Сигурност на IP телефонията: максимална защита на корпоративните IP мрежи

IP телефонията трябва да бъде осигурена с две нива на сигурност: система и разговор.

Следните функции се използват за гарантиране на сигурността на системата:

• Предотвратете неоторизиран достъп до мрежата, като използвате споделена кодова дума. Едновременно се изчислява кодовата дума по стандартни алгоритми на началната и крайната системи и получените резултати се сравняват. Когато се установи връзка, всяка от двете системи за IP телефония първоначално идентифицира другата система; в случай на поне един отрицателен резултат, връзката се прекъсва.
• Списъци за достъп за всички известни шлюзове за IP телефония.
• Запис за отказ на достъп.
• Функции сигурност на интерфейсадостъп, включително проверка на потребителския идентификатор и парола с ограничен достъп за четене/запис, проверка на правата за достъп до специален WEB-сървър за администриране.
• Функции за защита на повикванията, включително проверка на потребителски идентификатор и парола (по избор), потребителско състояние, профил на обаждащия се.

Когато един шлюз установи връзка с друг шлюз в своята зона, се извършва незадължителна проверка на потребителския идентификатор и парола. Потребителят може да бъде отменен по всяко време.

Всъщност при разработването на IP протокола не се обръща необходимото внимание на проблемите със сигурността на информацията, но с течение на времето ситуацията се промени и съвременните базирани на IP приложения съдържат достатъчно защитни механизми. А решенията в областта на IP-телефонията не могат да съществуват без внедряването на стандартни технологии за удостоверяване и оторизация, контрол на целосттаи криптиране и т.н. За по-голяма яснота ще разгледаме тези механизми, тъй като те се използват на различни етапи от организирането на телефонен разговор, от вдигането на телефонната слушалка до края на сигнала за затваряне.

1. Телефонен апарат.

При IP телефонията, преди телефонът да изпрати сигнал за установяване на връзка, абонатът трябва да въведе своя ID и парола за достъп до устройството и неговите функции. Такова удостоверяване ви позволява да блокирате всякакви действия на непознати и да не се притеснявате, че непознати ще се обадят в друг град или държава за ваша сметка.

2. Установяване на връзка.

След като номерът бъде набран, сигналът за връзка се изпраща до съответния сървър за управление на разговори, където се извършват поредица от проверки за сигурност. На първо място се проверява автентичността на самия телефон - както чрез използване на протокола 802.1x, така и чрез използване на сертификати, базирани на публични ключове, интегрирани в инфраструктурата за IP телефония. Тази проверка помага да се изолират неоторизирани IP телефони в мрежата, особено в динамично адресирана мрежа. Явления, подобни на прословутите виетнамски кол центрове, са просто невъзможни в IP телефонията (разбира се, при условие че се спазват правилата за изграждане на защитена телефонна мрежа).

Въпросът обаче не се ограничава до удостоверяването на телефона - необходимо е да се установи дали на абоната е предоставено правото да се обади на номера, който е набрал. Това не е толкова механизъм за сигурност, колкото мярка за предотвратяване на измами. Ако инженерът на компанията не може да използва комуникация на дълги разстояния, тогава съответното правило се записва незабавно в системата за контрол на разговорите и от който и телефон да се направи такъв опит, той незабавно ще бъде спрян. Освен това можете да посочите маски или диапазони от телефонни номера, на които даден потребител има право да се обажда.

В случай на IP телефония, комуникационните проблеми, подобни на претоварването на линиите в аналоговата телефония, са невъзможни: при компетентен дизайн на мрежа с излишни връзки или дублиране на сървър за управление на разговори, неизправност на елементите на инфраструктурата на IP телефония или тяхното претоварване не влияят негативно на функционирането на мрежата.

3. Телефонен разговор.

В IP телефонията решението на проблема със защитата от подслушване беше предвидено от самото начало. Високо ниво на конфиденциалност на телефонните комуникации се осигурява от доказани алгоритми и протоколи (DES, 3DES, AES, IPSec и др.) без почти никакви разходи за организиране на такава защита - всички необходими механизми (криптиране, контрол на целостта, хеширане, обмен на ключове и т.н.) вече са внедрени в елементи на инфраструктурата, от IP телефон до система за контрол на разговори. В същото време защитата може да се прилага с еднакъв успех както за вътрешни комуникации, така и за външни (в последния случай всички абонати трябва да използват IP-телефони).

Въпреки това, има редица неща, които трябва да имате предвид при криптирането, когато внедрявате VoIP инфраструктура. Първо, има допълнително забавяне поради криптиране / декриптиране, и второ, режийните разходи се увеличават в резултат на увеличаването на дължината на предаваните пакети.

4. Невидима функционалност.

Досега разгледахме само онези опасности, на които е изложена традиционната телефония и които могат да бъдат елиминирани с въвеждането на IP телефонията. Но преминаването към IP носи със себе си редица нови заплахи, които не могат да бъдат игнорирани. За щастие вече съществуват добре доказани решения, технологии и подходи за защита срещу тези заплахи. Повечето от тях не изискват никакви финансови инвестиции, тъй като вече са внедрени в мрежово оборудване, което е в основата на всяка IP-телефонна инфраструктура.

Най-простото нещо, което можете да направите, за да увеличите сигурността на телефонните разговори, когато те се предават по същата кабелна система като обикновените данни, е да сегментирате мрежата с помощта на VLAN технология, за да елиминирате възможността за подслушване на разговори от обикновените потребители. Добри резултати се получават чрез използване на отделно адресно пространство за сегменти на IP телефония. И, разбира се, не трябва да пренебрегвате правилата за контрол на достъпа на рутери (списък за контрол на достъпа, ACL) или защитни стени, чието използване затруднява свързването на нападателите с гласови сегменти.

5. Комуникация с външния свят.

Каквито и предимства да може да предостави IP телефонията в рамките на вътрешната корпоративна мрежа, те ще бъдат непълни без възможността за осъществяване и получаване на повиквания до градски номера. В този случай, като правило, възниква проблемът с преобразуването на IP трафика в сигнал, предаван през обществената телефонна мрежа (PSTN). Решава се чрез използване на специални гласови шлюзове, които изпълняват и някои защитни функции, като най-важната от тях е блокиране на всички протоколи за IP телефония (H.323, SIP и др.), ако съобщенията им идват от негласов сегмент.

За защита на елементите на гласовата инфраструктура от възможни неоторизирани влияния могат да се използват специализирани решения – защитни стени (ITU), шлюзове на приложния слой (Application Layer Gateway, ALG) и гранични контролери на сесията (Session Border Controller). По-специално, RTP използва динамични UDP портове, които се отварят на защитна стена, създават зейнала дупка в сигурността. Следователно защитната стена трябва динамично да определи портовете, използвани за комуникация, да ги отвори по време на връзката и да ги затвори, когато тя приключи. Друга особеност е, че редица протоколи, напр.

Отминаха дните, когато операторите се страхуваха от използването на IP-телефония, считайки нивото на сигурност на такива мрежи за ниско. Днес вече можем да кажем, че IP телефонията се превърна в един вид де факто стандарт в телефонните комуникации. Това се дължи на удобството, надеждността и сравнително ниската цена на IP-телефонията в сравнение с аналоговата комуникация. Може да се твърди, че IP телефонията подобрява ефективността на бизнеса и позволява операции, които досега не са били налични, като интеграция с различни бизнес приложения.

Ако говорим за недостатъците и уязвимостите на IP-телефонията, на първо място, трябва да се отбележат същите "болести", които страдат от други услуги, използващи IP протокола. Това е податливост на атаки от червеи и вируси, DoS атаки, неоторизиран отдалечен достъп и т.н. Въпреки факта, че при изграждането на инфраструктура за IP телефония тази услуга обикновено се отделя от мрежовите сегменти, в които „отиват“ негласови данни, това е не е гаранция за сигурност. Днес голям брой компании интегрират IP телефония с други приложения като имейл. От една страна, това създава допълнителни удобства, но от друга, нови уязвимости. Освен това за функционирането на една IP телефонна мрежа са необходими голям брой компоненти, като поддържащи сървъри, комутатори, рутери, защитни стени, IP телефони и т.н. Въпреки това, неспециализирани операционни системи често се използват за поддържане на работата на IP мрежа. Например, повечето IP-PBX са базирани на общи и добре познати операционни системи (Windows или Linux), които теоретично имат всички уязвимости, свързани с тези системи.

Някои IP-PBX използват СУБД и уеб сървъри, които имат свои собствени уязвимости. И въпреки че за универсална операционна система или стек от протоколи можете да използвате добре познати инструменти за сигурност - антивируси, лични защитни стени, системи за предотвратяване на атаки и т.н., липсата на "заточване" на такива инструменти за работа с приложения за IP телефония може да се отрази негативно влияят на нивото на сигурност...

Сред основните заплахи, на които е изложена IP телефонната мрежа, могат да се откроят:

• регистрация на чужд терминал, който ви позволява да извършвате разговори за сметка на някой друг;
• подмяна на абонат;
• извършване на промени в гласовия или сигналния трафик;
• намаляване на качеството на гласовия трафик;
• пренасочване на гласов или сигнализиращ трафик;
• прихващане на гласов или сигнален трафик;
• подправяне на гласови съобщения;
• прекратяване на комуникационната сесия;
• отказ на услуга;
• отдалечен неоторизиран достъп до компонентите на инфраструктурата за IP телефония;
• неоторизирани софтуерни актуализации на IP телефон (например с цел въвеждане на троянски кон или шпионски софтуер);
• хакване на системата за таксуване (за операторска телефония).

Това не е целият списък на възможните проблеми, свързани с използването на IP-телефония. VoIP Security Alliance (VOIPSA) разработи документ, описващ широк спектър от заплахи за IP телефония, който освен технически заплахи включва изнудване чрез IP телефония, спам и др.

И все пак, основната уязвимост на IP телефонията е човешкият фактор, който постави зъбите на ръба. Проблемът със сигурността при разгръщането на IP телефонна мрежа често е изместен на заден план и решението се взема без участието на експерти по сигурността. Освен това специалистите невинаги конфигурират правилно решението, дори ако то съдържа подходящите защитни механизми или ако закупят мерки за сигурност, които не са предназначени да обработват ефективно гласовия трафик (например защитните стени може да не разбират собствения протокол за сигнализиране, използван в решението за IP телефония). В крайна сметка организацията е принудена да изразходва допълнителни финансови и човешки ресурси, за да защити внедреното решение или да се примири с неговата несигурност.

Какво да се изгради?

Нито ще бъде откритие, че колкото по-сигурна е една IP телефонна мрежа, толкова по-малко вероятно е тя да бъде хакната и злоупотребена в такава мрежа. Звучи банално, но е необходимо да се мисли за осигуряване на сигурност още на етапа на подготовка на проект за IP-телефония и именно на този етап е необходимо да се договорим кои защитни механизми са по-целесъобразни за използване в мрежата. Ще бъде ли набор от вградени механизми? Или може би особеностите на функционирането на тази IP-мрежа са такива, че са необходими допълнителни и "шарнирни" средства за защита?

От гледна точка на управляемостта и производителността, най-предпочитаната архитектура за IP телефония изглежда е, където всички компоненти за сигурност са вградени в елементите на самата мрежа. Ако разгледаме IP телефонната мрежа без използването на допълнителни мерки за сигурност, тогава с помощта на механизмите за сигурност, вградени в мрежовите комутатори, е възможно да се изгради сравнително силна защита срещу атаки по периметъра. Вградената функционалност ви позволява да предоставите:

• възможността за създаване на виртуални локални мрежи (VLAN) с помощта на вградените възможности на комутаторите;
• използването на вградени механизми за филтриране и контрол на достъпа;
• ограничаване и представяне на гарантираната честотна лента, което ви позволява ефективно да потискате DoS атаки;
• ограничаване на броя на устройствата с различни MAC адреси, свързани към един порт;
• предотвратяване на атаки при използването на пул от адреси на DHCP услуги;
• предотвратяване на запушване на ARP таблици и "кражба" на адреси;
• предотвратяване на атаки от анонимни адреси;
• използването на списъци за контрол на достъпа, които ограничават адресите на възли, които могат да предават данни към IP телефони.

В допълнение, системата за управление на разговори, вградена в архитектурата на IP мрежата, която може да бъде свързана към специална локална мрежа, изолирана от работната мрежа на организацията, осигурява допълнителна „линия“ в защита. Недостатъците включват факта, че функциите за сигурност, вградени в мрежовото оборудване, не винаги осигуряват адекватно ниво на сигурност и може да са необходими допълнителни инвестиции в модернизация на оборудването, за да се повиши.

Въпреки използването на IP протокола в основата му, IP телефонията не винаги може да бъде адекватно защитена от традиционните решения. Това се дължи на факта, че те не отчитат неговите специфики - предаване на трафик в реално време, контрол на качеството и трафик на ниво приложение и т.н. В идеалния случай, когато приложенията за IP телефония и тяхната сигурност са неразривно свързани и интегрирани в едно платформа, включително мрежова инфраструктура. Това ви позволява да увеличите ефективността на защитата и да намалите нейните разходи. В противен случай трябва да бъдат изградени четири независими или почти не припокриващи се инфраструктури: LAN, IP телефонна мрежа, LAN сигурност и инфраструктура за сигурност на IP телефония.

Използването на специализирани защитни стени значително повишава сигурността на IP телефонната мрежа, например чрез филтриране на трафика, като се вземе предвид състоянието на връзката ( държавна проверка), което ви позволява да предавате само необходимия трафик и връзки, установени в определена посока (от сървъра към клиента или обратно). В допълнение, защитната стена предоставя възможност за:

• филтриране на трафик за управление на инсталиране на IP-телефонни връзки;
• предаване на управленски трафик през NAT и мрежови тунели;
• Отвличане на TCP, което потвърждава, че TCP сесиите са затворени, като по този начин се защитава срещу редица атаки за отказ на услуга (DoS).

При проектирането на мрежа, в която се предполага да се използват допълнителни средства за защита, например системи за откриване или предотвратяване на атаки, трябва да се обърне специално внимание на избора на производителя на такива средства, тъй като въпросът за управление на хетерогенна IP мрежа не винаги може да бъде решен ефективно и бързо и почти винаги изисква сериозни допълнителни прикачени файлове.

За предпочитане е да изберете производителя, на чието оборудване мрежата вече функционира, тъй като поддръжката и управлението на устройствата могат да се извършват в този случай централно и на по-ниски разходи.

Защита от подслушване

VLAN мрежите намаляват до известна степен риска от подслушване, но ако анализаторът прихване гласови пакети, възстановяването на записа на разговора не е трудна работа за специалист. В по-голямата си част VLAN мрежите са в състояние да осигурят защита срещу външни прониквания, но може да не са в състояние да защитят срещу атаки, инициирани от мрежата. Човек в периметъра на мрежата може да включи компютър директно в контакт, да го конфигурира като VLAN елемент на система за IP телефония и да започне атака.

Най-перфектният начин за противодействие на този вид манипулация е да използвате IP телефони с вградено криптиране. В допълнение, криптирането на трафика между телефони и шлюзове осигурява допълнителна защита. Днес почти всички доставчици като Avaya, Nortel и Cisco предлагат вградено криптиране за трафик и сигнализация. Шифроването на трафика е най-логичното решение за защита срещу подслушване на разговори, но тази функционалност носи и редица трудности, които трябва да се вземат предвид при изграждането на сигурна връзка. Основният проблем може да бъде латентността, добавена от процеса на криптиране и декриптиране на трафика. Когато работите в локална мрежа, този проблем, като правило, не се усеща, но при комуникация чрез широкообхватна мрежа може да причини неудобство. В допълнение, криптирането на сигнализация, което се случва на слоя на приложението, може да затрудни работата на защитните стени. При поточно криптиране латентността е много по-ниска, отколкото при блоковите шифри, въпреки че те не могат да бъдат напълно елиминирани. По-бързите алгоритми или включването на QoS механизми в модула за криптиране могат да бъдат решение на проблема.

QoS

Общоприето е, че основната цел на QoS механизмите ( Качество на обслужване) - осигуряване на правилното качество на комуникацията. Но не забравяйте, че те играят съществена роля при решаването на проблеми със сигурността. Споделената физическа честотна лента се използва за предаване на глас и данни от логически отделни VLAN. Когато хост се зарази с вирус или червей, мрежата може да бъде наводнена от трафик. Въпреки това, с подходящо конфигурирани QoS механизми, трафикът от IP телефония ще продължи да има предимство пред споделените физически връзки и DoS атаката ще бъде неуспешна.

Защита срещу подправяне на телефона и контролния сървър

Много елементи на IP телефонията имат динамично адресиране, което позволява на нападателите да го използват за свои собствени цели. Те могат да се представят за IP телефон, сървър за контрол на разговори и т. н. Можете да използвате правилата за контрол на достъпа на рутери и защитни стени, за да се предпазите от устройства, които се опитват да се маскират като оторизирани IP телефони или неоторизирано свързани към мрежовата инфраструктура. В допълнение, силните инструменти за удостоверяване за всички абонати на инфраструктурата за IP телефония могат да бъдат полезни. Могат да се използват различни стандартизирани протоколи за удостоверяване на абонатите, включително RADIUS, PKI x.509 сертификати и др.

DoS защита

Атаките за отказ на услуга срещу приложения за IP телефония (например сървъри за разговори) и средата за предаване на данни са доста сериозен проблем. Ако говорим за атаки върху средата за предаване на данни, отбелязваме, че протоколът RTP ( Протокол в реално време). Той е уязвим към всяка атака, която претоварва мрежата с пакети или забавя обработката на пакети от крайното устройство (телефон или шлюз). Следователно, нападателят трябва само да „запуши“ мрежата с голям брой RTP пакети или пакети с висок приоритет на услугата, които ще се конкурират с легитимните RTP пакети. В този случай за защита можете да използвате както механизмите за информационна сигурност, вградени в мрежовото оборудване, така и допълнителни решения:

• разделяне на корпоративната мрежа на неприпокриващи се сегменти за предаване на глас и данни, което предотвратява появата на общи атаки в "гласовата" зона, включително DoS;
• специални правила за контрол на достъпа до рутери и защитни стени, които защитават периметъра на корпоративната мрежа и нейните отделни сегменти;
• система за предотвратяване на атаки срещу сървъра за управление на разговори и компютър с гласови приложения;
• специализирани системи за защита срещу DoS и DDoS атаки;
• специални настройки на мрежовото оборудване, които предотвратяват подправяне на адреси и ограничават честотната лента, което не позволява атакуваните ресурси да бъдат деактивирани с голям поток безполезен трафик.

Защита на IP телефон

IP телефоните съдържат редица специални настройки за предотвратяване на неоторизиран достъп до тях. Тези настройки включват например достъп до функциите на телефона само след представяне на идентификатор и парола или забрана на локални промени в настройките и т.н. X.509 сертификати.

Защита от измами в IP телефонната мрежа

Сред основните видове измами, които се случват в IP телефонната мрежа, могат да се споменат кражба на услуги, фалшифициране на разговори, отказ на плащане и други видове. Възможно е да се защити от измами в мрежи за IP телефония, като се използват възможностите на сървъра за управление на ИТ инфраструктурата. Така че за всеки абонат можете да блокирате повиквания до определени групи номера; блокиране на повиквания от нежелани номера; блокиране на възможността за пренасочване на повиквания към различни видове номера - стационарни, мобилни, междуградски и международни; филтриране на повиквания по различни параметри. Всички действия могат да се извършват независимо от кой телефонен апарат се обажда абонатът - това става чрез удостоверяване на автентичността на всеки абонат, който има достъп до IP-телефона. Ако потребителят не премине през процеса на удостоверяване, той може да се обажда само на предварително определен списък с номера, например само на вътрешни телефонни номера и на спешни общински служби.

Стандарти за IP телефония

Днес SIP заменя H.323, като много дизайнери на SIP устройства се фокусират върху подобряването на функциите, а не върху сигурността. За разлика от стандарта H.323, в рамките на който е разработена спецификацията H.235, която описва различни механизми за сигурност, протоколът SIP практически е лишен от каквито и да е сериозни функции за сигурност. Това поражда съмнения относно безоблачното бъдеще на IP телефонията, която много експерти свързват със SIP протокола. Някои надежди се възлагат на Алианса за сигурност на IP телефонията, създаден през юли 2005 г., за проучване, повишаване на осведомеността, обучение и разработване на безплатни методологии и инструменти за тестване на сигурността на IP телефонията. Но досега единственият резултат от работата на този алианс е създаването на таксономия от атаки и уязвимости в IP телефонията.

Заключение

В заключение бих искал още веднъж да отбележа, че основният постулат на ефективната система за сигурност на IP телефонията е на етапа на проектиране да се помисли как ще бъде изградена системата за защита на такава мрежа, за да се постигне максимално съответствие със спецификата на IP комуникации в една организация. Също така не трябва да се забравя, че IP телефонията е приложение, което работи в IP мрежа и адекватните мерки за защита на IP мрежата като цяло лишават нападателя от допълнителни възможности за организиране на подслушване, прилагане на DoS атаки и използване на мрежовите ресурси като вратички. в IP телефонната мрежа.

Сред основните изисквания за гарантиране на сигурността на IP телефонната мрежа е необходимостта от разделяне на гласови и нормални данни. Тоест IP телефонията трябва да бъде отделена от мрежата, където други данни се предават чрез VLAN. Сегментирането ви позволява да създадете допълнителна бариера за предотвратяване на атаки и злоупотреби, включително тези, които произхождат от вътрешната мрежа. Освен това, когато проектирате IP телефонна мрежа, е важно да осигурите адекватна честотна лента и да не забравяте за използването на QoS механизми за приоритизиране на IP телефонния трафик.

И накрая, използването на средства за защита, фокусирани върху особеностите на IP телефонията, ще помогне да се избегнат не само „дупки“ в сигурността на изградената мрежа, като „недоразумение“ чрез защита на IP трафика, но и допълнителни финансови разходи за модернизиране на съществуващо оборудване или закупуване на ново.защитни устройства.

Код на курса BT19, 2 дни

Състояние

анотация

Курсът е посветен на комплексните въпроси за анализиране на сигурността и сигурността на IP телефонията (Voice over IP (VoIP) - комуникационна система, която осигурява предаване на гласов сигнал през Интернет или през всякакви други IP мрежи). Съвременни подходи към В детайли са разгледани изграждането на IP телефонна инфраструктура и нейните защити, уязвимости и атаки върху нейните компоненти. Особено внимание се отделя на системите за мониторинг и методологията за анализиране на сигурността на една VoIP мрежа.

Повече от 50% от времето за обучение е посветено на практическа работа по анализ на сигурността и конфигуриране на VoIP компоненти в съответствие с изискванията за сигурност както на малки организации, така и на предприятия с развита клонова мрежа и географски разпределени потребители.

В курса са използвани материали и препоръки на такива компетентни международни организации в областта на информационната сигурност като Европейския институт за телекомуникационни стандарти (ETSI), Международния телекомуникационен съюз (ITU), Алианса за сигурност на гласа по IP (VOIPSA) и редица други.

Технологията за виртуализация на сървъра и работното място, използвана в процеса на обучение, позволява на всеки специалист индивидуално да извършва практическа работа в индивидуална VoIP мрежа. Работата в екип от специалисти се осъществява с помощта на софтуер и хардуерно-софтуерни телефони.

Публика:

• Системни и мрежови администратори, отговорни за работата на VoIP приложения
• Администратори по сигурността на информацията
• Експерти и анализатори по компютърна сигурност, отговорни за анализиране на състоянието на информационната сигурност, дефиниране на изисквания за сигурност на мрежовите ресурси и защита срещу изтичане на поверителна информация по технически канали.

Предварителна подготовка

• Основни познания за IP мрежи, основни протоколи и TCP/IP стек услуги
• Умения за работа с Windows 2003/2008 и Linux

Можете да тествате знанията си за протоколите на стека TCP/IP, като поискате самотест от Центъра за обучение.

• BT05 ""
• BT03 ""

В края на обучението

Ще придобиете знания:

• за съвременните механизми и средства за защита на VoIP мрежи
• за уязвимостите на VoIP протоколи и услуги: SIP, H.323, RTP
• относно използването на защитени протоколи TLS, SRTP

Можеш:

• използвайте мрежови анализатори за наблюдение на трафика
• анализирайте защитата на VoIP мрежите
• гарантират безопасното функциониране на IP телефонията и конферентните разговори

Пакет за слушател

• Марков урок
• Версии на основните средства за защита, разгледани в курса, допълнителна и справочна информация по предмета на курса в електронен вид

Освен това

След успешно полагане на теста, завършилите получават сертификати за обучение на Учебен център „Информзашита”.

Завършилите Учебния център могат да получат безплатни консултации от специалистите на Центъра като част от курса, който са завършили.

Програма на курса

• Основни понятия и дефиниции на VoIP.Терминология. VoIP архитектури и техните компоненти. Качеството на предаването на речта. Кодеци.
• Основни VoIP протоколи.Архитектура. Анализ на VoIP протоколи. Мрежов анализатор Wireshark.
• VoIP уязвимости и атаки.Класификация на уязвимостите в IP телефонията.
• Инвентаризация на VoIP мрежа.Инвентаризация на VoIP приложения. Потребителски инвентар.
• Прихващане на VoIP трафик... Нарушение на маршрутизацията. Атака на човек по средата.
• Манипулиране във VoIP системи.Изтриване на абонатна регистрация. Неоторизирана регистрация. Прихващане на регистрация.
• Атаки срещу протокол в реално време (RTP).Смесване на речеви сигнали.
• Спам във VoIP мрежи.Спам със Asterisk.
• Механизми за сигурност за IP телефония.Нивата на информационната инфраструктура на корпоративната мрежа. Концепция за защита в дълбочина. Преглед на механизмите и средствата за защита на мрежите.
• Планиране на сигурна мрежова инфраструктура за IP телефония.Избор на местоположението на VoIP сървъра в мрежата. Осигуряване на мрежова сигурност на VoIP сървъра. Конфигуриране на защитната стена. Използване на системи за откриване на проникване. Настройка на мрежово оборудване.
• Анализ на сигурността на VoIP.Методология. Системи за анализ на сигурността. Опции за класификация. Архитектура и принципи на работа на скенерите. Програма SiVuS (SIP Vulnerability Scanner).
• Криптографска защита във VoIP мрежи.Криптографски методи за защита на информацията. Виртуална частна мрежа. Общи принципи за изграждане на VPN. Ключово управление. Инфраструктурен модел на публичен ключ. Форматът на сертификата за публичен ключ X.509. Използване на TLS (Transport Layer Security), SRTP (Secure Real-time Transport Protocol). Конфигуриране на Asterisk.
• Континентен хардуерен и софтуерен криптиращ комплекс.Създаване на VPN на базата на АСУ ТП "Континент". Приложение на APKSH "Континент" за VoIP защита.
• Office Communication Server.Архитектура. Случаи на употреба. Инсталиране и конфигуриране на Office Communication Server.

Последен тест

Проблемът с осигуряването на сигурността на съвременните информационни технологии (включително IP телефонията) сега е в центъра на вниманието на мнозина - и това е особено важно за всяка търговска структура. Никой не иска да се сблъсква с нови заплахи и рискове след внедряването на ново ИТ решение, предназначено да оптимизира бизнес процесите на компанията. Ето защо информационната сигурност сега става приоритет при избора на нови ИТ системи – по-специално при преминаване към IP телефония.

Решаване на проблема със сигурността - интегриран подход

Няма универсално решение за сигурност за IP телефония, но това трябва да бъде част от цялостната ви стратегия за сигурност. VoIP технологията е приложение, работещо в IP мрежа, където трябва да се прилагат подходящи методи за сигурност, т.е. Трябва ясно да разберете: колкото по-висока е сигурността на вашата мрежа като цяло, толкова по-трудно ще бъде за нападателя да организира подслушване, атака за отказ на услуга (DoS) или да „хакне“ операционна система или приложение за VoIP система . А специалистите на Интеркомпютърни системи са готови да ви помогнат!

Спектърът на заплахите за IP телефония

Най-честите заплахи, на които са изложени IP мрежите, включват:

• регистрация на чужд терминал, който ви позволява да извършвате разговори за сметка на някой друг;
• подмяна на абонат;
• извършване на промени в гласовия или сигналния трафик;
• намаляване на качеството на гласовия трафик;
• пренасочване на гласов или сигнализиращ трафик;
• прихващане на гласов или сигнален трафик;
• подправяне на гласови съобщения;
• прекратяване на комуникационната сесия;
• отказ на услуга;
• отдалечен неоторизиран достъп до компонентите на инфраструктурата за IP телефония;
• неоторизирани софтуерни актуализации на IP телефона (например с цел въвеждане на троянски кон или шпионски софтуер);
• хакване на системата за таксуване (за операторска телефония).

И това не е целият списък с възможни проблеми, свързани с използването на IP телефония. Така че - с всички предимства на IP-телефонията - трябва незабавно да обмислите въпроса за организиране на система за защита на вашите мрежи, която ще ви позволи да използвате напълно предимствата на прехода към VoIP технологии.

Архитектурата на IP телефонията включва няколко основни градивни блока, всеки от които може да бъде податлив на атака от натрапници. Следователно е необходим интегриран подход за изпълнение на задачата за осигуряване на максимално ниво на сигурност на корпоративната телефония. Специалисти на фирмата Интеркомпютърни системище ви помогне да предотвратите изтичане на информация и да осигурите цялостна защита за вашата IP телефонна инфраструктура. Освен това не само от заплахи за заразяване от злонамерени програми (въвеждането и разпространението на червеи, вируси, троянски коне и други видове зловреден софтуер), но и от подслушване и прихващане на информация.

Като "първа линия на защита" предлагаме:системи за откриване и предотвратяване на атаки, чийто принцип е да ограничават достъпа до IP-телефонната инфраструктура и редовно да наблюдават системата. Препоръчваме също да използвате стандартни антивирусни програми и защитни стени.

Използването на тези технологии предоставя възможности за:

• филтриране на трафик за управление на инсталиране на IP-телефонни връзки;
• предаване на управленски трафик през NAT и мрежови тунели;
• Отвличане на TCP, което потвърждава, че TCP сесиите са затворени, като по този начин се защитава срещу редица атаки за отказ на услуга (DoS).

Предотвратяване на DoS атаки

Често срещаните DoS атаки се блокират успешно на ниво архитектура на IP телефония от:

• разделяне на корпоративната мрежа на неприпокриващи се сегменти за предаване на глас и данни, което предотвратява появата на често срещани атаки в "гласовата" зона, включително DoS;
• създаване на специални правила за контрол на достъпа на рутери и защитни стени, които защитават периметъра на корпоративната мрежа и нейните отделни сегменти;
• въвеждане на система за предотвратяване на атаки върху възли;
• внедряване на специализирани системи за защита срещу DoS и DDoS атаки;
• използване на специални настройки на мрежовото оборудване, които предотвратяват спуфинг на адреси, което често се използва при DoS атаки, и ограничават честотната лента, което не позволява да се деактивират атакуваните ресурси с голям поток безполезен трафик.

"Втора линия на отбрана"- защита чрез използване на протоколи за криптиране и организиране на мерки за сигурност при използването на устройства от IP мрежовата система (от сървъра до самите IP телефони).

Именно специализираната конфигурация на политиките за сигурност на IP системата, оторизацията и правата за достъп за вътрешни абонати, както и установяването на ограничения върху оперативната функционалност на системата ще послужи като една от най-ефективните инициативи за оптимизиране на нивото на сигурност и работата на корпоративна IP система. Рисковете, свързани със заплахата от неоторизиран нарушител в системата за администриране на IP телефония, също могат да бъдат практически сведени до нула. Тъй като самата IP телефонна инфраструктура е доста обширна система, управлението на конфигурацията на IP телефоните и взаимодействието им с контролния сървър трябва да се извършват през канал, защитен от неоторизиран достъп, което предотвратява всякакви опити за четене или промяна на команди за управление. За защита на контролния канал могат да се използват различни протоколи - IPSec, SSL, TLS и др.

Криптиране на трафика

Това е един от най-важните компоненти на сигурността на IP телефонията. Повечето съществуващи VoIP решения все още не поддържат криптографско криптиране. Въпреки това, сигурната телефонна връзка е много по-лесна за реализиране с VoIP технология, отколкото с традиционните телефонни линии. При липса на криптиране е сравнително лесно да се установи прослушване на VoIP разговори (това може да се направи с помощта на анализатор на трафик) и с някои настройки дори да се промени тяхното съдържание. Решението на този проблем е криптирането на трафика и използването на специални протоколи. Благодарение на криптирането всички данни, транспортирани през IP мрежата, ще имат уникални кодове за криптиране, които само крайният получател може да „прочете“ – и дори информацията да бъде прихвана от киберпрестъпници, те няма да могат да я използват без ключ за декодиране.

IP телефонията и използването на VoIP системата е напълно безопасно - отговаряйки на нуждите и изискванията на съвременния бизнес, с компетентен подход за настройка на системата и конфигурирането й от гледна точка на защитната стена, VoIP значително повишава нивото на конкурентоспособност на компания, спомага за рационализиране на използването на ресурсите и повишаване на мобилността и производителността на служителите. Трябва да се помни, че най-ефективните мерки за сигурност могат да бъдат, когато покриват всички нива на мрежовата инфраструктура.

Специалистите на нашата компания ще Ви помогнат да осигурите сигурността на Вашата IP-телефонна инфраструктура!

За справка:

Важно е да запомните, че атаките от злонамерени лица (подслушване, фалшифициране на абонат, неоторизирано влизане в системата, прихващане на информация, претоварване на линии) са приложими както за традиционната, така и за IP телефонията. Въпросът е, че откриването, локализирането и предотвратяването на заплахи в система за IP телефония е много по-проста и по-евтина задача. В същото време разходите за IP-телефония са значително по-ниски, отколкото за аналоговата. Предизвикателството е правилно да се внедри и конфигурира IP системата и да се гарантира, че тя работи гладко с минимално излагане на риск.

Сигурността на IP телефонните решения, поради нарастващата им популярност и търсене, е решаващ фактор при изграждането на IP телекомуникационна инфраструктура и изисква специално внимание - както и такива стандартни фактори като цена на самото оборудване, производителност, функционалност , и т.н.

Имате ли някакви въпроси? Моля, свържете се с нас за съвет и подробна информация относно възможностите за организиране на защита на IP-телефонията!

Много интересна статия за сигурността в IP телефонията беше публикувана на сайта linkmeup.ru. Публикуваме го непроменен, така да се каже, от автора.

=======================

Здравейте, колеги и приятели, аз, Вадим Семенов, заедно с екипа на проекта network-class.net, представяме обзорна статия, която засяга основните тенденции и заплахи в IP телефонията и най-важното, инструментите за защита, които производителят предлага в момента като защита (на езика на специалистите по сигурността ще разгледаме какви инструменти предлага производителят за намаляване на уязвимостите, които могат да използват нелегитимни лица). Така че, по-малко думи - да се заемем с работата.
За мнозина, които четат, терминът IP телефония се е оформил отдавна, а също и фактът, че тази телефония е „по-добра“, по-евтина в сравнение с обществената телефония (PSTN), богата на различни допълнителни функции и т.н. И това е вярно обаче... отчасти. С прехода от аналогова (цифрова) телефония със собствени абонатни линии (от абонатен телефон към станция или гарнитура) и свързващи линии (междугарова комуникационна линия) те бяха не по-малко само в зоната за достъп и контрол на доставчик на телефония. С други думи, обикновените жители нямаха достъп до там (е, или на практика, ако не вземете предвид системата за кабелни канали). Спомням си един въпрос в добрия стар хакерски форум „Кажете ми как да получа достъп до централата? - отговорът: "Е, взимаш булдозер - блъскаш стената на сградата на централата и воаля." И тази шега има своя дял от истината) Въпреки това, с прехвърлянето на телефонията към евтина IP среда, получихме в допълнение заплахите, породени от отворена IP среда. Примерите за придобити заплахи включват следното:

• Подслушване на сигнални портове за извършване на платени разговори за сметка на някой друг
• Подслушване чрез прихващане на IP гласови пакети
• Прихващане на обаждане, представяне от нелегитимен потребител като легитимен потребител, атака човек в средата
• DDOS атаки срещу сървъри за сигнализиране на станции с цел деактивиране на цялата телефония
• Спам атаки, срив на голям брой фантомни обаждания към станцията, за да се заемат всичките й безплатни ресурси

Въпреки очевидната необходимост от премахване на всички възможни уязвимости, за да се намали вероятността от прилагане на конкретна атака, всъщност прилагането на определени мерки за защита трябва да започне с изготвяне на график, който отчита разходите за прилагане на защитни мерки срещу конкретна заплаха и загубите на предприятието от изпълнението на тази заплаха от нападателите. В крайна сметка е глупаво да харчим повече пари за сигурността на даден актив, отколкото струва самият актив, който защитаваме.
След като определим бюджета за сигурност, ще започнем да елиминираме точно онези заплахи, които са най-вероятни за компанията, например за малка организация ще бъде най-болезнено получаването на голяма сметка за несъвършени междуселищни и международни разговори, докато за държавните компании е най-важно да се запази поверителността на разговорите. Нека започнем постепенното разглеждане в настоящата статия с основните неща - това е да осигурим сигурен начин за доставяне на служебни данни от станция до телефон. След това ще разгледаме удостоверяването на телефоните, преди да ги свържем със станцията, удостоверяването на станцията отстрани на телефоните и криптирането на сигналния трафик (за скриване на информация за това кой къде се обажда) и криптирането на гласовия трафик.
Много производители на гласово оборудване (включително Cisco Systems) вече са интегрирали инструменти за сигурност от обичайното ограничаване на обхвата от IP адреси, от които могат да се извършват повиквания, до удостоверяване на крайни точки с помощта на сертификат. Например, Cisco Systems, със своята гласова продуктова линия CUCM (Cisco Unified CallManager) от версия на продукта 8.0 (пусната през май 2010 г.; понастоящем налична във версия 10.5 от май 2014 г.), интегрира функцията за сигурност по подразбиране. Какво включва:

• Удостоверяване на всички изтеглени TFTP файлове (конфигурационни файлове, файлове на фърмуера за телефони и др.)
• Шифроване на конфигурационни файлове
• Проверка на сертификата с телефона, който инициализира HTTPS връзката

Нека разгледаме пример за атака на човек в средата, когато нелегитимен човек прихваща конфигурационни файлове за телефони, от които телефонът научава за коя станция да се регистрира, какъв протокол да използва, какъв фърмуер да изтегли и т.н. Прихващайки файла, нападателят ще може да направи свои собствени промени в него или напълно да презапише конфигурационния файл, като по този начин попречи на телефоните на целия офис (виж фигурата) да се регистрират в станцията и следователно лиши офиса на възможността за провеждане на повиквания.

Фиг. 1 Атака на човек в средата

За да се защитим от това, се нуждаем от познания за асиметрично криптиране, инфраструктура на публичен ключ и разбиране на компонентите „Сигурност по подразбиране“, които сега ще срещнем: Списък за доверие на самоличността (ITL) и услуга за проверка на доверието (TVS). TVS е услуга, предназначена да обработва заявки от IP телефони, които нямат ITL или CTL файл във вътрешната си памет. IP телефон се свързва с TVS, ако е необходимо, за да се увери, че може да се довери на определена услуга, преди да започне да се свързва с нея. Освен това станцията действа като хранилище, което съхранява сертификати на доверени сървъри. От своя страна ITL е списък с публични ключове на елементите, които съставляват клъстера на станцията, но за нас е важно публичният ключ на TFTP сървъра и публичният ключ на услугата TVS да се съхраняват там. При първоначалното стартиране на телефона, когато телефонът получи своя IP адрес и адреса на TFTP сървъра, той пита за наличието на ITL файла (фиг. 2). Ако е на TFTP сървъра, тогава, като се доверява на сляпо, го зарежда във вътрешната си памет и го съхранява до следващото рестартиране. След изтегляне на ITL файла телефонът иска подписания конфигурационен файл.

Сега нека да разгледаме как можем да използваме инструменти за криптография - подписване на файл с помощта на MD5 или SHA хеш функции и криптиране с помощта на частния ключ на TFTP сървъра (Фигура 3). Особеността на хеш функциите е, че те са еднопосочни функции. Използвайки получения хеш от който и да е файл, не можете да извършите обратната операция и да получите точно оригиналния файл. Когато файл се промени, самият хеш, получен от този файл, също се променя. Струва си да се отбележи, че хешът не се записва в самия файл, а просто се добавя към него и се предава заедно с него.

Фиг. 3 Подписване на конфигурационния файл на телефона

При формиране на подписа се взема самият конфигурационен файл, хешът се извлича от него и се криптира с частния ключ на TFTP сървъра (който притежава само TFTP сървъра).
При получаване на този файл с настройки телефонът първоначално го проверява за целостта. Спомняме си, че хешът е еднопосочна функция, така че телефонът няма нищо друго освен да отдели хеша, криптиран от TFTP сървъра, от конфигурационния файл, да го декриптира с помощта на публичния ключ TFTP (откъде IP телефонът го знае? - само от ITL файла), изчислете хеша от чист конфигурационен файл и го сравнете с това, което получихме по време на декриптирането. Ако хешът съвпада, значи не са направени промени във файла по време на прехвърлянето и може безопасно да се приложи на телефона (фиг. 4).

Фиг. 4 Проверка на конфигурационния файл от IP телефона

Подписаният конфигурационен файл за телефона е показан по-долу:

Ориз. 5 Подписан файл на IP телефон в Wireshark

Подписвайки конфигурационния файл, успяхме да гарантираме целостта на предадения файл с настройки, но не го защитихме от гледане. От уловения конфигурационен файл може да се получи много полезна информация, например IP адреса на телефонната централа (в нашия пример е 192.168.1.66) и отворените портове на станцията (2427) и т.н. Не е ли достатъчно важна информацията, която не бихте искали просто да "блеснете" в мрежата? За да скрият тази информация, производителите предвиждат използването на симетрично криптиране (същият ключ се използва за криптиране и декриптиране). В единия случай ключът може да бъде въведен в телефона ръчно; в другия случай криптирането на конфигурационния файл на телефона в станцията се извършва с публичния ключ на телефона. Преди да изпрати файла на телефона, tftp сървърът, който съхранява този файл, го криптира с публичния ключ на телефона и го подписва с личния си ключ (по този начин ние гарантираме не само поверителността, но и целостта на прехвърлените файлове). Основното нещо тук е да не се бъркате кой кой ключ използва, но нека го вземем по ред: tftp сървърът, след като е криптирал файла с публичния ключ на IP адреса на телефона, гарантира, че само собственикът на сдвоения публичен ключ може да отвори този файл. Подписвайки файла с неговия частен ключ, tftp сървърът потвърждава, че именно той го е създал. Шифрованият файл е показан на фигура 6:

Фиг. 6 Кодиран файл за IP телефон

И така, в този момент разгледахме възможността да защитим нашите конфигурационни файлове за телефони от преглед и да гарантираме тяхната цялост. Тук приключват функциите "Сигурност по подразбиране". За да се осигури криптиране на гласовия трафик, скриване на сигнална информация (за това кой се обажда и къде да се обажда), са необходими допълнителни инструменти въз основа на списъка с доверени сертификати - CTL, който ще разгледаме по-долу.

Удостоверяване на телефонна централа

Когато телефонът трябва да взаимодейства с телефонната централа (например да договори TLS връзка за обмен на сигнали), IP телефонът трябва да удостовери станцията. Както може би се досещате, сертификатите също се използват широко за решаване на този проблем. В момента съвременните IP станции се състоят от голям брой елементи: няколко сигнални сървъра за обработка на повиквания, специален административен сървър (чрез който се добавят нови телефони, потребители, шлюзове, правила за маршрутизиране и др.), специален TFTP сървър за съхраняване на конфигурационни файлове и софтуер за телефони, сървър за излъчване на музика на изчакване и така нататък, в допълнение, гласовата инфраструктура може да съдържа гласова поща, сървър за определяне на текущото състояние на абоната (онлайн, офлайн, "на обяд" ") - списъкът е впечатляващ и най-важното е, че всеки сървър има свой собствен самоподписан сертификат и всеки действа като главен сертифициращ орган (фиг. 7). Поради тази причина нито един сървър в гласовата инфраструктура няма да се довери на сертификата на друг сървър, например гласовият сървър няма доверие на TFTP сървъра, гласовата поща не се доверява на сигнализиращия сървър и освен това телефоните трябва да пазят сертификатите на всички елементи, участващи в обмена на сигнален трафик. Сертификатите за телефонна централа са показани на фигура 7.

Фигура 7 Самоподписани сертификати на Cisco IP станция

За задачите за установяване на отношения на доверие между гореописаните елементи в гласовите инфраструктури, както и криптиране на гласов и сигнален трафик, влиза в действие т. нар. Certificate Trust List (CTL). CTL съдържа всички самоподписани сертификати на всички сървъри в клъстера на гласовите станции, както и тези, които участват в обмена на телефонни сигнални съобщения (например защитна стена), и този файл е подписан с частния ключ на доверен сертифициращ орган (фиг. 8). CTL файлът е еквивалентен на инсталираните сертификати, които се използват в уеб браузърите при работа с протокола https.

Фиг. 8 Списък с доверени сертификати

За да създадете CTL файл на оборудване на Cisco, ви е необходим компютър с USB конектор, CTL клиентската програма, инсталирана на него, и самият токен за защита на администратора на сайта (SAST) (фиг. 9), съдържащ частния ключ и X .509v3 сертификат, подписан от производителя на центъра за удостоверяване (Cisco).

Фигура 9 eToken Cisco

CTL клиентът е програма, която е инсталирана на компютър с Windows и с която е възможно да се прехвърли ЦЯЛА телефонна централа в така наречения смесен режим, тоест смесен режим за поддръжка на регистрация на крайни устройства в безопасен и несигурен режим . Стартираме клиента, посочваме IP адреса на телефонната централа, въвеждаме потребителско име / парола на администратора и CTL клиентът установява TCP връзка на порт 2444 със станцията (фиг. 10). След това ще бъдете подканени само за две действия:

Фигура 10 Cisco CTL клиент

След създаването на CTL файла остава да рестартирате TFTP сървъра, така че те да изтеглят новосъздадения CTL файл и след това да рестартират гласовите сървъри, така че IP телефоните също да се рестартират и изтеглят новия CTL файл (32 килобайта). Изтегленият CTL файл може да се види от настройките на IP телефона (фиг. 11)

Фиг. 11 CTL файл на IP телефон

Удостоверяване на крайна точка

За да се гарантира, че само доверени крайни точки се свързват и регистрират, трябва да се приложи удостоверяване на устройството. В този случай много производители използват вече доказан метод - удостоверяване на устройство с помощта на сертификати (фиг. 12). Например в гласовата архитектура на Cisco това се реализира по следния начин: има два типа сертификати за удостоверяване със съответните публични и частни ключове, които се съхраняват на телефона:
Инсталиран от производителя сертификат - (MIC). Инсталираният от производителя сертификат съдържа 2048-битов ключ, който е подписан от сертифициращия орган на производителя (Cisco). Този сертификат не е инсталиран на всички модели телефони и ако е инсталиран, тогава не е необходимо да имате друг сертификат (LSC).
Locally Significant Certificate - (LSC) Locally Significant Certificate, съдържа публичния ключ на IP телефона, който е подписан с частния ключ на локалния център за удостоверяване, който работи на самата телефонна централа Прокси функция на сертификационния орган (CAPF).
Така че, ако имаме телефони с предварително инсталиран MIC сертификат, тогава всеки път, когато телефонът се регистрира на станция, станцията ще поиска сертификат, предварително инсталиран от производителя за удостоверяване. Въпреки това, ако MIC е компрометиран, е необходимо да се свържете със сертифициращия орган на производителя, за да го смените, което може да отнеме много време. За да не зависи от времето за реакция на сертифициращия орган на производителя при повторното издаване на компрометирания телефонен сертификат, за предпочитане е да се използва локален сертификат.

Фиг. 12 Сертификати за удостоверяване на крайна точка

По подразбиране LSC сертификатът не е инсталиран на IP телефона и инсталирането му е възможно с помощта на MIB сертификат (ако има такъв) или чрез TLS връзка (Transport Layer Security) с помощта на споделен споделен ключ, генериран ръчно от администратора на станцията и влезе по телефона.
Процесът на инсталиране на телефон на локално значим сертификат (LSC), съдържащ публичния ключ на телефона, подписан от местен сертифициращ орган, е показан на Фигура 13:

Фигура 13 Процес на инсталиране на локално значим LSC сертификат

1. След стартиране IP телефонът иска доверен списък със сертификати (CTL файл) и конфигурационен файл
2. Станцията изпраща исканите файлове
3. От получената конфигурация телефонът определя дали трябва да изтегли локално значим сертификат (LSC) от станцията
4. Ако на станцията настроим телефона да инсталира LSC сертификат (виж по-долу), който станцията ще използва за удостоверяване на този IP телефон, тогава трябва да се уверим, че при поискване за издаване на LSC сертификат станцията го издава на този, за когото е предназначен. За тези цели можем да използваме MIC сертификат (ако има такъв), да генерираме еднократна парола за всеки телефон и да я въвеждаме ръчно на телефона или изобщо да не използваме авторизация.
Пример демонстрира процеса на инсталиране на LSC с помощта на генерирания

Осъществено от SEO CMS версия: 23.1 TOP 2 (opecartadmin.com)