Основные атаки на ip телефонию. Защита IP-телефонии. Безопасность IP-телефонии – комплексный подход

Информационная безопасность ,

Разработка систем связи

• Tutorial

Привет, Хабр!
В этот раз хочу рассказать о технологиях шифрования VoIP звонков, о том какую защиту дают разные подходы и как организовать наиболее защищенную от прослушивания голосовую связь с технологическими гарантиями безопасности.
В статье я постараюсь доступно изложить особенности таких технологий как SIP\TLS, SRTP и ZRTP. И продемонстрирую конкретные схемы использования на примере нашего сервиса ppbbxx.com

Немного теории

Любой VoIP вызов состоит из 2-х основных составляющих: обмена сигнальной информацией и передачи между пользователями media потоков с голосом и/или видео.
На первом этапе, в процессе обмена сигнальной информацией, клиенты напрямую либо посредством сервера договариваются между собой о параметрах устанавливаемого вызова. Если связь устанавливается с помощью сервера, на основе сигнальной информации сервер авторизует клиента, устанавливает кто и кому звонит, проводит маршрутизацию и коммутацию. Благодаря данным сигнального протокола клиенты и сервер согласуют метод шифрования, используемые media кодеки, обмениваются ip адресами и номерами портов, где ожидается приём media и тд. Происходит это по таким протоколам как SIP, XMPP и прочим.
Непосредственно «разговор», то есть обмен между клиентами голосовыми данными, как правило происходит по протоколу RTP. Данные внутри передаются в том виде, о котором договорились клиенты и сервер на «сигнальном» этапе. Обмен голосом возможен как напрямую между клиентами, так и через сервер - посредник. Во втором случае сервер может помочь клиентам с прохождением NAT и в выборе кодеков.

Итак, что же собой представляет шифрованный VoIP вызов? Дальше речь пойдёт о SIP протоколе как наиболее популярном.
Как мы уже выяснили, звонок состоит из сигнальной и media частей, каждая из которых может быть зашифрована отдельно с применением специальных методов-протоколов. Для шифрования сигнальной информации применяется SIP\TLS, для шифрования «голоса» ZRTP и SRTP протоколы.

SIP\TLS - грубо говоря, аналог HTTPS для обычного SIP. Протокол позволяет клиенту убедиться, что он общается с нужным сервером при условии, что клиент доверяет предоставленному сервером сертификату. Подробнее можно прочитать на википедии

SRTP и ZRTP - это два разных способа шифровать RTP потоки. Принципиальное отличие между ними в том, что обмен ключами для SRTP происходит в сигнализации (на первой сигнальной стадии установки вызова). А для ZRTP непосредственно в начале обмена RTP пакетами (во второй, «медийной» части) по специальному протоколу , основанному на методе криптографии Диффи - Хеллмана.
Важно то, что для SRTP обязательным условием надёжности шифрования звонка является одновременное использование SIP\TLS + SRTP, иначе злоумышленнику не составит труда получить ключи (которые будут переданы по не шифрованному SIP) и прослушать разговор. В то время как для ZRTP это не важно, RTP поток будет надёжно зашифрован не зависимо от того, шифруется сигнализация или нет. Более того протокол умеет определять наличие «man in the middle» (в том числе серверов услуг!) между непосредственно говорящими клиентами. Это позволяет быть уверенным в том, что разговор невозможно прослушать, по крайней мере с точки зрения прослушивания сети/среды передачи данных.

Схема подключения SIP клиентов с различными настройками шифрования:

Можно выделить следующие схемы установки шифрованного звонка:

1. Оба пользователя используют SIP\TLS и SRTP. В этом случае обмен ключами для шифрования media происходят по защищенному сигнальному протоколу. Предполагается доверие к серверу, участвующему в установке связи. Посторонние не могут получить доступ ни к сигнальной информации, ни к голосовым данным. Недостаток в том, что пользователь не уведомлен на уровне протокола (клиента) и не убежден, что второй пользователь также использует шифрованное подключение к серверу.
2. Оба пользователя используют ZRTP, голос при этом проходит через сервер. В этом случае сервер определяется ZRTP протоколом как Trusted MitM (man in the middle). Обмен ключами происходит по алгоритму, основанному на методе Диффи - Хеллмана (что и гарантирует невозможность прослушки) по протоколу RTP. Если при этом используется защищенный SIP\TLS - посторонние так же не могут получить доступ ни к сигнальной информации, ни к «голосу». Как и в первом варианте предполагается доверие к коммутирующему серверу, но в отличии от него для надёжного шифрования голоса не требуется обязательное использование защищенного SIP\TLS. Также, в отличии от первого варианта, каждый пользователь видит, что разговор шифруется до сервера с обоих сторон, а также то, что оба подключены к одному и тому же (доверенному) серверу.
3. Оба пользователя используют ZRTP, но media устанавливается напрямую между клиентами. Так как обмен ключами проходит напрямую между клиентами, даже сервер, осуществивший коммутацию, не может прослушать разговор. В этом случае оба клиента отображают информацию о том, что установлен безопасный прямой сеанс связи. Убедиться в этом можно сверив SAS (короткие строки авторизации) - они будут одинаковыми. Если требуется скрыть от посторонних сигнальную информацию, следует использовать SIP\TLS. Это самый безопасный вариант, но в этом случае сервер не сможет выполнять многие функции, которые в других ситуациях выполняются на нем, к примеру запись непосредственно разговора, перекодирование голоса для клиентов с разными настройками аудиокодеков и тд.
4. Один пользователь использует первый метод, описанный выше, а другой - второй. В этом случае так же требуется доверие к серверу. Сигнальная информация шифруется с помощью SIP\TLS. Для пользователя с ZRTP протокол сообщит, что шифрованное соединение установлено до сервера (End at MitM). Используется ли шифрование с другой стороны на уровне протокола узнать не удастся.

На этом закончим с теорией и перейдём к практике! Настроим собственный SIP сервер, создадим SIP пользователей, установим SIP клиенты и научимся совершать шифрованные звонки c помощью бесплатного

Настройка сервера

Для начала нужно создать собственный сервер. Для этого нужно зайти на сайт услуги ppbbxx.com , пройти простую регистрацию и войти в интерфейс настроек.

Первым делом пройдём в раздел "Internal network -> Domains " и создадим собственный домен, чтобы не быть ограниченным в выборе имён SIP пользователей. Можно припарковать свой домен либо создать личный субдомен в одной из зон сервиса.
Далее необходимо в разделе "Internal network -> Sip Users " создать SIP пользователей и настроить некоторые параметры их клиентов. Имена SIP пользователей могут быть произвольными, но так как на программных и аппаратных телефонах удобнее набирать цифры, мы будем заводить идентификаторы вида [email protected] и подобные. Я завёл 1000, 1001, 1002, 1003. После создания SIP идентификатора нужно не забыть нажать кнопку «Сохранить». Если никаких недозаполненных форм в интерфейсе настроек не осталось, система не будет ругаться и покажет лог изменений со статусом «Done».

Дальше необходимо настроить используемые кодеки и методы шифрования. Для этого нужно нажать значок с шестерёнкой слева от SIP идентификатора. Я планирую использовать SIP клиент (CSipSimple) на смартфоне и хочу использовать метод шифрования ZRTP поэтому в "basic " вкладке настроек выбираю кодеки G729 и SILK, а во вкладке "protection " ZRTP метод.

Вы можете выбрать другие параметры. Важно только заметить, что настройки для SIP аккаунта в интерфейсе услуги должны соответствовать настройкам в SIP клиенте. Это необходимо для обеспечения корректной связи между клиентами с разными настройками кодеков и шифрования. Так же не забываем сохранять созданную конфигурацию.

В целом, для настройки простейшей конфигурации этого достаточно. Можно настраивать SIP клиенты и звонить между ними, набирая их номера 1000, 1001, 1002, 1003. При желании к этому можно добавить общий SIP шлюз для звонков в телефонную сеть и настроить соответствующую маршрутизацию звонков. Но, в таком случае, это уже несколько иная схема использования услуги, которая требует скорее другого рода мер безопасности, нежели шифрование трафика до шлюза.

Перейдём к настройке SIP клиентов

Как я уже сказал, я планирую использовать CSipSimple на андроид смартфонах. Первым делом нужно установить клиент, используя стандартный Play Market, либо скачать на сайте производителя , который кстати открывает исходники своего клиента, что в отдельных случаях может иметь едва ли не сакральное значение. Установить нужно сам клиент и дополнительно кодеки. У меня установлены «CSipSimple», «Codec Pack for CSipSimple» и «G729 codec for CSipSimple». Последний платный и использовать его не обязательно, бесплатные SILK и OPUS обеспечивают достойное качество звонков по 3G сетям.

Запускаем CSipSimple и переходим в интерфейс настройки. Выбираем мастер «Вasic» и настраиваем, используя данные из веб интерфейса. Должно получиться так:

Далее в общих настройках CSipSimple в разделе "Медиа -> Аудиокодеки " нужно выбрать предпочитаемые кодеки. Для звонков через 3G я рекомендую использовать SILK, OPUS, iLBC, G729. Поскольку настройки в интерфейсе сервера и в интерфейсе клиента должны совпадать , а на сервере я выбрал SILK и G729, то в списке аудиокодеков CSipSimple я ставлю галочки только напротив этих кодеков, а остальные снимаю.
В разделе клиента "Сеть -> Безопасный протокол " нужно выбрать желаемые параметры шифрования. Я включаю только ZRTP. Остальное оставляю выключенным. При желании можно использовать SIP\TLS - нужно учитывать что сервер ожидает TLS соединения на 443-м порту. Это сделано специально для слишком умных операторов мобильной связи, блокирующих стандартные для VoIP порты.
Так же нужно учитывать, что SRTP и ZRTP не всегда совместимы и крайне желательно выбирать в клиенте только один из них.

Совершение звонков с использованием ZRTP

После того, как все настройки выполнены, совершим несколько звонков для того чтоб продемонстрировать работу CSipSimple в звонках между пользователями с различными настройками безопасности.

Сразу после выполнения инструкции звонок SIP пользователя 1001 пользователю 1000 будет выглядит таким образом.
CSipSimple показывает, что в звонке участвует MitM сервер, к которому подключены оба клиента. Параметр EC25 означает, что используется протокол Диффи-Хеллмана на эллиптических кривых с параметром 256 бит. AES-256 - алгоритм симметричного шифрования, который применяется. Статус ZRTP - Verifyed означает, что контрольная строка SAS подтверждена пользователем.

Изменим режим передачи медиа в настройках ppbbxx для обоих клиентов. Установка direct media = yes позволит передавать голос напрямую. В этом случае стороны видят одинаковые строки SAS, используется алгоритм симметричного шифрования Twofish-256. Использование ZRTP в этом режиме требует от клиентов намного большей свместимости и менее надежно с точки зрения установки связи, поскольку сервер не участвует в передаче данных. Обязательно использование одинаковых аудиокодеков на всех клиентах и корректная работа NAT.

Если у SIP пользователя 1001 шифрование не установлено, тогда как 1000 использует ZRTP, то второй клиент покажет, что зашифрованная передача голоса происходит только до сервера (End at MitM).

Резюмируем

Связь полностью защищенную от прослушивания организовать можно. Это сделать не сложно. Наиболее подходящий способ для этого - использование протокола IP-телефонии SIP и метода шифрования медиа данных ZRTP. Сервис

Спецификацией IETF, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec, - иногда его называют туннелирова-нием третьего уровня (Layer-3 Tunneling). IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реализации других задач. Идентификацию можно выполнять с помощью спецификации IPSec, причем она является обязательным компонентом протокола IPv6.

IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Следует отметить, что спецификация IPSec ориентирована на IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.

Некоторые поставщики VPN используют другой подход под названием «посредники каналов» (circuit proxy), или VPN пятого уровня. Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокста в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого - сеансового -уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня).

Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня (Transport Layer Security, TLS), ранее протокола защищенных сокетов (Secure Sockets Layer, SSL). Для стандартизации аутентифицированного прохода через брандмауэры IETF определил протокол под названием SOCKS, и в настоящее время SOCKS 5 применяется для стандартизованной реализации посредников каналов.

В SOCKS 5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровня 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если нет гарантии защиты информации на другом конце туннеля.

Следует отметить на наличие взаимосвязи между брандмауэрами и VPN. Если туннели завершаются на оборудовании провайдера Интернет, то трафик будет передаваться по вашей локальной сети или по линии связи с провайдером Интернет в незащищенном виде. Если конечная точка расположена за брандмауэром, то туннелируемый трафик можно контролировать с помощью средств контроля доступа брандмауэра, но никакой дополнительной защиты при передаче по локальной сети это не даст. В этом случае конечную точку будет связывать с брандмауэром незащищенный канал.

Расположение конечной точки внутри защищаемой брандмауэром зоны обычно означает открытие прохода через брандмауэр (как правило, через конкретный порт TCP). Некоторые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет пользователь, стратегия защиты которого неизвестна или не внушает доверия. Одно из преимуществ применения тесно интегрированных с брандмауэром продуктов тунне-лирования состоит в том, что можно открывать туннель, применять к нему правила защиты брандмауэра и перенаправлять трафик на конечную точку на конкретном компьютере или в защищаемой брандмауэром подсети.

Как и любая другая вычислительная функция, работа по созданию сетей VPN проводится с помощью программного обеспечения. Между тем программное обеспечение для VPN может выполняться на самых разных аппаратных платформах. Маршрутизаторы или коммутаторы третьего уровня могут поддерживать функции VNP по умолчанию (или в качестве дополнительной возможности, предлагаемой за отдельную плату). Аппаратно и программно реализуемые брандмауэры нередко предусматривают модули VPN со средствами управления трафиком или без них. Некоторые пограничные комбинированные устройства включают в себя маршрутизатор, брандмауэр, средства управления пропускной способностью и функции VPN (а также режим конфигурации). Наконец, ряд чисто программных продуктов выполняется на соответствующих серверах, кэширует страницы Web, реализует функции брандмауэра и VPN.

Механизм VPN немыслим без идентификации. Инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами является в настоящее время основной. Данные PKI целесообразнее всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP).

В системе IP-телефонии должны обеспечиваться два уровня безопасности: системный и вызывной.

Для обеспечения системной безопасности используются следующие функции:

Предотвращение неавторизованного доступа к сети путем применения разделяемого кодового слова. Кодовое слово одновременно вычисляется по стандартным алгоритмам на инициирующей и оконечной системах, и полученные результаты сравниваются. При установлении соединения каждая из двух систем IP-телефонии первоначально идентифицирует другую систему; в случае по крайней мере одного отрицательного результата связь прерывается.

• Списки доступа, в которые вносятся все известные шлюзы IP-телефонии.
• Запись отказов в доступе.
• Функции безопасности интерфейса доступа, включая проверку идентификатора и пароля пользователя с ограничением доступа по чтению/записи, проверку прав доступа к специальному WEB-серверу для администрирования.
• Функции обеспечения безопасности вызова, включая проверку идентификатора и пароля пользователя (необязательно), статус пользователя, профиль абонента.

При установлении связи шлюза с другим шлюзом своей зоны производится необязательная проверка идентификатора и пароля пользователя. Пользователь в любое время может быть лишен права доступа.

Действительно, при разработке протокола IP не уделялось должного внимания вопросам информационной безопасности, однако со временем ситуация менялась, и современные приложения, базирующиеся на IP, содержат достаточно защитных механизмов. А решения в области IP-телефонии не могут существовать без реализации стандартных технологий аутентификации и авторизации, контроля целостности и шифрования и т. д. Для наглядности рассмотрим эти механизмы по мере того, как они задействуются на различных стадиях организации телефонного разговора, начиная с поднятия телефонной трубки и заканчивая сигналом отбоя.

1. Телефонный аппарат.

В IP-телефонии, прежде чем телефон пошлет сигнал на установление соединения, абонент должен ввести свой идентификатор и пароль на доступ к аппарату и его функциям. Такая аутентификация позволяет блокировать любые действия посторонних и не беспокоиться, что чужие пользователи будут звонить в другой город или страну за ваш счет.

2. Установление соединения.

После набора номера сигнал на установление соединения поступает на соответствующий сервер управления звонками, где осуществляется целый ряд проверок с точки зрения безопасности. В первую очередь удостоверяется подлинность самого телефона - как путем использования протокола 802.1x, так и с помощью сертификатов на базе открытых ключей, интегрированных в инфраструктуру IP-телефонии. Такая проверка позволяет изолировать несанкционированно установленные в сети IP-телефоны, особенно в сети с динамической адресацией. Явления, подобные пресловутым вьетнамским переговорным пунктам, в IP-телефонии просто невозможны (разумеется, при условии следования правилам построения защищенной сети телефонной связи).

Однако аутентификацией телефона дело не ограничивается - необходимо выяснить, предоставлено ли абоненту право звонить по набранному им номеру. Это не столько механизм защиты, сколько мера предотвращения мошенничества. Если инженеру компании нельзя пользоваться междугородной связью, то соответствующее правило сразу записывается в систему управления звонками, и с какого бы телефона ни осуществлялась такая попытка, она будет немедленно пресечена. Кроме того, можно указывать маски или диапазоны телефонных номеров, на которые имеет право звонить тот или иной пользователь.

В случае же с IP-телефонией проблемы со связью, подобные перегрузкам линий в аналоговой телефонии, невозможны: при грамотном проектировании сети с резервными соединениями или дублированием сервера управления звонками отказ элементов инфраструктуры IP-телефонии или их перегрузка не оказывает негативного влияния на функционирование сети.

3. Телефонный разговор.

В IP-телефонии решение проблемы защиты от прослушивания предусматривалось с самого начала. Высокий уровень конфиденциальности телефонной связи обеспечивают проверенные алгоритмы и протоколы (DES, 3DES, AES, IPSec и т. п.) при практически полном отсутствии затрат на организацию такой защиты - все необходимые механизмы (шифрования, контроля целостности, хэширования, обмена ключами и др.) уже реализованы в инфраструктурных элементах, начиная от IP-телефона и заканчивая системой управления звонками. При этом защита может с одинаковым успехом применяться как для внутренних переговоров, так и для внешних (в последнем случае все абоненты должны пользоваться IP-телефонами).

Однако с шифрованием связан ряд моментов, о которых необходимо помнить, внедряя инфраструктуру VoIP. Во-первых, появляется дополнительная задержка вследствие шифрования/дешифрования, а во-вторых, растут накладные расходы в результате увеличения длины передаваемых пакетов.

4. Невидимый функционал.

До сих пор мы рассматривали только те опасности, которым подвержена традиционная телефония и которые могут быть устранены внедрением IP-телефонии. Но переход на протокол IP несет с собой ряд новых угроз, которые нельзя не учитывать. К счастью, для защиты от этих угроз уже существуют хорошо зарекомендовавшие себя решения, технологии и подходы. Большинство из них не требует никаких финансовых инвестиций, будучи уже реализованными в сетевом оборудовании, которое и лежит в основе любой инфраструктуры IP-телефонии.

Самое простое, что можно сделать для повышения защищенности телефонных переговоров, когда они передаются по той же кабельной системе, что и обычные данные, - это сегментировать сеть с помощью технологии VLAN для устранения возможности прослушивания переговоров обычными пользователями. Хорошие результаты дает использование для сегментов IP-телефонии отдельного адресного пространства. И, конечно же, не стоит сбрасывать со счетов правила контроля доступа на маршрутизаторах (Access Control List, ACL) или межсетевых экранах (firewall), применение которых усложняет злоумышленникам задачу подключения к голосовым сегментам.

5. Общение с внешним миром.

Какие бы преимущества IP-телефония ни предоставляла в рамках внутренней корпоративной сети, они будут неполными без возможности осуществления и приема звонков на городские номера. При этом, как правило, возникает задача конвертации IP-трафика в сигнал, передаваемый по телефонной сети общего пользования (ТфОП). Она решается за счет применения специальных голосовых шлюзов (voice gateway), реализующих и некоторые защитные функции, а самая главная из них - блокирование всех протоколов IP-телефонии (H.323, SIP и др.), если их сообщения поступают из неголосового сегмента.

Для защиты элементов голосовой инфраструктуры от возможных несанкционированных воздействий могут применяться специализированные решения - межсетевые экраны (МСЭ), шлюзы прикладного уровня (Application Layer Gateway, ALG) и пограничные контроллеры сеансов (Session Border Controller). В частности, протокол RTP использует динамические порты UDP, открытие которых на межсетевом экране приводит к появлению зияющей дыры в защите. Следовательно, межсетевой экран должен динамически определять используемые для связи порты, открывать их в момент соединения и закрывать по его завершении. Другая особенность заключается в том, что ряд протоколов, например, SIP, информацию о параметрах соединения размещает не в заголовке пакета, а в теле данных. Поэтому устройство защиты должно быть способно анализировать не только заголовок, но и тело данных пакета, вычленяя из него все необходимые для организации голосового соединения сведения. Еще одним ограничением является сложность совместного применения динамических портов и NAT.

Так как технология VoIP базируется на технологии IP и использует Интернет, она так же наследует все её уязвимости. Последствия этих атак, умноженные на уязвимости, которые следуют из особенностей архитектуры сетей VoIP, заставляют задуматься о способах усиления защиты и тщательном анализе существующей сети IP . Более того, добавление любого нового сервиса, например, голосовой почты в недостаточно защищенную инфраструктуру может спровоцировать появление новых уязвимостей.

Риски и уязвимости, наследованные из IP сетей.

Плохой дизайн сети

Неправильно спроектированная сеть может повлечь за собой большое количество проблем, связанных с использованием и обеспечением необходимой степени информационной безопасности в VoIP сетях. Межсетевые экраны, к примеру, являются уязвимым местом в сети, по причине того, что для правильного функционирования VoIP сети необходимо открывать дополнительные порты, и межсетевые экраны, не поддерживающие технологию VoIP, способны просто оставлять открытыми ранее используемые порты даже после завершения вызовов.

Уязвимые IP АТС и шлюзы

Если злоумышленник получает доступ к шлюзу или АТС, он так же получает доступ к захвату целых сессий (по сути – возможность прослушать вызов), узнать параметры вызова и сети. Таким образом, на безопасность АТС необходимо обратить наибольшее внимание. Убытки от таких вторжений могут достигать значительных сумм.

Атаки с повторением пакетов

Атака с повторением пакета может быть произведена в VoIP сети путем повторной передачи серии корректных пакетов, с целью того, что бы приёмное устройство произвело повторную обработку информации и передачу ответных пакетов, которые можно проанализировать для подмены пакетов (спуфинга) и получения доступа в сеть. К примеру, даже при условии зашифрованных данных, существует возможность повторения пакета с логином и паролем пользователем пользователя, и, таким образом, получения доступа в сеть.

Риски и уязвимости, характерные для VoIP сетей

Подмена и маскировка пакетов
Использование подменных пакетов с неправильным IP-адресом источника могут использоваться для следующих целей:

Перенаправление пакетов в другую сеть или систему

Перехват трафика и атака «man-in-the-middle» (рисунок ниже)

• Маскировка под доверенное устройство - «Перенос ответственности» за атаку на другое устройство
• Фаззинг(Fuzzing) - Нагрузка системы пакетами с не полностью корректной информацией, что вызывает ошибки в работе системы при их обработке, например такие как задержки при работе, утечки информации и полный отказ системы
• Сканирование на предмет возможных уязвимостей - Сканирование портов может дать злоумышленнику начальные данные для проведения полноценной атаки, такие как модели операционных систем, типы используемых сервисов и приложений. При нахождении уязвимого сервиса злоумышленник может получить доступ к управлению всей сетью, и, как следствию, к возможности причинить большой ущерб.
• Низкая надежность по сравнению с традиционными сетям - Для достижения качественной связи, пакетам, содержащим голосовую и видео нагрузку присваивается высокий приоритет в механизмах качества обслуживания QoS (качества обслуживания). Однако, надежность VoIP и сетей передачи данных стремится к 99,9%, что ниже чем степени надежности в традиционных телефонных сетях, у которых данный параметр стремится к 99,999%. Конечно, разница не столь велика, однако за год эта разница выливается в дополнительные 8.7 часа, во время которых система не работает. Но необходимо понимать, что далеко не каждому предприятию это может повредить.
• Атаки DDoS(Distributed Denial of Service) - Атаки DoS и DDoS происходят когда злоумышленник посылает крайне большие объемы случайных сообщений на одно или несколько VoIP устройств из одного или нескольких мест (DoS и DDoS соответственно). Атака из нескольких мест используется с помощью «зомби» - скомпрометированные сервера и рабочие станции, которые автоматически посылают вредоносные запросы в соответствии с потребностями злоумышленника. Успешной такая атака считается в момент, когда количество запросов превышает вычислительную мощность объекта, в следствие чего происходит отказ в обслуживании для конечных пользователей.

VoIP системы особенно уязвимы для таких атак, т.к они имеют высокий приоритет в технологии обеспечения качества обслуживания QoS, и для нарушения их работы требуется меньшее количество трафика нежели для обычных сетей передачи данных. Примером DoS атаки против именно VoIP сети может быть атака при множественной передачи сигналов отмены или установления вызова, которая так же имеет название SIP CANCEL DoS атака.

• CID спуфинг - Один из типов атак с подменой пакетов построен на манипуляциях с идентификатором звонящего (Caller ID или CID), который используется для идентификации звонящего до ответа. Злоумышленник может подменить этот идентификатор текстовой строкой или телефонным номером и может использоваться для осуществления различных действий, вредящих сети или владельцу предприятия. Кроме того, в VoIP сетях нет возможности скрыть этот идентификатор, т.к телефонные номера включены в заголовках пакетов в протоколе SIP. Это позволяет злоумышленнику со сниффером пакетов, например tcpdump узнать телефонные номера даже если они имеют параметр «private» у сервисного провайдера.
• Заключение - Использование IP-телефонии приносит огромное количество пользы для любой организации – решение на базе VoIP более масштабируемы, легко интегрируемы и их стоимость ниже классических решений. Однако, любая организация, внедрив VoIP решение должна быть в курсе возможных угроз и предпринимать всевозможные усилия для увеличения степени информационной безопасности в сети. Были перечислены лишь некоторые методы атак, но необходимо понимать, что часто используются комбинации атак и практически ежедневно разрабатываются новые атаки. Но понятно уже сейчас, что за данной технологией будущее и она вряд ли уступит пальму первенства другой технологии в обозримом будущем.

IP-телефония все чаще и чаще начинает применяться в компаниях. Она повышает эффективность ведения бизнеса и позволяет осуществлять многие до этого невозможные операции (например, интеграцию с CRM и другими бизнес-приложениями, снижение издержек на построение и эксплуатацию телекоммуникационной инфраструктуры, создание эффективных Call-центров, снижение совокупной стоимости владения системой и т.п.). Однако, активное развитие IP-телефонии сдерживается тем, что вокруг этой технологии циркулирует много слухов о ее низкой безопасности. Компания Cisco Systems доказала, что это не так и данная публикация призвана развенчать сложившиеся мифы о незащищенности IP-телефонии.

Сразу надо заметить, что Cisco - единственный производитель, обеспечивающий защиту инфраструктуры IP-телефонии на всех ее уровнях, начиная от транспортной среды и заканчивая голосовыми приложениями. Это достигается внедрением решений в рамках инициативы Cisco Self-Defending Network. Высокий уровень защищенности решений Cisco Systems подтверждается и независимыми тестовыми лабораториями. В частности, журнал NetworkWorld (http://www.nwfusion.com/reviews/2004/0524voipsecurity.html) протестировал несколько решений по IP-телефониии и только решению Cisco присвоил максимально возможный рейтинг "SECURE" («защищенный»).

1. IP-телефония не защищает от подслушивания разговора

Решения IP-телефонии компании Cisco используют несколько технологий и механизмов, обеспечивающих конфиденциальность проводимых . Во-первых, это выделение голосового трафика в выделенный сегмент сети и разграничение доступа к голосовому потоку путем использования правил контроля доступа на маршрутизаторах и межсетевых экранах. Во-вторых, весь голосовой трафик может быть защищен от несанкционированного прослушивания с помощью технологии построения виртуальных частных сетей (VPN). Протокол IPSec позволяет защитить телефонный разговор, осуществляемый даже через сети открытого доступа, например, Интернет. И, наконец, компания Cisco реализовала в своих IP-телефонах специально разработанный для обеспечения конфиденциальности голосового потока протокол SecureRTP (SRTP), не позволяющий посторонним проникнуть в тайну телефонных переговоров.

2. IP-телефония подвержена заражению червями, вирусами и троянцами

Для защиты инфраструктуры IP-телефонии от заражения различными вредоносными программами компания Cisco предлагает целый ряд защитных мер, позволяющих построить эшелонированную оборону, препятствующую не только внедрению, но и распространению червей, вирусов, троянских коней и других типов вредоносной активности. Первой линией обороны является применение межсетевых экранов и систем обнаружения и предотвращения атак, наряду с антивирусами компаний-партнеров компании Cisco, для разграничения доступа к инфраструктуре IP-телефонии.

Вторая линия обороны строится на использовании антивирусов и систем предотвращения атак на оконечных узлах, участвующих в инфраструктуре IP-телефонии - Cisco IP SoftPhone, Cisco CallManager, Cisco Unity, Cisco IP Contact Center (IPCC) Express, Cisco Personal Assistant, Cisco IP Interactive Voice Response и т.д.

Последняя по счету, но не последняя по важности линия обороны - инициатива Network Admission Control, предложенная компанией Cisco Systems. В рамках этой инициативы все несоответствующие политике безопасности (в т.ч. и с неустановленным антивирусным программным обеспечением) рабочие станции и сервера не смогут получить доступ к корпоративной сети и нанести ущерб ее ресурсам.

3. IP-телефония не защищает от подмены телефонов и серверов управления

Для защиты от устройств, пытающихся замаскироваться под авторизованные IP-телефоны или несанкционированно подключенных к сетевой инфраструктуре, компания Cisco предлагает использовать не только уже упомянутые выше правила контроля доступа на маршрутизаторах и межсетевых экранах, но и развитые средства строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления Call Manager), для подтверждения подлинности которых используются различные стандартизированные протоколы, включая RADIUS, сертификаты PKI Х.509 и т.д.

4. Злоумышленник с административными правами может нарушить функционирование инфраструктуры 1Р-телефонии

В CallManager предусмотрены расширенные возможности по наделению различных системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. К таким правам могут быть отнесены - доступ к конкретным настройкам только на чтение, полное отсутствие доступа к ним, доступ на изменение и т.д.). Кроме того, все производимые администратором действия фиксируются в специальном журнале регистрации и могут быть проанализированы в любой момент в поисках следов несанкционированной активности.

Управление конфигурацией IP-телефонов и взаимодействие их с CallManager осуществляется по защищенному от несанкционированного доступа каналу, предотвращая любые попытки прочтения или модификации управляющих команд. Для защиты канала управления используются различные стандартизованные протоколы и алгоритмы - IPSec, TLS, SHA-1 и т.д.

5. CallManager незащищен, потому что установлен на платформе Windows

Несмотря на то, что сервер управления инфраструкторой IP-телефонии CallManager установлен на платформе Windows, он не имеет присущих этой платформе слабых мест. Это связано с тем, что CallManager работает под управлением защищенной и оптимизированной версии Windows в которой:

• отключены все ненужные сервисы и учетные записи,
• установлены все необходимые и регулярно обновляемые «заплатки»,
• настроена политика безопасности.

Кроме того, CallManager дополнительно защищается специальными скриптами, входящими в дистибутив и автоматизирующими процесс повышения уровня защищенности сервера управления инфраструктурой IP-телефонии. Дополнительный уровень защиты CallManager от вирусов, червей, троянских коней и других вредоносных программ и атак достигается за счет применения антивируса (например, McAfee) и системы предотвращения атак Cisco Secure Agent, которые блокируют все попытки злоумышленников вывести из строя основной компонент сегмента IP-телефонии.

6. IP-телефонию легко вывести из строя

Несмотря на то, что различные компоненты IP-телефонии потенциально подвержены атакам «отказ в обслуживании», решения компании Cisco Systems предлагают целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать как встроенные в сетевое оборудование механизмы обеспечения информационной безопасности, так и дополнительные решения, предлагаемые компанией Cisco Systems:

• Разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в «голосовом» участке распространенных атак, в т.ч. и DoS.
• Применение специальных правил контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты.
• Применение системы предотвращения атак на узлах Cisco Secure Agent.
• Применение специализированной системы защиты от DoS и DDoS-атак Cisco Guard и Cisco Traffic Anomaly Detector.
• Применение специальных настроек на сетевом оборудовании Cisco, предотвращающих подмену адреса, часто используемую при DoS-атаках, и ограничивающих полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

7. К IP-телефонам можно осуществить несанкционированный доступ

Сами IP-телефоны содержат целый ряд специальных настроек, препятствующих несанкционированному доступу к ним. К таким настройкам можно отнести, например, доступ к функциям телефона только после предъявления идентификатора и пароля или запрет локального изменения настроек и т.д.

С целью предотвращения загрузки на IP-телефон несанкционированно модифицированного программного обеспечения и конфигурационных файлов, их целостность контролируется электронной цифровой подписью и сертификатами Х.509.

8. CallMananger можно перегрузить большим числом звонков

Максимальное число звонков в час на один сервер CallManager составляет до 100000 (в зависимости от конфигурации) и это число может быть увеличено до 250000 при использовании кластера CallManager. При этом в CallManager существуют специальные настройки, ограничивающие число входящих звонков необходимым значением. Кроме того, в случае потери связи с одним из CallManager"ов возможна автоматическая перерегистрация IP-телефона на резервном CallManager, а также автоматическая смена маршрута звонка.

9. В IP-телефонии легко совершить мошенничество

Сервер управления инфраструктурой IP-телефонии CallManager содержит ряд возможностей, позволяющих снизить вероятность осуществления телефонного мошенничества в зависимости от его типа (кража услуг, фальсификация звонков, отказ от платежа и т.п.). В частности, для каждого абонента можно:

• заблокировать звонки как на определенные группы номеров, так и с них,
• заблокировать возможность переадресации звонков на различные типы номеров -городские, мобильные, междугородние, международные и т.д.,
• отфильтровывать звонки по различным параметрам,
• и т.д.

При этом все эти действия осуществляются независимо от того, с какого телефонного аппарата абонент осуществляет звонок. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не проходит процесс подтверждения своей подлинности, то он может звонить только по заранее определенному списку телефонных номеров, например, в скорую помощь, милицию или внутренний отдел поддержки.

10.Традиционная телефония более защищена, чем IP-телефония

Это самый распространенный миф, который существует в области телефонии. Традиционная телефония, разработанная десятилетия назад гораздо менее защищена новой и более совершенной технологии IP-телефонии. В традиционной телефонии гораздо легче осуществить подключение к чужому разговору, подмену номера, «наводнение» звонками и множество других угроз, некоторым из которых нет аналогов в IP-телефонии (например, war dialing). Защита традиционной телефонии обеспечивается гораздо более дорогими средствами и механизмами, чем в IP-телефонии, в которой эти средства встроены в сами компоненты этой технологии. Например, для защиты от прослушивания традиционное использует специальные устройства - скремблеры, централизованное управление которыми невозможно; не говоря уже стоимости их приобретения и установки перед каждым телефонным аппаратом.