné hrozby a vynaložit veškeré úsilí ke zvýšení stupně bezpečnosti informací v síti. Bylo uvedeno pouze několik metod útoku, ale je třeba si uvědomit, že se často používají kombinace útoků a téměř denně vznikají nové útoky. Již nyní je ale jasné, že tato technologie je budoucností a je nepravděpodobné, že v dohledné době ustoupí jiné technologii.

    Systém IP telefonie musí poskytovat dvě úrovně zabezpečení: systém a volání.

    K zajištění bezpečnosti systému se používají následující funkce:

    Prevence neoprávněného přístupu k síti pomocí sdíleného kódového slova. Kódové slovo je současně vypočítáno standardními algoritmy na iniciačním a koncovém systému a získané výsledky jsou porovnány. Když je navázáno spojení, každý ze dvou systémů IP telefonie nejprve identifikuje druhý systém; v případě alespoň jednoho negativního výsledku je spojení ukončeno.

    • Přístupové seznamy, které zahrnují všechny známé brány IP telefonie.
    • Nahrávání odepření přístupu.
    • Bezpečnostní funkce přístupového rozhraní, včetně kontroly uživatelského ID a hesla s omezením přístupu pro čtení/zápis, kontrola přístupových práv ke speciálnímu WEB serveru pro administraci.
    • Funkce zabezpečení hovorů, včetně ověření ID uživatele a hesla (volitelné), stavu uživatele, profilu volajícího.

    Když brána komunikuje s jinou bránou ve své zóně, je volitelně ověřeno ID uživatele a heslo. Uživatel může být kdykoli zbaven práva na přístup.

    Při vývoji protokolu IP skutečně nebyla věnována náležitá pozornost otázkám bezpečnosti informací, ale postupem času se situace změnila a moderní aplikace založené na IP obsahují dostatek ochranných mechanismů. A řešení v oblasti IP telefonie nemohou existovat bez implementace standardní technologie autentizace a autorizace, kontrola integrity a šifrování atd. Pro přehlednost budeme tyto mechanismy uvažovat tak, jak se používají v různých fázích organizace telefonní rozhovor, počínaje zvednutím sluchátka a konče signálem ukončení.

    1. Telefonní přístroj.

    V IP telefonii, než telefon vyšle signál k navázání spojení, musí účastník zadat své ID a heslo pro přístup k zařízení a jeho funkcím. Taková autentizace vám umožní zablokovat jakékoli akce cizích lidí a nemusíte se bát, že ostatní uživatelé zavolají na vaše náklady do jiného města nebo země.

    2. Navázání spojení.

    Po vytočení čísla je spojení signalizováno příslušnému serveru pro řízení hovorů, kde je provedena řada bezpečnostních kontrol. V první řadě se ověřuje pravost samotného telefonu – jak pomocí protokolu 802.1x, tak pomocí certifikátů založených na veřejných klíčích integrovaných do infrastruktury IP telefonie. Tato kontrola umožňuje izolovat neautorizované IP telefony nainstalované v síti, zejména v síti s dynamickým adresováním. Jevy podobné notoricky známým vietnamským callcentrům jsou v IP telefonii prostě nemožné (samozřejmě za dodržení pravidel pro budování zabezpečené telefonní sítě).

    Věc se však neomezuje pouze na autentizaci telefonu - je nutné zjistit, zda má účastník právo volat na jím vytočené číslo. Nejedná se ani tak o ochranný mechanismus, jako spíše o opatření pro předcházení podvodům. Pokud firemní technik nemůže použít dálkovou komunikaci, pak je odpovídající pravidlo okamžitě zaznamenáno v systému řízení hovorů a bez ohledu na to, z jakého telefonu je takový pokus učiněn, bude okamžitě zastaven. Můžete také určit masky nebo rozsahy. telefonní čísla na které je konkrétní uživatel oprávněn volat.

    V případě IP telefonie jsou problémy s komunikací, podobné přetížení linek u analogové telefonie, nemožné: se správným návrhem sítě s redundantními připojeními nebo duplikací serveru pro řízení hovorů se selhání prvků infrastruktury IP telefonie nebo jejich přetížení nezmění. nepříznivě ovlivnit fungování sítě.

    3. Telefonický rozhovor.

    V IP telefonii se od počátku počítalo s řešením problému ochrany proti odposlechu. Vysoká úroveň důvěrnosti telefonické komunikace je zajištěna osvědčenými algoritmy a protokoly (DES, 3DES, AES, IPSec atd.) s téměř nulovými náklady na organizaci takové ochrany - všechny potřebné mechanismy (šifrování, kontrola integrity, hash, výměna klíčů atd.) ) jsou již implementovány v prvcích infrastruktury od IP telefonu až po systém řízení hovorů. Současně lze ochranu aplikovat se stejným úspěchem jak pro interní vyjednávání, tak pro externí (v druhém případě musí všichni účastníci používat IP telefony).

    S šifrováním je však spojena řada problémů, které je třeba mít na paměti při implementaci infrastruktury VoIP. Za prvé dochází k dodatečnému zpoždění kvůli šifrování/dešifrování a za druhé se zvyšují režijní náklady v důsledku prodlužování délky přenášených paketů.

    4. Neviditelná funkčnost.

    Dosud jsme uvažovali pouze o těch nebezpečích, kterým je tradiční telefonie vystavena a která lze eliminovat zavedením IP telefonie. Přechod na protokol IP s sebou ale přináší řadu nových hrozeb, které nelze ignorovat. Naštěstí již existují dobře zavedená řešení, technologie a přístupy k ochraně před těmito hrozbami. Většina z nich nevyžaduje žádné finanční investice, protože jsou již implementovány do síťového vybavení, které je základem jakékoli infrastruktury IP telefonie.

    Nejjednodušší věc, kterou lze udělat pro zvýšení bezpečnosti telefonních hovorů, když jsou přenášeny přes totéž kabelový systém jako běžná data je segmentovat síť pomocí technologie VLAN, aby se eliminovala možnost odposlouchávání konverzací běžnými uživateli. Dobré výsledky poskytuje použití samostatného adresního prostoru pro segmenty IP telefonie. A samozřejmě byste neměli ignorovat pravidla řízení přístupu na směrovačích (Access Control List, ACL) nebo firewallech (firewall), jejichž použití znesnadňuje útočníkům připojení k hlasovým segmentům.

    5. Komunikace s vnějším světem.

    Ať už IP-telefonie poskytuje jakékoli výhody v rámci interní podnikové sítě, budou neúplné bez možnosti volat a přijímat hovory na pevná čísla. V tomto případě zpravidla nastává problém přeměny IP provozu na signál přenášený přes veřejnou komutovanou telefonní síť (PSTN). Řeší se to pomocí speciálních hlasových bran (voice gateway), které také implementují některé ochranné funkce, z nichž nejdůležitější je blokování všech protokolů IP telefonie (H.323, SIP atd.), pokud jejich zprávy přicházejí z nehlasový segment.

    K ochraně prvků hlasové infrastruktury před možnými neoprávněnými vlivy lze využít specializovaná řešení - firewally (ITU), brány aplikační vrstvy (Application Layer Gateway, ALG) a hraniční kontroléry relací (Session Border Controller). Zejména protokol RTP používá dynamické porty UDP, jejichž otevření na firewall vede k zející díře v obraně. Firewall tedy musí dynamicky určit porty používané pro komunikaci, otevřít je v okamžiku připojení a po jeho dokončení zavřít. Další funkcí je, že řada protokolů, jako je SIP, umísťuje informace o parametrech připojení nikoli do hlavičky paketu, ale do těla dat. Proto musí být zabezpečovací zařízení schopno analyzovat nejen hlavičku, ale také datové tělo paketu a izolovat z něj všechny informace nezbytné pro organizaci hlasového spojení. Dalším omezením je obtížnost kombinace dynamických portů a NAT.

    Přečtěte si více: