• VoIP'de bilgi güvenliği. IP telefon güvenliği: kurumsal IP ağları için maksimum koruma

    Operatörlerin, bu tür ağların güvenlik seviyesinin düşük olduğunu düşünerek, IP telefon kullanımı konusunda endişeli oldukları günler geride kaldı. Bugün, IP telefonun telefon iletişiminde bir tür fiili standart haline geldiğini şimdiden söyleyebiliriz. Bunun nedeni, analog iletişim ile karşılaştırıldığında IP telefonun kolaylığı, güvenilirliği ve nispeten düşük maliyetidir. IP-telefonun iş verimliliğini artırdığı ve çeşitli iş uygulamalarıyla entegrasyon gibi daha önce erişilemeyen işlemlere izin verdiği iddia edilebilir.

    IP telefonunun eksiklikleri ve güvenlik açıkları hakkında konuşursak, her şeyden önce, IP protokolünü kullanan diğer hizmetlerin muzdarip olduğu aynı "hastalıkları" not etmeliyiz. Bunlar solucan ve virüs saldırılarına yatkınlık, DoS saldırıları, yetkisiz uzaktan erişim vb. Bir IP telefon altyapısı oluştururken, bu hizmetin genellikle ses dışı verilerin "gittiği" ağ bölümlerinden ayrılmasına rağmen, bu bir güvenlik garantisi değildir. Bugün, çok sayıda şirket, IP telefonu diğer uygulamalarla entegre etmektedir. e-posta. Bu şekilde bir yandan ek kolaylıklar ortaya çıkarken diğer yandan da yeni güvenlik açıkları ortaya çıkıyor. Ek olarak, bir IP telefon ağının çalışması, destek sunucuları, anahtarlar, yönlendiriciler, güvenlik duvarları, IP telefonlar vb. gibi çok sayıda bileşen gerektirir. Aynı zamanda, işlemi desteklemek için genellikle uzmanlaşmamış işletim sistemleri kullanılır. bir IP ağının Örneğin, çoğu IP PBX, teorik olarak bu sistemlere özgü tüm güvenlik açıklarına sahip geleneksel ve iyi bilinen işletim sistemleri (Windows veya Linux) üzerine kuruludur.

    Bazı IP PBX'ler, kendi güvenlik açıkları olan DBMS ve web sunucularını kullanır. Ve evrensel bir işletim sistemi veya protokol yığını için iyi bilinen koruma araçlarını - antivirüsler, kişisel güvenlik duvarları, saldırı önleme sistemleri vb. güvenlik seviyesi.

    IP telefon ağının maruz kaldığı başlıca tehditler arasında şunlar yer alır:

    • masrafları başkasına ait olmak üzere arama yapmanıza izin veren bir başkasının terminalinin kaydı;
    • abone değişikliği;
    • ses veya sinyal trafiğinde değişiklik yapmak;
    • ses trafiğinin kalitesinde azalma;
    • ses veya sinyal trafiğinin yeniden yönlendirilmesi;
    • ses veya sinyal trafiğinin kesilmesi;
    • sahte sesli mesajlar;
    • iletişim oturumunun sonlandırılması;
    • hizmet reddi;
    • uzak Yetkisiz Erişim IP telefon altyapısının bileşenlerine;
    • IP telefonundaki yazılımın yetkisiz olarak güncellenmesi (örneğin, bir Trojan veya casus yazılım enjekte etmek için);
    • faturalandırma sisteminin hacklenmesi (operatör telefonu için).

    bu tüm liste değil olası problemler IP telefon kullanımı ile ilişkili. VoIP Security Alliance (VOIPSA), teknik tehditlere ek olarak IP telefon yoluyla şantaj, spam vb. içeren IP telefona yönelik çok çeşitli tehditleri açıklayan bir belge geliştirmiştir.

    Yine de, IP telefonun ana güvenlik açığı, dişleri geren insan faktörüdür. Bir IP telefon ağını kurarken güvenlik sorunu genellikle arka plana atılır ve bir çözüm seçimi güvenlik uzmanlarının katılımı olmadan gerçekleşir. Ek olarak, uzmanlar, uygun koruma mekanizmalarına sahip olsa veya sizin için tasarlanmamış koruma araçları satın alsanız bile çözümü her zaman doğru şekilde yapılandırmaz. verimli işleme ses trafiği (örneğin, güvenlik duvarları, IP telefon çözümünde kullanılan tescilli sinyalleşme protokolünü anlamayabilir). Nihayetinde kuruluş, dağıtılan çözümü korumak veya güvensizliğine katlanmak için ek mali ve insan kaynakları harcamak zorunda kalır.

    Ne inşa etmek?

    IP telefon ağı ne kadar güvenli olursa, böyle bir ağda hacklenme ve suistimal edilme olasılığının o kadar az olduğu bir keşif olmayacaktır. Kulağa basmakalıp gelecek, ancak güvenliği zaten bir IP telefon projesi hazırlama aşamasında düşünmek gerekiyor ve bu aşamada ağda hangi koruma mekanizmalarının kullanılmasının daha uygun olduğu konusunda anlaşmaya varmak gerekiyor. Bir dizi yerleşik mekanizma mı olacak? Veya belki de bu IP ağının işleyişinin özellikleri, ek ve "monte edilmiş" koruma araçlarına ihtiyaç duyulacak şekildedir?

    Yönetilebilirlik ve performans açısından, tüm koruma bileşenlerinin ağın kendi öğelerine yerleştirildiği böyle bir IP telefon mimarisi en çok tercih edileni gibi görünüyor. Kullanmadan bir IP telefon ağı düşünürsek ek fonlar koruma, daha sonra yerleşik kullanarak ağ anahtarları savunma mekanizmaları, çevreye yönelik saldırılara karşı nispeten istikrarlı bir savunma inşa etmeyi başarmak mümkündür. Yerleşik işlevsellik şunları sağlamanıza olanak tanır:

    • anahtarların yerleşik yeteneklerini kullanarak sanal yerel alan ağları (VLAN'lar) oluşturma yeteneği;
    • yerleşik filtreleme ve erişim kontrol mekanizmalarının kullanımı;
    • DoS saldırılarını etkili bir şekilde bastırabilecek garantili bant genişliğini sınırlamak ve sunmak;
    • aynı bağlantı noktasına bağlı farklı MAC adreslerine sahip cihazların sayısını sınırlamak;
    • DHCP hizmetinin adres havuzunun tüketimine yönelik saldırıların önlenmesi;
    • ARP tablolarının tıkanmasının ve adres "hırsızlığının" önlenmesi;
    • anonim adreslerden gelen saldırıların önlenmesi;
    • IP telefonlara veri iletebilen düğümlerin adreslerini kısıtlayan erişim kontrol listelerinin kullanılması.

    Ek olarak, özel olarak ayrılmış bir ağa bağlanabilen, IP ağ mimarisine yerleşik bir çağrı kontrol sistemi yerel ağ izole edilmiş çalışan ağ korumada ek bir "sınır" teşkil eder. Dezavantajlar arasında, ağ ekipmanına yerleşik koruyucu işlevlerin her zaman yeterli düzeyde güvenlik sağlamaması ve bunu yükseltmek için ekipman yükseltmelerine ek yatırımların gerekebilmesi yer alır.

    Temelinde IP protokolünün kullanılmasına rağmen, IP telefon geleneksel çözümlerle her zaman yeterince korunamaz. Bunun nedeni, gerçek zamanlı trafik iletimi, kalite kontrol ve trafik gibi özelliklerini dikkate almamalarıdır. uygulama katmanı vb. İdeal olarak, IP telefon uygulamaları ve bunların güvenliği ayrılmaz bir şekilde bağlantılı olduğunda ve ağ altyapısı da dahil olmak üzere tek bir platforma entegre edildiğinde. Bu, korumanın etkinliğini artırmanıza ve bunun için maliyetleri azaltmanıza olanak tanır. Aksi takdirde, dört bağımsız veya neredeyse örtüşmeyen altyapı oluşturmanız gerekir: LAN, IP telefon ağı, LAN güvenliği ve IP telefon güvenlik altyapısı.

    Özel güvenlik duvarlarının kullanılması, örneğin trafiği bağlantının durumuna göre filtreleyerek IP telefon ağının güvenliğini önemli ölçüde artırır ( durum denetimi), yalnızca belirli bir yönde (sunucudan istemciye veya tersi) kurulan gerekli trafik ve bağlantıların geçmesine izin verir. Ek olarak, güvenlik duvarı şunları sağlar:

    • IP-telefon bağlantılarının kurulmasının trafik yönetiminin filtrelenmesi;
    • yönetim trafiğinin NAT ve ağ tünelleri aracılığıyla iletilmesi;
    • Bir dizi hizmet reddi (DoS) saldırısına karşı savunma yapmanızı sağlayan TCP oturumlarını kapatmak için kontroller sağlayan TCP müdahalesi.

    İzinsiz giriş tespit veya önleme sistemi gibi ek güvenlik araçları kullanması gereken bir ağ tasarlarken, heterojen bir IP ağını yönetme sorunu her zaman çözülemeyeceğinden, bu tür araçların üreticisinin seçimine özel dikkat gösterilmelidir. verimli, hızlı ve neredeyse her zaman ciddi ek yatırımlar gerektirir.

    Cihazların desteği ve yönetimi bu durumda merkezi olarak ve daha düşük bir maliyetle gerçekleştirilebileceğinden, ağın halihazırda ekipmanı üzerinde çalıştığı üreticinin seçilmesi tercih edilir.

    Dinleme koruması

    Sanal LAN'lar, telefon dinleme riskini bir dereceye kadar azaltır, ancak konuşma paketlerinin analizör tarafından yakalanması durumunda, konuşmanın kaydını geri yüklemek bir uzman için basit bir meseledir. Çoğunlukla, VLAN'lar dış izinsiz girişlere karşı koruma sağlayabilir, ancak ağ içinden başlatılan bir saldırıya karşı koruma sağlayamayabilirler. Ağ çevresi içindeki bir kişi, bir bilgisayarı doğrudan bir duvar prizine bağlayabilir, onu bir IP telefon sisteminin VLAN öğesi olarak yapılandırabilir ve bir saldırı başlatabilir.

    Bu tür bir manipülasyona karşı koymanın en gelişmiş yolu, yerleşik şifrelemeye sahip IP telefonları kullanmaktır. Ayrıca, ek koruma telefonlar ve ağ geçitleri arasında trafik şifrelemesi sağlar. Bugün Avaya, Nortel ve Cisco gibi hemen hemen tüm sağlayıcılar yerleşik şifreleme sunar. bilgi akışı ve alarmlar. Trafik şifreleme, konuşmalara karşı korunmak için en mantıklı çözümdür, ancak bu tür işlevsellik, güvenli bir bağlantı kurarken dikkate alınması gereken bir dizi zorluğu da beraberinde getirir. Ana sorun, trafiğin şifrelenmesi ve şifresinin çözülmesi sürecinin eklediği gecikme olabilir. Yerel bir ağda çalışırken, kural olarak böyle bir sorun kendini hissettirmez, ancak coğrafi olarak dağıtılmış bir ağ üzerinden iletişim kurarken rahatsızlığa neden olabilir. Ayrıca uygulama katmanında oluşan sinyal şifreleme güvenlik duvarlarının çalışmasını zorlaştırabilir. Akış şifreleme durumunda, gecikmeler, blok şifreler kullanıldığında olduğundan çok daha düşüktür, ancak bunlardan tamamen kurtulmak mümkün olmayacaktır. Sorunun çözümü daha fazla olabilir hızlı algoritmalar veya QoS mekanizmalarının şifreleme modülüne dahil edilmesi.

    QoS

    Genel olarak QoS mekanizmalarının temel amacının ( hizmet kalitesi) - uygun iletişim kalitesinin sağlanması. Ama onların oynadığını unutma. Önemli rol ve güvenlik sorunlarını çözmede. Mantıksal olarak ayrı VLAN'lardan gelen ses ve veriler aynı fiziksel bant genişliğini kullanır. Bir ana bilgisayara bir virüs veya solucan bulaştığında, ağ trafikle dolup taşabilir. Ancak, uygun şekilde yapılandırılmış QoS mekanizmaları kullanılırsa, IP telefon trafiği, paylaşılan fiziksel kanallara göre öncelikli olmaya devam edecek ve DoS saldırısı başarısız olacaktır.

    Telefonların ve yönetim sunucularının değiştirilmesine karşı koruma

    IP telefonunun birçok öğesi, saldırganların bunu kendi amaçları için kullanmasına izin veren dinamik adreslemeye sahiptir. Bir IP telefonu, çağrı kontrol sunucusu vb. kimliğine bürünebilirler. Yönlendiriciler ve güvenlik duvarları üzerindeki erişim kontrol kuralları, kendilerini yetkili IP telefonları olarak göstermeye çalışan veya ağ altyapısına yetkisiz olarak bağlanan cihazlara karşı koruma sağlamak için kullanılabilir. Ek olarak, IP telefon altyapısının tüm aboneleri için güçlü kimlik doğrulama olanakları yararlı olabilir. Abonelerin kimliğini doğrulamak için RADIUS, PKI x.509 sertifikaları vb. dahil olmak üzere çeşitli standartlaştırılmış protokoller kullanılabilir.

    DoS koruması

    IP telefon uygulamalarına (örneğin çağrı işleme sunucuları) ve veri aktarım ortamına yönelik hizmet reddi saldırıları oldukça ciddi bir sorundur. Veri iletim ortamına yönelik saldırılardan bahsedersek, IP telefonunda veri iletiminden genellikle RTP protokolünün sorumlu olduğunu not ederiz ( Gerçek Zamanlı Protokol). Ağı paketlerle aşırı yükleyen veya son cihaz (telefon veya ağ geçidi) tarafından paketlerin işlenmesini yavaşlatan herhangi bir saldırıya karşı savunmasızdır. Bu nedenle, bir saldırganın ağı "çekmesi" yeterlidir. büyük miktar Meşru RTP paketleriyle rekabet edecek RTP paketleri veya yüksek öncelikli hizmet paketleri. Bu durumda, koruma için ağ ekipmanında yerleşik olan mekanizmaları kullanabilirsiniz. bilgi Güvenliği ve ek çözümler:
    • ayrılma Şirket ağı DoS dahil yaygın saldırıların "ses" bölümünde görünmesini önleyen örtüşmeyen ses ve veri iletimi segmentlerinde;
    • şirket ağının çevresini ve bireysel segmentlerini koruyan yönlendiriciler ve güvenlik duvarları hakkında özel erişim kontrol kuralları;
    • çağrı kontrol sunucusunda ve PC'de sesli uygulamalarla saldırı önleme sistemi;
    • DoS ve DDoS saldırılarına karşı özel koruma sistemleri;
    • için özel ayarlar ağ ekipmanı adres sahtekarlığını önleyen ve bant genişliğini sınırlayan, saldırıya uğrayan kaynakların büyük bir işe yaramaz trafik akışı tarafından devre dışı bırakılmasına izin vermeyen.

    IP Telefonları Koruma

    IP telefonlar, bunlara yetkisiz erişimi önleyen bir dizi özel ayar içerir. Bu tür ayarlar, örneğin, yalnızca bir kimlik ve parola sunduktan sonra telefon işlevlerine erişim veya yerel ayar değişikliklerinin yasaklanması vb. içerir. Yetkisiz değişikliklerin IP telefona indirilmesini önlemek için yazılım ve yapılandırma dosyaları, bunların bütünlüğü dijital imza ve X.509 sertifikaları ile kontrol edilebilir.

    IP telefon ağında dolandırıcılık koruması

    IP telefon ağında karşılaşılan başlıca dolandırıcılık türleri arasında hizmet hırsızlığı, sahte aramalar, ödemeyi reddetme ve diğer türler sayılabilir. BT altyapısı yönetim sunucusunun yeteneklerini kullanarak kendinizi IP telefon ağlarında dolandırıcılıktan koruyabilirsiniz. Böylece, her abone için belirli numara gruplarına yapılan aramaları engelleyebilirsiniz; istenmeyen numaralardan gelen aramaları engelle; çağrı yönlendirmeyi engelle Çeşitli tipler numaralar - şehir, mobil, şehirlerarası ve uluslararası; aramaları çeşitli parametrelere göre filtreleyin. Tüm eylemler ne olursa olsun gerçekleştirilebilir telefon seti abone bir arama yapar - bu, IP telefona erişen her abonenin kimliğinin doğrulanmasıyla gerçekleştirilir. Kullanıcı kimlik doğrulama sürecinden geçmezse, yalnızca önceden tanımlanmış bir numaralar listesini, örneğin yalnızca dahili telefon numaralarını ve acil durum belediye hizmetlerini arayabilir.

    IP telefonda standartlar

    Günümüzde SIP, güvenlik yerine özellik geliştirmeye odaklanan birçok SIP özellikli cihaz geliştiricisi ile H.323'ün yerini alıyor. Çeşitli güvenlik mekanizmalarını tanımlayan H.235 spesifikasyonunun geliştirildiği H.323 standardının aksine, SIP protokolü pratik olarak herhangi bir ciddi koruyucu işlevden yoksundur. Bu, birçok uzmanın SIP protokolüyle ilişkilendirdiği IP telefonun bulutsuz geleceği konusunda şüphe uyandırıyor. Temmuz 2005'te kurulan ve IP telefonun güvenliğini test etmek için araştırma yapmayı, farkındalığı artırmayı, eğitmeyi ve ücretsiz yöntemler ve araçlar geliştirmeyi amaçlayan IP Telefon Güvenlik Birliği'ne biraz umut bağlanıyor. Ancak şimdiye kadar, bu ittifakın çalışmalarının tek sonucu, IP telefonundaki saldırıların ve güvenlik açıklarının bir taksonomisinin oluşturulması oldu.

    Çözüm

    Sonuç olarak, etkili bir IP telefon güvenlik sisteminin ana varsayımının, tasarım aşamasında böyle bir ağın koruma sisteminin, özelliklere uyumu en üst düzeye çıkarmak için nasıl inşa edileceğini düşünmek olduğunu bir kez daha belirtmek isterim. Organizasyondaki IP iletişimi. IP telefonunun bir IP ağında çalışan bir uygulama olduğunu ve IP ağını bir bütün olarak korumaya yönelik yeterli önlemlerin, bir saldırganı dinlemeyi organize etme, DoS saldırıları gerçekleştirme ve ağ kaynaklarını IP'de boşluklar olarak kullanma gibi ek fırsatlardan mahrum bıraktığını unutmamalıyız. telefon ağı.

    Bir IP telefon ağının güvenliğini sağlamak için birincil gereksinimler arasında, ses ve normal verileri ayırma ihtiyacı vardır. Yani IP telefon, diğer verilerin VLAN'lar kullanılarak iletildiği ağdan ayrılmalıdır. Segmentasyon, dahili ağdan kaynaklananlar da dahil olmak üzere saldırıları ve kötüye kullanımı önleyen ek bir sınır oluşturmanıza olanak tanır. Ek olarak, bir IP telefon ağı tasarlarken, yeterli bant genişliği sağlamak önemlidir ve IP telefon trafiğine öncelik vermek için QoS mekanizmalarını kullanmayı unutmayın.

    Ve son olarak, IP telefonunun çalışmasının özelliklerine odaklanan koruma araçlarının kullanılması, IP trafiğinin koruma araçları tarafından "yanlış anlaşılması" gibi yalnızca oluşturulan ağın güvenliğindeki "deliklerden" kaçınmaya yardımcı olmayacak, aynı zamanda ek mevcut ekipmanı yükseltmek veya yenilerini satın almak için finansal maliyetler koruyucu cihazlar.

    IP telefonun güvenliği hakkında çok ilginç bir makale linkmeup.ru sitesinde yayınlandı. Yazardan tabiri caizse değişiklik yapmadan yaydık.

    =======================

    Merhaba meslektaşlar ve arkadaşlar, ben, Vadim Semenov, network-class.net proje ekibiyle birlikte, IP telefondaki ana eğilimlere ve tehditlere ve en önemlisi şu koruma araçlarına değinen bir inceleme makalesini dikkatinize sunuyoruz. şu anüretici tarafından bir koruma olarak sunulur (güvenlik uzmanlarının dilinde, üreticinin gayri meşru kişilerin yararlanabileceği güvenlik açıklarını azaltmak için hangi araçları sunduğuna bakalım). Yani, daha az kelime - hadi işe başlayalım.
    Pek çok okuyucu için, IP telefon terimi uzun zamandır oluşturulmuştur ve bu telefonun "daha iyi" olması, genel telefona (PSTN) kıyasla daha ucuz olması, çeşitli zengin Ek özellikler vesaire. Ve bu doğrudur, ancak ... kısmen. Analog (sayısal) telefondan kendi abone hatları(abonenin telefonundan istasyona veya istasyon uzantısına) ve bağlantı hatları (istasyonlar arası iletişim hattı), yalnızca telefon sağlayıcısının erişim ve kontrol bölgesinde olduğundan daha az değildi. Başka bir deyişle, orada sıradan sakinler için erişim yoktu (kablo kanallarını hesaba katmazsanız, pratikte öyle). Eski güzel hacker forumundaki bir soruyu hatırlıyorum "Bana PBX'e nasıl erişeceğimi söyleyin? - cevap: "Peki, bir buldozer alıyorsunuz - ATS binasının duvarına çarpıyorsunuz ve işte." Ve bu şakanın doğruluk payı var) Ancak telefonun ucuz bir IP ortamına taşınmasıyla birlikte, açık bir IP ortamının taşıdığı tehditleri de aldık. Edinilmiş tehdit örnekleri şunları içerir:

    • Kaydedilecek sinyal bağlantı noktalarının koklanması ücretli aramalar başkasının pahasına
    • IP ses paketlerini yakalayarak gizli dinleme
    • Çağrı dinleme, gayri meşru bir kullanıcının meşru bir kullanıcı olarak kimliğine bürünme, ortadaki adam saldırısı
    • Tüm telefonu devre dışı bırakmak için istasyonun sinyal sunucularına DDOS saldırıları
    • İstenmeyen e-posta saldırıları, tüm ücretsiz kaynaklarını almak için istasyona çok sayıda hayalet çağrının çökmesi

    Belirli bir saldırı olasılığını azaltmak için olası tüm güvenlik açıklarını ortadan kaldırmaya yönelik bariz ihtiyaca rağmen, aslında, belirli koruma önlemlerinin uygulanması, belirli bir tehdide karşı koruyucu önlemlerin uygulanmasının maliyetini dikkate alan bir programla başlamalıdır. saldırganlar tarafından bu tehdidin uygulanmasından işletmenin kayıpları. Ne de olsa, bir varlığın güvenliğine, koruduğumuz varlığın değerinden daha fazla para harcamak aptallıktır.
    Güvenlik bütçesini belirledikten sonra, şirket için en olası tehditleri ortadan kaldırmaya başlayacağız, örneğin, küçük bir kuruluşun kusurlu uzun mesafe için büyük bir fatura alması en acı verici olacak ve Uluslararası aramalar, devlete ait şirketler için ise en önemli şey görüşmeleri gizli tutmaktır. Mevcut makaledeki kademeli değerlendirmeye temel şeylerden başlayalım - bu hüküm güvenli yol servis verilerinin istasyondan telefona iletilmesi. Ardından, telefonların istasyona bağlanmadan önce kimlik doğrulamasını, istasyonun telefonların yanından kimlik doğrulamasını ve sinyal trafiğinin şifrelenmesini (kimin nerede aradığına ilişkin bilgileri gizlemek için) ve konuşma trafiğinin şifrelenmesini düşünün.
    Birçok ses ekipmanı üreticisi (Cisco Systems dahil), bir sertifika kullanılarak uç nokta kimlik doğrulamasına çağrıların yapılabileceği ip adresleri aralığının olağan sınırlamasından entegre güvenlik araçlarına zaten sahiptir. Örneğin, üretici Cisco Systems, CUCM (Cisco Unified CallManager) ürün sürümü 8.0'dan (çıkış tarihi Mayıs 2010; sürüm 10.5, Mayıs 2014 şu anda mevcuttur) sesli ürün serisiyle "Varsayılan güvenlik" işlevini entegre etmeye başladı. Neleri içerir:

    • TFTP üzerinden/TFTP'den indirilen tüm dosyaların kimlik doğrulaması ( yapılandırma dosyaları, telefonlar için üretici yazılımı dosyaları vb.)
    • Yapılandırma dosyalarının şifrelenmesi
    • HTTPS bağlantısını başlatan telefonla sertifika doğrulaması

    Bir "ortadaki adam" saldırısı örneğine bakalım, gayri meşru bir kişi, telefonun hangi istasyona kaydolması gerektiğini, hangi protokol üzerinde çalışacağını, hangi bellenimi indireceğini vb. öğrendiği telefonların yapılandırma dosyalarını ele geçirdiğinde. . Saldırgan dosyaya müdahale ederek dosyada kendi değişikliklerini yapabilir veya yapılandırma dosyasının tamamen üzerine yazabilir, böylece tüm ofis telefonlarının (şekle bakın) istasyona kaydedilmesini engelleyebilir ve sonuç olarak ofisi dosyadan mahrum bırakabilir. çağrı yapma yeteneği.

    Şekil 1 Saldırı "ortadaki adam"

    Buna karşı korunmak için, asimetrik şifreleme, ortak anahtar altyapısı ve "Varsayılan Güvenlik" bileşenleri hakkında bilgi sahibi olmamız gerekiyor; bunları şimdi karşılayacağız: Kimlik Güven Listesi (ITL) ve Güven Doğrulama Hizmeti (TVS). TVS, dahili hafızasında ITL veya CTL dosyası olmayan IP telefonlarından gelen istekleri işlemek için tasarlanmış bir hizmettir. IP telefon, erişmeye başlamadan önce belirli bir hizmete güvenebileceğinden emin olmak için gerekirse TVS ile iletişim kurar. İstasyon aynı zamanda güvenilir sunucuların sertifikalarını saklayan bir havuz görevi görür. Buna karşılık, ITL, istasyon kümesini oluşturan öğelerin ortak anahtarlarının bir listesidir, ancak TFTP sunucusunun genel anahtarının ve TVS hizmetinin genel anahtarının burada saklanması bizim için önemlidir. Telefonun ilk önyüklemesi sırasında, telefon IP adresini ve TFTP sunucusunun adresini aldığında, bir ITL dosyasının varlığını ister (Şekil 2). TFTP sunucusundaysa, körü körüne güvenerek onu dahili belleğine yükler ve bir sonraki yeniden başlatmaya kadar saklar. ITL dosyasını indirdikten sonra, telefon imzalı bir yapılandırma dosyası ister.

    Şimdi kriptografi araçlarını nasıl kullanabileceğimize bakalım - MD5 veya SHA karma işlevlerini kullanarak bir dosyayı imzalamak ve TFTP sunucusunun özel anahtarını kullanarak şifrelemek (Şekil 3). Hash fonksiyonlarının özelliği, tek yönlü fonksiyonlar olmalarıdır. Herhangi bir dosyadan alınan hash'e bağlı olarak, ters işlemi yapmak ve tam olarak orijinal dosyayı elde etmek imkansızdır. Bir dosya değiştirildiğinde, bu dosyadan elde edilen hash'in kendisi de değişir. Karmanın dosyanın kendisine yazılmadığını, sadece dosyaya eklendiğini ve onunla birlikte iletildiğini belirtmekte fayda var.

    Şekil.3 Telefon yapılandırma dosyasının imzalanması

    Bir imza oluşturulurken, yapılandırma dosyasının kendisi alınır, hash ondan çıkarılır ve TFTP sunucusunun (yalnızca TFTP sunucusunun sahip olduğu) özel anahtarıyla şifrelenir.
    alındıktan sonra verilen dosya ayarlarla, telefon başlangıçta bütünlüğü kontrol eder. Karmanın tek yönlü bir işlev olduğunu hatırlıyoruz, bu nedenle telefonun TFTP sunucusu tarafından şifrelenen karmayı yapılandırma dosyasından ayırmaktan, TFTP genel anahtarını kullanarak şifresini çözmekten başka seçeneği yoktur (IP telefonu bunu nasıl biliyor? - ancak yalnızca ITL dosyasından ), temiz bir yapılandırma dosyasından hash'i hesaplayın ve şifre çözme sırasında aldığımızla karşılaştırın. Karma eşleşirse, aktarım sırasında dosyada herhangi bir değişiklik yapılmamıştır ve telefonda güvenle uygulanabilir (Şekil 4).

    Şekil.4 IP telefon yapılandırma dosyasının kontrol edilmesi

    Telefon için imzalanmış yapılandırma dosyası aşağıda gösterilmiştir:

    Pirinç. 5 Wireshark'ta imzalanmış telefon IP dosyası

    Konfigürasyon dosyasını imzalayarak, iletilen ayarlar dosyasının bütünlüğünü sağlayabildik, ancak onu görüntülemeye karşı korumadık. Yakalanan yapılandırma dosyasından oldukça fazla şey elde edilebilir kullanışlı bilgi, örneğin, telefon santralinin ip adresi (bizim örneğimizde 192.168.1.66'dır) ve açık portlar istasyonda (2427), vb. yeterli değil mi önemli bilgi, hangisini ağda "parlamak" istemezsiniz? Bu bilgiyi gizlemek için üreticiler simetrik şifrelemenin kullanılmasını sağlar (şifreleme ve şifre çözme için aynı anahtar kullanılır). Bir durumda, anahtar telefona manuel olarak girilebilir, diğer durumda telefon yapılandırma dosyası, telefonun genel anahtarı kullanılarak istasyonda şifrelenir. Dosyayı telefona göndermeden önce, bu dosyanın bulunduğu tftp sunucusu telefonun genel anahtarını kullanarak şifreler ve kendi özel anahtarını kullanarak imzalar (böylece aktarılan dosyaların sadece gizliliğini değil bütünlüğünü de sağlarız) . Buradaki ana şey, kimin hangi anahtarı kullandığını karıştırmamak, ancak sırayla ele alalım: tftp sunucusu, dosyayı IP telefonun genel anahtarıyla şifreleyerek, yalnızca eşleştirilmiş genel anahtarın sahibinin açabilmesini sağladı. bu dosya. Dosyayı özel anahtarıyla imzalayarak, tftp sunucusu dosyayı oluşturan kişinin kendisi olduğunu doğrular. Şifreli dosya Şekil 6'da gösterilmiştir:

    Şekil.6 Şifreli telefon IP dosyası

    Bu nedenle, şu anda telefonlar için yapılandırma dosyalarımızı görüntülemeye karşı koruma ve bütünlüklerini sağlama olasılığını değerlendirdik. "Varsayılan güvenlik" özelliklerinin sona erdiği yer burasıdır. Ses trafiğinin şifrelenmesini sağlamak, sinyal bilgilerini (kimin aradığı ve nerede aranacağı hakkında) gizlemek için, aşağıda ele alacağımız güvenilir sertifikalar - CTL listesine dayalı olarak ek araçlara ihtiyaç vardır.

    Telefon santrali kimlik doğrulaması

    Bir telefonun bir telefon santrali ile iletişim kurması gerektiğinde (örneğin, sinyal alışverişi için bir TLS bağlantısını müzakere etmek için), IP telefonun santralin kimliğini doğrulaması gerekir. Tahmin edebileceğiniz gibi, bu sorunu çözmek için sertifikalar da yaygın olarak kullanılmaktadır. Şu anda, modern IP istasyonları çok sayıda öğeden oluşur: çağrı işleme için birkaç sinyal sunucusu, özel bir yönetim sunucusu (yeni telefonların, kullanıcıların, ağ geçitlerinin, yönlendirme kurallarının vb. telefonlar için yapılandırma dosyalarının ve yazılımların saklanması, beklemede müzik yayını için bir sunucu vb. ayrıca ses altyapısında sesli posta, abonenin mevcut durumunu belirlemek için bir sunucu (çevrimiçi, çevrimdışı, "öğle yemeğinde") olabilir - liste etkileyici ve en önemlisi, her sunucunun kendi imzalı sertifikası vardır ve her biri bir kök sertifika yetkilisi olarak çalışır (Şekil 7). Bu nedenle ses altyapısındaki hiçbir sunucu başka bir sunucunun sertifikasına güvenmeyecektir, örneğin ses sunucusu TFTP sunucusuna güvenmeyecektir, sesli posta sinyalleşme sunucusuna güvenmeyecektir ve ayrıca telefonların sertifikalarını depolaması gerekmektedir. sinyal trafik alışverişine katılan tüm unsurlar. Telefon santral sertifikaları Şekil 7'de gösterilmektedir.

    Şekil 7 Cisco IP Station Kendinden İmzalı Sertifikalar

    Ses altyapısında yer alan yukarıdaki unsurlar arasında güven ilişkilerinin kurulması, ses ve sinyal trafiğinin şifrelenmesi görevleri için Sertifika Güven Listesi (CTL) adı verilen devreye girmektedir. CTL, ses istasyonu kümesindeki tüm sunucuların tüm kendinden imzalı sertifikalarının yanı sıra telefon sinyal mesajlarının (örneğin, bir güvenlik duvarı) alışverişine katılanları içerir ve bu dosya, güvenilir bir sertifika yetkilisinin özel anahtarıyla imzalanır ( Şekil 8). CTL dosyası, https protokolüyle çalışırken web tarayıcıları tarafından kullanılan yüklü sertifikalara eşdeğerdir.

    Şekil.8 Güvenilir sertifikaların listesi

    Cisco ekipmanında bir CTL dosyası oluşturmak için, USB konektörlü bir PC'ye, üzerinde kurulu CTL istemci programına ve özel bir anahtar içeren Site Yöneticisi Güvenlik Simgesine (SAST) ihtiyacınız olacaktır (Şekil 9). ve bir kimlik doğrulama merkezi üreticisi (Cisco) tarafından imzalanmış bir X.509v3 sertifikası.

    Şekil 9 Cisco eToken

    CTL istemcisi, bir Windows PC'ye yüklenen ve onunla tüm telefon santralini karışık moda, yani terminal cihazlarının güvenli ve güvensiz modlarda kaydını desteklemek için karma moda aktarabileceğiniz bir programdır. İstemciyi başlatıyoruz, telefon santralinin IP adresini belirtiyoruz, yönetici kullanıcı adını / şifresini giriyoruz ve CTL istemcisi, istasyonla 2444 numaralı bağlantı noktasında bir TCP bağlantısı kuruyor (Şekil 10). Bundan sonra, yalnızca iki eylem sunulacak:

    Şekil 10 Cisco CTL İstemcisi

    CTL dosyasını oluşturduktan sonra geriye yeni oluşturulan CTL dosyasını kendilerine yüklemeleri için TFTP sunucularını yeniden başlatmak ve ardından IP telefonların da yeniden başlatılıp yeni CTL dosyasını (32 kilobayt) indirmesi için ses sunucularını yeniden başlatmak kalıyor. İndirilen CTL dosyası, IP telefon ayarlarından görüntülenebilir (Şek. 11)

    Fig.11 IP telefonda CTL dosyası

    Uç Nokta Kimlik Doğrulaması

    Yalnızca güvenilir uç cihazların bağlanıp kaydolmasını sağlamak için cihaz kimlik doğrulaması uygulanmalıdır. Bu durumda, birçok üretici zaten kanıtlanmış bir yöntem kullanır - sertifikaları kullanarak cihaz kimlik doğrulaması (Şek. 12). Örneğin, Cisco ses mimarisinde bu şu şekilde uygulanır: telefonda saklanan karşılık gelen genel ve özel anahtarlarla kimlik doğrulama için iki tür sertifika vardır:
    Üretici Tarafından Kurulan Sertifika - (MIC). Üretici tarafından yüklenen sertifika, üretici firmanın sertifika yetkilisi (Cisco) tarafından imzalanan 2048 bitlik bir anahtar içerir. Bu sertifika tüm telefon modellerinde yüklü değildir ve kuruluysa başka bir sertifikaya (LSC) sahip olmanıza gerek yoktur.
    Locally Significant Certificate - (LSC) Telefon santralinin Sertifika Yetkilisi Proxy İşlevinde (CAPF) çalışan yerel kimlik doğrulama merkezinin özel anahtarıyla imzalanan, IP telefonunun genel anahtarını içeren, yerel olarak önemli bir sertifika.
    Bu nedenle, önceden yüklenmiş bir MIC sertifikasına sahip telefonlarımız varsa, telefon istasyona her kaydolduğunda, istasyon kimlik doğrulama için üretici tarafından önceden yüklenmiş bir sertifika talep edecektir. Ancak, MIC tehlikeye girerse, üreticinin sertifikasyon yetkilisi tarafından değiştirilmesi gerekir ve bu çok zaman alabilir. Güvenliği ihlal edilmiş bir telefon sertifikasını yeniden yayınlamak için üreticinin sertifika yetkilisinin yanıt süresine bağlı kalmamak için, yerel bir sertifikanın kullanılması tercih edilir.

    Şekil 12 Uç nokta kimlik doğrulaması için sertifikalar

    Varsayılan olarak, IP telefonuna bir LSC sertifikası yüklenmez ve kurulumu, bir MIB sertifikası (varsa) kullanılarak veya yönetici tarafından manuel olarak oluşturulan bir paylaşılan anahtar kullanılarak bir TLS bağlantısı (Aktarım Katmanı Güvenliği) aracılığıyla mümkündür. istasyon ve telefona girildi.
    Yerel sertifika yetkilisi tarafından imzalanan telefonun genel anahtarını içeren yerel olarak önemli bir sertifikanın (LSC) telefona yüklenmesi işlemi Şekil 13'te gösterilmektedir:

    Şekil 13 Yerel Olarak Önemli LSC Sertifika Kurulum Süreci

    1. IP'yi indirdikten sonra telefon sorar güvenilir liste sertifikalar (CTL dosyası) ve yapılandırma dosyası
    2. İstasyon istenen dosyaları gönderir
    3. Telefon, alınan konfigürasyondan, istasyondan bir Yerel Olarak Önemli Sertifika (LSC) indirmesi gerekip gerekmediğini belirler.
    4. Telefonun, istasyonun bu IP telefonun kimliğini doğrulamak için kullanacağı bir LSC sertifikası (aşağıya bakın) yüklemesi için istasyonu ayarladıysanız, o zaman bir LSC sertifikası verme talebinin - istasyonun verdiğine dikkat etmeliyiz. amaçlanan kişiye. Bu amaçlar için MIC sertifikası (varsa) kullanabilir, her telefon için tek seferlik bir şifre oluşturup bunu telefona manuel olarak girebilir veya hiç yetkilendirme kullanmayabiliriz.
    Örnek, oluşturulan LSC kurulum sürecini gösterir.

    SEO CMS ver. tarafından desteklenmektedir: 23.1 TOP 2 (opencartadmin.com)

    Makale özellikle linkmeup için yazılmıştır.

    =======================

    Merhaba meslektaşlar ve arkadaşlar, ben, Vadim Semenov, network-class.net proje ekibiyle birlikte, IP telefondaki ana eğilimlere ve tehditlere ve en önemlisi üreticinin koruma araçlarına değinen bir inceleme makalesini dikkatinize sunuyorum. şu anda koruma olarak sunuyor (güvenlik uzmanlarının dilinde, gayri meşru kişilerin kullanabileceği güvenlik açıklarını azaltmak için üreticinin hangi araçları sunduğuna bakalım). Yani, daha az kelime - hadi işe başlayalım.
    Birçok okuyucu için, IP telefonu terimi uzun zamandır oluşturulmuştur ve bu telefonun "daha iyi" olması, genel telefona (PSTN) kıyasla daha ucuz olması, çeşitli ek işlevler açısından zengin olması vb. Ve bu doğrudur, ancak ... kısmen. Kendi abone hatlarına (abone telefonundan istasyona veya uzak istasyona) ve bağlantı hatlarına (istasyonlar arası iletişim hattı) sahip analog (sayısal) telefondan geçiş, yalnızca telefonun erişim ve kontrol bölgesinde olduğundan daha az değildi. Sağlayıcı. Başka bir deyişle, orada sıradan sakinler için erişim yoktu (kablo kanallarını hesaba katmazsanız, pratikte öyle). Eski güzel hacker forumundaki bir soruyu hatırlıyorum "Bana PBX'e nasıl erişeceğimi söyleyin? - cevap: "Peki, bir buldozer alıyorsunuz - ATS binasının duvarına çarpıyorsunuz ve işte." Ve bu şakanın doğruluk payı var) Ancak telefonun ucuz bir IP ortamına taşınmasıyla birlikte, açık bir IP ortamının taşıdığı tehditleri de aldık. Edinilmiş tehdit örnekleri şunları içerir:

    • Başkasının hesabına ücretli arama yapmak için sinyal bağlantı noktalarını koklama
    • IP ses paketlerini yakalayarak gizli dinleme
    • Çağrı dinleme, gayri meşru bir kullanıcının meşru bir kullanıcı olarak kimliğine bürünme, ortadaki adam saldırısı
    • Tüm telefonu devre dışı bırakmak için istasyonun sinyal sunucularına DDOS saldırıları
    • İstenmeyen e-posta saldırıları, tüm ücretsiz kaynaklarını almak için istasyona çok sayıda hayalet çağrının çökmesi
    Belirli bir saldırı olasılığını azaltmak için olası tüm güvenlik açıklarını ortadan kaldırmaya yönelik bariz ihtiyaca rağmen, aslında, belirli koruma önlemlerinin uygulanması, belirli bir tehdide karşı koruyucu önlemlerin uygulanmasının maliyetini dikkate alan bir programla başlamalıdır. saldırganlar tarafından bu tehdidin uygulanmasından işletmenin kayıpları. Ne de olsa, bir varlığın güvenliğine, koruduğumuz varlığın değerinden daha fazla para harcamak aptallıktır.
    Güvenlik bütçesini belirledikten sonra, şirket için en olası tehditleri ortadan kaldırmaya başlayacağız, örneğin, küçük bir kuruluş için kusurlu uzun mesafe ve uluslararası aramalar için büyük bir fatura almak en acı verici olurken, devlete ait şirketler için görüşmeleri gizli tutmak çok önemlidir. Mevcut makaledeki kademeli incelemeye temel şeylerden başlayalım - bu, servis verilerini istasyondan telefona iletmenin güvenli bir yolunun sağlanmasıdır. Ardından, telefonların istasyona bağlanmadan önce kimlik doğrulamasını, istasyonun telefonların yanından kimlik doğrulamasını ve sinyal trafiğinin şifrelenmesini (kimin nerede aradığına ilişkin bilgileri gizlemek için) ve konuşma trafiğinin şifrelenmesini düşünün.
    Birçok ses ekipmanı üreticisi (Cisco Systems dahil), bir sertifika kullanılarak uç nokta kimlik doğrulamasına çağrıların yapılabileceği ip adresleri aralığının olağan sınırlamasından entegre güvenlik araçlarına zaten sahiptir. Örneğin, üretici Cisco Systems, CUCM (Cisco Unified CallManager) ürün sürümü 8.0'dan (çıkış tarihi Mayıs 2010; sürüm 10.5, Mayıs 2014 şu anda mevcuttur) sesli ürün serisiyle "Varsayılan güvenlik" işlevini entegre etmeye başladı. Neleri içerir:
    • TFTP üzerinden/TFTP'den indirilen tüm dosyaların kimlik doğrulaması (yapılandırma dosyaları, telefonlar için donanım yazılımı dosyaları vb.)
    • Yapılandırma dosyalarının şifrelenmesi
    • HTTPS bağlantısını başlatan telefonla sertifika doğrulaması
    Bir "ortadaki adam" saldırısı örneğine bakalım, gayri meşru bir kişi, telefonun hangi istasyona kaydolması gerektiğini, hangi protokol üzerinde çalışacağını, hangi bellenimi indireceğini vb. öğrendiği telefonların yapılandırma dosyalarını ele geçirdiğinde. . Saldırgan dosyaya müdahale ederek dosyada kendi değişikliklerini yapabilir veya yapılandırma dosyasının tamamen üzerine yazabilir, böylece tüm ofis telefonlarının (şekle bakın) istasyona kaydedilmesini engelleyebilir ve sonuç olarak ofisi dosyadan mahrum bırakabilir. çağrı yapma yeteneği.

    Şekil 1 Saldırı "ortadaki adam"

    Buna karşı korunmak için, asimetrik şifreleme, ortak anahtar altyapısı ve "Varsayılan Güvenlik" bileşenleri hakkında bilgi sahibi olmamız gerekiyor; bunları şimdi karşılayacağız: Kimlik Güven Listesi (ITL) ve Güven Doğrulama Hizmeti (TVS). TVS, dahili hafızasında ITL veya CTL dosyası olmayan IP telefonlarından gelen istekleri işlemek için tasarlanmış bir hizmettir. IP telefon, erişmeye başlamadan önce belirli bir hizmete güvenebileceğinden emin olmak için gerekirse TVS ile iletişim kurar. İstasyon aynı zamanda güvenilir sunucuların sertifikalarını saklayan bir havuz görevi görür. Buna karşılık, ITL, istasyon kümesini oluşturan öğelerin ortak anahtarlarının bir listesidir, ancak TFTP sunucusunun genel anahtarının ve TVS hizmetinin genel anahtarının burada saklanması bizim için önemlidir. Telefonun ilk önyüklemesi sırasında, telefon IP adresini ve TFTP sunucusunun adresini aldığında, bir ITL dosyasının varlığını ister (Şekil 2). TFTP sunucusundaysa, körü körüne güvenerek onu dahili belleğine yükler ve bir sonraki yeniden başlatmaya kadar saklar. ITL dosyasını indirdikten sonra, telefon imzalı bir yapılandırma dosyası ister.

    Şimdi kriptografi araçlarını nasıl kullanabileceğimize bakalım - MD5 veya SHA karma işlevlerini kullanarak bir dosyayı imzalamak ve TFTP sunucusunun özel anahtarını kullanarak şifrelemek (Şekil 3). Hash fonksiyonlarının özelliği, tek yönlü fonksiyonlar olmalarıdır. Herhangi bir dosyadan alınan hash'e bağlı olarak, ters işlemi yapmak ve tam olarak orijinal dosyayı elde etmek imkansızdır. Bir dosya değiştirildiğinde, bu dosyadan elde edilen hash'in kendisi de değişir. Karmanın dosyanın kendisine yazılmadığını, sadece dosyaya eklendiğini ve onunla birlikte iletildiğini belirtmekte fayda var.


    Şekil.3 Telefon yapılandırma dosyasının imzalanması

    Bir imza oluşturulurken, yapılandırma dosyasının kendisi alınır, hash ondan çıkarılır ve TFTP sunucusunun (yalnızca TFTP sunucusunun sahip olduğu) özel anahtarıyla şifrelenir.
    Ayarlarla birlikte bu dosyayı alırken, telefon başlangıçta dosyanın bütünlüğünü kontrol eder. Karmanın tek yönlü bir işlev olduğunu hatırlıyoruz, bu nedenle telefonun TFTP sunucusu tarafından şifrelenen karmayı yapılandırma dosyasından ayırmaktan, TFTP genel anahtarını kullanarak şifresini çözmekten başka seçeneği yoktur (IP telefonu bunu nasıl biliyor? - ancak yalnızca ITL dosyasından ), temiz bir yapılandırma dosyasından hash'i hesaplayın ve şifre çözme sırasında aldığımızla karşılaştırın. Karma eşleşirse, aktarım sırasında dosyada herhangi bir değişiklik yapılmamıştır ve telefonda güvenle uygulanabilir (Şekil 4).


    Şekil.4 IP telefon yapılandırma dosyasının kontrol edilmesi

    Telefon için imzalanmış yapılandırma dosyası aşağıda gösterilmiştir:


    Pirinç. 5 Wireshark'ta imzalanmış telefon IP dosyası

    Konfigürasyon dosyasını imzalayarak, iletilen ayarlar dosyasının bütünlüğünü sağlayabildik, ancak onu görüntülemeye karşı korumadık. Yakalanan yapılandırma dosyasından, telefon santralinin IP adresi (bizim örneğimizde 192.168.1.66) ve santraldeki açık portlar (2427) gibi pek çok faydalı bilgi alabilirsiniz. Ağda sadece "parlamak" istemeyeceğiniz oldukça önemli bir bilgi değil mi? Bu bilgiyi gizlemek için üreticiler simetrik şifrelemenin kullanılmasını sağlar (şifreleme ve şifre çözme için aynı anahtar kullanılır). Bir durumda, anahtar telefona manuel olarak girilebilir, diğer durumda telefon yapılandırma dosyası, telefonun genel anahtarı kullanılarak istasyonda şifrelenir. Dosyayı telefona göndermeden önce, bu dosyanın bulunduğu tftp sunucusu telefonun genel anahtarını kullanarak şifreler ve kendi özel anahtarını kullanarak imzalar (böylece aktarılan dosyaların sadece gizliliğini değil bütünlüğünü de sağlarız) . Buradaki ana şey, kimin hangi anahtarı kullandığını karıştırmamak, ancak sırayla ele alalım: tftp sunucusu, dosyayı IP telefonun genel anahtarıyla şifreleyerek, yalnızca eşleştirilmiş genel anahtarın sahibinin açabilmesini sağladı. bu dosya. Dosyayı özel anahtarıyla imzalayarak, tftp sunucusu dosyayı oluşturan kişinin kendisi olduğunu doğrular. Şifreli dosya Şekil 6'da gösterilmiştir:


    Şekil.6 Şifreli telefon IP dosyası

    Bu nedenle, şu anda telefonlar için yapılandırma dosyalarımızı görüntülemeye karşı koruma ve bütünlüklerini sağlama olasılığını değerlendirdik. "Varsayılan güvenlik" özelliklerinin sona erdiği yer burasıdır. Ses trafiğinin şifrelenmesini sağlamak, sinyal bilgilerini (kimin aradığı ve nerede aranacağı hakkında) gizlemek için, aşağıda ele alacağımız güvenilir sertifikalar - CTL listesine dayalı olarak ek araçlara ihtiyaç vardır.

    Telefon santrali kimlik doğrulaması

    Bir telefonun bir telefon santrali ile iletişim kurması gerektiğinde (örneğin, sinyal alışverişi için bir TLS bağlantısını müzakere etmek için), IP telefonun santralin kimliğini doğrulaması gerekir. Tahmin edebileceğiniz gibi, bu sorunu çözmek için sertifikalar da yaygın olarak kullanılmaktadır. Şu anda, modern IP istasyonları çok sayıda öğeden oluşur: çağrı işleme için birkaç sinyal sunucusu, özel bir yönetim sunucusu (yeni telefonların, kullanıcıların, ağ geçitlerinin, yönlendirme kurallarının vb. telefonlar için yapılandırma dosyalarının ve yazılımların saklanması, beklemede müzik yayını için bir sunucu vb. ayrıca ses altyapısında sesli posta, abonenin mevcut durumunu belirlemek için bir sunucu (çevrimiçi, çevrimdışı, "öğle yemeğinde") olabilir - liste etkileyici ve en önemlisi, her sunucunun kendi imzalı sertifikası vardır ve her biri bir kök sertifika yetkilisi olarak çalışır (Şekil 7). Bu nedenle ses altyapısındaki hiçbir sunucu başka bir sunucunun sertifikasına güvenmeyecektir, örneğin ses sunucusu TFTP sunucusuna güvenmeyecektir, sesli posta sinyalleşme sunucusuna güvenmeyecektir ve ayrıca telefonların sertifikalarını depolaması gerekmektedir. sinyal trafik alışverişine katılan tüm unsurlar. Telefon santral sertifikaları Şekil 7'de gösterilmektedir.


    Şekil 7 Cisco IP Station Kendinden İmzalı Sertifikalar

    Ses altyapısında yer alan yukarıdaki unsurlar arasında güven ilişkilerinin kurulması, ses ve sinyal trafiğinin şifrelenmesi görevleri için Sertifika Güven Listesi (CTL) adı verilen devreye girmektedir. CTL, ses istasyonu kümesindeki tüm sunucuların tüm kendinden imzalı sertifikalarının yanı sıra telefon sinyal mesajlarının (örneğin, bir güvenlik duvarı) alışverişine katılanları içerir ve bu dosya, güvenilir bir sertifika yetkilisinin özel anahtarıyla imzalanır ( Şekil 8). CTL dosyası, https protokolüyle çalışırken web tarayıcıları tarafından kullanılan yüklü sertifikalara eşdeğerdir.


    Şekil.8 Güvenilir sertifikaların listesi

    Cisco ekipmanında bir CTL dosyası oluşturmak için, USB konektörlü bir PC'ye, üzerinde kurulu CTL istemci programına ve özel bir anahtar içeren Site Yöneticisi Güvenlik Simgesine (SAST) ihtiyacınız olacaktır (Şekil 9). ve bir kimlik doğrulama merkezi üreticisi (Cisco) tarafından imzalanmış bir X.509v3 sertifikası.


    Şekil 9 Cisco eToken

    CTL istemcisi, bir Windows PC'ye yüklenen ve onunla tüm telefon santralini karışık moda, yani terminal cihazlarının güvenli ve güvensiz modlarda kaydını desteklemek için karma moda aktarabileceğiniz bir programdır. İstemciyi başlatıyoruz, telefon santralinin IP adresini belirtiyoruz, yönetici kullanıcı adını / şifresini giriyoruz ve CTL istemcisi, istasyonla 2444 numaralı bağlantı noktasında bir TCP bağlantısı kuruyor (Şekil 10). Bundan sonra, yalnızca iki eylem sunulacak:


    Şekil 10 Cisco CTL İstemcisi

    CTL dosyasını oluşturduktan sonra geriye yeni oluşturulan CTL dosyasını kendilerine yüklemeleri için TFTP sunucularını yeniden başlatmak ve ardından IP telefonların da yeniden başlatılıp yeni CTL dosyasını (32 kilobayt) indirmesi için ses sunucularını yeniden başlatmak kalıyor. İndirilen CTL dosyası, IP telefon ayarlarından görüntülenebilir (Şek. 11)


    Fig.11 IP telefonda CTL dosyası

    Uç Nokta Kimlik Doğrulaması

    Yalnızca güvenilir uç cihazların bağlanıp kaydolmasını sağlamak için cihaz kimlik doğrulaması uygulanmalıdır. Bu durumda, birçok üretici zaten kanıtlanmış bir yöntem kullanır - sertifikaları kullanarak cihaz kimlik doğrulaması (Şek. 12). Örneğin, Cisco ses mimarisinde bu şu şekilde uygulanır: telefonda saklanan karşılık gelen genel ve özel anahtarlarla kimlik doğrulama için iki tür sertifika vardır:
    Üretici Tarafından Kurulan Sertifika - (MIC). Üretici tarafından yüklenen sertifika, üretici firmanın sertifika yetkilisi (Cisco) tarafından imzalanan 2048 bitlik bir anahtar içerir. Bu sertifika tüm telefon modellerinde yüklü değildir ve kuruluysa başka bir sertifikaya (LSC) sahip olmanıza gerek yoktur.
    Yerel Olarak Önemli Sertifika - (LSC) Yerel olarak önemli sertifika, telefon santralinin kendi Sertifika Yetkilisi Proxy İşlevinde (CAPF) çalışan yerel kimlik doğrulama yetkilisinin özel anahtarı tarafından imzalanan IP telefonunun genel anahtarını içerir.
    Bu nedenle, önceden yüklenmiş bir MIC sertifikasına sahip telefonlarımız varsa, telefon istasyona her kaydolduğunda, istasyon kimlik doğrulama için üretici tarafından önceden yüklenmiş bir sertifika isteyecektir. Ancak, MIC tehlikeye girerse, üreticinin sertifikasyon yetkilisi tarafından değiştirilmesi gerekir ve bu çok zaman alabilir. Güvenliği ihlal edilmiş bir telefon sertifikasını yeniden yayınlamak için üreticinin sertifika yetkilisinin yanıt süresine bağlı kalmamak için, yerel bir sertifikanın kullanılması tercih edilir.


    Şekil 12 Uç nokta kimlik doğrulaması için sertifikalar

    Varsayılan olarak, IP telefonuna bir LSC sertifikası yüklenmez ve kurulumu, bir MIB sertifikası (varsa) kullanılarak veya yönetici tarafından manuel olarak oluşturulan bir paylaşılan anahtar kullanılarak bir TLS bağlantısı (Aktarım Katmanı Güvenliği) aracılığıyla mümkündür. istasyon ve telefona girildi.
    Yerel sertifika yetkilisi tarafından imzalanan telefonun genel anahtarını içeren yerel olarak önemli bir sertifikanın (LSC) telefona yüklenmesi işlemi Şekil 13'te gösterilmektedir:


    Şekil 13 Yerel Olarak Önemli LSC Sertifika Kurulum Süreci

    1. IP'yi indirdikten sonra, telefon güvenilir bir sertifika listesi (CTL dosyası) ve bir yapılandırma dosyası ister.
    2. İstasyon istenen dosyaları gönderir
    3. Telefon, alınan konfigürasyondan, istasyondan bir Yerel Olarak Önemli Sertifika (LSC) indirmesi gerekip gerekmediğini belirler.
    4. Telefonun, istasyonun bu IP telefonun kimliğini doğrulamak için kullanacağı bir LSC sertifikası (aşağıya bakın) yüklemesi için istasyonu ayarladıysanız, o zaman bir LSC sertifikası verme talebinin - istasyonun verdiğine dikkat etmeliyiz. amaçlanan kişiye. Bu amaçlar için MIC sertifikası (varsa) kullanabilir, her telefon için tek seferlik bir şifre oluşturup bunu telefona manuel olarak girebilir veya hiç yetkilendirme kullanmayabiliriz.
    Örnek, oluşturulan anahtarı kullanarak LSC kurulum sürecini göstermektedir.
    İstasyonda IP phone settings modunda telefona LSC sertifikasını yüklemek istediğimizi belirtiyoruz ve 12345 olarak tanımladığımız kimlik doğrulama anahtarı telefona girilirse kurulumun başarılı olacağını belirtiyoruz (Şekil 14). .


    Fig.14 Telefonda CAPF ayarları modu

    Telefon ayarları moduna giriyoruz ve anahtarımızı giriyoruz (Şek. 15):


    Şekil 15 LSC kurulumu için doğrulama anahtarı

    Bundan sonra, telefonda LSC sertifikasının kurulumu başarılı oldu (Şek. 16):


    Şekil 16 IP telefondaki güvenlik ayarları

    LSC sertifikasını terminal cihazlarının kimlik doğrulaması için kullanmanın özelliği, sertifikanın kendisinin tehlikeye girmesi durumunda, telefon santralinin CAPF sertifika merkezi tarafından yeni bir özel anahtarla yeniden imzalanabilmesidir.

    Bu nedenle, şu anda yalnızca indirilen dosyaların güvenliğini değil, aynı zamanda uç cihazlardan (IP telefonlar) sinyal sunucularının ve istasyon tarafından uç cihazların kendilerinin kimlik doğrulamasını da sağladık. Şimdi ses trafiğini şifreleyerek ve sinyalizasyon bilgilerini gizleyerek konuşmaların gizliliğinin korunmasını ele alalım.

    Konuşma şifreleme - SRTP

    Üreticinin şu anda en çok talep edilen görevi yerine getirmek için neler sunduğunu düşünün - konuşmaların gizliliğini sağlamak.
    Standart olarak tüm sinyal ve sesli mesajlarŞekil 17'de gösterildiği gibi açık metin olarak iletilir:


    Şekil 17 mesajı aç Yudumlamak

    Güvenli Gerçek Zamanlı Protokol (SRTP)- Bu, ses ve video iletmek için tasarlanmış özel olarak geliştirilmiş bir RTP protokolüdür, ancak iletilen bilgilerin yalnızca RTP aracılığıyla değil, aynı zamanda RTCP yoluyla da gizliliğini ve bütünlüğünü sağlayan mekanizmalarla desteklenir. Ses uygulaması SRTP'yi destekleyen, RTP paketlerini ağ üzerinden göndermeden önce SRTP'ye dönüştürmelidir. Ters işlem alıcı tarafta yapılmalıdır. SRTP mimarisi iki tür anahtar tanımlar: bir ana anahtar ve bir oturum anahtarı (şifreleme ve kimlik doğrulama için) (Şekil 18). Ancak SRTP, ana anahtar değişiminin sırasını düzenlemez; bu amaçlar için TLS veya IPSec kullanılmalıdır. Anahtar değişimi için, SRTP için standartlaştırılmış çözüm MIKEY'dir (Multimedya İnternet Anahtarlama), ancak SDES ve ZRTP gibi protokoller de kullanılabilir.


    Şekil 18 SRTP kullanarak arama yapma

    SRTP mesajlaşma süreci:

    • Telefon ve sunucu değişim sertifikaları;
    • Telefon ve sunucu birbirinin kimliğini doğrular;
    • Telefon, SHA kimlik doğrulaması ve AES şifrelemesi için TLS anahtarları oluşturur;
    • Telefon, istasyonun genel anahtarı ile anahtarları şifreler ve gönderir. İstasyon, özel anahtarıyla şifreyi çözer;
    • İstasyon, telefonların her biri ile TLS anahtarlarını değiş tokuş eder ve telefon sinyal mesajlarının güvenli bir şekilde değiş tokuşuna devam eder (aranan abonenin telefonu çalar);
    • İstasyon, SRTP SHA kimlik doğrulaması ve SRTP AES şifrelemesi için oturum anahtarları üretir;
    • İstasyon, oturum anahtarlarını güvenli bir sinyal bağlantısı yoluyla her iki telefona dağıtır;
    • Telefonlar, güvenli bir SRTP bağlantısı aracılığıyla ses trafiğini değiş tokuş etmeye başlar (arayan kişi telefonu açar).
    Cisco ekipmanında şifreleme ve kimlik doğrulamanın etkinleştirilmesi, güvenlik profilleri tarafından kontrol edilir. Şuna benziyor (Şek. 19):


    Şekil 19 Cisco CallManager'daki Güvenlik Profili

    İçinde terminal cihazlarının (telefonların) hangi modda kayıt olacağını ve çalışacağını belirleriz. Güvenli Olmayan seçeneği seçildiğinde, ne sinyal verisi ne de ses şifrelenmez; Kimliği doğrulandı - sinyal mesajları şifrelenir, ancak ses şifrelenmez; Şifreli - hem sinyalleşme hem de ses şifrelenir. Yapılandırma verilerini şifrelemeyi seçebilirsiniz. Bir profil oluşturduktan sonra onu telefona atamanız gerekir (Şek. 20).


    Şekil 20 Cisco CallManager'da Telefon Güvenlik Profili

    Şu anda, telefona yönelik ana tehditlere karşı savaşmamızı sağlayan IP telefon güvenliğindeki ana noktaları ele aldık, ancak bu, ses altyapısının tüm güvenliğinin buzdağının yalnızca görünen kısmı) Ayrı olarak, bu altyapının fiziksel güvenliğini dikkate almak gerekir (örneğin, burada: GOST R ISO / IEC 17799-2005 Yönetim bilgi güvenliğinin pratik kuralları) ve buna ayrı bir konu ayrılabilir ağ güvenliği. Umarım makaleyi sonuna kadar okuyanlar memnun kalmıştır ve bilgiler faydalı olmuştur.
    Herhangi bir soruyu postayla yanıtlamaya hazır: [e-posta korumalı]
    network-class.net projesi tarafından desteklenir

    VoIP teknolojisi, IP teknolojisine dayandığından ve İnternet'i kullandığından, tüm güvenlik açıklarını da devralır. VoIP ağlarının mimarisinden kaynaklanan güvenlik açıklarıyla çoğalan bu saldırıların sonuçları, korumayı artırmanın yollarını düşünmemize ve dikkatli bir şekilde analiz etmemize neden oluyor. mevcut ağ IP. Ayrıca, herhangi bir yeni hizmet eklemek, örneğin, sesli mesaj yetersiz korunan bir altyapıya dönüştürülmesi, yeni güvenlik açıklarının ortaya çıkmasına neden olabilir.

    IP ağlarından miras alınan riskler ve güvenlik açıkları.

    Kötü web tasarımı

    Yanlış tasarlanmış bir ağ, VoIP ağlarında gerekli bilgi güvenliği derecesinin kullanılması ve sağlanmasıyla ilgili çok sayıda soruna yol açabilir. Örneğin güvenlik duvarları, bir ağdaki bir güvenlik açığıdır çünkü bir VoIP ağının düzgün çalışması için ek bağlantı noktalarının açılması gerekir ve VoIP olmayan güvenlik duvarları, aramalar sona erdikten sonra bile önceden kullanılan bağlantı noktalarını açık bırakabilir.

    Savunmasız IP PBX'ler ve ağ geçitleri

    Bir saldırgan bir ağ geçidine veya PBX'e erişim kazanırsa, aynı zamanda tüm oturumları yakalama (aslında bir aramayı dinleme yeteneği), aramayı ve ağ parametrelerini bulma erişimi elde eder. Bu nedenle, PBX'in güvenliğine en büyük özen gösterilmelidir. Bu tür izinsiz girişlerden kaynaklanan kayıplar önemli meblağlara ulaşabilir.

    Paket tekrar saldırıları

    Bir VoIP ağında, alıcı cihazın bilgileri yeniden işlemesi ve paket sahtekarlığı ve ağa erişim elde etmesi için analiz edilebilecek yanıt paketlerini iletmesi için bir dizi geçerli paketin yeniden iletilmesiyle bir paket yeniden yürütme saldırısı gerçekleştirilebilir. Örneğin, veriler şifreli olsa bile, kullanıcının kullanıcısının oturum açma adı ve parola ile paketi tekrar etmesi ve böylece ağa erişmesi mümkündür.

    VoIP ağlarına özgü riskler ve güvenlik açıkları

    Paket sahtekarlığı ve maskeleme
    Yanlış kaynak IP adresine sahip sızdırma paketleri aşağıdaki amaçlar için kullanılabilir:

    Paketleri başka bir ağa veya sisteme yönlendirme

    Trafik müdahalesi ve ortadaki adam saldırısı (aşağıdaki resim)

    • Kılık değiştirmek güvenilir bir cihaz için - Başka bir cihaza yönelik bir saldırı için "Sorumluluğun devri"
    • tüylenme- Sisteme, işlemi sırasında gecikmeler, bilgi sızıntıları ve tam bir sistem arızası gibi hatalara neden olan, eksik doğru bilgilere sahip paketler yüklemek
    • Olası güvenlik açıkları için tarama- Bağlantı noktası taraması, bir saldırgana tam teşekküllü bir saldırı gerçekleştirmesi için işletim sistemi modelleri, hizmet türleri ve kullanılan uygulamalar gibi ilk verileri verebilir. Güvenlik açığı bulunan bir hizmet bulunduğunda, bir saldırgan tüm ağ üzerinde denetime erişim elde edebilir ve sonuç olarak büyük zarar verme fırsatı elde edebilir.
    • Geleneksel ağlara kıyasla düşük güvenilirlik- Yüksek kaliteli iletişim sağlamak için ses ve video trafiği içeren paketlere QoS (hizmet kalitesi) mekanizmalarında yüksek öncelik verilir. Bununla birlikte, VoIP ve veri ağlarının güvenilirliği, geleneksel ağların güvenilirliğinden daha düşük olan %99,9 olma eğilimindedir. telefon ağları, bunun için bu parametre %99,999 eğilimindedir. Tabii ki, fark o kadar büyük değil, ancak yıl için bu fark, sistemin çalışmadığı ek 8,7 saate dönüşüyor. Ancak bunun her işletmeye zarar veremeyeceğini anlamalısınız.
    • DDoS (Dağıtılmış Hizmet Reddi) saldırıları- Saldırılar DoS Ve DDoS Bir saldırgan, bir veya daha fazla konumdan (sırasıyla DoS ve DDoS) bir veya daha fazla VoIP cihazına çok büyük hacimlerde rasgele mesajlar gönderdiğinde meydana gelir. Saldırganın ihtiyaçlarına göre otomatik olarak kötü amaçlı istekler gönderen güvenliği ihlal edilmiş sunucular ve iş istasyonları olan "zombiler"in yardımıyla çok siteli bir saldırı kullanılır. Böyle bir saldırı, istek sayısının aşıldığı anda başarılı kabul edilir. işlem gücü nesne, son kullanıcılar için hizmet reddine neden olur.

    VoIP sistemleri, QoS teknolojisinde yüksek bir önceliğe sahip olduklarından ve geleneksel veri ağlarından daha az trafiğe ihtiyaç duyduklarından, bu tür saldırılara karşı özellikle savunmasızdır. Bir VoIP ağına yönelik DoS saldırısına bir örnek, aynı zamanda SIP CANCEL DoS saldırısı olarak da adlandırılan çoklu çağrı kurulumu veya iptal sinyali saldırısıdır.


    • CID sahtekarlığı- Bir tür paket sızdırma saldırısı, yanıt vermeden önce arayanı tanımlamak için kullanılan arayan kimliğinin (Arayan Kimliği veya CID) değiştirilmesine dayanır. Bir saldırgan, bu tanımlayıcıyı bir metin dizisi veya bir telefon numarası ile değiştirebilir ve ağa veya işletme sahibine zarar verecek çeşitli eylemler gerçekleştirmek için kullanılabilir. Ek olarak, VoIP ağlarında, telefon numaraları SIP protokolündeki paket başlıklarında yer aldığından, bu tanımlayıcıyı gizlemenin bir yolu yoktur. Bu, tcpdump gibi bir paket algılayıcıya sahip bir saldırganın, servis sağlayıcı tarafından "özel" olarak ayarlanmış olsalar bile telefon numaralarını bulmasına olanak tanır.
    • Çözüm- IP telefon kullanımı herhangi bir kuruluş için çok büyük faydalar sağlar - VoIP tabanlı çözümler daha ölçeklenebilir, entegre edilmesi kolaydır ve maliyetleri klasik çözümlere göre daha düşüktür. Ancak, bir VoIP çözümü uygulayan herhangi bir kuruluş, olası tehditler ve ağdaki bilgi güvenliğinin derecesini artırmak için her türlü çabayı gösterin. Yalnızca birkaç saldırı yöntemi listelenmiştir, ancak saldırı kombinasyonlarının sıklıkla kullanıldığı ve neredeyse her gün yeni saldırıların geliştirildiği anlaşılmalıdır. Ancak geleceğin bu teknoloji olduğu şimdiden belli oldu ve öngörülebilir gelecekte başka bir teknolojiye yol vermesi pek olası değil.

    Bir IP telefon sistemi iki düzeyde güvenlik sağlamalıdır: sistem ve çağrı.

    Sistem güvenliğini sağlamak için aşağıdaki işlevler kullanılır:

    Paylaşılan bir kod sözcüğü kullanarak ağa yetkisiz erişimin önlenmesi. Başlatıcı ve son sistemdeki standart algoritmalar tarafından eş zamanlı olarak kod sözcük hesaplanır ve elde edilen sonuçlar karşılaştırılır. Bir bağlantı kurulduğunda, iki IP telefon sisteminden her biri başlangıçta diğer sistemi tanımlar; en az bir olumsuz sonuç çıkması durumunda bağlantı sonlandırılır.

    • Bilinen tüm IP telefon ağ geçitlerini içeren erişim listeleri.
    • Erişim reddini kaydetme.
    • Erişim arayüzünün güvenlik işlevleri, okuma/yazma erişim kısıtlamalarıyla kullanıcı kimliği ve parolanın kontrol edilmesi, yönetim için özel bir WEB sunucusuna erişim haklarının kontrol edilmesi.
    • Kullanıcı kimliği ve parola doğrulaması (isteğe bağlı), kullanıcı durumu, arayan profili dahil arama güvenliği özellikleri.

    Bir ağ geçidi kendi bölgesindeki başka bir ağ geçidi ile iletişim kurduğunda, kullanıcı kimliği ve parola isteğe bağlı olarak doğrulanır. Kullanıcı istediği zaman erişim hakkından mahrum bırakılabilir.

    Nitekim IP protokolü geliştirilirken bilgi güvenliği konularına gereken özen gösterilmemiş ancak zamanla durum değişmiş ve IP tabanlı modern uygulamalar yeterli koruyucu mekanizmalar içermektedir. Ve IP-telefon alanındaki çözümler uygulama olmadan var olamaz. standart teknolojiler kimlik doğrulama ve yetkilendirme, bütünlük kontrolü ve şifreleme vb. Anlaşılır olması için, bu mekanizmaları kuruluşun çeşitli aşamalarında kullanıldıkları şekliyle ele alacağız. telefon konuşması, ahizeyi kaldırarak başlayıp bitirme sinyali ile biten.

    1. Telefon seti.

    IP telefonda, telefon bağlantı kurmak için bir sinyal göndermeden önce, abonenin cihaza ve işlevlerine erişmek için kimliğini ve şifresini girmesi gerekir. Bu tür bir kimlik doğrulama, yabancıların herhangi bir eylemini engellemenize ve diğer kullanıcıların masrafları size ait olmak üzere başka bir şehri veya ülkeyi arayacaklarından endişelenmenize olanak tanır.

    2. Bağlantı kurulumu.

    Numara çevrildikten sonra bağlantı, bir dizi güvenlik kontrolünün gerçekleştirildiği uygun arama kontrol sunucusuna sinyal olarak gönderilir. Her şeyden önce, telefonun orijinalliği hem 802.1x protokolü kullanılarak hem de IP telefon altyapısına entegre edilmiş ortak anahtarlara dayalı sertifikalar kullanılarak doğrulanır. Bu kontrol, özellikle dinamik adreslemeli bir ağda, ağda kurulu yetkisiz IP telefonlarını izole etmenizi sağlar. Kötü şöhretli Vietnam çağrı merkezlerine benzer fenomenler, IP telefonunda kesinlikle imkansızdır (tabii ki, güvenli bir telefon ağı oluşturma kurallarına tabidir).

    Bununla birlikte, konu telefonla kimlik doğrulama ile sınırlı değildir - abonenin kendisi tarafından çevrilen numarayı arama hakkına sahip olup olmadığını öğrenmek gerekir. Bu, bir dolandırıcılık önleme önlemi olduğu kadar bir koruma mekanizması değildir. Bir şirket mühendisi uzun mesafeli iletişimi kullanamıyorsa, ilgili kural çağrı kontrol sistemine anında kaydedilir ve hangi telefondan böyle bir girişim yapılırsa yapılsın derhal durdurulur. Maskeleri veya aralıkları da belirleyebilirsiniz. telefon numaraları belirli bir kullanıcının arama hakkına sahip olduğu.

    IP telefon söz konusu olduğunda, analog telefondaki hat aşırı yüklemelerine benzer iletişim sorunları imkansızdır: yedekli bağlantılara sahip uygun ağ tasarımı veya çağrı kontrol sunucusunun çoğaltılmasıyla, IP telefon altyapı öğelerinin arızası veya bunların aşırı yüklenmesi ağın işleyişini olumsuz etkiler.

    3. Telefon görüşmesi.

    IP telefonda, gizli dinlemeye karşı koruma sorununun çözümü baştan düşünülmüştür. Kanıtlanmış algoritmalar ve protokoller (DES, 3DES, AES, IPSec, vb.) ile telefon iletişiminin yüksek düzeyde gizliliği, bu tür bir korumayı organize etmek için neredeyse hiçbir maliyet olmaksızın sağlanır - gerekli tüm mekanizmalar (şifreleme, bütünlük kontrolü, karma, anahtar değişimi) , vb.)) IP telefondan çağrı kontrol sistemine kadar altyapı unsurlarında halihazırda uygulanmaktadır. Aynı zamanda, hem dahili müzakereler hem de harici müzakereler için eşit başarı ile koruma uygulanabilir (ikinci durumda, tüm aboneler IP telefon kullanmalıdır).

    Ancak, bir VoIP altyapısını uygularken akılda tutulması gereken şifreleme ile ilgili bir takım sorunlar vardır. Birincisi, şifreleme / şifre çözme nedeniyle ek gecikme vardır ve ikincisi, iletilen paketlerin uzunluğunun artması sonucunda genel maliyetler artar.

    4. Görünmez işlevsellik.

    Şimdiye kadar, yalnızca geleneksel telefonun maruz kaldığı ve IP telefonun tanıtılmasıyla ortadan kaldırılabilecek tehlikeleri ele aldık. Ancak IP protokolüne geçiş, göz ardı edilemeyecek bir dizi yeni tehdidi de beraberinde getiriyor. Neyse ki, bu tehditlere karşı korunmak için yerleşik çözümler, teknolojiler ve yaklaşımlar zaten mevcuttur. Çoğu, herhangi bir finansal yatırım gerektirmez, zaten herhangi bir IP telefon altyapısının temeli olan ağ ekipmanında uygulanmaktadır.

    Aynı ağ üzerinden iletildiğinde telefon görüşmelerinin güvenliğini artırmak için yapılabilecek en basit şey kablo sistemi normal veriler gibi, sıradan kullanıcıların konuşmalarını dinleme olasılığını ortadan kaldırmak için VLAN teknolojisini kullanarak ağı bölümlere ayırmaktır. İyi sonuçlar IP telefon segmentleri için ayrı bir adres alanı kullanımını sağlar. Ve elbette, kullanımı saldırganların ses segmentlerine bağlanmasını zorlaştıran yönlendiriciler (Erişim Kontrol Listesi, ACL) veya güvenlik duvarları (güvenlik duvarı) üzerindeki erişim kontrol kurallarını göz ardı etmemelisiniz.

    5. Dış dünya ile iletişim.

    IP telefonun şirket içi ağ içinde sağladığı faydalar ne olursa olsun, sabit numaralara çağrı yapma ve alma yeteneği olmadan bunlar eksik kalacaktır. Bu durumda, kural olarak, IP trafiğinin genel anahtarlamalı telefon ağı (PSTN) üzerinden iletilen bir sinyale dönüştürülmesi sorunu ortaya çıkar. Bazı koruyucu işlevleri de uygulayan özel ses ağ geçitlerinin (ses ağ geçidi) kullanılmasıyla çözülür ve bunlardan en önemlisi, mesajları bir ağdan geliyorsa tüm IP telefon protokollerini (H.323, SIP vb.) bloke etmektir. ses olmayan bölüm

    Ses altyapısı öğelerini olası yetkisiz etkilerden korumak için özel çözümler kullanılabilir - güvenlik duvarları (ITU), uygulama katmanı ağ geçitleri (Application Layer Gateway, ALG) ve oturum sınır denetleyicileri (Oturum Sınırı Denetleyicisi). Özellikle, RTP protokolü dinamik UDP bağlantı noktalarını kullanır; güvenlik duvarı savunmada açık bir boşluğa yol açar. Bu nedenle güvenlik duvarı, iletişim için kullanılan portları dinamik olarak belirlemeli, bağlantı anında açmalı ve tamamlandığında kapatmalıdır. Diğer bir özellik ise, SIP gibi bir dizi protokolün, bağlantı parametreleri hakkındaki bilgileri paket başlığına değil, veri gövdesine yerleştirmesidir. Bu nedenle, güvenlik cihazı, paketin yalnızca başlığını değil, aynı zamanda veri gövdesini de analiz edebilmeli ve bir ses bağlantısını organize etmek için gerekli tüm bilgileri ondan izole edebilmelidir. Diğer bir sınırlama, dinamik bağlantı noktaları ile NAT'ı birleştirmenin zorluğudur.

    Devamını oku: