IP-telefonisikkerhet: maksimal beskyttelse av bedriftens IP-nettverk

IP-telefoni må være utstyrt med to sikkerhetsnivåer: system og samtale.

Følgende funksjoner brukes for å sikre systemsikkerhet:

• Forhindre uautorisert nettverkstilgang ved å bruke et delt kodeord. Kodeordet beregnes samtidig i henhold til standardalgoritmer på initierings- og terminalsystemet, og de oppnådde resultatene sammenlignes. Når en tilkobling opprettes, identifiserer hvert av de to IP-telefonisystemene det andre systemet. ved minst ett negativt resultat avbrytes forbindelsen.
• Tilgangslister for alle kjente IP-telefonigatewayer.
• Tilgangsnektelsesjournal.
• Funksjoner grensesnittsikkerhet tilgang, inkludert kontroll av bruker-ID og passord med begrenset lese-/skrivetilgang, kontroll av tilgangsrettigheter til en spesiell WEB-server for administrasjon.
• Samtalesikkerhetsfunksjoner inkludert bruker-ID og passordbekreftelse (valgfritt), brukerstatus, anropsprofil.

Når en gateway etablerer en forbindelse med en annen gateway i sonen, utføres en valgfri kontroll av bruker-ID og passord. Brukeren kan trekkes tilbake når som helst.

Utviklingen av IP-protokollen tok faktisk ikke hensyn til informasjonssikkerhetsproblemer, men over tid har situasjonen endret seg, og moderne IP-baserte applikasjoner inneholder tilstrekkelige beskyttelsesmekanismer. Og løsninger innen IP-telefoni kan ikke eksistere uten implementering av standardteknologier for autentisering og autorisasjon, integritetskontroll og kryptering osv. For klarhetens skyld vil vi vurdere disse mekanismene ettersom de brukes på ulike stadier av organiseringen av en telefonsamtale, fra å plukke opp telefonrøret og avslutte med avslutningssignalet.

1. Telefonapparat.

I IP-telefoni, før telefonen sender et signal om å opprette en forbindelse, må abonnenten oppgi ID og passord for å få tilgang til enheten og dens funksjoner. Slik autentisering lar deg blokkere fremmede handlinger og ikke bekymre deg for at fremmede vil ringe til en annen by eller et land på din bekostning.

2. Etablere en forbindelse.

Når nummeret er slått, sendes tilkoblingssignalet til den aktuelle samtalekontrollserveren, hvor en rekke sikkerhetskontroller utføres. For det første verifiseres autentisiteten til selve telefonen – både ved å bruke 802.1x-protokollen og ved å bruke sertifikater basert på offentlige nøkler integrert i IP-telefoniinfrastrukturen. Denne sjekken hjelper til med å isolere uautoriserte IP-telefoner på nettverket, spesielt på et dynamisk adressert nettverk. Fenomener som ligner på de beryktede vietnamesiske telefonsentrene er rett og slett umulige i IP-telefoni (selvfølgelig forutsatt at reglene for å bygge et sikkert telefonnettverk følges).

Saken er imidlertid ikke begrenset til telefonautentisering – det er nødvendig å finne ut om abonnenten har fått rett til å ringe nummeret han ringte. Det er ikke så mye en sikkerhetsmekanisme som det er et svindelforebyggende tiltak. Hvis selskapets ingeniør ikke kan bruke langdistansekommunikasjon, registreres den tilsvarende regelen umiddelbart i samtalekontrollsystemet, og fra hvilken telefon et slikt forsøk gjøres, vil det umiddelbart bli stoppet. I tillegg kan du spesifisere masker eller rekker av telefonnumre som en bestemt bruker har rett til å ringe til.

Når det gjelder IP-telefoni, er kommunikasjonsproblemer, lik linjestopp i analog telefoni, umulige: med en kompetent utforming av et nettverk med redundante tilkoblinger eller duplisering av en samtalekontrollserver, svikt i IP-telefoniinfrastrukturelementer eller deres overbelastning negativt påvirke funksjonen til nettverket.

3. Telefonsamtale.

Innen IP-telefoni ble løsningen på problemet med beskyttelse mot avlytting sett for seg helt fra begynnelsen. Et høyt nivå av konfidensialitet for telefonkommunikasjon er sikret av velprøvde algoritmer og protokoller (DES, 3DES, AES, IPSec, etc.) med nesten ingen kostnader for å organisere slik beskyttelse - alle nødvendige mekanismer (kryptering, integritetskontroll, hashing, nøkkelutveksling, etc.) er allerede implementert i infrastrukturelementer, fra en IP-telefon til et samtalekontrollsystem. Samtidig kan beskyttelse brukes med like stor suksess både for intern kommunikasjon og ekstern (i sistnevnte tilfelle må alle abonnenter bruke IP-telefoner).

Det er imidlertid en rekke ting å huske på med kryptering når du implementerer en VoIP-infrastruktur. For det første er det ekstra forsinkelse på grunn av kryptering / dekryptering, og for det andre øker overheadkostnadene som følge av økningen i lengden på de overførte pakkene.

4. Usynlig funksjonalitet.

Så langt har vi kun vurdert de farene som tradisjonell telefoni er utsatt for og som kan elimineres ved innføring av IP-telefoni. Men overgangen til IP fører med seg en rekke nye trusler som ikke kan ignoreres. Heldigvis finnes det allerede velprøvde løsninger, teknologier og tilnærminger for å forsvare seg mot disse truslene. De fleste av dem krever ingen økonomiske investeringer, da de allerede er implementert i nettverksutstyr, som er grunnlaget for enhver IP-telefoniinfrastruktur.

Det enkleste du kan gjøre for å øke sikkerheten til telefonsamtaler når de overføres over samme kabelsystem som vanlige data, er å segmentere nettverket ved hjelp av VLAN-teknologi for å eliminere muligheten for å avlytte samtaler fra vanlige brukere. Gode ​​resultater oppnås ved å bruke et eget adresserom for IP-telefonisegmenter. Og du bør selvfølgelig ikke ignorere tilgangskontrollreglene på rutere (Access Control List, ACL) eller brannmurer, hvis bruk gjør det vanskelig for angripere å koble seg til talesegmenter.

5. Kommunikasjon med omverdenen.

Uansett hvilke fordeler IP-telefoni kan gi innenfor det interne bedriftsnettverket, vil de være ufullstendige uten muligheten til å ringe og motta anrop til bynumre. I dette tilfellet oppstår som regel problemet med å konvertere IP-trafikk til et signal som sendes over det offentlige telefonnettet (PSTN). Det løses ved å bruke spesielle talegatewayer som også implementerer noen beskyttelsesfunksjoner, og den viktigste av dem er å blokkere alle IP-telefoniprotokoller (H.323, SIP, etc.) hvis meldingene deres kommer fra et ikke-talesegment.

For å beskytte elementene i taleinfrastrukturen mot mulig uautorisert påvirkning, kan spesialiserte løsninger brukes - brannmurer (ITU), applikasjonslaggatewayer (Application Layer Gateway, ALG) og sesjonsgrensekontrollere (Session Border Controller). Spesielt bruker RTP dynamiske UDP-porter, som åpnes på en brannmur og skaper et gapende sikkerhetshull. Derfor må brannmuren dynamisk bestemme portene som brukes for kommunikasjon, åpne dem på tidspunktet for tilkoblingen og lukke dem når den er fullført. En annen funksjon er at en rekke protokoller, f.eks.

Borte er tiden da operatører var bekymret for bruken av IP-telefoni, med tanke på at sikkerhetsnivået til slike nettverk var lavt. I dag kan vi allerede si at IP-telefoni har blitt en slags de facto-standard innen telefonkommunikasjon. Dette skyldes bekvemmeligheten, påliteligheten og de relativt lave kostnadene ved IP-telefoni sammenlignet med analog kommunikasjon. Det kan hevdes at IP-telefoni forbedrer virksomhetens effektivitet og muliggjør tidligere utilgjengelige operasjoner som integrasjon med ulike forretningsapplikasjoner.

Hvis vi snakker om manglene og sårbarhetene ved IP-telefoni, bør det først og fremst bemerkes de samme "sykdommene" som lider av andre tjenester som bruker IP-protokollen. Dette er mottakelighet for angrep fra ormer og virus, DoS-angrep, uautorisert fjerntilgang osv. Til tross for at når man bygger en IP-telefoniinfrastruktur, er denne tjenesten vanligvis atskilt fra nettverkssegmenter der ikke-taledata "går", er dette ikke en garantisikkerhet. I dag integrerer et stort antall selskaper IP-telefoni med andre applikasjoner som e-post. På den ene siden skaper dette ekstra bekvemmeligheter, men på den andre siden nye sårbarheter. I tillegg kreves det et stort antall komponenter for driften av et IP-telefoninettverk, som støtteservere, svitsjer, rutere, brannmurer, IP-telefoner osv. Imidlertid brukes ofte ikke-spesialiserte operativsystemer for å støtte driften av et IP-nettverk. For eksempel er de fleste IP-PBX-er basert på vanlige og velkjente operativsystemer (Windows eller Linux), som teoretisk sett har alle sårbarhetene knyttet til disse systemene.

Noen IP-PBX-er bruker DBMS og webservere, som har sine egne sårbarheter. Og selv om du for et universelt operativsystem eller en protokollstabel kan bruke velkjente sikkerhetsverktøy - antivirus, personlige brannmurer, angrepsforebyggende systemer, etc., kan mangelen på "sliping" av slike verktøy for å jobbe med IP-telefoniapplikasjoner negativt påvirke sikkerhetsnivået ...

Blant de viktigste truslene som IP-telefonnettverket er utsatt for, kan man trekke frem:

• registrering av andres terminal, som lar deg ringe på andres regning;
• substitusjon av en abonnent;
• å gjøre endringer i tale- eller signaltrafikk;
• reduksjon i kvaliteten på taletrafikk;
• omdirigere stemme- eller signaltrafikk;
• avlytting av tale- eller signaltrafikk;
• forfalskning av talemeldinger;
• avslutning av kommunikasjonsøkten;
• tjenestenekt;
• ekstern uautorisert tilgang til komponentene i IP-telefoniinfrastrukturen;
• uautoriserte programvareoppdateringer på en IP-telefon (for eksempel for å introdusere en trojaner eller spionprogramvare);
• hacking av faktureringssystemet (for operatørtelefoni).

Dette er ikke hele listen over mulige problemer knyttet til bruk av IP-telefoni. VoIP Security Alliance (VOIPSA) har utviklet et dokument som beskriver et bredt spekter av IP-telefonitrusler, som i tillegg til tekniske trusler inkluderer utpressing via IP-telefoni, spam osv.

Og likevel er hovedsårbarheten til IP-telefoni den menneskelige faktoren som har satt tennene på kanten. Sikkerhetsproblemet ved utplassering av et IP-telefonnettverk blir ofte henvist til bakgrunnen, og avgjørelsen tas uten medvirkning fra sikkerhetseksperter. I tillegg konfigurerer ikke spesialister alltid løsningen riktig, selv om den inneholder de riktige beskyttelsesmekanismene, eller hvis de kjøper sikkerhetstiltak som ikke er utformet for å effektivt behandle taletrafikk (for eksempel kan det hende at brannmurer ikke forstår den proprietære signaleringsprotokollen som brukes i IP-telefoniløsningen). Til slutt blir organisasjonen tvunget til å bruke ekstra økonomiske og menneskelige ressurser for å beskytte den utplasserte løsningen eller tåle dens usikkerhet.

Hva skal bygges?

Det vil heller ikke være en oppdagelse at jo sikrere et IP-telefonnettverk er, jo mindre sannsynlig er det at det blir hacket og misbrukt i et slikt nettverk. Det høres banalt ut, men det er nødvendig å tenke på å ivareta sikkerheten allerede på stadiet av å forberede et IP-telefoniprosjekt, og det er på dette stadiet det er nødvendig å bli enige om hvilke beskyttelsesmekanismer som er mer hensiktsmessige å bruke i nettverket. Vil det være et sett med innebygde mekanismer? Eller kanskje særegenhetene ved funksjonen til dette IP-nettverket er slik at ekstra og "hengslede" beskyttelsesmidler er nødvendig?

Fra et administrasjons- og ytelsessynspunkt ser den mest foretrukne IP-telefoniarkitekturen ut til å være der alle sikkerhetskomponentene er innebygd i elementene i selve nettverket. Hvis vi vurderer IP-telefonnettverket uten bruk av ekstra sikkerhetstiltak, så ved å bruke sikkerhetsmekanismene innebygd i nettverkssvitsjene, er det mulig å bygge relativt sterk beskyttelse mot angrep på omkretsen. Innebygd funksjonalitet lar deg tilby:

• muligheten til å lage virtuelle lokalnettverk (VLAN) ved å bruke de innebygde egenskapene til brytere;
• bruk av innebygde filtrerings- og tilgangskontrollmekanismer;
• begrense og presentere den garanterte båndbredden, som lar deg effektivt undertrykke DoS-angrep;
• begrense antall enheter med forskjellige MAC-adresser koblet til en port;
• forebygging av angrep på bruk av en pool av DHCP-tjenesteadresser;
• forhindre tilstopping av ARP-tabeller og "tyveri" av adresser;
• forebygging av angrep fra anonyme adresser;
• bruk av tilgangskontrolllister som begrenser adressene til noder som kan overføre data til IP-telefoner.

I tillegg gir samtalekontrollsystemet innebygd i IP-nettverksarkitekturen, som kan kobles til et dedikert lokalt nettverk, isolert fra organisasjonens arbeidsnettverk, en ekstra "linje" i beskyttelse. Ulempene er blant annet at sikkerhetsfunksjonene som er innebygd i nettverksutstyret ikke alltid gir et tilstrekkelig sikkerhetsnivå, og det kan kreves ytterligere investeringer i modernisering av utstyr for å heve det.

Til tross for bruken av IP-protokollen i kjernen, kan ikke IP-telefoni alltid beskyttes tilstrekkelig av tradisjonelle løsninger. Dette skyldes det faktum at de ikke tar hensyn til dets spesifikasjoner - sanntids trafikkoverføring, kvalitetskontroll og trafikk på applikasjonsnivå, etc. Ideelt sett når IP-telefoniapplikasjoner og deres sikkerhet er uløselig koblet sammen og integrert i en enkelt plattform, inkludert nettverksinfrastruktur. Dette lar deg øke effektiviteten til beskyttelsen og redusere kostnadene. Ellers må fire uavhengige eller praktisk talt ikke-overlappende infrastrukturer bygges: LAN, IP-telefonnettverk, LAN-sikkerhet og IP-telefonisikkerhetsinfrastruktur.

Bruken av spesialiserte brannmurer øker sikkerheten til IP-telefonnettverket betydelig, for eksempel ved å filtrere trafikk under hensyntagen til tilstanden til forbindelsen ( statlig inspeksjon), som lar deg sende bare nødvendig trafikk og tilkoblinger som er etablert i en bestemt retning (fra serveren til klienten eller omvendt). I tillegg gir brannmuren muligheten til å:

• filtrering av trafikk for å administrere installasjonen av IP-telefonforbindelser;
• overføring av administrasjonstrafikk gjennom NAT og nettverkstunneler;
• TCP-kapring, som bekrefter at TCP-økter er lukket, og beskytter dermed mot en rekke tjenestenektangrep (DoS).

Ved utforming av et nettverk der det er ment å bruke ytterligere beskyttelsesmidler, for eksempel et system for å oppdage eller forhindre angrep, bør spesiell oppmerksomhet rettes mot valget av en produsent av slike midler, siden spørsmålet om å administrere en heterogen IP nettverk kan ikke alltid løses effektivt og raskt og krever nesten alltid seriøse tilleggsvedlegg.

Det er å foretrekke å velge produsenten hvis utstyr nettverket allerede fungerer på, siden støtte og administrasjon av enheter i dette tilfellet kan utføres sentralt og til lavere kostnader.

Avlyttingsbeskyttelse

VLAN-er reduserer til en viss grad risikoen for avlytting, men hvis analysatoren fanger opp talepakker, er det ikke vanskelig å gjenopprette samtaleopptaket for en spesialist. For det meste er VLAN i stand til å gi beskyttelse mot eksterne inntrengninger, men kan ikke være i stand til å beskytte mot angrep initiert fra nettverket. En person innenfor nettverksperimeteren kan koble en datamaskin direkte til en stikkontakt, konfigurere den som et VLAN-element i et IP-telefonisystem og starte et angrep.

Den mest perfekte måten å motvirke denne typen manipulasjon på er å bruke IP-telefoner med innebygd kryptering. I tillegg gir kryptering av trafikk mellom telefoner og gatewayer ekstra beskyttelse. I dag tilbyr praktisk talt alle leverandører som Avaya, Nortel og Cisco innebygd kryptering for trafikk og signalering. Trafikkkryptering er den mest logiske løsningen for å beskytte mot avlytting av samtaler, men denne funksjonaliteten medfører også en rekke vanskeligheter som må tas i betraktning når man bygger en sikker forbindelse. Hovedproblemet kan være ventetiden lagt til av krypterings- og dekrypteringsprosessen for trafikk. Når du arbeider i et lokalnettverk, gjør dette problemet seg som regel ikke følt, men når du kommuniserer gjennom et brednettverk, kan det forårsake ulemper. I tillegg kan signalkryptering som forekommer på applikasjonslaget gjøre brannmurer vanskelige å betjene. Med strømkryptering er ventetiden mye lavere enn med blokkchiffer, selv om de ikke kan elimineres helt. Raskere algoritmer eller inkludering av QoS-mekanismer i krypteringsmodulen kan være en løsning på problemet.

QoS

Det er generelt akseptert at hovedformålet med QoS-mekanismer ( Tjenestekvalitet) - sikre riktig kvalitet på kommunikasjonen. Men ikke glem at de spiller en viktig rolle i å løse sikkerhetsproblemer. Delt fysisk båndbredde brukes til å overføre tale og data fra logisk separate VLAN. Når en vert blir infisert med et virus eller en orm, kan nettverket oversvømmes med trafikk. Med riktig konfigurerte QoS-mekanismer vil imidlertid IP-telefonitrafikk fortsette å ha forrang over delte fysiske koblinger, og et DoS-angrep vil være mislykket.

Beskyttelse mot telefon- og kontrollserverforfalskning

Mange elementer i IP-telefoni har dynamisk adressering, som lar angripere bruke den til sine egne formål. De kan etterligne en IP-telefon, samtalekontrollserver osv. Du kan bruke tilgangskontrollregler på rutere og brannmurer for å beskytte mot enheter som prøver å forkle seg som autoriserte IP-telefoner eller uautorisert koblet til nettverksinfrastrukturen. I tillegg kan sterke autentiseringsverktøy for alle abonnenter av IP-telefoniinfrastrukturen være nyttige. Ulike standardiserte protokoller kan brukes til å autentisere abonnenter, inkludert RADIUS, PKI x.509-sertifikater, etc.

DoS-beskyttelse

Denial of service-angrep mot IP-telefoniapplikasjoner (for eksempel anropsservere) og dataoverføringsmediet er et ganske alvorlig problem. Hvis vi snakker om angrep på dataoverføringsmediet, merker vi at RTP-protokollen ( Sanntidsprotokoll). Det er sårbart for ethvert angrep som overbelaster nettverket med pakker eller bremser behandlingen av pakker av sluttenheten (telefon eller gateway). Følgelig trenger en angriper bare å "tette" nettverket med et stort antall RTP-pakker eller pakker med høy tjenesteprioritet, som vil konkurrere med legitime RTP-pakker. I dette tilfellet, for beskyttelse, kan du bruke både iinnebygd i nettverksutstyret, og tilleggsløsninger:

• oppdeling av bedriftsnettverket i ikke-overlappende segmenter av tale- og dataoverføring, noe som forhindrer fremveksten av vanlige angrep i "stemme"-området, inkludert DoS;
• spesielle regler for tilgangskontroll på rutere og brannmurer som beskytter omkretsen av bedriftsnettverket og dets individuelle segmenter;
• et system for å forhindre angrep på anropskontrollserveren og PC-en med taleapplikasjoner;
• spesialiserte systemer for beskyttelse mot DoS- og DDoS-angrep;
• spesielle innstillinger på nettverksutstyr som forhindrer adresseforfalskning og begrenser båndbredde, som ikke tillater at de angrepne ressursene deaktiveres med en stor strøm av ubrukelig trafikk.

IP-telefonbeskyttelse

IP-telefoner inneholder en rekke spesielle innstillinger for å hindre uautorisert tilgang til dem. Disse innstillingene inkluderer for eksempel tilgang til telefonfunksjoner kun etter presentasjon av identifikator og passord, eller forbud mot lokale endringer i innstillinger osv. X.509-sertifikater.

Svindelbeskyttelse i IP-telefonnettet

Blant hovedtypene for svindel som forekommer i IP-telefonnettet kan man nevne tyveri av tjenester, forfalskning av samtaler, avslag på betaling og andre typer. Det er mulig å beskytte mot svindel i IP-telefoninettverk ved å bruke egenskapene til IT-infrastrukturadministrasjonsserveren. Så for hver abonnent kan du blokkere anrop til visse grupper av numre; blokkere anrop fra uønskede numre; blokkere muligheten til å viderekoble anrop til ulike typer numre - fasttelefon, mobil, intercity og internasjonal; filtrere anrop etter ulike parametere. Alle handlinger kan utføres uavhengig av hvilket telefonapparat abonnenten ringer fra - dette gjøres ved å autentisere hver abonnent som har tilgang til IP-telefonen. Hvis brukeren ikke går gjennom autentiseringsprosessen, kan han kun ringe på en forhåndsbestemt nummerliste, for eksempel kun på interne telefonnumre og til kommunale nødtjenester.

IP-telefonistandarder

I dag erstatter SIP H.323, med mange SIP-enhetsdesignere som fokuserer på funksjonsforbedring i stedet for sikkerhet. I motsetning til H.323-standarden, som H.235-spesifikasjonen ble utviklet innenfor, som beskriver ulike sikkerhetsmekanismer, er SIP-protokollen praktisk talt blottet for alvorlige sikkerhetsfunksjoner. Dette reiser tvil om den skyfrie fremtiden til IP-telefoni, som mange eksperter forbinder med SIP-protokollen. Noen forhåpninger er knyttet til IP Telephony Security Alliance, dannet i juli 2005, for å utføre forskning, øke bevisstheten, trene og utvikle gratis testmetoder og verktøy for IP-telefonisikkerhet. Men så langt har det eneste resultatet av arbeidet til denne alliansen vært opprettelsen av en taksonomi av angrep og sårbarheter i IP-telefoni.

Konklusjon

Avslutningsvis vil jeg bemerke nok en gang at hovedpostulatet til et effektivt IP-telefonisikkerhetssystem er på designstadiet for å tenke på hvordan beskyttelsessystemet til et slikt nettverk skal bygges for å maksimere samsvar med spesifikasjonene til IP kommunikasjon i en organisasjon. Det bør heller ikke glemmes at IP-telefoni er en applikasjon som fungerer i et IP-nettverk, og tilstrekkelige tiltak for å beskytte IP-nettverket som helhet fratar en angriper ytterligere muligheter til å organisere avlytting, implementere DoS-angrep og bruke nettverksressurser som smutthull i IP-telefonnettet.

Blant de primære kravene for å sikre sikkerheten til et IP-telefonnettverk er behovet for å skille tale og vanlige data. Det vil si at IP-telefoni skal skilles fra nettverket, der andre data overføres ved hjelp av VLAN. Segmentering lar deg lage en ekstra barriere for å forhindre angrep og misbruk, inkludert de som har sitt utspring i det interne nettverket. I tillegg, når du designer et IP-telefonnettverk, er det viktig å sikre tilstrekkelig båndbredde og ikke glemme bruken av QoS-mekanismer for å prioritere IP-telefontrafikk.

Og til slutt, bruk av beskyttelsesverktøy fokusert på særegenhetene ved IP-telefoni vil bidra til å unngå ikke bare "hull" i sikkerheten til det bygde nettverket, slik som "misforståelser" ved hjelp av beskyttelse av IP-trafikk, men også ekstra økonomiske kostnader for oppgradering av eksisterende utstyr eller kjøp av nytt beskyttelsesutstyr.

Kurskode BT19, 2 dager

Status

merknad

Kurset er viet de komplekse spørsmålene ved å analysere sikkerheten og sikkerheten til IP-telefoni (Voice over IP (VoIP) - et kommunikasjonssystem som gir overføring av et talesignal over Internett eller over andre IP-nettverk). Moderne tilnærminger til bygge en IP-telefoniinfrastruktur vurderes i detalj, og dens forsvar, sårbarheter og angrep på komponentene. Spesiell oppmerksomhet rettes mot overvåkingssystemer og metodikk for å analysere sikkerheten til et VoIP-nettverk.

Mer enn 50 % av opplæringstiden er viet til praktisk arbeid med sikkerhetsanalyse og konfigurasjon av VoIP-komponenter i samsvar med sikkerhetskravene til både små organisasjoner og bedrifter med et utviklet filialnettverk og geografisk distribuerte brukere.

Kurset brukte materialer og anbefalinger fra slike kompetente internasjonale organisasjoner innen informasjonssikkerhet som European Telecommunications Standards Institute (ETSI), International Telecommunication Union (ITU), Voice over IP Security Alliance (VOIPSA) og en rekke andre.

Teknologien for server- og arbeidsstasjonvirtualisering som brukes i opplæringsprosessen, gjør at hver spesialist individuelt kan utføre praktisk arbeid i et individuelt VoIP-nettverk. Teamarbeid av spesialister utføres ved hjelp av programvare og maskinvare-programvare telefoner.

Publikum:

• System- og nettverksadministratorer som er ansvarlige for driften av VoIP-applikasjoner
• Informasjonssikkerhetsadministratorer
• Datasikkerhetseksperter og analytikere med ansvar for å analysere tilstanden til informasjonssikkerhet, definere krav til sikkerhet for nettverksressurser og beskyttelse mot lekkasje av konfidensiell informasjon gjennom tekniske kanaler.

Foreløpig forberedelse

• Grunnleggende kunnskap om IP-nettverk, grunnleggende protokoller og TCP/IP stacktjenester
• Ferdigheter i å jobbe med Windows 2003/2008 og Linux

Du kan teste kunnskapen din om TCP/IP-stackprotokollene ved å be om en selvtest fra læringssenteret.

• BT05 ""
• BT03 ""

På slutten av treningen

Du vil tilegne deg kunnskap:

• om moderne mekanismer og midler for beskyttelse av VoIP-nettverk
• om sårbarheter ved VoIP-protokoller og tjenester: SIP, H.323, RTP
• om bruk av sikre protokoller TLS, SRTP

Du kan:

• bruke nettverksanalysatorer for å overvåke trafikk
• analysere beskyttelsen av VoIP-nettverk
• sikre sikker funksjon av IP-telefoni og konferansesamtaler

Lytterpakke

• Merket veiledning
• Versjoner av de viktigste beskyttelsesmidlene som vurderes i kurset, tilleggs- og referanseinformasjon om emnet for kurset i elektronisk form

I tillegg

Etter å ha bestått testen, mottar nyutdannede sertifikater for opplæring av Training Center "Informzashita".

Nyutdannede ved opplæringssenteret kan motta gratis konsultasjoner fra senterets spesialister som en del av kurset de har gjennomført.

Kursprogram

• Grunnleggende konsepter og definisjoner av VoIP. Terminologi. VoIP-arkitekturer og deres komponenter. Kvaliteten på taleoverføring. Kodeker.
• Grunnleggende VoIP-protokoller. Arkitektur. Analyse av VoIP-protokoller. Nettverksanalysator Wireshark.
• VoIP-sårbarheter og angrep. Klassifisering av IP-telefoni sårbarheter.
• VoIP-nettverksbeholdning. VoIP-applikasjonsbeholdning. Brukerbeholdning.
• Avlytting av VoIP-trafikk... Brudd på ruting. Mann-i-midten angrep.
• Manipulering i VoIP-systemer. Sletter abonnentregistrering. Uautorisert registrering. Registrering avlytting.
• Angrep på sanntidsprotokoll (RTP). Blande talesignaler.
• Spam i VoIP-nettverk. Spamming med stjerne.
• Sikkerhetsmekanismer for IP-telefoni. Nivåene på informasjonsinfrastrukturen til bedriftsnettverket. Forsvar i dybdekonsept. Gjennomgang av mekanismer og midler for beskyttelse av nettverk.
• Planlegging av en sikker IP-telefoninettverksinfrastruktur. Velge plasseringen av VoIP-serveren i nettverket. Gir nettverkssikkerhet for VoIP-serveren. Konfigurere brannmuren. Bruk av inntrengningsdeteksjonssystemer. Sette opp nettverksutstyr.
• VoIP-sikkerhetsanalyse. Metodikk. Sikkerhetsanalysesystemer. Klassifiseringsalternativer. Arkitektur og prinsipper for arbeid av skannere. SiVuS-program (SIP Vulnerability Scanner).
• Kryptografisk beskyttelse i VoIP-nettverk. Kryptografiske metoder for informasjonsbeskyttelse. Privat virtuelt nettverk. Generelle prinsipper for å bygge en VPN. Nøkkelledelse. Offentlig nøkkelinfrastrukturmodell. X.509-formatet for offentlig nøkkelsertifikat. Bruker TLS (Transport Layer Security), SRTP (Secure Real-time Transport Protocol). Konfigurerer Asterisk.
• Kontinent maskinvare og programvare krypteringskompleks. Opprettelse av VPN basert på APCS "Continent". Anvendelse av APKSH "Continent" for VoIP-beskyttelse.
• Office Communication Server. Arkitektur. Brukssaker. Installere og konfigurere Office Communication Server.

Siste prøve

Problemet med å sikre sikkerheten til moderne informasjonsteknologi (inkludert IP-telefoni) er nå i sentrum for mange – og dette er spesielt viktig for enhver kommersiell struktur. Ingen ønsker å møte nye trusler og risikoer etter implementeringen av en nymotens IT-løsning designet for å optimalisere bedriftens forretningsprosesser. Derfor blir informasjonssikkerhet nå en prioritet ved valg av nye IT-systemer – spesielt ved overgang til IP-telefoni.

Løse sikkerhetsproblemet - en integrert tilnærming

Det finnes ingen en enhetlig sikkerhetsløsning for IP-telefoni, men dette bør være en del av din overordnede sikkerhetsstrategi. VoIP-teknologi er en applikasjon som kjører på et IP-nettverk hvor riktige sikkerhetsmetoder må implementeres, dvs. Du må forstå tydelig: jo høyere sikkerheten til nettverket ditt som helhet, desto vanskeligere vil det være for en angriper å organisere avlytting, et tjenestenektangrep (DoS) eller "hacke" et OS eller en VoIP-systemapplikasjon . Og spesialistene til Intercomputer Systems er klare til å hjelpe deg!

Spekteret av trusler om IP-telefoni

De vanligste truslene som IP-nettverk utsettes for inkluderer:

• registrering av andres terminal, som lar deg ringe på andres regning;
• substitusjon av en abonnent;
• å gjøre endringer i tale- eller signaltrafikk;
• reduksjon i kvaliteten på taletrafikk;
• omdirigere stemme- eller signaltrafikk;
• avlytting av tale- eller signaltrafikk;
• forfalskning av talemeldinger;
• avslutning av kommunikasjonsøkten;
• tjenestenekt;
• ekstern uautorisert tilgang til komponentene i IP-telefoniinfrastrukturen;
• uautoriserte programvareoppdateringer på IP-telefonen (for eksempel for å introdusere en trojaner eller spionprogramvare);
• hacking av faktureringssystemet (for operatørtelefoni).

Og dette er ikke hele listen over mulige problemer knyttet til bruk av IP-telefoni. Så - med alle fordelene med IP-telefoni - må du umiddelbart vurdere spørsmålet om å organisere et system for å beskytte nettverkene dine, som lar deg fullt ut bruke fordelene ved overgangen til VoIP-teknologier.

IP-telefoniarkitekturen inkluderer flere grunnleggende byggeklosser, som hver kan være utsatt for angrep fra inntrengere. Derfor kreves det en integrert tilnærming for å implementere oppgaven med å sikre maksimalt nivå av bedriftstelefonisikkerhet. Selskapets spesialister Interdatamatsystemer vil hjelpe deg med å forhindre informasjonslekkasjer og gi omfattende beskyttelse for din IP-telefoniinfrastruktur. Dessuten, ikke bare fra trusler om infeksjon med ondsinnede programmer (introduksjon og spredning av ormer, virus, trojanere og andre typer skadelig programvare), men også fra avlytting og avlytting av informasjon.

Som en "første forsvarslinje" tilbyr vi: systemer for å oppdage og forhindre angrep, hvis prinsipp er å avgrense tilgangen til IP-telefoni-infrastrukturen og regelmessig overvåke systemet. Vi anbefaler også å bruke standard antivirus og brannmurer.

Bruken av disse teknologiene gir muligheter for:

• filtrering av trafikk for å administrere installasjonen av IP-telefonforbindelser;
• overføring av administrasjonstrafikk gjennom NAT og nettverkstunneler;
• TCP-kapring, som bekrefter at TCP-økter er lukket, og beskytter dermed mot en rekke tjenestenektangrep (DoS).

Forhindre DoS-angrep

Vanlige DoS-angrep blokkeres vellykket på IP-telefoniarkitekturnivå av:

• dele bedriftsnettverket inn i ikke-overlappende segmenter av tale- og dataoverføring, noe som forhindrer fremveksten av vanlige angrep i "stemme"-området, inkludert DoS;
• sette opp spesielle regler for tilgangskontroll på rutere og brannmurer som beskytter omkretsen av bedriftsnettverket og dets individuelle segmenter;
• introdusere et system for å forhindre angrep på noder;
• implementering av spesialiserte systemer for beskyttelse mot DoS- og DDoS-angrep;
• bruke spesielle innstillinger på nettverksutstyr som forhindrer adresseforfalskning, som ofte brukes i DoS-angrep, og begrenser båndbredden, som ikke tillater å deaktivere de angrepne ressursene med en stor strøm av ubrukelig trafikk.

"Andre forsvarslinje"- beskyttelse gjennom bruk av krypteringsprotokoller og organisering av sikkerhetstiltak for bruk av enheter i IP-nettverkssystemet (fra serveren til selve IP-telefonene).

Det er den spesialiserte konfigurasjonen av IP-systemets sikkerhetspolicyer, autorisasjon og tilgangsrettigheter for interne abonnenter, og etableringen av begrensninger på driftsfunksjonaliteten til systemet som vil tjene som et av de mest effektive initiativene for å optimalisere sikkerhetsnivået og driften av en bedriftens IP-system. Risikoen forbundet med trusselen om en uautorisert inntrenger i administrasjonssystemet for IP-telefoni kan også praktisk talt reduseres til null. Siden IP-telefoni-infrastrukturen i seg selv er et ganske omfattende system, bør konfigurasjonsstyring av IP-telefoner og deres interaksjon med kontrollserveren utføres gjennom en kanal som er beskyttet mot uautorisert tilgang, som forhindrer forsøk på å lese eller endre kontrollkommandoer. Ulike protokoller kan brukes for å sikre kontrollkanalen - IPSec, SSL, TLS, etc.

Trafikkkryptering

Det er en av de viktigste komponentene i IP-telefonisikkerhet. De fleste eksisterende VoIP-løsninger støtter ennå ikke kryptografisk kryptering. En sikker telefonforbindelse er imidlertid mye enklere å implementere med VoIP-teknologi enn med tradisjonelle telefonlinjer. I fravær av kryptering er det relativt enkelt å etablere lytting til VoIP-anrop (dette kan gjøres ved hjelp av en trafikkanalysator), og med noen justeringer, til og med endre innholdet. Løsningen på dette problemet er trafikkkryptering og bruk av spesielle protokoller. Takket være kryptering vil all data som transporteres over IP-nettverket ha unike krypteringskoder som kun den endelige mottakeren kan «lese» – og selv om informasjonen blir fanget opp av nettkriminelle, vil de ikke kunne bruke den uten en dekodingsnøkkel.

IP-telefoni og bruk av VoIP-systemet er helt trygt - oppfyller behovene og kravene til moderne virksomheter, med en kompetent tilnærming til å sette opp systemet og konfigurere det fra et synspunkt om brannmurbeskyttelse, øker VoIP konkurranseevnen til bedrift, bidrar til å rasjonalisere ressursbruken og øke mobiliteten og produktiviteten til ansatte. Det bør huskes at de mest effektive sikkerhetstiltakene kan være når de dekker alle nivåer av nettverksinfrastrukturen.

Spesialistene til selskapet vårt vil hjelpe deg med å sikre sikkerheten til din IP-telefoniinfrastruktur!

For referanse:

Det er viktig å huske at angrep fra ugjerningspersoner (avlytting, forfalskning av en abonnent, uautorisert inntreden i systemet, avlytting av informasjon, overbelastning av linjer) gjelder både tradisjonell telefoni og IP-telefoni. Spørsmålet er at det å oppdage, lokalisere og forhindre trusler i et IP-telefonisystem er en mye enklere og rimeligere oppgave. Samtidig er kostnadene for IP-telefoni betydelig lavere enn for analog. Utfordringen er å implementere og konfigurere IP-systemet på riktig måte og sørge for at det fungerer problemfritt med minimal eksponering for risiko.

Sikkerheten til IP-telefonløsninger, på grunn av deres økende popularitet og etterspørsel, er en avgjørende faktor i konstruksjonen av en IP-telekommunikasjonsinfrastruktur, og krever spesiell oppmerksomhet - så vel som standardfaktorer som prisen på selve utstyret, ytelse, funksjonalitet , etc.

Har du noen spørsmål? Ta kontakt med oss ​​for råd og detaljert informasjon om mulighetene for å organisere beskyttelsen av IP-telefoni!

En veldig interessant artikkel om sikkerhet i IP-telefoni ble publisert på nettstedet linkmeup.ru. Vi legger det ut uendret, så å si fra forfatteren.

=======================

Hei, kolleger og venner, jeg, Vadim Semenov, sammen med nettverksclass.net-prosjektteamet presenterer en oversiktsartikkel som berører hovedtrendene og truslene innen IP-telefoni, og viktigst av alt, beskyttelsesverktøyene som produsenten tilbyr for tiden som beskyttelse (på språket til sikkerhetsspesialister vil vi vurdere hvilke verktøy produsenten tilbyr for å redusere sårbarheter som illegitime personer kan bruke). Så, færre ord – la oss komme i gang.
For mange som leser har begrepet IP-telefoni lenge blitt dannet, og også det faktum at denne telefonien er «bedre», billigere sammenlignet med offentlig telefoni (PSTN), rik på ulike tilleggsfunksjoner mv. Og dette er imidlertid sant ... delvis. Med overgangen fra analog (digital) telefoni med egne abonnentlinjer (fra en abonnenttelefon til en stasjon eller stasjonsutvidelse) og forbindelseslinjer (interstasjonskommunikasjonslinje), var de ikke mindre bare i tilgangs- og kontrollsonen til telefonileverandør. Med andre ord, vanlige innbyggere hadde ikke tilgang der (vel, eller praktisk talt, hvis man ikke tar hensyn til kabelkanalsystemet). Jeg husker ett spørsmål på det gode gamle hackerforumet «Fortell meg hvordan jeg får tilgang til PBX? - svaret: "Vel, du tar en bulldoser - du ramler veggen til PBX-bygningen og vips." Og denne vitsen har sin del av sannheten) Men med overføringen av telefoni til et billig IP-miljø, mottok vi i tillegg truslene fra et åpent IP-miljø. Eksempler på ervervede trusler inkluderer følgende:

• Sniffing signalporter for å foreta betalte samtaler på andres regning
• Avlytting ved å avskjære IP-talepakker
• Anropsavlytting, presentasjon av en illegitim bruker som en legitim bruker, mann-i-midten-angrep
• DDOS-angrep på stasjonssignalservere med mål om å deaktivere all telefoni
• Spam-angrep, kollaps av et stort antall fantomanrop til stasjonen for å okkupere alle dens gratis ressurser

Til tross for åpenheten om behovet for å eliminere alle mulige sårbarheter for å redusere sannsynligheten for at et bestemt angrep blir implementert, må implementeringen av visse beskyttelsestiltak begynne med å utarbeide en tidsplan som tar hensyn til kostnadene ved å implementere beskyttelsestiltak mot en spesifikk trussel og bedriftens tap ved implementering av denne trusselen av angripere. Tross alt er det dumt å bruke mer penger på sikkerheten til en eiendel enn eiendelen i seg selv som vi beskytter er verdt.
Etter å ha bestemt budsjettet for sikkerhet, vil vi begynne å eliminere nøyaktig de truslene som er mest sannsynlig for selskapet, for eksempel for en liten organisasjon vil det være mest smertefullt å motta en stor regning for ufullkomne langdistanse- og internasjonale samtaler, mens statlige selskaper er det viktigst å holde konfidensialitet i samtaler. La oss starte den gradvise vurderingen i denne artikkelen med de grunnleggende tingene - dette er for å gi en sikker måte å levere tjenestedata fra stasjon til telefon. Deretter vil vi vurdere autentisering av telefoner før de kobles til stasjonen, autentisering av stasjonen fra siden av telefonene, og kryptering av signaltrafikk (for å skjule informasjon om hvem som ringer hvor) og kryptering av taletrafikk.
Mange produsenter av taleutstyr (inkludert Cisco Systems) har allerede integrert sikkerhetsverktøy fra den vanlige begrensningen av rekkevidden av IP-adresser som kan ringes fra til autentisering av endepunkter ved hjelp av et sertifikat. For eksempel har Cisco Systems, med sin taleproduktlinje CUCM (Cisco Unified CallManager) siden produktversjon 8.0 (utgitt i mai 2010; tilgjengelig i versjon 10.5 fra mai 2014), integrert funksjonen Security by Default. Hva inkluderer det:

• Autentisering av alle nedlastede TFTP-filer (konfigurasjonsfiler, fastvarefiler for telefoner, etc.)
• Kryptering av konfigurasjonsfiler
• Kontrollerer sertifikatet med telefonen som initialiserer HTTPS-tilkoblingen

La oss se på et eksempel på et mann-i-midten-angrep, når en illegitim person avskjærer konfigurasjonsfiler for telefoner, hvorfra telefonen lærer hvilken stasjon den skal registrere seg for, hvilken protokoll som skal brukes, hvilken fastvare som skal lastes ned, etc. Ved å avskjære filen vil en angriper kunne gjøre sine egne endringer i den eller fullstendig overskrive konfigurasjonsfilen, og dermed forhindre at telefonene til hele kontoret (se figuren) registrerer seg på stasjonen, og følgelig frata kontoret av muligheten til å ringe.

Fig. 1 Mann-i-midten angrep

For å forsvare oss mot dette trenger vi kunnskap om asymmetrisk kryptering, offentlig nøkkelinfrastruktur og en forståelse av "Security by default"-komponentene som vi nå skal møte: Identity Trust List (ITL) og Trust Verification Service (TVS). TVS er en tjeneste utviklet for å behandle forespørsler fra IP-telefoner som ikke har en ITL- eller CTL-fil i internminnet. En IP-telefon kontakter TVS om nødvendig for å være sikker på om den kan stole på en bestemt tjeneste før du begynner å kontakte den. I tillegg fungerer stasjonen som et depot som lagrer sertifikater fra pålitelige servere. På sin side er ITL en liste over offentlige nøkler over elementene som utgjør stasjonens klynge, men det er viktig for oss at den offentlige nøkkelen til TFTP-serveren og den offentlige nøkkelen til TVS-tjenesten lagres der. Ved første oppstart av telefonen, når telefonen har mottatt sin IP-adresse og adressen til TFTP-serveren, ber den om tilstedeværelsen av ITL-filen (fig. 2). Hvis den er på TFTP-serveren, laster den blindt inn i internminnet og lagrer den til neste omstart. Etter å ha lastet ned ITL-filen, ber telefonen om den signerte konfigurasjonsfilen.

La oss nå se på hvordan vi kan bruke kryptografiverktøy – signere en fil ved hjelp av MD5- eller SHA-hash-funksjoner og kryptere den ved å bruke TFTP-serverens private nøkkel (Figur 3). Det særegne med hashfunksjoner er at de er enveisfunksjoner. Ved å bruke den mottatte hashen fra en hvilken som helst fil, kan du ikke utføre omvendt operasjon og få nøyaktig den originale filen. Når en fil endres, endres også selve hashen, hentet fra denne filen. Det er verdt å merke seg at hashen ikke er skrevet til selve filen, men bare lagt til den og overført sammen med den.

Fig. 3 Signering av telefonens konfigurasjonsfil

Når signaturen dannes, tas selve konfigurasjonsfilen, hashen trekkes ut fra den og krypteres med den private nøkkelen til TFTP-serveren (som bare TFTP-serveren har).
Ved mottak av denne filen med innstillinger, sjekker telefonen først den for integritet. Vi husker at en hash er en enveisfunksjon, så telefonen har ikke annet å gjøre enn å skille hashen kryptert av TFTP-serveren fra konfigurasjonsfilen, dekryptere den med den offentlige TFTP-nøkkelen (hvordan vet IP-telefonen det? - bare fra ITL-filen), beregne hashen fra en ren konfigurasjonsfil og sammenligne den med det vi fikk under dekryptering. Hvis hashen stemmer, ble det ikke gjort noen endringer i filen under overføringen og kan trygt brukes på telefonen (fig. 4).

Fig. 4 Kontrollerer konfigurasjonsfilen ved hjelp av IP-telefonen

Den signerte konfigurasjonsfilen for telefonen vises nedenfor:

Ris. 5 Signert IP-telefonfil i Wireshark

Ved å signere konfigurasjonsfilen var vi i stand til å sikre integriteten til den overførte innstillingsfilen, men vi beskyttet den ikke mot visning. Mye nyttig informasjon kan hentes fra den fangede konfigurasjonsfilen, for eksempel IP-adressen til telefonsentralen (i vårt eksempel er den 192.168.1.66) og de åpne portene på stasjonen (2427), etc. Er det ikke viktig nok informasjon til at du ikke vil bare "skinne" på nettet? For å skjule denne informasjonen sørger produsentene for bruk av symmetrisk kryptering (den samme nøkkelen brukes til kryptering og dekryptering). I det ene tilfellet kan nøkkelen legges inn i telefonen manuelt, i det andre tilfellet skjer krypteringen av telefonens konfigurasjonsfil på stasjonen ved hjelp av telefonens offentlige nøkkel. Før du sender filen til telefonen, krypterer tftp-serveren som lagrer denne filen den ved hjelp av telefonens offentlige nøkkel og signerer den med dens private nøkkel (derved sikrer vi ikke bare hemmeligholdet, men også integriteten til de overførte filene). Det viktigste her er ikke å bli forvirret om hvem som bruker hvilken nøkkel, men la oss ta det i rekkefølge: tftp-serveren, etter å ha kryptert filen med den offentlige nøkkelen til telefonens IP, sørget for at bare eieren av den sammenkoblede offentlige nøkkelen kan åpne denne filen. Ved å signere filen med dens private nøkkel bekrefter tftp-serveren at det var han som opprettet den. Den krypterte filen er vist i figur 6:

Fig. 6 IP-telefon kryptert fil

Så på dette tidspunktet har vi vurdert muligheten for å beskytte konfigurasjonsfilene våre for telefoner fra å se og sikre deres integritet. Det er her funksjonene "Sikkerhet som standard" slutter. For å sikre kryptering av stemmetrafikk, skjule signaleringsinformasjon (om hvem som ringer og hvor du skal ringe), trengs ytterligere verktøy basert på listen over pålitelige sertifikater - CTL, som vi vil vurdere nedenfor.

Autentisering av telefonsentral

Når telefonen må samhandle med telefonsentralen (for eksempel forhandle en TLS-forbindelse for signalutveksling), må IP-telefonen autentisere stasjonen. Som du kanskje gjetter, er sertifikater også mye brukt for å løse dette problemet. For øyeblikket består moderne IP-stasjoner av et stort antall elementer: flere signalservere for behandling av anrop, en dedikert administrasjonsserver (som nye telefoner, brukere, gatewayer, rutingregler osv. legges til), en dedikert TFTP-server for lagring av konfigurasjonsfiler og programvare for telefoner, en server for å kringkaste musikk på vent, og så videre, i tillegg kan taleinfrastrukturen inneholde talepost, en server for å bestemme gjeldende tilstand til abonnenten (online, offline, "til lunsj ") - listen er imponerende, og viktigst av alt, hver server har sitt eget selvsignerte sertifikat og hver fungerer som en rotsertifiseringsinstans (fig. 7). Av denne grunn vil ingen server i taleinfrastrukturen stole på sertifikatet til en annen server, for eksempel stoler ikke taleserveren på TFTP-serveren, taleposten stoler ikke på signalserveren, og dessuten må telefonene beholde sertifikatene til alle elementer involvert i utveksling av signaltrafikk. Telefonsentralsertifikatene er vist i figur 7.

Figur 7 Selvsignerte Cisco IP Station-sertifikater

For oppgavene med å etablere tillitsrelasjoner mellom de ovenfor beskrevne elementene i taleinfrastrukturer, samt kryptering av tale- og signaltrafikk, kommer den såkalte Certificate Trust List (CTL) inn i bildet. CTL inneholder alle selvsignerte sertifikater for alle servere i talestasjonsklyngen, så vel som de som deltar i utveksling av telefonisignaleringsmeldinger (for eksempel en brannmur), og denne filen er signert med den private nøkkelen til en pålitelig sertifiseringsinstans (Fig. 8). CTL-filen tilsvarer de installerte sertifikatene som brukes i nettlesere når du arbeider med https-protokollen.

Fig. 8 Liste over klarerte sertifikater

For å lage en CTL-fil på Cisco-utstyr trenger du en PC med USB-kontakt, CTL-klientprogrammet installert på den, og selve Site Administrator Security Token (SAST) (fig. 9), som inneholder den private nøkkelen og X .509v3-sertifikat signert av produsenten av autentiseringssenteret (Cisco).

Figur 9 eToken Cisco

CTL-klient er et program som er installert på en Windows-PC og som det er mulig å overføre en HELE telefonsentral til såkalt blandet modus, det vil si en blandet modus for å støtte registrering av terminalenheter i trygge og usikre moduser . Vi starter klienten, spesifiserer IP-adressen til telefonsentralen, skriver inn administrators pålogging/passord og CTL-klienten etablerer en TCP-forbindelse på port 2444 med stasjonen (fig. 10). Etter det vil du bare bli bedt om to handlinger:

Figur 10 Cisco CTL-klient

Etter å ha opprettet CTL-filen, gjenstår det å starte TFTP-serveren på nytt slik at de laster ned den nye opprettede CTL-filen, og deretter starte taleserverne på nytt slik at IP-telefonene også starter på nytt og laster ned den nye CTL-filen (32 kilobyte). Den nedlastede CTL-filen kan sees fra IP-telefoninnstillingene (fig. 11)

Fig. 11 CTL-fil på IP-telefon

Endepunktautentisering

For å sikre at bare klarerte endepunkter kobles til og registreres, må enhetsautentisering implementeres. I dette tilfellet bruker mange produsenter en allerede utprøvd metode - enhetsautentisering ved hjelp av sertifikater (fig. 12). For eksempel, i Cisco-talearkitekturen, er dette implementert som følger: det er to typer sertifikater for autentisering med tilsvarende offentlige og private nøkler, som er lagret på telefonen:
Produsent installert sertifikat - (MIC). Det produsentinstallerte sertifikatet inneholder en 2048-biters nøkkel som er signert av produsentens sertifiseringsinstans (Cisco). Dette sertifikatet er ikke installert på alle telefonmodeller, og hvis det er installert, er det ikke nødvendig å ha et annet sertifikat (LSC).
Locally Significant Certificate - (LSC) Locally Significant Certificate, inneholder den offentlige nøkkelen til IP-telefonen, som er signert med den private nøkkelen til det lokale autentiseringssenteret, som kjører på selve telefonsentralen Сertificate Authority Proxy Function (CAPF).
Så hvis vi har telefoner med et forhåndsinstallert MIC-sertifikat, vil stasjonen hver gang telefonen registrerer seg på en stasjon be om et sertifikat forhåndsinstallert av produsenten for autentisering. Men hvis en MIC er kompromittert, er det nødvendig å kontakte produsentens sertifiseringsinstans for å erstatte den, noe som kan ta mye tid. For ikke å være avhengig av responstiden til produsentens sertifiseringsmyndighet på ny utstedelse av det kompromitterte telefonsertifikatet, er det å foretrekke å bruke et lokalt sertifikat.

Fig. 12 Sertifikater for endepunktautentisering

Som standard er ikke LSC-sertifikatet installert på IP-telefonen, og installasjonen er mulig ved bruk av MIB-sertifikatet (hvis noen), eller gjennom en TLS-tilkobling (Transport Layer Security) ved å bruke en delt delt nøkkel generert manuelt av administratoren på stasjonen og skrev inn på telefonen.
Prosessen med å installere et lokalt signifikant sertifikat (LSC) på en telefon som inneholder telefonens offentlige nøkkel signert av en lokal sertifiseringsmyndighet, er vist i figur 13:

Figur 13 Installasjonsprosess for lokalt viktig LSC-sertifikat

1. Etter oppstart ber IP-telefonen om en klarert liste over sertifikater (CTL-fil) og en konfigurasjonsfil
2. Stasjonen sender de forespurte filene
3. Fra den mottatte konfigurasjonen bestemmer telefonen om den må laste ned et lokalt signifikant sertifikat (LSC) fra stasjonen
4. Hvis vi på stasjonen stiller inn telefonen til å installere et LSC-sertifikat (se nedenfor), som stasjonen vil bruke for å autentisere denne IP-telefonen, må vi sørge for at stasjonen utsteder det ved forespørsel om å utstede et LSC-sertifikat til den den er ment for. For disse formålene kan vi bruke et MIC-sertifikat (hvis noen), generere et engangspassord for hver telefon og legge det inn manuelt på telefonen, eller ikke bruke autorisasjon i det hele tatt.
Et eksempel viser prosessen med å installere LSC ved å bruke den genererte

Drevet av SEO CMS ver .: 23.1 TOP 2 (opencartadmin.com)