Sikkerhet for IP-telefoni. Bruker krypterte VPN-tunneler. Hvorfor blir IP-telefoni angrepet?

Legg igjen en kommentar 6,950

En veldig interessant artikkel om sikkerhet i IP-telefoni ble publisert på nettstedet linkmeup.ru. Vi sprer det uten endringer, så å si fra forfatteren.

=======================

Hei kolleger og venner, jeg, Vadim Semenov, sammen med nettverksclass.net-prosjektteamet, presenterer for din oppmerksomhet en gjennomgangsartikkel som berører hovedtrendene og truslene innen IP-telefoni, og viktigst av alt, de beskyttelsesverktøyene som produsenten tilbyr for tiden som beskyttelse (på språket til sikkerhetseksperter, la oss vurdere hvilke verktøy produsenten tilbyr for å redusere sårbarheter som illegitime personer kan bruke). Så, mindre ord - la oss komme i gang.
For mange lesere har begrepet IP-telefoni lenge blitt dannet, samt det faktum at denne telefonien er «bedre», billigere sammenlignet med offentlig telefoni (PSTN), rik på ulike tilleggsfunksjoner osv. Og dette er imidlertid sant ... delvis. Ettersom overgangen fra analog (digital) telefoni med egne abonnentlinjer (fra abonnenttelefonen til stasjonen eller stasjonsutvidelsen) og forbindelseslinjer (interstasjonskommunikasjonslinje) var intet mindre enn bare i telefoniens tilgangs- og kontrollsone forsørger. Det var med andre ord ingen adkomst for vanlige innbyggere der (vel, eller praktisk talt, hvis man ikke tar hensyn til kabelkanaler). Jeg husker ett spørsmål på det gode gamle hackerforumet «Fortell meg hvordan jeg får tilgang til PBX? - svaret: "Vel, du tar en bulldoser - du ramler veggen til ATS-bygningen og vips." Og denne vitsen har sin del av sannheten) Men med overføringen av telefoni til et billig IP-miljø fikk vi i tillegg truslene som et åpent IP-miljø bærer med seg. Eksempler på ervervede trusler inkluderer:

  • Snusing av signalporter for å foreta avgiftsanrop på andres regning
  • Avlytting ved å avskjære IP-talepakker
  • Anropsavlytting, etterligning av en illegitim bruker som en legitim bruker, mann-i-midten-angrep
  • DDOS angriper stasjonens signalservere for å deaktivere all telefoni
  • Spam-angrep, kollaps av et stort antall fantomanrop til stasjonen for å ta alle dens gratis ressurser

Til tross for det åpenbare behovet for å eliminere alle mulige sårbarheter for å redusere sannsynligheten for et bestemt angrep, må implementeringen av visse beskyttelsestiltak begynne med en tidsplan som tar hensyn til kostnadene ved å implementere beskyttelsestiltak mot en spesifikk trussel og selskapets tap fra implementeringen av denne trusselen av angripere. Tross alt er det dumt å bruke mer penger på sikkerheten til en eiendel enn eiendelen i seg selv, som vi beskytter, er verdt.
Etter å ha bestemt budsjettet for sikkerhet, vil vi begynne å eliminere nøyaktig de truslene som er mest sannsynlig for selskapet, for eksempel for en liten organisasjon vil det være mest smertefullt å motta en stor regning for ufullkomne langdistanse- og internasjonale samtaler, mens for statseide selskaper er det viktigst å holde samtaler konfidensielle. La oss starte den gradvise vurderingen i den nåværende artikkelen fra de grunnleggende tingene - dette er leveringen av en sikker måte å levere tjenestedata fra stasjonen til telefonen. Vurder deretter autentiseringen av telefoner før du kobler dem til stasjonen, autentiseringen av stasjonen fra siden av telefonene, og kryptering av signaltrafikk (for å skjule informasjon om hvem som ringer hvor) og kryptering av samtaletrafikk.
Mange produsenter av taleutstyr (inkludert Cisco Systems) har allerede integrerte sikkerhetsverktøy fra den vanlige begrensningen av rekkevidden av IP-adresser som det kan ringes fra til autentisering av sluttenheter ved hjelp av et sertifikat. For eksempel begynte produsenten Cisco Systems med sin CUCM (Cisco Unified CallManager) taleproduktlinje fra produktversjon 8.0 (utgivelsesdato mai 2010; versjon 10.5 av mai 2014 er tilgjengelig for øyeblikket) å integrere funksjonen "Standardsikkerhet". Hva inkluderer det:

  • Autentisering av alle filer lastet ned via/fra TFTP (konfigurasjonsfiler, fastvarefiler for telefoner, etc.)
  • Kryptering av konfigurasjonsfiler
  • Sertifikatverifisering med telefon som initialiserer HTTPS-tilkobling

La oss se på et eksempel på et "mann i midten"-angrep, når en illegitim person fanger opp konfigurasjonsfilene for telefoner, hvorfra telefonen lærer hvilken stasjon den skal registrere seg på, hvilken protokoll den skal jobbe på, hvilken fastvare som skal lastes ned osv. . Etter å ha fanget opp filen, vil en angriper kunne gjøre sine egne endringer i den eller fullstendig overskrive konfigurasjonsfilen, og dermed forhindre at telefonene til hele kontoret (se figur) registrerer seg på stasjonen, og følgelig frata kontoret muligheten til å ringe.

Fig.1 Angrip "mann i midten"

For å beskytte mot dette trenger vi kunnskap om asymmetrisk kryptering, offentlig nøkkelinfrastruktur, og forståelse for komponentene i «Security by Default», som vi nå skal møte: Identity Trust List (ITL) og Trust Verification Service (TVS). TVS er en tjeneste utviklet for å behandle forespørsler fra IP-telefoner som ikke har en ITL- eller CTL-fil i internminnet. IP-telefonen kontakter TVS om nødvendig for å sikre at den kan stole på en bestemt tjeneste før den begynner å få tilgang til den. Stasjonen fungerer også som et depot som lagrer sertifikater fra pålitelige servere. På sin side er ITL en liste over offentlige nøkler av elementene som utgjør stasjonsklyngen, men det er viktig for oss at den offentlige nøkkelen til TFTP-serveren og den offentlige nøkkelen til TVS-tjenesten er lagret der. Under den første oppstarten av telefonen, når telefonen har mottatt sin IP-adresse og adressen til TFTP-serveren, ber den om tilstedeværelsen av en ITL-fil (fig. 2). Hvis den er på TFTP-serveren, laster den blindt inn i internminnet og lagrer den til neste omstart. Etter å ha lastet ned ITL-filen, ber telefonen om en signert konfigurasjonsfil.

La oss nå se på hvordan vi kan bruke kryptografiverktøy - signere en fil ved å bruke MD5- eller SHA-hash-funksjonene og kryptere den ved å bruke den private nøkkelen til TFTP-serveren (fig. 3). Det særegne med hashfunksjoner er at de er enveisfunksjoner. Basert på den mottatte hashen fra en hvilken som helst fil, er det umulig å gjøre omvendt operasjon og få nøyaktig den originale filen. Når en fil endres, endres også selve hashen, hentet fra denne filen. Det er verdt å merke seg at hashen ikke er skrevet til selve filen, men bare lagt til den og overført sammen med den.

Fig.3 Signering av telefonens konfigurasjonsfil

Når du genererer en signatur, tas selve konfigurasjonsfilen, hashen trekkes ut fra den og krypteres med den private nøkkelen til TFTP-serveren (som bare TFTP-serveren har).
Når du mottar denne filen med innstillinger, sjekker telefonen først den for integritet. Vi husker at en hash er en enveisfunksjon, så telefonen har ikke noe annet valg enn å skille hashen kryptert av TFTP-serveren fra konfigurasjonsfilen, dekryptere den ved å bruke den offentlige TFTP-nøkkelen (hvordan vet IP-telefonen det? - men bare fra ITL-filen), beregne hashen fra en ren konfigurasjonsfil og sammenligne den med det vi mottok under dekryptering. Hvis hashen stemmer, ble det ikke gjort noen endringer i filen under overføringen, og den kan trygt brukes på telefonen (fig. 4).

Fig.4 Kontrollerer konfigurasjonsfilen for IP-telefonen

Den signerte konfigurasjonsfilen for telefonen vises nedenfor:

Ris. 5 Signert telefon IP-fil i Wireshark

Ved å signere konfigurasjonsfilen var vi i stand til å sikre integriteten til den overførte innstillingsfilen, men vi beskyttet den ikke mot visning. Mye nyttig informasjon kan hentes fra den fangede konfigurasjonsfilen, for eksempel IP-adressen til telefonsentralen (i vårt eksempel er den 192.168.1.66) og åpne porter på sentralen (2427), etc. Er det ikke ganske viktig informasjon at du ikke vil bare "skinne" på nettverket? For å skjule denne informasjonen sørger produsentene for bruk av symmetrisk kryptering (den samme nøkkelen brukes til kryptering og dekryptering). I det ene tilfellet kan nøkkelen legges inn på telefonen manuelt, i det andre tilfellet krypteres telefonens konfigurasjonsfil på stasjonen ved hjelp av telefonens offentlige nøkkel. Før du sender filen til telefonen, krypterer tftp-serveren som denne filen er lagret på den ved hjelp av telefonens offentlige nøkkel og signerer den med dens private nøkkel (dermed sikrer vi ikke bare hemmelighold, men også integriteten til de overførte filene) . Hovedsaken her er ikke å bli forvirret hvem som bruker hvilken nøkkel, men la oss ta det i rekkefølge: tftp-serveren sørget ved å kryptere filen med den offentlige nøkkelen til IP-telefonen at bare eieren av den sammenkoblede offentlige nøkkelen kunne åpne denne filen. Ved å signere filen med dens private nøkkel, bekrefter tftp-serveren at det var den som opprettet den. Den krypterte filen er vist i figur 6:

Fig.6 Kryptert telefon IP-fil

Så for øyeblikket har vi vurdert muligheten for å beskytte konfigurasjonsfilene våre for telefoner fra å se og sikre deres integritet. Det er her funksjonene "Sikkerhet som standard" slutter. For å gi kryptering av taletrafikk, skjule signaleringsinformasjon (om hvem som ringer og hvor du skal ringe), trengs ytterligere verktøy basert på listen over pålitelige sertifikater - CTL, som vi vil vurdere nedenfor.

Autentisering av telefonsentral

Når en telefon trenger å kommunisere med en telefonsentral (for eksempel for å forhandle en TLS-forbindelse for en signalsentral), må IP-telefonen autentisere sentralen. Som du kanskje gjetter, er sertifikater også mye brukt for å løse dette problemet. For øyeblikket består moderne IP-stasjoner av et stort antall elementer: flere signalservere for samtalebehandling, en dedikert administrasjonsserver (som nye telefoner, brukere, gatewayer, rutingregler osv. legges til), en dedikert TFTP-server for lagring av konfigurasjonsfiler og programvare for telefoner, en server for kringkasting av musikk på vent, etc., i tillegg kan taleinfrastrukturen ha talepost, en server for å bestemme abonnentens nåværende tilstand (online, offline, "til lunsj") - listen er imponerende, og viktigst av alt, hver server har sitt eget selvsignerte sertifikat og hver fungerer som en rotsertifiseringsinstans (fig. 7). Av denne grunn vil ingen server i taleinfrastrukturen stole på sertifikatet til en annen server, for eksempel stoler ikke taleserveren på TFTP-serveren, talepost stoler ikke på signalserveren, og i tillegg må telefonene lagre sertifikatene av alle elementer som deltar i signaltrafikkutvekslingen. Telefonsentralsertifikater er vist i figur 7.

Figur 7 Cisco IP Station Selvsignerte sertifikater

For oppgavene med å etablere tillitsrelasjoner mellom ovennevnte elementer i taleinfrastrukturen, samt kryptering av tale- og signaltrafikk, kommer den såkalte Certificate Trust List (CTL) inn i bildet. CTL inneholder alle selvsignerte sertifikater for alle servere i talestasjonsklyngen, så vel som de som deltar i utveksling av telefonisignaleringsmeldinger (for eksempel en brannmur), og denne filen er signert med den private nøkkelen til en pålitelig sertifiseringsinstans ( Fig. 8). CTL-filen tilsvarer de installerte sertifikatene som brukes av nettlesere når du arbeider med https-protokollen.

Fig.8 Liste over klarerte sertifikater

For å lage en CTL-fil på Cisco-utstyr trenger du en PC med USB-kontakt, CTL-klientprogrammet installert på den, og selve Site Administrator Security Token (SAST) (fig. 9), som inneholder en privat nøkkel og et X.509v3-sertifikat signert av en autentiseringssenterprodusent (Cisco).

Figur 9 Cisco eToken

CTL-klient er et program som er installert på en Windows-PC og som du kan overføre hele telefonsentralen med til såkalt blandet modus, det vil si en blandet modus for å støtte registrering av terminalenheter i trygge og usikre moduser. Vi starter klienten, spesifiserer IP-adressen til telefonsentralen, skriver inn administratorinnlogging/passord og CTL-klienten etablerer en TCP-forbindelse på port 2444 med stasjonen (fig. 10). Etter det vil bare to handlinger bli tilbudt:

Figur 10 Cisco CTL-klient

Etter å ha opprettet CTL-filen gjenstår det å starte TFTP-serverne på nytt slik at de laster opp den nyopprettede CTL-filen til seg selv, og deretter starte taleserverne på nytt slik at IP-telefonene også starter på nytt og laster ned den nye CTL-filen (32 kilobyte). Den nedlastede CTL-filen kan sees fra IP-telefoninnstillingene (fig. 11)

Fig.11 CTL-fil på IP-telefon

Endepunktautentisering

Enhetsautentisering må implementeres for å sikre at bare klarerte sluttenheter kobler til og registrerer seg. I dette tilfellet bruker mange produsenter en allerede utprøvd metode - enhetsautentisering ved hjelp av sertifikater (fig. 12). For eksempel, i Cisco-talearkitekturen, er dette implementert som følger: det er to typer sertifikater for autentisering med tilsvarende offentlige og private nøkler, som er lagret på telefonen:
Produsent installert sertifikat - (MIC). Sertifikatet installert av produsenten inneholder en 2048 bit nøkkel, som er signert av sertifiseringsmyndigheten til produsentens selskap (Cisco). Dette sertifikatet er ikke installert på alle telefonmodeller, og hvis det er installert, er det ikke nødvendig å ha et annet sertifikat (LSC).
Locally Significant Certificate - (LSC) Et lokalt signifikant sertifikat som inneholder den offentlige nøkkelen til IP-telefonen, som er signert med den private nøkkelen til det lokale autentiseringssenteret som kjører på telefonsentralens Certificate Authority Proxy Function (CAPF).
Så hvis vi har telefoner med et forhåndsinstallert MIC-sertifikat, vil stasjonen hver gang telefonen registrerer seg på stasjonen be om et sertifikat forhåndsinstallert av produsenten for autentisering. Men hvis MIC er kompromittert, må den erstattes av produsentens sertifiseringsmyndighet, noe som kan ta mye tid. For ikke å være avhengig av responstiden til produsentens sertifikatmyndighet for å utstede et kompromittert telefonsertifikat på nytt, er det å foretrekke å bruke et lokalt sertifikat.

Fig.12 Sertifikater for endepunktautentisering

Som standard er ikke et LSC-sertifikat installert på IP-telefonen, og installasjonen er mulig ved hjelp av et MIB-sertifikat (hvis tilgjengelig), eller via en TLS-tilkobling (Transport Layer Security) ved bruk av en delt nøkkel, manuelt generert av administratoren på stasjon og oppgitt på telefonen.
Prosessen med å installere et lokalt signifikant sertifikat (LSC) på telefonen som inneholder den offentlige nøkkelen til telefonen signert av den lokale sertifiseringsmyndigheten er vist i figur 13:

Figur 13 Installasjonsprosess for lokalt viktig LSC-sertifikat

1. Etter å ha lastet ned IP-en, ber telefonen om en klarert liste over sertifikater (CTL-fil) og en konfigurasjonsfil
2. Stasjonen sender de forespurte filene
3. Fra den mottatte konfigurasjonen bestemmer telefonen om den må laste ned et Locally Significant Certificate (LSC) fra stasjonen
4. Hvis vi har satt stasjonen for telefonen til å installere et LSC-sertifikat (se nedenfor), som stasjonen vil bruke til å autentisere denne IP-telefonen, må vi passe på at stasjonen utsteder når vi blir bedt om å utstede et LSC-sertifikat. det til den den er ment for. For disse formålene kan vi bruke et MIC-sertifikat (hvis noen), generere et engangspassord for hver telefon og legge det inn manuelt på telefonen, eller ikke bruke autorisasjon i det hele tatt.
Eksemplet demonstrerer LSC-installasjonsprosessen ved å bruke den genererte

Drevet av SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)

Siden VoIP-teknologi er basert på IP-teknologi og bruker Internett, arver den også alle sine sårbarheter. Konsekvensene av disse angrepene, multiplisert med sårbarhetene som følger av arkitekturen til VoIP-nettverk, får oss til å tenke på måter å øke beskyttelsen på og nøye analysere det eksisterende IP-nettverket. Dessuten kan tilføyelse av nye tjenester, for eksempel talepost, til en utilstrekkelig sikker infrastruktur introdusere nye sårbarheter.

Risikoer og sårbarheter som er arvet fra IP-nettverk.

Dårlig webdesign

Et feil utformet nettverk kan føre til et stort antall problemer knyttet til bruk og levering av nødvendig grad av informasjonssikkerhet i VoIP-nettverk. Brannmurer, for eksempel, er en sårbarhet i et nettverk fordi flere porter må åpnes for at VoIP-nettverket skal fungere ordentlig, og ikke-VoIP-brannmurer kan ganske enkelt la tidligere brukte porter være åpne selv etter at samtaler er avsluttet.

Sårbare IP PBX-er og gatewayer

Hvis en angriper får tilgang til en gateway eller PBX, får han også tilgang til å fange opp hele økter (faktisk muligheten til å lytte til en samtale), finne ut samtale- og nettverksparametere. Derfor bør sikkerheten til PBX gis størst oppmerksomhet. Tap ved slike inngrep kan komme opp i betydelige summer.

Pakke-replay-angrep

Et pakkereplay-angrep kan utføres i et VoIP-nettverk ved å sende en serie gyldige pakker på nytt for at mottaksenheten skal behandle informasjonen på nytt og overføre svarpakker som kan analyseres for pakkeforfalskning og få tilgang til nettverket. For eksempel, selv om dataene er kryptert, er det mulig for brukeren av brukeren å gjenta pakken med innlogging og passord, og dermed få tilgang til nettverket.

Risikoer og sårbarheter som er spesifikke for VoIP-nettverk

Pakkeforfalskning og maskering
Spoofing-pakker med feil kilde-IP-adresse kan brukes til følgende formål:

Videresende pakker til et annet nettverk eller system

Trafikkavlytting og mann-i-midten-angrep (bilde under)

  • Forkledning for en pålitelig enhet - "Overføring av ansvar" for et angrep til en annen enhet
  • Fuzzing- Laste systemet med pakker med ufullstendig korrekt informasjon, noe som forårsaker feil i systemet under behandlingen, som forsinkelser i drift, informasjonslekkasjer og fullstendig systemfeil
  • Skanner etter mulige sårbarheter– Portskanning kan gi en angriper de første dataene for å utføre et fullverdig angrep, for eksempel operativsystemmodeller, typer tjenester og applikasjoner som brukes. Når en sårbar tjeneste blir funnet, kan en angriper få tilgang til kontroll over hele nettverket, og som et resultat mulighet til å forårsake stor skade.
  • Lav pålitelighet sammenlignet med tradisjonelle nettverk– For å oppnå kommunikasjon av høy kvalitet, gis pakker som inneholder tale- og videotrafikk høy prioritet i QoS-mekanismer (kvalitet på tjenesten). Imidlertid pleier påliteligheten til VoIP og datanettverk å være 99,9 %, som er lavere enn pålitelighetsnivåene i tradisjonelle telefonnettverk, der denne parameteren har en tendens til 99,999 %. Selvfølgelig er forskjellen ikke så stor, men for året oversetter denne forskjellen til ytterligere 8,7 timer, hvor systemet ikke fungerer. Men du må forstå at dette ikke kan skade enhver bedrift.
  • DDoS-angrep (Distributed Denial of Service).- Angrep DoS Og DDoS oppstår når en angriper sender ekstremt store mengder tilfeldige meldinger til én eller flere VoIP-enheter fra én eller flere lokasjoner (henholdsvis DoS og DDoS). Et multi-site angrep brukes ved hjelp av «zombier» – kompromitterte servere og arbeidsstasjoner som automatisk sender ondsinnede forespørsler i henhold til angriperens behov. Et slikt angrep anses som vellykket når antallet forespørsler overskrider prosessorkraften til objektet, noe som resulterer i en tjenestenekt for sluttbrukere.

VoIP-systemer er spesielt sårbare for slike angrep fordi de er høyt prioritert i QoS-teknologi og krever mindre trafikk for å forstyrre enn konvensjonelle datanettverk. Et eksempel på et DoS-angrep mot et VoIP-nettverk er et multiple call set-up eller avbryt signaleringsangrep, som også kalles et SIP CANCEL DoS-angrep.


  • CID-spoofing– Én type pakkeforfalskningsangrep er basert på manipulering av anrops-ID (anrops-ID eller CID), som brukes til å identifisere den som ringer før han svarer. En angriper kan erstatte denne identifikatoren med en tekststreng eller et telefonnummer og kan brukes til å utføre ulike handlinger som skader nettverket eller eieren av bedriften. I tillegg, i VoIP-nettverk er det ingen måte å skjule denne identifikatoren, siden telefonnumre er inkludert i pakkehodene i SIP-protokollen. Dette lar en angriper med en pakkesniffer som tcpdump finne ut telefonnumre selv om de er satt til "private" av tjenesteleverandøren.
  • Konklusjon- Bruken av IP-telefoni gir en enorm mengde fordeler for enhver organisasjon - VoIP-baserte løsninger er mer skalerbare, enkle å integrere og kostnadene er lavere enn klassiske løsninger. Imidlertid må enhver organisasjon som implementerer en VoIP-løsning være klar over mulige trusler og gjøre alt for å øke graden av informasjonssikkerhet i nettverket. Bare noen få angrepsmetoder er listet opp, men det må forstås at kombinasjoner av angrep ofte brukes og nye angrep utvikles nesten daglig. Men det er allerede nå klart at denne teknologien er fremtiden, og det er usannsynlig at den vil vike for en annen teknologi i overskuelig fremtid.

Kurskode BT19, 2 dager

Status

merknad

Kurset er viet komplekse problemstillinger innen sikkerhetsanalyse og sikkerhet for IP-telefoni (Voice over IP (VoIP) - et kommunikasjonssystem som gir talesignaloverføring over Internett eller andre IP-nettverk) Moderne tilnærminger for å bygge en IP-telefoniinfrastruktur er vurderes i detalj, og dets beskyttelse, sårbarheter og angrep på komponentene. Spesiell oppmerksomhet rettes mot overvåkingssystemer og metodikk for å analysere sikkerheten til VoIP-nettverket.

Mer enn 50 % av studietiden er viet til praktisk arbeid med sikkerhetsanalyse og konfigurering av VoIP-komponenter i samsvar med sikkerhetskravene til både små organisasjoner og bedrifter med utviklet filialnettverk og geografisk distribuerte brukere.

Kurset bruker materialer og anbefalinger fra slike kompetente internasjonale organisasjoner innen informasjonssikkerhet som European Telecommunications Standards Institute (ETSI), International Telecommunication Union (ITU), Voice over IP Security Alliance (VOIPSA) og en rekke andre.

Teknologien for server- og arbeidsplassvirtualisering som brukes i løpet av opplæringen, lar hver spesialist individuelt utføre praktisk arbeid i et individuelt VoIP-nettverk. Det kollektive arbeidet til spesialister utføres ved bruk av programvare og programvare-hardware-telefoner.

Publikum:

  • System- og nettverksadministratorer som er ansvarlige for drift av VoIP-applikasjoner
  • Informasjonssikkerhetsadministratorer
  • Datasikkerhetseksperter og analytikere med ansvar for å analysere tilstanden til informasjonssikkerhet, fastsette krav til sikkerheten til nettverksressurser og beskyttelse mot lekkasje av konfidensiell informasjon gjennom tekniske kanaler.

Foreløpig forberedelse

  • Grunnleggende kunnskap om IP-nettverk, grunnleggende protokoller og tjenester i TCP/IP-stakken
  • Arbeidskunnskap om Windows 2003/2008 og Linux

Du kan teste kunnskapen din om TCP/IP-stabelprotokollene ved å be om en selvtest fra læringssenteret.

  • BT05 " "
  • BT03 " "

Ved eksamen

Du vil få kunnskap:

  • om moderne mekanismer og midler for å beskytte VoIP-nettverk
  • om sårbarheter i VoIP-protokoller og tjenester: SIP, H.323, RTP
  • om bruk av sikre protokoller TLS, SRTP

Du kan:

  • bruke nettverksanalysatorer for å overvåke trafikk
  • analysere sikkerheten til VoIP-nettverk
  • sikre sikker drift av IP-telefoni og konferanser

Lytterpakke

  • Merket studieguide
  • Versjoner av de viktigste beskyttelsesmidlene som vurderes i kurset, tilleggs- og referanseinformasjon om emnet for kurset i elektronisk form

I tillegg

Etter å ha bestått testen, mottar nyutdannede opplæringsbevis fra Informzaschita Training Center.

Nyutdannede ved Opplæringssenteret kan motta gratis konsultasjoner fra senterets spesialister som en del av kurset.

Kursprogram

  • Grunnleggende konsepter og definisjoner av VoIP. Terminologi. VoIP-arkitekturer og deres komponenter. Kvaliteten på overføringen av taleinformasjon. Kodeker.
  • Grunnleggende VoIP-protokoller. Arkitektur. Analyse av VoIP-protokoller. Wireshark nettverksanalysator.
  • Sårbarheter og angrep på VoIP. Klassifisering av IP-telefoni sårbarheter.
  • VoIP-nettverksbeholdning. Inventar over VoIP-applikasjoner. Brukerbeholdning.
  • Avlytting av VoIP-trafikk. Ruting brudd. Angrip "mann i midten".
  • Manipulering i VoIP-systemer. Slett abonnentregistrering. Uautorisert registrering. Avlytting av registrering.
  • Angrep på RTP (Real-Time Protocol) trafikkoverføringsprotokoll. Blanding av talesignaler.
  • Spam i VoIP-nettverk. Organiser spam med Asterisk.
  • Sikkerhetsmekanismer for IP-telefoni. Nivåer av informasjonsinfrastruktur i et bedriftsnettverk. Begrepet forsvar i dybden. Oversikt over mekanismer og midler for å beskytte nettverk.
  • Planlegging av en sikker nettverksinfrastruktur for IP-telefoni. Velge plasseringen av VoIP-serveren i nettverket. Sikre nettverkssikkerheten til VoIP-serveren. Brannmurkonfigurasjon. Bruk av inntrengningsdeteksjonssystemer. Sette opp nettverksutstyr.
  • VoIP-sikkerhetsanalyse. Metodikk. Sikkerhetsanalysesystemer. Klassifiseringsalternativer. Arkitektur og prinsipper for drift av skannere. SiVuS-program (SIP Vulnerability Scanner).
  • Kryptografisk beskyttelse i VoIP-nettverk. Kryptografiske metoder for informasjonsbeskyttelse. Privat virtuelt nettverk. Generelle prinsipper for å bygge en VPN. Nøkkelledelse. Offentlig nøkkelinfrastrukturmodell. X.509 offentlig nøkkel sertifikatformat. Bruk av TLS (Transport Layer Security), SRTP (Secure Real-time Transport Protocol). Setter opp Asterisk
  • Maskinvare-programvare krypteringskompleks "Kontinent". Opprettelse av VPN basert på APKSh "Kontinent". Anvendelse av APKSh "Continent" for VoIP-beskyttelse.
  • kontorkommunikasjonsserver. Arkitektur. Brukssaker. Installere og konfigurere Office Communication Server.

Endelig plassering

Problemet med å sikre sikkerheten til moderne informasjonsteknologi (inkludert IP-telefoni) er nå i sentrum av oppmerksomheten til mange - og dette gjelder spesielt for alle kommersielle strukturer. Ingen ønsker å møte nye trusler og risikoer etter å ha implementert en nymotens IT-løsning designet for å optimalisere en bedrifts forretningsprosesser. Derfor er informasjonssikkerhet nå i forkant ved valg av nye IT-systemer – spesielt ved overgang til IP-telefoni.

Løse sikkerhetsproblemet - en integrert tilnærming

Det finnes ingen enhetlig sikkerhetsløsning for IP-telefoni, men denne oppgaven bør være en del av din overordnede sikkerhetsstrategi. VoIP-teknologi er en applikasjon som kjører på et IP-nettverk der riktige sikkerhetsteknikker må implementeres, dvs. du må forstå tydelig: jo høyere sikkerheten til nettverket ditt som helhet, desto vanskeligere vil det være for en angriper å organisere avlytting, et tjenestenektangrep (DoS), "hack" operativsystemet eller applikasjonen av VoIP-systemet . Og Intercomputer Systems-spesialister er klare til å hjelpe deg!

Spekteret av trusler om IP-telefoni

De vanligste truslene som IP-nettverk utsettes for er:

  • registrering av andres terminal, slik at du kan ringe på andres regning;
  • endring av abonnent;
  • å gjøre endringer i tale- eller signaltrafikk;
  • reduksjon i kvaliteten på taletrafikk;
  • omdirigering av tale- eller signaltrafikk;
  • avlytting av tale- eller signaltrafikk;
  • falske talemeldinger;
  • avslutning av kommunikasjonsøkten;
  • tjenestenekt;
  • ekstern uautorisert tilgang til IP-telefoniinfrastrukturkomponenter;
  • uautorisert programvareoppdatering på IP-telefonen (for eksempel for å injisere en trojaner eller spyware);
  • hacking av faktureringssystemet (for operatørtelefoni).

Og dette er ikke hele listen over mulige problemer knyttet til bruk av IP-telefoni. Så - med alle fordelene med IP-telefoni - må du umiddelbart vurdere spørsmålet om å organisere et beskyttelsessystem for nettverkene dine, som lar deg fullt ut bruke fordelene ved overgangen til VoIP-teknologier.

Arkitekturen til IP-telefoni inkluderer flere grunnleggende strukturelle elementer, som hver kan bli angrepet av inntrengere. Derfor er det nødvendig med en integrert tilnærming når du skal implementere oppgaven med å sikre maksimalt nivå av bedriftstelefonisikkerhet. Selskapets spesialister "Interdatamatsystemer" vil hjelpe deg med å forhindre informasjonslekkasjer og gi omfattende beskyttelse av IP-telefoni-infrastrukturen. Og ikke bare fra trusler om skadelig programvare (introduksjon og spredning av ormer, virus, trojanere og andre typer skadelig programvare), men også fra å lytte og avskjære informasjon.

Som en "første forsvarslinje" tilbyr vi: systemer for å oppdage og forhindre angrep, hvis prinsipp er å begrense tilgangen til infrastrukturen til IP-telefoni og regelmessig overvåke systemet. Vi anbefaler også å bruke standard antivirus og brannmurer.

Bruken av disse teknologiene gir muligheter for:

  • filtrering av trafikkstyring ved etablering av IP-telefonforbindelser;
  • overføring av administrasjonstrafikk gjennom NAT og nettverkstunneler;
  • TCP-avskjæring, som gir sjekker for å lukke TCP-økter, som lar deg forsvare deg mot en rekke tjenestenektangrep (DoS).

Forebygging av DoS-angrep

Vanlige DoS-angrep blokkeres vellykket på IP-telefoniarkitekturnivå av:

  • dele bedriftsnettverket inn i ikke-kryssende segmenter av tale- og dataoverføring, noe som forhindrer vanlige angrep, inkludert DoS, fra å vises i "stemme"-delen;
  • installasjon av spesielle tilgangskontrollregler på rutere og brannmurer som beskytter omkretsen av bedriftsnettverket og dets individuelle segmenter;
  • implementering av et system for å forhindre angrep på noder;
  • implementering av spesialiserte beskyttelsessystemer mot DoS- og DDoS-angrep;
  • bruk av spesielle innstillinger på nettverksutstyr som hindrer adresseforfalskning, som ofte brukes i DoS-angrep, og begrenser båndbredden, noe som forhindrer at de angrepne ressursene blir deaktivert av en stor strøm av ubrukelig trafikk.

"andre forsvarslinje"- beskyttelse gjennom bruk av krypteringsprotokoller og organisering av sikkerhetstiltak for bruk av IP-nettverkssystemenheter (fra serveren til selve IP-telefonene).

Det er den spesialiserte konfigurasjonen av IP-systemsikkerhetspolicyer, autorisasjon og tilgangsrettigheter for interne abonnenter, som setter begrensninger på driftsfunksjonaliteten til systemet som vil tjene som et av de mest effektive initiativene for å optimalisere sikkerhetsnivået og driften av et bedrifts IP-system . Risikoen forbundet med trusselen om uautorisert inntrenging av en inntrenger i IP-telefoniadministrasjonssystemet kan også praktisk talt reduseres til null. Siden IP-telefoniinfrastrukturen i seg selv er et ganske forgrenet system, må konfigurasjonen av IP-telefoner og deres interaksjon med administrasjonsserveren utføres via en kanal som er beskyttet mot uautorisert tilgang, som forhindrer forsøk på å lese eller endre kontrollkommandoer. Ulike protokoller kan brukes for å sikre kontrollkanalen - IPSec, SSL, TLS, etc.

Trafikkkryptering

Dette er en av de viktigste sikkerhetskomponentene i IP-telefoni. De fleste eksisterende VoIP-løsninger støtter ennå ikke kryptografisk kryptering. En sikker telefonforbindelse er imidlertid mye enklere å implementere med VoIP-teknologi enn med tradisjonelle telefonlinjer. I mangel av kryptering er det relativt enkelt å installere å lytte til VoIP-anrop (dette kan gjøres ved hjelp av en trafikkanalysator), og med noen triks, til og med endre innholdet. Løsningen på dette problemet er trafikkkryptering og bruk av spesielle protokoller. Takket være kryptering vil all data som transporteres gjennom IP-nettverket ha unike krypteringskoder som kun den endelige mottakeren kan «lese» – selv om informasjonen blir fanget opp av inntrengere, vil de ikke kunne bruke den uten en dekodingsnøkkel.

IP-telefoni og bruk av VoIP-systemet er ganske trygt - oppfyller behovene og kravene til moderne virksomhet, med en kompetent tilnærming til å sette opp systemet og konfigurere det fra nettverksbeskyttelsesposisjonen, øker VoIP konkurranseevnen betydelig. selskapet, bidrar til rasjonell bruk av ressurser og øker mobiliteten og produktiviteten til ansatte. Samtidig må du huske: de mest effektive sikkerhetstiltakene kan være når de dekker alle nivåer av nettverksinfrastrukturen.

Spesialistene til selskapet vårt vil hjelpe deg med å sikre sikkerheten til din IP-telefoniinfrastruktur!

For referanse:

Det er viktig å huske at angrep fra inntrengere (avlytting, abonnentforfalskning, uautorisert inntreden i systemet, informasjonsavlytting, linjeoverbelastning) gjelder både tradisjonell telefoni og IP-telefoni. Problemet er at det å oppdage, lokalisere og forhindre trusler i et IP-telefonisystem er en mye enklere og rimeligere oppgave. Samtidig er kostnadene for IP-telefoni betydelig lavere enn for analog telefoni. Utfordringen er å implementere og konfigurere et IP-system på riktig måte og sikre at det kjører problemfritt med minimal risikoeksponering.

Sikkerheten til IP-telefoniløsninger, på grunn av deres økende popularitet og etterspørsel, er en avgjørende faktor for å bygge en IP-telekommunikasjonsinfrastruktur, og krever spesiell oppmerksomhet - akkurat som standardfaktorer som prisen på selve utstyret, ytelse, funksjonalitet osv.

Noen spørsmål? Ta kontakt med oss ​​for råd og detaljert informasjon om mulighetene for å organisere beskyttelsen av IP-telefoni!

I dag blir problemene med informasjonssikkerhet i verden stadig viktigere. I media kan du ofte snuble over nyheter om nok et vellykket hackerangrep, en stor lekkasje av kritiske data eller et annet løsepengevirus som forstyrrer arbeidet til hele selskaper. Selv om du er en person langt unna informasjonssikkerhet og informasjonsteknologiens verden, så har du sannsynligvis hørt om WannaCry-viruset, Spectre og Meltdown-sårbarhetene, og kanskje til og med om det nylige angrepet på Cisco-enheter som rammet store leverandører og lammet mange tjenester og nettverkssegmenter.

Nyheter om angrep og sårbarheter av massiv karakter, rettet mot de vanligste infrastruktursystemene, blir imidlertid vanligvis mye publisert. Vi ønsker å snakke om hvordan situasjonen med informasjonssikkerhet er på et eget område – IP-telefoni og VoIP-løsninger. La oss analysere de viktigste problemene og trendene i utviklingen av dette området.

Informasjonssikkerhetsproblemer i VoIP

Hvis kundene tidligere, når de valgte hva de skulle bygge kontortelefoni på, var mest bekymret for kostnads- og pålitelighetsproblemer, så begynner beskyttelses- og sikkerhetsproblemer i økende grad å råde i dagens situasjon. Selv om IP-telefoni har mange fordeler fremfor tradisjonelle telefonisystemer, er det mye lettere å hacke. Når det gjelder et tradisjonelt PSTN-system, må en angriper få fysisk tilgang til overføringsmediet eller systemene som er involvert i utvekslingen av taleinformasjon. IP-telefoni er først og fremst et nettverk med pakkesvitsjing, som overføres sammen med andre bedriftstjenester - Internett, post og andre. Hvis dette nettverket ikke er sikkert nok, trenger ikke en angriper engang å være i samme land som IP-telefonisystemet for å få tilgang til kritiske data, stjele dem eller endre dem.

Det er derfor det er nødvendig å gi flernivåbeskyttelse av bedriftens IP-telefonisystemer. Det er ikke nok bare å angi et sterkt passord til administrasjonsgrensesnittet. Dette bør være et klart sett med spesifikke tiltak som brukes i kombinasjon – brannmur, antivirusbeskyttelse, regelmessige programvareoppdateringer, kryptering av overførte data og mer.

Separat bør oppmerksomhet rettes mot å øke bevisstheten til dine ansatte om angrep fra kategorien sosial ingeniørkunst. Phishing er en av de vanligste angrepsvektorene av denne typen i dag. Dens essens ligger i det faktum at en angriper sender ut "lykkebrev" med ondsinnede vedlegg, i håp om at en person vil åpne dette vedlegget og dermed laste ned skadelig programvare til datamaskinen sin. Du kan beskytte deg mot slike angrep på flere nivåer samtidig:

  1. En brannmur der adressen til avsenderen av phishing-e-poster må blokkeres. Du kan automatisere prosessen med å få en oppdatert liste over aktive avsenderadresser som skal blokkeres ved ITU ved å bruke Threat Intelligence-løsninger. Det finnes både betalte løsninger fra selskaper som Anomali, ThreatConnect eller EclecticIQ, samt OpenSource som YETI og MISP.
  2. En e-postserverbeskyttelsesløsning som sjekker alle e-poster for mistenkelige vedlegg, avsenderadresser og blokkerer spam. Eksempler på slike løsninger er Kaspersky Security for Mail Servers, AVG Email Server Edition for ME, McAfee Security for Email Servers. Forresten, i dette tilfellet er det også mulig å automatisere blokkeringsprosessen ved hjelp av TI-løsninger.
  3. Endepunkt-antivirusprogramvare som vil blokkere et farlig vedlegg hvis skadevaren fortsatt klarer å komme seg gjennom ITU og e-postserveren. Til dette er Kaspersky Endpoint Security, Norton, Trend Micro og andre egnet.

Men hvis phishing kan beskyttes ved hjelp av spesialisert programvare og maskinvareløsninger, er følgende typer angrep basert på sosial ingeniørkunst mye vanskeligere å forsvare seg mot. Du har kanskje ikke visst det, men i tillegg til den tradisjonelle e-posten "phishing", er det også en telefon. For eksempel kan en ansatt i bedriften din motta en talepostmelding fra en "bank" om at noen prøvde å få tilgang til kontoen hans og at han snarest må ringe tilbake nummeret han la igjen. Det er ikke vanskelig å gjette at i den andre enden av tråden vil en angriper vente på ham, som vil prøve å gjøre alt for å innynde seg, stjele kontodataene hans, for til slutt å stjele penger.

Det er også telefonvishing. Denne typen angrep er rettet mot den første linjen med ansatte som mottar alle innkommende anrop i din bedrift. Det generelle nummeret mottar et anrop fra en kjent organisasjon eller person, og deretter, ved hjelp av metodene for psykologisk press, blir den godtroende ansatte tvunget til å gjøre noe. I beste fall vil den som ringer offensivt kreve å bli koblet til selskapets ledelse for å tilby noen tjenester, i verste fall for å gi ut konfidensiell eller kritisk informasjon. Men hva om en angriper finner ut hvilken bank bedriften din betjenes av og ringer regnskapsføreren på vegne av "din bank"? Du må også være forberedt på dette.

Det ville være mulig å forsvare seg mot denne typen angrep ved å bruke en eller annen analog av Threat Intelligence for VoIP - en liste over telefonnumre som "phishing" og "vishing"-anrop mottas fra for å blokkere dem på PBX. Imidlertid er det ingen slik løsning ennå, så du må utdanne ansatte om temaet sikkerhet.

Skysikkerhet

Nå er det allerede vanskelig å angi klare grenser for kontornettverket. Med spredningen av skyløsninger, distribuerte VPN-er og universell virtualisering, har bedriftsnettverket allerede sluttet å ha en klar geografisk referanse.

Det samme gjelder for VoIP. Hver større leverandør av IP-telefoni har en sky-PBX i sitt sett med tjenester, som konfigureres i løpet av få minutter og er i stand til å tilby telefoni til et selskap uansett størrelse og uansett hvor det er geografisk lokalisert. En sky eller virtuell PBX er en veldig praktisk løsning som tiltrekker kunder ved å slippe å ha ekstra servere i bygningen og vedlikeholde dem. I stedet kan du ganske enkelt leie nødvendig serverkapasitet eller telefonitjeneste. Fra et informasjonssikkerhetssynspunkt er sky-PBX-er imidlertid et ideelt mål for hackerangrep. Fordi kontoer for tilgang til PBX-innstillinger som regel er i det offentlige domene. Hvis kontoeieren ikke gidder å lage et sterkt passord, risikerer han å betale en ganske stor regning for angriperens telefonsamtaler eller gi tilgang til opptakene av hans ansattes samtaler. I denne forbindelse, når du velger en leverandør, bør du også sjekke om den gir ytterligere tiltak for å beskytte integriteten og konfidensialiteten til data. Kryptering brukes når du kobler til en konto med cloud PBX-innstillinger, enten data krypteres under transport.

Trender i utviklingen av informasjonssikkerhet i VoIP

Den vanligste metoden for å beskytte bedriftens infrastruktur er organiseringen av et sikkert VPN-nettverk, når tilkoblingen fra utsiden utføres over en kryptert kanal, og dataene i nettverket overføres ukryptert. Dette gjelder også taletrafikk. Utviklingstrender for informasjonsteknologi tyder imidlertid på at taleinformasjon også vil bli kryptert i nær fremtid. De fleste VoIP-leverandører har lenge implementert støtte for protokoller som SIP/TLS, SRTP, ZRTP, etc. i sine løsninger, og oppmuntret brukere til å bruke et nytt lag med beskyttelse. For eksempel støtter de fleste IP-telefoner og videokonferanseløsninger fra Cisco, samt CUCM, CUBE, Cisco SBC, UCCS og andre TLS 1.2 og SRTP. Den vanligste Open Source IP-PBX-løsningen Asterisk har støtte for sikre medietrafikkoverføringsprotokoller siden versjon 1.8. I programvaren Windows-basert PBX 3CX versjon V15 er SRTP-støtte aktivert som standard.

VoIP-løsninger er ofte svært tett integrert med andre bedriftssystemer som CRM, ERP, CMS, for ikke å snakke om slike som e-post, direktemeldinger (chat) og sosiale nettverk, og danner sammen konseptet UC (Unified Communications). De potensielle fordelene som dette konseptet gir er svært attraktive, men samtidig skaper det mange punkter som er sårbare for mulig hacking. Et utilstrekkelig beskyttelsesnivå for en av dem kan være en trussel mot hele bedriftsnettverket. Derfor vil utviklere utvilsomt styrke sikkerheten til kanalene for å integrere disse systemene.

Vi kan også forvente integrering av bedriftstelefonisystemer i slike beskyttelsesverktøy som DLP (midler for beskyttelse mot lekkasjer), tilpasning av VoIP-målinger i SIEM-systemer (sikkerhetsinformasjon og hendelsesstyringssystem), samt fremveksten av enhetlige omdømmedatabaser (Threat Intelligence) med lister over potensielt farlige numre eller andre indikatorer på kompromiss relatert til VoIP, som automatisk vil bli blokkert av eksisterende beskyttelser.

Er denne artikkelen nyttig for deg?

Vennligst fortell meg hvorfor?

Vi beklager at artikkelen ikke var nyttig for deg: (Vennligst, hvis det ikke er vanskelig, angi av hvilken grunn? Vi vil være veldig takknemlige for et detaljert svar. Takk for at du hjelper oss med å bli bedre!



© Copyright 2017, https://qzoreteam.ru