securitatea telefoniei IP. Metode de protecție a informațiilor criptografice. Design slab al rețelei

S-au dus vremurile în care operatorii se fereau de utilizarea telefoniei IP, considerând că nivelul de securitate al unor astfel de rețele este scăzut. Astăzi putem deja spune că telefonia IP a devenit un fel de standard de facto în comunicațiile telefonice. Acest lucru se explică prin comoditatea, fiabilitatea și costul relativ scăzut al telefoniei IP în comparație cu comunicațiile analogice. Se poate argumenta că telefonia IP mărește eficiența afacerii și permite operațiuni care nu erau disponibile anterior, cum ar fi integrarea cu diverse aplicații de afaceri.

Dacă vorbim despre deficiențele și vulnerabilitățile telefoniei IP, în primul rând ar trebui să remarcăm aceleași „boli” de care suferă și alte servicii care folosesc protocolul IP. Aceasta este susceptibilitatea la viermi și viruși, atacuri DoS, neautorizate acces de la distanță etc.În ciuda faptului că la construirea unei infrastructuri de telefonie IP acest serviciu de obicei separate de segmentele de rețea în care circulă date non-voice, aceasta nu este o garanție a securității. Astăzi, un număr mare de companii integrează telefonia IP cu alte aplicații, de ex. prin e-mail. Pe de o parte, acest lucru creează avantaje suplimentare, dar, pe de altă parte, noi vulnerabilități. În plus, funcționarea unei rețele de telefonie IP necesită un număr mare de componente, precum servere suport, switch-uri, routere, firewall-uri, telefoane IP etc. În același timp, sistemele de operare nespecializate sunt adesea folosite pentru a susține funcționarea. a unei rețele IP. De exemplu, majoritatea PBX-urilor IP sunt construite pe sisteme de operare comune și binecunoscute (Windows sau Linux), care au, teoretic, toate vulnerabilitățile caracteristice acestor sisteme.

Unele IP PBX folosesc DBMS și servere web care au propriile vulnerabilități. Și deși pentru un sistem de operare universal sau o stivă de protocoale puteți folosi instrumente de securitate binecunoscute - antivirusuri, firewall-uri personale, sisteme de prevenire a atacurilor etc., lipsa unor astfel de instrumente „personalizate” pentru lucrul cu aplicațiile de telefonie IP poate afecta negativ nivelul de securitate.

Printre principalele amenințări la care IP reteaua telefonica, putem evidenția:

înregistrarea terminalului altcuiva, permițându-vă să efectuați apeluri pe cheltuiala altcuiva;
înlocuirea abonaților;
efectuarea de modificări ale traficului de voce sau semnalizare;
reducerea calității traficului vocal;
redirecționarea traficului de voce sau semnalizare;
interceptarea traficului de voce sau semnalizare;
falsificarea mesajelor vocale;
încheierea unei sesiuni de comunicare;
refuzul serviciului;
la distanta acces neautorizat la componentele infrastructurii de telefonie IP;
actualizare software neautorizată pe un telefon IP (de exemplu, în scopul introducerii unui troian sau spyware);
piratarea sistemului de facturare (pentru telefonia operatorului).

Aceasta nu este o listă completă a posibilelor probleme asociate cu utilizarea telefoniei IP. Alianță pentru Securitate VoIP(VOIPSA) a elaborat un document care descrie o gamă largă de amenințări de telefonie IP, care, pe lângă amenințările tehnice, include și extorcare prin telefonie IP, spam etc.

Și totuși, principalul punct slab al telefoniei IP este factorul uman enervant. Problema securității la implementarea unei rețele de telefonie IP este adesea retrogradată în plan secund, iar alegerea soluției se face fără participarea specialiștilor în securitate. În plus, specialiștii nu configurează întotdeauna soluția corect, chiar dacă aceasta conține mecanismele de protecție adecvate, sau achiziționează instrumente de protecție care nu sunt destinate prelucrare eficientă trafic vocal (de exemplu, firewall-urile pot să nu înțeleagă protocolul de semnalizare proprietar utilizat în soluția de telefonie IP). În cele din urmă, organizația este forțată să cheltuiască resurse financiare și umane suplimentare pentru a proteja soluția implementată sau pentru a accepta nesiguranța acesteia.

Ce să construiești?

Nu va fi o revelație că, cu cât o rețea de telefonie IP este mai sigură, cu atât este mai puțin probabil să fie piratată și abuzată într-o astfel de rețea. Va suna banal, dar este necesar să ne gândim la asigurarea securității deja în stadiul de pregătire a unui proiect de telefonie IP și tocmai în această etapă este necesar să cădem de acord asupra mecanismelor de securitate mai potrivite de utilizat în rețea. Va fi un set de mecanisme încorporate? Sau poate particularitățile funcționării acestei rețele IP sunt de așa natură încât sunt necesare mijloace de protecție suplimentare și „suplimentare”?

Din punct de vedere al gestionabilității și performanței, cea mai preferată arhitectură de telefonie IP pare să fie una în care toate componentele de securitate sunt încorporate în elementele rețelei în sine. Dacă luăm în considerare o rețea de telefonie IP fără utilizarea fonduri suplimentare protecție, apoi prin utilizarea mecanismelor de securitate încorporate în comutatoarele de rețea, este posibil să se obțină o protecție relativ puternică împotriva atacurilor pe perimetru. Funcționalitatea încorporată vă permite să:

capacitatea de a crea rețele locale virtuale (VLAN-uri) folosind capabilitățile încorporate ale comutatoarelor;
utilizarea mecanismelor de filtrare și control al accesului încorporate;
limitarea și reprezentarea lățimii de bandă garantate, care vă permite să suprimați eficient atacurile DoS;
limitarea numărului de dispozitive cu adrese MAC diferite conectate la un port;
prevenirea atacurilor asupra consumului pool-ului de adrese de serviciu DHCP;
prevenirea înfundarii mesei ARP și furtul de adrese;
prevenirea atacurilor de la adrese anonime;
utilizarea listelor de control al accesului care limitează adresele gazdelor care pot transmite date către telefoanele IP.

În plus, un sistem de control al apelurilor încorporat în arhitectura rețelei IP, care se poate conecta la o rețea locală specială dedicată, izolată de retea de lucru organizație, reprezintă o „frontieră” suplimentară în protecție. Dezavantajele includ faptul că funcțiile de protecție încorporate în echipamentele de rețea nu oferă întotdeauna nivelul adecvat de securitate și pot fi necesare investiții suplimentare în modernizarea echipamentului pentru a-l crește.

În ciuda utilizării subiacente a protocolului IP, telefonia IP nu poate fi întotdeauna protejată în mod adecvat prin soluții tradiționale. Acest lucru se datorează faptului că nu iau în considerare specificul acestuia - transmiterea traficului în timp real, controlul calității și traficul pe nivelul de aplicare etc. În mod ideal, aplicațiile de telefonie IP și securitatea lor sunt indisolubil legate și integrate într-o singură platformă, care include infrastructura de rețea. Acest lucru vă permite să creșteți eficacitatea protecției și să reduceți costurile acesteia. În caz contrar, trebuie să construiți patru infrastructuri independente sau practic care nu se suprapun: LAN, rețea de telefonie IP, securitate LAN și infrastructură de securitate pentru telefonie IP.

Utilizarea firewall-urilor specializate crește semnificativ securitatea unei rețele de telefonie IP, de exemplu, prin filtrarea traficului în funcție de starea conexiunii ( inspecție de stat), care permite trecerea numai a traficului necesar și a conexiunilor stabilite într-o anumită direcție (de la server la client sau invers). În plus, firewall-ul oferă posibilitatea de a:

filtrarea traficului pentru gestionarea instalării conexiunilor telefonice IP;
transmiterea traficului de management prin NAT și tuneluri de rețea;
Interceptarea TCP, care asigură că sesiunile TCP sunt închise, permițând protecție împotriva unei game de atacuri de tip denial of service (DoS).

Când proiectați o rețea care se așteaptă să utilizeze măsuri de securitate suplimentare, cum ar fi un sistem de detectare sau prevenire a atacurilor, ar trebui să Atentie speciala acordați atenție alegerii producătorului unor astfel de instrumente, deoarece problema gestionării unei rețele IP eterogene nu poate fi întotdeauna rezolvată eficient și rapid și necesită aproape întotdeauna investiții suplimentare serioase.

Este de preferat să alegeți producătorul al cărui echipament operează deja rețeaua, deoarece suportul și gestionarea dispozitivelor pot fi efectuate în acest caz central și la costuri mai mici.

Protecție împotriva interceptării

Rețelele LAN virtuale reduc riscul de interceptare într-o anumită măsură convorbiri telefonice, cu toate acestea, dacă pachetele de vorbire sunt interceptate de analizor, restabilirea înregistrării conversației nu este o sarcină dificilă pentru un specialist. În principal, VLAN-urile pot oferi protecție împotriva intruziunilor externe, dar este posibil să nu fie capabile să protejeze împotriva unui atac inițiat din interiorul rețelei. O persoană din perimetrul rețelei poate conecta un computer direct la o priză de perete, îl poate configura ca parte a rețelei LAN virtuale a sistemului de telefonie IP și poate lansa un atac.

Cea mai avansată modalitate de a contracara astfel de manipulări este utilizarea telefoanelor IP cu criptare încorporată. În plus, criptarea traficului dintre telefoane și gateway-uri oferă securitate suplimentară. Astăzi, aproape toți producătorii, precum Avaya, Nortel și Cisco, oferă criptare încorporată pentru fluxurile de informații și semnalizare. Criptarea traficului este soluția cea mai logică pentru a proteja împotriva interceptării cablurilor, dar această funcționalitate aduce cu sine și o serie de dificultăți care trebuie luate în considerare la construirea comunicațiilor securizate. Problema principală poate fi latența adăugată de procesul de criptare și decriptare a traficului. Când lucrați într-o rețea locală problema asemanatoare, de regulă, nu se face simțit, dar atunci când comunică printr-o rețea distribuită geografic, poate provoca neplăceri. În plus, criptarea semnalizării care are loc la nivelul aplicației poate face dificilă funcționarea paravanelor de protecție. Când utilizați criptarea fluxului, întârzierile sunt mult mai mici decât atunci când utilizați cifrurile bloc, deși nu va fi posibil să scăpați complet de ele. O soluție la problemă ar putea fi algoritmi mai rapizi sau activarea Mecanismele QoS la modulul de criptare.

QoS

Este general acceptat că scopul principal al mecanismelor QoS ( Calitatea serviciului) — asigurarea calității corespunzătoare a comunicării. Dar nu trebuie să uităm că acestea joacă și un rol vital în rezolvarea problemelor de securitate. Vocea și datele de la VLAN-uri separate logic împărtășesc o lățime de bandă fizică comună. Când o gazdă este infectată cu un virus sau vierme, rețeaua poate deveni inundată de trafic. Cu toate acestea, dacă sunt utilizate mecanisme QoS configurate corespunzător, traficul de telefonie IP va avea în continuare prioritate atunci când trece prin legăturile fizice partajate, iar atacul DoS nu va avea succes.

Protecție împotriva falsificării telefoanelor și a serverelor de control

Multe elemente de telefonie IP au o adresare dinamică, ceea ce permite atacatorilor să utilizeze acest lucru în propriile scopuri. Aceștia pot uzurpa identitatea unui telefon IP, server de gestionare a apelurilor etc. Pentru a vă proteja împotriva dispozitivelor care încearcă să se prefacă drept telefoane IP autorizate sau conexiuni neautorizate la infrastructura de rețea, puteți utiliza regulile de control al accesului pe routere și firewall-uri. În plus, pot fi utile mijloace de autentificare puternică a tuturor abonaților infrastructurii de telefonie IP. Pentru autentificarea abonaților pot fi utilizate diverse protocoale standardizate, inclusiv certificate RADIUS, PKI x.509 etc.

Protecție împotriva atacurilor DoS

Atacurile de tip Denial of Service asupra aplicațiilor de telefonie IP (cum ar fi serverele de apeluri) și mediilor de transmisie a datelor reprezintă o problemă serioasă. Dacă vorbim de atacuri asupra mediului de transmisie a datelor, observăm că protocolul RTP este de obicei responsabil pentru transmiterea datelor în telefonia IP ( Protocol în timp real). Este vulnerabil la orice atac care supraîncărcă rețeaua cu pachete sau încetinește procesarea pachetelor de către dispozitivul final (telefon sau gateway). În consecință, este suficient ca un atacator să „înfunda” rețeaua cu un număr mare de pachete RTP sau pachete cu o prioritate ridicată de serviciu, care vor concura cu pachetele RTP legitime. În acest caz, pentru protecție, puteți utiliza atât mecanismele de securitate a informațiilor încorporate în echipamentul de rețea, cât și soluții suplimentare:

separare rețeaua corporativă la segmente care nu se suprapun de transmisie de voce și date, ceea ce previne atacurile comune, inclusiv DoS, să apară în secțiunea „voce”;
reguli speciale de control al accesului pe routere și firewall-uri care protejează perimetrul rețelei corporative și segmentele sale individuale;
sistem de prevenire a atacurilor pe serverul de control al apelurilor și PC cu aplicații vocale;
sisteme specializate de protecție împotriva atacurilor DoS și DDoS;
setări speciale pe echipamentele de rețea care împiedică falsificarea adreselor și limitează lățimea de bandă, prevenind deteriorarea resurselor atacate de un flux mare de trafic inutil.

Protecția telefonului IP

Telefoanele IP conțin o serie de setări speciale care împiedică accesul neautorizat la ele. Astfel de setări includ, de exemplu, accesul la funcțiile telefonului numai după prezentarea unui identificator și a unei parole sau interzicerea schimbare locală setări, etc. Pentru a preveni încărcarea software-ului modificat neautorizat și a fișierelor de configurare pe telefonul IP, integritatea acestora poate fi controlată printr-o semnătură digitală și certificate X.509.

Protecție împotriva fraudei în rețeaua de telefonie IP

Printre principalele tipuri de fraudă întâlnite în rețeaua de telefonie IP se numără furtul de servicii, frauda prin apeluri, refuzul plății și alte tipuri. Vă puteți proteja de fraudă în rețelele de telefonie IP utilizând capacitățile serverului de management al infrastructurii IT. Astfel, pentru fiecare abonat poți bloca apelurile către anumite grupuri de numere; blocați apelurile de la numere nedorite; blocați capacitatea de a redirecționa apeluri către diverse tipuri de numere - fix, mobil, distanță lungă și internațională; filtrarea apelurilor pe baza diferiților parametri. Toate acțiunile pot fi efectuate indiferent de telefon de la care abonatul efectuează apelul - acest lucru este implementat prin autentificarea fiecărui abonat care accesează telefonul IP. Dacă utilizatorul nu trece prin procesul de autentificare, acesta poate suna doar în avans listă specifică numere, de exemplu, numai pentru numerele de telefon interne și serviciile municipale de urgență.

Standarde în telefonie IP

Astăzi, SIP înlocuiește H.323, iar mulți dezvoltatori de dispozitive compatibile SIP se concentrează mai degrabă pe funcții decât pe securitate. Spre deosebire de standardul H.323, în cadrul căruia a fost dezvoltată specificația H.235, care descrie diverse mecanisme de securitate, protocolul SIP este practic lipsit de orice funcții serioase de securitate. Acest lucru pune la îndoială viitorul strălucit al telefoniei IP, pe care mulți experți îl asociază în mod special cu protocolul SIP. Anumite speranțe sunt puse pe IP Telephony Security Alliance, înființată în iulie 2005, al cărei scop este de a efectua cercetări, conștientizare, instruire și dezvoltarea de metode și instrumente gratuite de testare în domeniul securității telefoniei IP. Dar până acum singurul rezultat al muncii acestei alianțe a fost crearea unei taxonomii de atacuri și vulnerabilități ale telefoniei IP.

Concluzie

În concluzie, aș dori să remarc încă o dată că postulatul principal sistem eficient Securitatea telefoniei IP - în faza de proiectare, gândiți-vă la modul în care va fi construit sistemul de securitate pentru o astfel de rețea, pentru a respecta la maximum caracteristicile comunicațiilor IP din organizație. Nu trebuie să uităm că telefonia IP este o aplicație care rulează pe o rețea IP, iar măsurile adecvate pentru a proteja rețeaua IP în ansamblu privează atacatorul de oportunități suplimentare de a organiza interceptarea cu urechea, de a implementa atacuri DoS și de a folosi resursele rețelei ca lacune în IP. reteaua telefonica.

Printre cerințele principale pentru asigurarea securității unei rețele de telefonie IP se numără nevoia de a separa vocea și datele obișnuite. Adică, telefonia IP trebuie separată de rețeaua în care se transmit alte date folosind VLAN. Segmentarea vă permite să creați o barieră suplimentară care împiedică atacurile și abuzurile, inclusiv cele a căror sursă se află în rețeaua internă. În plus, atunci când proiectați o rețea de telefonie IP, este important să asigurați o lățime de bandă adecvată și să nu uitați să utilizați mecanisme QoS pentru a prioritiza traficul de telefonie IP.

Și, în sfârșit, utilizarea instrumentelor de protecție axate pe specificul telefoniei IP va ajuta la evitarea nu numai „găuri” în securitatea rețelei construite, cum ar fi „neînțelegerea” mijloacelor de protecție a traficului IP, ci și suplimentare cheltuieli financiare pentru modernizarea echipamentelor existente sau achiziționarea de noi dispozitive de protecție.

ÎN lumea modernă Informația este una dintre cele mai valoroase resurse, așa că protejarea acesteia este o sarcină importantă. Un rol semnificativ în activitatea organizațiilor la orice nivel îl joacă convorbiri telefonice. Datorită popularității tot mai mari a telefoniei IP, problema asigurării securității acesteia în general și confidențialitatea conversațiilorîn special.

Cunoașterea principalelor surse de pericol pentru rețelele de telefonie IP, precum și înțelegerea modului de eliminare a acestor amenințări, va ajuta la păstrarea reputației și a resurselor financiare ale companiei. În ciuda faptului că articolul descrie soluții pentru platforma gratuită Asterisk, problema este relevantă pentru orice alte platforme de telefonie IP.

Principalele tipuri de amenințări pentru rețelele VoIP:

Interceptarea și manipularea datelor

Cea mai comună vulnerabilitate în rețelele de telefonie, mai ales periculoasă pentru telefonia IP. În cazul telefoniei IP, atacatorul nu are nevoie acces fizic la linia de date. Un dispozitiv de interceptare situat în interiorul unei rețele corporative poate fi detectat, cel mai probabil, interceptarea externă este aproape imposibil de urmărit. În plus, datele sau vocea interceptate pot fi transmise în continuare cu modificări. În astfel de circumstanțe, întregul flux de voce necriptat trebuie considerat nesigur.

Înlocuirea și piratarea datelor utilizatorilor

Refuzul utilizării sau simplificarea mecanismelor de autentificare și autorizare în telefonia IP deschide posibilitatea unui atacator de a obține acces neautorizat la sistem prin înlocuirea datelor utilizatorului cu propriile lor. De asemenea, este posibil să piratați acreditările utilizatorului prin forță brută sau prin interceptarea canalelor de comunicare nesecurizate. O astfel de vulnerabilitate poate fi folosită pentru a efectua apeluri costisitoare în detrimentul victimei, anulând toate beneficiile posibile din utilizarea telefoniei IP. De asemenea, această gaură de securitate poate fi folosită pentru a primi apeluri destinate a fi piratate sau pentru a înregistra apeluri interceptate pe mass-media atacatorului pentru a utiliza aceste informații în beneficiul personal.

Limitare de disponibilitate

Un tip de atac este Denial of Service (DoS). Acest atac are ca scop depășirea sarcinii maxime a sistemului cu un număr mare de apeluri scurte sau gunoi de informații. Fără monitorizarea constantă a semnelor unor astfel de atacuri și utilizarea măsurilor de protecție pasivă, acest lucru duce la faptul că serverele de telefonie IP nu pot face față sarcinii crescute și nu pot deservi abonații conectați.

Securitatea telefoniei IP – o abordare integrată!

Atunci când proiectați orice sistem de comunicare, este important să înțelegeți că niciunul dintre cei independente solutii tehnice securitatea nu este capabilă să ofere protecție absolută împotriva tuturor amenințărilor posibile.

După ce am analizat principalele surse de amenințări la securitatea telefoniei IP, putem identifica criteriile cheie de securitate:

Confidențialitate

Necesitatea de a asigura protecția traficului de telefonie IP pentru a preveni interceptarea sau interceptarea apelurilor telefonice, modificările informațiilor transmise și furtul acreditărilor utilizatorului.

Integritate

Asigurarea că informațiile transmise nu sunt manipulate de utilizatori neautorizați, care solicită îndeplinirea anumitor sarcini sau funcții ( de exemplu, efectuarea unui apel sau modificarea setărilor sistemului de telefonie IP) iniţiat utilizatori autorizați sau aplicații.

Disponibilitate

Funcționarea neîntreruptă a unui sistem de telefonie IP corporativă în fața atacurilor DoS, a diverșilor viermi, viruși etc.

Cum se protejează telefonia IP?

Să ne uităm la cel mai puțin sigur și, în același timp, unul dintre cele mai comune exemple de implementare a telefoniei IP.

Figura 1 - Implementarea telefoniei IP

Bazat pe server de telefonie IP-PBX Asterisk are acces direct la Internet pentru a deservi filialele de la distanță și pentru a comunica cu un furnizor SIP care oferă acces la liniile de comunicație externe. Autentificarea utilizatorului are loc prin adrese IP.

Soluția la problemele de securitate a informațiilor trebuie să fie cuprinzătoare, deoarece fiecare metodă de protecție nu numai că acoperă partea sa din perimetrul informațional, ci completează și alte soluții.

Configurarea unui server de telefonie

Ultima linie de apărare este serverul de telefonie IP însuși. Există mai multe metode clasice pentru a proteja un server de atacuri.

Metoda de protectie	Descriere
Aplicarea politicii parole complexe	Obținerea acreditărilor utilizând forța brută necesită o investiție semnificativă de timp și resurse de calcul, ceea ce va face posibil să faceți parole mai complexe aceasta metoda atacurile sunt nepotrivite
Dezactivarea apelurilor pentru oaspeți	Doar utilizatorii sistemului au permisiunea de a efectua apeluri. Cu această setare puteți bloca încercările de a apela din exterior fără autorizație prealabilă
Dezactivarea răspunsului la parola greșită	În mod implicit, Asterisk generează o eroare de parolă incorectă pentru un cont existent și alta pentru un cont inexistent. Există multe programe pentru ghicirea parolelor, așa că nu ar fi dificil pentru un atacator să verifice toate numerele scurte și să colecteze parole doar pentru conturile existente care au răspuns „parolă greșită”.
Utilizarea sistemelor de blocare a accesului după încercări eșuate de înregistrare	Vizualizarea rapoartelor de sistem pentru a detecta încercările de hacking vă va permite să izolați și să blocați adresa IP a atacatorului. Astfel, puteți reduce cantitatea de trafic SIP nedorit și vă puteți proteja de mai multe încercări de hacking
Restricționarea direcțiilor de apel disponibile pentru abonați, aplicarea schemei „totul cu excepția a ceea ce este permis” este interzisă	Dacă un atacator obține acreditările utilizatorului sistemului, acesta va putea efectua apeluri numai către anumite direcții. Acest lucru va evita efectuarea neautorizată a apelurilor internaționale costisitoare
Verificări regulate sisteme pentru tentative de hacking, monitorizarea parametrilor	Organizarea unui sistem de monitorizare a stării sistemului va îmbunătăți calitatea telefoniei IP și va nota parametrii tipici pentru o anumită configurație. Abaterile acestor parametri de la valorile standard obținute vor ajuta la identificarea problemelor cu echipamentele, canalele de comunicare și la identificarea încercărilor de intruziune ale intrușilor

Aplicarea firewall-urilor

Firewall permite trecerea trafic de ieșire de la serverul de telefonie la furnizorul SIP și filtrează mesajele primite după anumite reguli. O soluție rațională poate fi considerată închiderea tuturor porturilor de rețea pentru telefonia IP pe firewall, cu excepția celor necesare pentru funcționarea și administrarea corectă a acestuia. Este indicat să folosiți aceeași metodă de protecție pe serverul de telefonie în sine pentru a-l proteja de atacurile interne.

Astfel, serverul de telefonie este accesibil din rețele externe doar prin anumite porturi de serviciu, conexiunea la care, din motive de securitate, se va realiza prin criptare.

Criptarea convorbirilor telefonice

Pentru protecția negocierilor confidențialeși pentru a minimiza posibilitatea ca informațiile confidențiale sau comerciale să cadă în mâinile unui atacator, este necesar să se protejeze canale deschise date de comunicații de la interceptare și interceptare.

Deoarece pentru a efectua un apel, clientul și serverul fac mai întâi schimb de date de serviciu pentru a stabili o conexiune, această problemă poate fi împărțită în două componente - protejarea datelor serviciului de telefonie IP și protejarea traficului vocal. Ca măsură de securitate, protocolul TLS (Transport Layer Security) poate fi utilizat pentru a proteja semnalele SIP și protocolul SRTP (Secure Real Time Protocol) pentru a proteja traficul de voce.

Figura 2 - Criptarea telefoniei IP

TLS este un protocol criptografic care asigură transferul securizat de date între nodurile unei rețele și este metoda standard pentru criptarea protocolului SIP. TLS asigură confidențialitatea și integritatea informațiilor transmise și asigură autentificarea.

După stabilirea unei conexiuni securizate, începe transmiterea datelor vocale, care pot fi securizate folosind protocolul SRTP.

Protocolul SRTP este considerat unul dintre cele mai bune moduri Protecție de telefonie IP bazată pe Asterisk IP-PBX. Principalul avantaj al acestui protocol este absența oricărui impact asupra calității comunicării. Modul în care funcționează protocolul SRTP arată astfel: fiecărui apel pe care îl efectuați i se atribuie a cod unic, ceea ce face aproape imposibil ca utilizatorii neautorizați să asculte cu urechea conversațiilor. Acest lucru face ca SRTP să fie protocolul preferat atât pentru apelurile obișnuite, cât și pentru cele private.

Nu trebuie să uităm de necesitatea de a proteja conexiunea serverului de telefonie la canalele de comunicații externe (comunicații mobile, rețele de telefonie). uz comun).

Folosind tuneluri VPN criptate

Dacă este necesar să se organizeze sisteme cu cerințe sporite pentru protecția telefoniei IP, este posibil să se conecteze utilizatori la distanță prin rețele private virtuale (VPN). Conținutul pachetelor interceptate trimis prin criptare tuneluri VPN de înțeles doar deținătorii cheii de criptare. Aceeași metodă poate fi folosită pentru a securiza conexiunile la furnizorii de servicii de telefonie IP. În prezent, mulți furnizori VoIP oferă conexiuni VPN.

Figura 3 - Schema de funcționare a telefoniei IP printr-un tunel VPN

in orice caz Tehnologia VPN are o serie de dezavantaje care îi limitează utilizarea:

reducerea calității comunicațiilor din cauza întârzierilor create de criptare;
sarcină crescută pe canalele și echipamentele de comunicație cauzată de necesitatea criptării;
complexitatea crescândă a structurii rețelei.

Aplicarea metodelor enumerate de protecție a serverului va minimiza probabilitatea de hacking și, dacă sistemul de securitate este ocolit cu succes, va minimiza daunele.

Figura 4 - Protecție cuprinzătoare telefonie IP

Din păcate, niciun set de măsuri nu poate oferi o garanție absolută a siguranței. Aspectele discutate mai sus rezolvă doar parțial problema construcției sistem de comunicare securizat. În practică, ar trebui luată în considerare întreaga infrastructură a rețelei corporative și ar trebui efectuată o analiză aprofundată a nivelului de protecție necesar. Este necesar să se țină cont nu numai de necesitatea de a asigura securitatea telefoniei IP, dar și accesul la canale de comunicare externe (comunicații mobile, rețele publice de telefonie). Doar această abordare, împreună cu îmbunătățirea constantă a sistemelor de securitate a informațiilor, vor crea un sistem fiabil și sigur.

Pentru a crea o protecție completă împotriva interceptării, este necesar să „ascundeți” serverul de telefonie IP, pentru care soluția „Server în Israel” este excelentă.

Integrarea sistemului. Consultanta

telefonie IP? Si ea este atacata!

Principiul de funcționare

Principiul de funcționare al tehnologiei de telefonie IP este simplu. Componenta sa centrală este serverul (gateway-ul), care este responsabil pentru conectarea rețelelor telefonice și IP, adică. este conectat atât la rețeaua de telefonie și poate ajunge la orice telefon obișnuit, cât și la o rețea de date (de exemplu, Internet) și poate accesa orice computer. În funcțiune a acestui dispozitiv include:

Răspundeți pentru a prelua apelantul

Stabilirea unei conexiuni cu un gateway la distanță și partea apelată

Digitalizare (codificare), compresie, pachetare și restaurare a semnalului

Acest gateway (de exemplu, Cisco Catalyst 4000 Access Gateway Module sau Cisco VG200) primește un semnal telefonic obișnuit ca intrare, îl digitizează (dacă semnalul nu este digital) și comprimă datele primite, după care le transmite în rețeaua IP în sub formă de pachete obișnuite (dar nu de dimensiuni foarte mari). La celălalt capăt, gateway-ul restabilește semnalul în ordine inversă. Această componentă nu poate fi utilizată dacă nu intenționați să vă integrați telefoanele IP în rețeaua publică de telefonie (vezi Fig. 1).

Pentru a putea construi o rețea de telefonie IP distribuită, este necesar să existe un dispecer care este responsabil cu distribuirea apelurilor între gateway-uri (de exemplu, Cisco CallManager). În plus față de această sarcină, dispecerul efectuează autentificarea și autorizarea abonaților și are, de asemenea, o interfață cu sistemul de facturare.

Pentru ușurința administrării un numar mare gateway-urile și dispecerii la distanță pot folosi special software, numit monitor. Și, în sfârșit, ultimul element obligatoriu al unei rețele de telefonie IP este punctul de abonat, care poate fi implementat fie în software (de exemplu, Cisco IP SoftPhone), fie în hardware (de exemplu, Cisco IP Phone, conectat direct la portul Ethernet al schimbarea). Mai mult, în primul caz, apelurile pot fi efectuate chiar și prin intermediul unui computer de acasă dotat cu placa de sunetși un microfon, iar în al doilea caz, se utilizează așa-numita stație de abonat. telefon IP. O altă componentă a arhitecturii de telefonie IP poate fi numită aplicații de utilizator specializate care au apărut prin integrarea de voce, video și date (call center, sisteme de mesagerie unificate).

De ce sunt atacate telefonia IP?

Rețelele de telefonie IP sunt o țintă bună pentru hackeri. Unii dintre ei vă pot juca un truc, trimițându-vă un mesaj vocal în numele conducerii companiei. Cineva poate dori să acceseze vocea cutie poștală conducerea dvs. sau chiar dorește să intercepteze date vocale privind tranzacțiile financiare schimbate între angajații departamentului financiar sau departamentului de contabilitate. Concurenții dvs. ar putea dori să vă submineze reputația prin dezactivarea gateway-urilor și a dispeceraților, perturbând astfel disponibilitatea serviciilor de telefonie pentru abonații dvs., ceea ce, la rândul său, poate duce la deteriorarea afacerii clienților dvs. Există și alte motive, de exemplu, apelurile pe cheltuiala altcuiva (furt de serviciu).

Posibile amenințări

Principala problemă a securității telefoniei IP este că este prea deschisă și face ca atacatorii să îi atace relativ ușor componentele. În ciuda faptului că cazurile de astfel de atacuri sunt practic necunoscute, acestea pot fi efectuate dacă se dorește, deoarece atacurile asupra rețelelor IP obișnuite pot fi direcționate către rețelele de voce digitalizate, practic fără modificări. Pe de altă parte, asemănarea rețelelor IP obișnuite și a rețelelor de telefonie IP ne spune, de asemenea, modalități de a le proteja, dar vom discuta despre asta puțin mai târziu.

Atacurile la telefonia obișnuită sunt aplicabile și vărului său IP - lanterna.

Telefonia IP, fiind o rudă directă a telefoniei convenționale și a tehnologiei IP, le-a absorbit nu numai avantajele, ci și dezavantajele. Acestea. atacurile inerente telefoniei obișnuite pot fi aplicate și componentei sale IP. Voi enumera câteva dintre ele, dintre care unele le voi considera mai detaliat:

Ascultarea telefonică

Refuzarea serviciului

Înlocuirea numărului

Furtul de servicii

Provocări neașteptate

Modificare neautorizată a configurației

Frauda de cont.

Interceptarea datelor

Interceptarea datelor este cea mai mare problemă atât a telefoniei convenționale, cât și a verișoarei sale IP.

Cu toate acestea, în acest din urmă caz acest pericol este mult mai mare, deoarece atacatorul nu mai trebuie să aibă acces fizic la linie telefonică. Pentru a înrăutăți situația, multe protocoale construite pe partea superioară a stivei TCP/IP transferă date către formă deschisă. HTTP, SMTP, IMAP, FTP, Telnet, SQL*net și, printre altele, protocoalele de telefonie IP suferă de acest păcat. Un atacator care a reușit să intercepteze traficul de voce IP (care nu este criptat între gateway-uri în mod implicit) poate restabili cu ușurință conversațiile originale. Există chiar și instrumente automate pentru aceasta. De exemplu, utilitatea pentru vărsături ( Voce Over Telefoane Internet configurate greșit), care convertește datele obținute ca urmare a interceptării traficului folosind analizatorul de protocol tcpdump distribuit gratuit într-un fișier WAV obișnuit care poate fi ascultat folosind orice player de pe computer. Acest utilitar vă permite să convertiți datele vocale transmise folosind telefoanele IP Cisco și comprimate folosind codecul G.711. Mai mult, pe lângă interceptările neautorizate, atacatorii pot retransmite interceptarea mesaje vocale(sau fragmente ale acestora) pentru a vă atinge obiectivele.

Cu toate acestea, aș dori să observ imediat că interceptarea datelor vocale nu este o sarcină atât de simplă pe cât pare la prima vedere. Atacatorul trebuie să aibă informații despre adresele gateway-urilor sau punctelor de abonat, protocoalele VoIP utilizate (de exemplu, H.323) și algoritmii de compresie (de exemplu, G.711). În caz contrar, va fi dificil pentru un atacator să configureze software pentru a intercepta traficul, sau volumul de date interceptate și timpul de analiză vor depăși toate limitele permise.

Interceptarea datelor poate fi efectuată atât din interiorul rețelei corporative, cât și din exterior. Un atacator priceput, cu acces la mediu fizic transmisie de date, își poate conecta telefonul IP la comutator și astfel să asculte conversațiile altor persoane. De asemenea, poate schimba rutele de conducere trafic de rețeași devin nodul central al rețelei corporative prin care trece traficul de interes. Mai mult, dacă în rețeaua internă puteți, cu un anumit grad de probabilitate, să detectați un dispozitiv conectat neautorizat care interceptează datele vocale, atunci rețea externă este aproape imposibil de detectat ramuri. Prin urmare, orice trafic necriptat care părăsește rețeaua corporativă ar trebui considerat nesigur.

Refuzarea serviciului

Comunicarea telefonică tradițională garantează întotdeauna calitatea comunicației chiar și în condiții de încărcare mare, ceea ce nu este o axiomă pentru telefonia IP. Încărcarea mare a rețelei în care sunt transmise datele vocale digitizate duce la distorsiuni semnificative și chiar la pierderea unor mesaje vocale. Prin urmare, unul dintre atacurile asupra telefoniei IP poate consta în trimiterea unui număr mare de pachete „zgomote” către serverul de telefonie IP, care blochează canalul de transmisie a datelor, iar dacă se depășește o anumită valoare de prag, pot chiar dezactiva o parte din Rețea de telefonie IP (adică atac de refuz de serviciu). Ceea ce este tipic este că pentru a implementa un astfel de atac nu este nevoie să „reinventezi roata” - este suficient să folosești binecunoscutele atacuri DoS Land, Ping of Death, Smurf, UDP Flood etc. O soluție la această problemă este rezervarea lățimii de bandă, care poate fi realizată folosind protocoale moderne, cum ar fi RSVP. Metodele de protecție vor fi discutate mai detaliat mai jos.

Refuzarea serviciului - problema serioasa pentru dispozitivele de telefonie IP. - lanternă

Înlocuirea numărului

Pentru a comunica cu un abonat într-o rețea telefonică obișnuită, trebuie să-i cunoști numărul, iar în telefonia IP, rolul numărului de telefon îl joacă adresa IP. Prin urmare, este posibil ca un atacator, folosind falsificarea adresei, să poată uzurpa identitatea abonatului de care aveți nevoie. De aceea sarcina de a asigura autentificarea nu este ignorată în toate standardele VoIP existente și va fi discutată puțin mai târziu.

Atacuri asupra punctelor de abonat

Este necesar să înțelegeți că punctele de abonat implementate pe un computer personal sunt dispozitive mai puțin sigure decât telefoanele IP speciale. Această teză se aplică și oricăror alte componente de telefonie IP construite baza de program. Acest lucru se datorează faptului că nu numai atacurile specifice telefoniei IP pot fi efectuate asupra unor astfel de componente. Calculatorul în sine și componentele acestuia (sistem de operare, programe de aplicație, baze de date etc.) sunt susceptibile la diferite atacuri care pot afecta și componentele de telefonie IP. De exemplu, viermii de Internet Red Code, Nimda, diverși troieni și viruși, atacuri DoS și modificările lor distribuite - toate acestea pot, dacă nu dezactiva infrastructura IP voce, apoi perturba semnificativ funcționarea acesteia. În același timp, chiar dacă nu se găsesc vulnerabilități în software-ul propriu-zis (deocamdată), atunci alte componente software terță parte utilizate de acesta (în special cele binecunoscute) pot reduce securitatea generală la zero. La urma urmei, regula generală este cunoscută de mult timp: „securitatea întregului sistem este egală cu securitatea verigii sale celei mai slabe”. De exemplu, putem cita Cisco CallManager, care folosește Windows 2000 Server, MS Internet Information Server și MS SQL Server pentru funcționarea sa, fiecare având propriul set de găuri.

Atacurile asupra dispeceratelor

Atacatorii pot ataca și noduri (Gatekeeper în termeni H.323 sau Redirect server în termeni SIP) care stochează informații despre conversațiile utilizatorilor (numele abonaților, ora, durata, motivul sfârșitului apelului etc.). Acest lucru se poate face atât în scopul obținerii de informații confidențiale despre conversațiile în sine, cât și în scopul modificării și chiar ștergerii acestor date. În acest din urmă caz, sistemul de facturare (de exemplu, un operator de telecomunicații) nu își va putea factura corect clienții, ceea ce poate perturba sau deteriora întreaga infrastructură de telefonie IP.

Standardele de telefonie IP și mecanismele de securitate ale acestora

Lipsa de comun standarde acceptateîn acest domeniu (vezi Fig. 2) nu permite elaborarea de recomandări universale pentru protecția dispozitivelor de telefonie IP. Fiecare grup de lucru sau producător rezolvă problemele de asigurare a securității gateway-urilor și dispecerilor în felul său, ceea ce duce la necesitatea studierii cu atenție a acestora înainte de a alege măsurile de protecție adecvate.

Securitate H.323

H.323 este un protocol care vă permite să construiți un sistem VoIP de la început până la sfârșit. H.323 include o serie de specificații, inclusiv. și H.235, care implementează unele mecanisme de securitate (autentificare, integritate, confidențialitate și non-repudiere) pentru datele vocale.

Autentificarea în cadrul standardului H.323 poate fi implementată fie folosind algoritmi de criptare simetrică (în acest caz, nu este necesar nici un schimb preliminar între dispozitivele care interacționează și nu este încărcat atât de intens pe procesorul central), fie folosind certificate sau parole. În plus, specificația H.235 permite utilizarea IPSec ca mecanism de autentificare, care este recomandat și pentru utilizarea în alte standarde de telefonie IP.

După stabilirea unei conexiuni securizate, care are loc prin portul TCP 1300, nodurile care participă la schimbul de date vocale schimbă informații despre metoda de criptare, care poate fi utilizată la nivel de transport (criptarea pachetelor de protocol RTP) sau de rețea (folosind IPSec) .

Securitate SIP

Acest protocol, similar cu HTTP și folosit de punctele de abonat pentru a stabili conexiuni (nu neapărat telefonice, dar și, de exemplu, pentru jocuri), nu are o securitate serioasă și este axat pe utilizarea unor soluții terțe (de exemplu, PGP). ). Ca mecanism de autentificare, RFC 2543 oferă mai multe opțiuni și, în special, autentificare de bază (ca în HTTP) și autentificare bazată pe PGP. În încercarea de a aborda securitatea slabă a protocolului, Michael Thomas de la Cisco Systems a dezvoltat un proiect de standard IETF numit „cadru de securitate SIP” care descrie amenințările externe și interne la adresa protocolului SIP și cum să se protejeze împotriva acestora. În special, astfel de metode includ protecție la nivel de transport folosind TLS sau IPSec. Apropo, Cisco, în arhitectura sa de securitate a rețelei corporative SAFE, acordă o mare atenție problemelor practice de securitate a telefoniei IP.

Securitate MGCP

Standardul MGCP, definit în RFC 2705 și nu se aplică în dispozitive terminale AX (gateway-urile MGCP pot funcționa atât cu componente compatibile cu H.323, cât și cu componente SIP) utilizează protocolul ESP al specificației IPSec pentru a proteja datele vocale. Protocolul AH poate fi, de asemenea, utilizat (dar nu și în rețelele IPv6), care oferă autentificare și integritate fără conexiune și protecție împotriva reluărilor transmise între gateway-uri. În același timp, protocolul AH nu asigură confidențialitatea datelor, care se realizează prin utilizarea ESP (împreună cu celelalte trei funcții de securitate).

Securitate

Alegerea topologiei potrivite

Nu se recomandă utilizarea hub-urilor pentru infrastructura VoIP, care facilitează interceptarea datelor atacatorilor. În plus, pentru că vocea digitalizată circulă de obicei prin același sistem de cablu și prin același echipament de rețea ca și datele obișnuite, merită delimitarea corectă a fluxurilor de informații dintre acestea; Acest lucru, de exemplu, se poate face folosind mecanismul VLAN (cu toate acestea, nu ar trebui să vă bazați doar pe ele). Este recomandabil să plasați serverele care participă la infrastructura de telefonie IP într-un segment de rețea separat (vezi fig. 3), protejat nu numai prin mecanismele de protecție încorporate în comutatoare și routere (liste de control acces, traducere adrese și detectarea atacurilor), ci și folosind instrumente de securitate instalate suplimentar (firewall-uri, sisteme de detectare a atacurilor, sisteme de autentificare etc.).

Trebuie să rețineți că transmiterea datelor de voce prin rețeaua dvs. corporativă lasă o amprentă specială asupra designului acesteia. Ar trebui să acordați o mare atenție problemelor de disponibilitate ridicată și toleranță la erori. Dacă utilizatorii se pot obișnui în continuare cu o defecțiune pe termen scurt a serverului web sau sistem postal, atunci nu se vor putea obișnui cu întreruperea comunicării telefonice. O rețea de telefonie obișnuită eșuează atât de rar, încât mulți utilizatori atribuie în mod natural proprietatea de funcționare fără erori surorii sale IP. Prin urmare, o eșec în funcționarea infrastructurii VoIP poate submina încrederea utilizatorilor în aceasta, ceea ce, la rândul său, poate duce la refuzul utilizării acesteia și poate cauza daune materiale proprietarului acesteia.

Siguranță fizică

Este recomandabil să interziceți accesul utilizatorilor neautorizați la echipamente de rețea, incl. și comutatoare și, dacă este posibil, plasați toate echipamentele non-abonate în săli de servere special echipate. Acest lucru va împiedica conectarea neautorizată a computerului unui atacator. În plus, ar trebui să verificați în mod regulat dacă există dispozitive neautorizate conectate la rețea care pot fi „încorporate” direct în cablul de rețea. Pentru a identifica astfel de dispozitive puteți utiliza diverse metode, incl. și scanere (de exemplu, Internet Scanner sau Nessus), care determină de la distanță prezența dispozitivelor „străine” în rețea.

Controlul accesului

O altă modalitate destul de simplă de a vă proteja infrastructura VoIP este să controlați adresele MAC. Nu permiteți telefoanelor IP cu adrese MAC necunoscute să acceseze gateway-uri și alte elemente ale rețelei IP care transmit date vocale. Acest lucru va împiedica conectarea neautorizată a telefoanelor IP „străine” care vă pot asculta conversațiile sau pot efectua comunicații telefonice pe cheltuiala dumneavoastră. Desigur, adresa MAC poate fi falsificată, dar totuși nu trebuie să neglijați o astfel de măsură de protecție simplă, care poate fi implementată fără probleme pe majoritatea switch-urilor și chiar hub-urilor moderne. Nodurile (în principal gateway-uri, dispecerate și monitoare) trebuie configurate pentru a bloca toate încercările neautorizate de a le accesa. Pentru a face acest lucru, puteți utiliza atât capabilitățile încorporate în sistemele de operare, cât și produsele de la terți. Și deoarece lucrăm în Rusia, recomand să folosiți produse certificate de Comisia Tehnică de Stat a Rusiei, mai ales că există o mulțime de astfel de produse.

VLAN

Tehnologia Virtual Local Area Network (VLAN) oferă o împărțire sigură a unei rețele fizice în mai multe segmente izolate care funcționează independent unele de altele. În telefonia IP, această tehnologie este utilizată pentru a separa transmisia vocală de transmisia obișnuită de date (fișiere, e-mail etc.). Dispeceratele, gateway-urile și telefoanele IP sunt plasate pe un VLAN dedicat pentru voce. După cum am menționat mai sus, VLAN face viața mult mai dificilă pentru atacatori, dar nu elimină toate problemele legate de interceptarea conversațiilor. Există tehnici care permit atacatorilor să intercepteze date chiar și într-un mediu comutat.

Criptare

Criptarea trebuie utilizată nu numai între gateway-uri, ci și între telefonul IP și gateway. Acest lucru va proteja întreaga cale pe care o iau datele vocale de la un capăt la altul. Confidențialitatea nu este doar o parte integrantă a standardului H.323, ci este implementată și în echipamentele unor producători. Cu toate acestea, acest mecanism nu este aproape niciodată utilizat. De ce? Deoarece calitatea transmisiei datelor este o prioritate de vârf, iar criptarea/decriptarea continuă a unui flux de date vocale necesită timp și adesea introduce întârzieri inacceptabile în procesul de transmitere și recepție a traficului (o întârziere de 200...250 ms poate reduce semnificativ calitatea conversațiilor). Mai mult, după cum am menționat mai sus, absența standard uniform nu permite tuturor producătorilor să adopte un singur algoritm de criptare. Cu toate acestea, în mod corect, trebuie spus că dificultățile de interceptare a traficului vocal de până acum fac posibilă închiderea ochiului la criptarea acestuia.

Apropo, dacă decideți să utilizați criptarea, amintiți-vă că prin criptarea datelor vocale, le ascundeți nu numai de un atacator, ci și de instrumentele de asigurare a calității (QoS) care nu le vor putea oferi lățimea de bandă adecvată. si serviciu prioritar . După ce ați eliminat o problemă (vulnerabilitatea), vă confruntați cu alta (calitatea serviciului). Și poți fi sigur că în această situație vei prefera să rezolvi a doua problemă, neglijând soluția primei. Apropo, nici totul poate fi criptat. Protocoalele de semnalizare utilizate în telefonia IP nu sunt recomandate a fi criptate, deoarece în acest caz, veți cripta toate informațiile de serviciu necesare pentru a menține funcționalitatea întregii rețele.

Dar nu ar trebui să renunțați imediat la criptare - este totuși necesar să vă asigurați negocierile. Prin urmare, merită să abordați cu înțelepciune criptarea datelor VoIP. De exemplu, Cisco recomandă utilizarea unui tunel GRE sau a concentratoarelor VPN VPN Cisco 3000 utilizează comanda Crypto în sistemul de operare IOS al echipamentului lor, ceea ce vă permite să protejați datele, menținând în același timp calitatea serviciului. În plus, puteți utiliza criptarea selectivă numai pentru anumite câmpuri din pachetele VoIP.

Firewall

Pentru a proteja o rețea corporativă, se folosesc de obicei firewall-uri, ceea ce poate la fel de bine

poate fi folosit și pentru a proteja infrastructura VoIP. Singurul lucru care trebuie făcut este să adăugați o serie de reguli care să ia în considerare topologia rețelei, locația componentelor de telefonie IP instalate etc. De exemplu, accesul la Cisco CallManager de pe Internet sau din rețeaua perimetrală este de obicei blocat, dar atunci când se utilizează managementul bazat pe Web, un astfel de acces trebuie permis, dar numai pe portul 80 și numai pentru o gamă limitată de adrese externe. Și pentru a proteja serverul SQL inclus în Cisco CallManager, puteți refuza accesul din toate porturile, cu excepția 1433.

Apropo, există două tipuri de firewall-uri care pot fi folosite pentru a proteja componentele de telefonie IP. Prima dintre ele, corporate, este instalată la ieșirea din rețeaua corporativă și își protejează toate resursele simultan. Un exemplu de astfel de firewall este CiscoSecure PIX Firewall. Al doilea tip este personal, protejând un singur nod specific, care poate găzdui un punct de abonat, gateway sau dispecer. Exemple de astfel de firewall-uri personale sunt RealSecure Desktop Protector sau BlackICE PC Protector. În plus, unele sisteme de operare (cum ar fi Linux sau Windows 2000) au firewall-uri personale încorporate, care pot fi folosite pentru a spori securitatea infrastructurii VoIP. În funcție de standardul de telefonie IP utilizat, utilizarea firewall-urilor poate presupune probleme diferite. De exemplu, după ce stațiile de abonat au schimbat informații despre parametrii de conexiune folosind protocolul SIP, toată interacțiunea se realizează prin porturi alocate dinamic cu numere mai mari de 1023. În acest caz, ITU „nu știe” în avans care port va fi utilizat. pentru schimbul de date vocale și, ca urmare, acest schimb va fi blocat. Prin urmare, firewall-ul trebuie să fie capabil să analizeze pachetele SIP pentru a determina porturile utilizate pentru comunicare și pentru a-și crea sau modifica în mod dinamic regulile. O cerință similară se aplică și altor protocoale de telefonie IP.

O altă problemă este legată de faptul că nu toate firewall-urile sunt capabile să proceseze în mod competent nu numai antetul protocolului de telefonie IP, ci și corpul de date, deoarece de multe ori Informații importante este înăuntrul ei. De exemplu, informațiile despre adresele abonaților din protocolul SIP se află în corpul de date. Incapacitatea unui firewall de a „ajunge la fundul lucrurilor” poate duce la imposibilitatea schimbului de comunicații vocale prin firewall sau la lăsarea unei gauri în firewall prea mare pentru ca atacatorii să le poată exploata.

Autentificare

Diverse telefoane IP acceptă mecanisme de autentificare care vă permit să utilizați capacitățile sale numai după prezentarea și verificarea unei parole sau a unui număr PIN personal care permite utilizatorului să acceseze telefonul IP. Cu toate acestea, trebuie menționat că această soluție nu este întotdeauna convenabilă pentru utilizatorul final, mai ales în condițiile de utilizare zilnică a unui telefon IP. Apare contradicția obișnuită „securitate sau comoditate”.

RFC 1918 și traducerea adresei

Nu este recomandat să folosiți adrese IP accesibile de pe Internet pentru VoIP - acest lucru reduce semnificativ nivelul general de securitate a infrastructurii. Prin urmare, ori de câte ori este posibil, utilizați adrese specificate în RFC 1918 (10.x.x.x, 192.168.x.x, etc.) care nu sunt rutabile pe Internet. Dacă acest lucru nu este posibil, atunci trebuie să utilizați mecanismul de traducere a adresei de rețea (NAT) pe firewall-ul care vă protejează rețeaua corporativă.

Sisteme de detectare a atacurilor

Am discutat deja mai sus despre câteva atacuri care pot perturba funcționarea infrastructurii VoIP. Pentru a vă proteja împotriva lor, puteți utiliza instrumente de detectare a atacurilor bine dovedite și binecunoscute în Rusia (intruziune sistem de detectare), care nu numai că identifică atacurile în timp util, ci și le blochează, împiedicându-le să afecteze resursele rețelei corporative. Astfel de instrumente pot proteja atât segmente întregi de rețea (de exemplu, RealSecure Network Sensor sau Snort), cât și noduri individuale (de exemplu, CiscoSecure IDS Host Sensor sau RealSecure Server Sensor).

Un articol foarte interesant despre securitatea în telefonia IP a fost publicat pe site-ul linkmeup.ru. Îl postăm fără modificări, ca să spunem așa, de la autor.

=======================

Bună ziua, colegi și prieteni, eu, Vadim Semenov, împreună cu echipa de proiect network-class.net, vă prezint un articol de recenzie care atinge principalele tendințe și amenințări în telefonia IP și, cel mai important, acele instrumente de protecție care acest moment este oferit de producător ca protecție (în limbajul specialiștilor în securitate, să luăm în considerare ce instrumente oferă producătorul pentru a reduce vulnerabilitățile care pot fi exploatate de persoane nelegitime). Deci, mai puține cuvinte - să trecem la treabă.
Pentru mulți cititori s-a format de mult termenul de telefonie IP, precum și faptul că această telefonie este „mai bună”, mai ieftină în comparație cu telefonia publică (PSTN), bogată în diverse funcții suplimentare etc. Și acest lucru este adevărat, totuși... parțial. Pe măsură ce trecem de la telefonia analogică (digitală) cu propriile linii de abonat (de la telefonul abonatului la stație sau prelungirea stației) și liniile de legătură (linie de comunicație între stații) se aflau nu mai puțin decât numai în zona de acces și control a furnizorului de telefonie. Cu alte cuvinte, oamenii obișnuiți nu aveau acces acolo (sau practic, dacă nu țineți cont de canalul de cablu). Îmi amintesc o întrebare de pe forumul vechi de hackeri: „Spune-mi cum să obțin acces la PBX? - răspunde: „Ei bine, luați un buldozer, loviți peretele clădirii centralei telefonice și voilà.” Și această glumă are partea ei de adevăr) Cu toate acestea, odată cu transferul telefoniei într-un mediu IP ieftin, am primit în plus și amenințările pe care le prezintă un mediu IP deschis. Un exemplu de amenințări dobândite este următorul:

Sniffing porturi de semnal pentru a se comita apeluri cu taxă pe cheltuiala altcuiva
Ascultarea prin interceptarea pachetelor de voce IP
Interceptarea apelurilor, utilizator nelegitim care se prezintă drept utilizator legitim, atac de tip om-in-the-middle
Atacurile DDOS asupra serverelor de semnalizare a stațiilor pentru a dezactiva toată telefonia
Atacurile spam, trimiterea unui număr mare de apeluri fantomă către o stație pentru a-și ocupa toate resursele gratuite

În ciuda necesității evidente de a elimina toate vulnerabilitățile posibile pentru a reduce probabilitatea unui anumit atac, de fapt, implementarea anumitor măsuri de protecție trebuie să înceapă cu întocmirea unui program care să ia în considerare costul implementării măsurilor de protecție împotriva unei anumite amenințări. și pierderile întreprinderii din implementarea acestei amenințări de către atacatori. La urma urmei, este o prostie să cheltuim mai mulți bani pentru securitatea unui activ decât valoarea activului în sine pe care îl protejăm.
După ce am stabilit bugetul de securitate, vom începe să eliminăm exact acele amenințări care sunt cele mai probabile pentru companie, de exemplu, pentru o organizație mică, cel mai dureros ar fi să primim o factură mare pentru distanțe lungi imperfecte; apeluri internaționale, în timp ce pentru companiile publice cel mai important lucru este păstrarea confidențialității conversațiilor. Să începem analiza noastră treptată în articolul curent cu lucruri de bază - aceasta oferă o modalitate sigură de a furniza date de serviciu de la stație la telefon. În continuare, vom lua în considerare autentificarea telefoanelor înainte de a le conecta la stație, autentificarea stației de la telefoane și criptarea traficului de semnalizare (pentru a ascunde informații despre cine apelează și unde) și criptarea traficului conversațional.
Mulți producători de echipamente de voce (inclusiv Cisco Systems) au deja instrumente de securitate integrate, de la limitarea obișnuită a gamei de adrese IP de la care se pot efectua apeluri până la autentificarea dispozitivelor finale cu ajutorul unui certificat. De exemplu, producătorul Cisco Systems cu linia sa de produse vocale CUCM (Cisco Unified CallManager) a început să integreze funcția „Security by Default” din versiunea 8.0 a produsului (data de lansare mai 2010; versiunea 10.5 din mai 2014 este disponibilă în prezent). Ce include:

Autentificarea tuturor descărcărilor prin/de la fișiere TFTP (fișierele de configurare, fișiere firmware pentru telefoane etc.)
Criptarea fișierelor de configurare
Verificarea certificatului cu telefonul inițialând conexiunea HTTPS

Să ne uităm la un exemplu de atac „om la mijloc”, când o persoană nelegitimă interceptează fișierele de configurare pentru telefoane, de la care telefonul învață la ce stație să se înregistreze, pe ce protocol să lucreze, pe ce firmware să descarce etc. După ce a interceptat fișierul, atacatorul va putea să-și facă propriile modificări sau să șteargă complet fișierul de configurare, împiedicând astfel telefoanele întregului birou (vezi figura) să se înregistreze la stație și, în consecință, privând biroul de capacitatea de a efectua apeluri.

Fig.1 Atacul omului din mijloc

Pentru a ne proteja împotriva acestui lucru, vom avea nevoie de cunoștințe despre criptarea asimetrică, infrastructura cheii publice și o înțelegere a componentelor Security by Default, pe care le vom introduce acum: Identity Trust List (ITL) și Trust Verification Service (TVS). TVS este un serviciu conceput pentru a procesa cereri de la telefoanele IP care nu au un fișier ITL sau CTL în memoria internă. Telefonul IP contactează TVS dacă trebuie să se asigure că poate avea încredere într-un anumit serviciu înainte de a începe să îl acceseze. Stația acționează și ca un depozit care stochează certificate ale serverelor de încredere. La rândul său, ITL este o listă de chei publice ale elementelor care alcătuiesc clusterul de stații, dar este important pentru noi ca acolo să fie stocate cheia publică a serverului TFTP și cheia publică a serviciului TVS. Când telefonul pornește inițial, când telefonul și-a primit adresa IP și adresa serverului TFTP, acesta solicită prezența unui fișier ITL (Fig. 2). Dacă se află pe serverul TFTP, atunci, având încredere orbită, îl încarcă în memoria sa internă și îl stochează până la următoarea repornire. După descărcarea fișierului ITL, telefonul solicită un fișier de configurare semnat.

Acum să vedem cum putem folosi instrumentele de criptare - semnarea unui fișier utilizând funcțiile hash MD5 sau SHA și criptarea folosind cheia privată a serverului TFTP (Fig. 3). Lucrul special despre funcțiile hash este că sunt funcții unidirecționale. Pe baza hash-ului primit din orice fișier, este imposibil să efectuați operația inversă și să obțineți exact dosarul original. Când un fișier este modificat, hash-ul obținut din acest fișier se schimbă și el. Este de remarcat faptul că hash-ul nu este scris în fișierul în sine, ci este pur și simplu atașat la acesta și transmis împreună cu acesta.

Fig.3 Semnarea fișierului de configurare a telefonului

La formarea unei semnături, fișierul de configurare în sine este preluat, hash-ul este extras din acesta și criptat cu cheia privată a serverului TFTP (pe care o are doar serverul TFTP).
Când primește acest fișier de setări, telefonul verifică inițial integritatea acestuia. Ne amintim că un hash este o funcție unidirecțională, așa că telefonul nu mai are nimic de făcut decât să separe hash-ul criptat de serverul TFTP din fișierul de configurare, să-l decripteze folosind cheia publică TFTP (și cum îl cunoaște telefonul IP). - și doar din fișierul ITL), dintr-un fișier de configurare curat, calculați hash-ul și comparați-l cu ceea ce am primit în timpul decriptării. Dacă hash-ul se potrivește, înseamnă că nu s-au făcut modificări fișierului în timpul transmiterii și poate fi utilizat în siguranță pe telefon (Fig. 4).

Fig.4 Verificarea fișierului de configurare cu un telefon IP

Fișierul de configurare semnat pentru telefon este afișat mai jos:

Orez. 5 Fișier de telefon IP semnat în Wireshark

Prin semnarea fișierului de configurare, am putut să asigurăm integritatea fișierului de setări transferat, dar nu l-am protejat de vizualizare. Puteți obține destul de multe din fișierul de configurare capturat Informatii utile, de exemplu, adresa IP a unei centrale telefonice (în exemplul nostru este 192.168.1.66) și porturi deschise la gară (2427) etc. Nu este o informație destul de importantă pe care nu ați dori să „străluciți” doar pe Internet? Pentru a ascunde aceste informații, producătorii oferă utilizarea criptare simetrică(aceeași cheie este folosită pentru criptare și decriptare). Într-un caz, cheia poate fi introdusă manual în telefon, în alt caz, fișierul de configurare al telefonului este criptat la stație folosind cheia publică a telefonului. Înainte de a trimite fișierul către telefon, serverul tftp pe care este stocat acest fișier îl criptează folosind cheia publică a telefonului și îl semnează folosind cheia sa privată (astfel asigurăm nu numai secretul, ci și integritatea fișierele transferate). Principalul lucru aici este să nu ne confuzi cu privire la cine folosește ce cheie, dar haideți să o luăm în ordine: serverul tftp, prin criptarea fișierului cu cheia publică a telefonului IP, s-a asigurat că numai proprietarul cheii publice asociate poate deschide acest fișier. Prin semnarea fișierului cu cheia sa privată, serverul tftp confirmă că el a fost cel care l-a creat. Fișierul criptat este prezentat în Figura 6:

Fig.6 Fișier telefon IP criptat

Așadar, în acest moment, ne-am uitat la protejarea fișierelor de configurare a telefonului împotriva vizualizării și la asigurarea integrității acestora. Aici se termină funcționalitatea Security by Default. Pentru a asigura criptarea traficului vocal, ascunderea informațiilor de semnalizare (despre cine sună și unde să sune), este necesar instrumente suplimentare, pe baza listei de certificate de încredere - CTL, pe care o vom lua în considerare în continuare.

Autentificare centrală telefonică

Când un telefon trebuie să comunice cu o centrală telefonică (de exemplu, pentru a negocia o conexiune TLS pentru schimbul de semnalizare), telefonul IP trebuie să autentifice centrala. După cum ați putea ghici, certificatele sunt, de asemenea, utilizate pe scară largă pentru a rezolva această problemă. În prezent, stațiile IP moderne constau dintr-un număr mare de elemente: mai multe servere de semnalizare pentru procesarea apelurilor, un server de administrare dedicat (prin el se adaugă telefoane noi, utilizatori, gateway-uri, reguli de rutare etc.), un server TFTP dedicat pt. stocarea fișierelor de configurare și a software-ului pentru telefoane, un server pentru difuzarea muzicii în așteptare etc., în plus, infrastructura de voce poate avea mesageria vocală, server pentru determinarea stării curente a abonatului (online, offline, „la prânz”) - lista este impresionantă și, cel mai important, fiecare server are propriul său certificat autosemnat și fiecare funcționează ca o autoritate de certificare rădăcină (Fig. 7). Din acest motiv, orice server din infrastructura de voce nu va avea încredere în certificatul altui server, de exemplu, un server de voce nu are încredere într-un server TFTP, mesageria vocală nu are încredere într-un server de semnalizare și, în plus, telefoanele trebuie să stocheze certificatele de toate elementele care participă la schimbul de trafic de semnalizare. Certificatele centralei telefonice sunt prezentate în Figura 7.

Fig.7 Certificate auto-semnate de stație Cisco IP

Pentru sarcinile de stabilire a relațiilor de încredere între elementele descrise mai sus din infrastructurile de voce, precum și criptarea traficului de voce și semnalizare, intră în joc așa-numita Listă de încredere în certificate (CTL). CTL conține toate certificatele autosemnate ale tuturor serverelor din clusterul stației de voce, precum și cele care participă la schimbul de mesaje de semnalizare telefonică (de exemplu, un firewall) și acest fișier este semnat cu cheia privată a unei autorități de certificare de încredere. (Fig. 8). Fișierul CTL este echivalent cu certificatele instalate care sunt utilizate în browserele web atunci când lucrează cu protocolul https.

Fig.8 Lista certificatelor de încredere

Pentru a crea un fișier CTL pe echipamentul Cisco, veți avea nevoie de un PC cu un conector USB, de programul client CTL instalat pe acesta și de site-ul Administrator Security Token (SAST) însuși (Fig. 9), care conține o cheie privată și un certificat X.509v3 semnat de un producător al centrului de autentificare (Cisco).

Fig.9 eToken Cisco

Clientul CTL este un program care este instalat pe un PC Windows și cu ajutorul căruia puteți transfera ÎNTREAGA centrală telefonică în așa-numitul mod mixt, adică un mod mixt care susține înregistrarea dispozitivelor finale în moduri sigure și nesigure. Lansăm clientul, specificăm adresa IP centrală telefonică, introducem login/parola administrator și clientul CTL stabilește o conexiune TCP pe portul 2444 cu stația (Fig. 10). După aceasta, vor fi oferite doar două acțiuni:

Fig.10 Client Cisco CTL

După crearea fișierului CTL, tot ce rămâne este să reporniți serverele TFTP, astfel încât acestea să descarce noul fișier CTL creat și apoi să reporniți serverele de voce, astfel încât telefoanele IP să repornească și să descarce noul fișier CTL (32 kilobytes). Fișierul CTL descărcat poate fi vizualizat din setările telefonului IP (Fig. 11)

Fig. 11 Fișier CTL pe un telefon IP

Autentificarea punctului final

Pentru a vă asigura că numai punctele finale de încredere sunt conectate și înregistrate, trebuie implementată autentificarea dispozitivului. În acest caz, mulți producători folosesc o metodă deja dovedită - autentificarea dispozitivului folosind certificate (Fig. 12). De exemplu, în arhitectura de voce Cisco, acest lucru este implementat după cum urmează: există două tipuri de certificate pentru autentificare cu cheile publice și private corespunzătoare care sunt stocate pe telefon:
Certificat instalat de producător – (MIC). Certificatul instalat de producător conține o cheie de 2048 de biți, care este semnată de autoritatea de certificare a producătorului (Cisco). Acest certificat nu este instalat pe toate modelele de telefoane, iar dacă este instalat, atunci nu este nevoie să aveți un alt certificat (LSC).
Certificat de semnificație locală – (LSC) Un certificat de semnificație locală conține cheia publică a telefonului IP, care este semnată de cheia privată a centrului de autentificare local, care rulează pe centrala telefonică în sine, Funcția de proxy a autorității de certificare (CAPF).
Deci, dacă avem telefoane cu certificat MIC preinstalat, atunci de fiecare dată când telefonul se înregistrează la o stație, stația va solicita un certificat preinstalat de producător pentru autentificare. Cu toate acestea, dacă MIC-ul este compromis, înlocuirea acestuia necesită contactarea centrului de certificare al producătorului, ceea ce poate necesita mult timp. Pentru a nu depinde de timpul de răspuns al autorității de certificare a producătorului pentru a reemite un certificat de telefon compromis, este de preferat să utilizați un certificat local.

Fig. 12 Certificate pentru autentificarea dispozitivelor finale

În mod implicit, certificatul LSC nu este instalat pe telefonul IP și instalarea acestuia se poate face folosind un certificat MIB (dacă este disponibil), sau printr-o conexiune TLS (Transport Layer Security) folosind o cheie publică partajată generată manual de administrator la post și a intrat la telefon.
Procesul de instalare a unui certificat local semnificativ (LSC) pe telefon care conține cheia publică a telefonului semnată de o autoritate locală de certificare este prezentat în Figura 13:

Fig.13 Procesul de instalare a unui certificat LSC valabil local

1. După încărcarea telefonului IP, acesta solicită o listă de certificate de încredere (fișier CTL) și un fișier de configurare
2. Stația trimite fișierele solicitate
3. Din configurația primită, telefonul stabilește dacă trebuie să descarce un certificat local semnificativ (LSC) de la stație
4. Dacă la stație am configurat telefonul să instaleze un certificat LSC (vezi mai jos), pe care stația îl va folosi pentru a autentifica acest telefon IP, atunci trebuie să ne asigurăm că, la cererea de eliberare a unui certificat LSC, stația o emite acelei persoane căreia îi este destinată. În aceste scopuri, putem folosi un certificat MIC (dacă este disponibil), genera parolă de unică folosință la fiecare telefon și introduceți-l manual pe telefon sau nu utilizați deloc autorizarea.
Exemplul demonstrează procesul de instalare a LSC folosind generat

Produs de SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)

Specificația IETF, care descrie metode standard pentru toate componentele VPN, este Protocol Internet Securitatea sau IPSec este uneori numită tunelarea la al treilea nivel(Layer-3 Tunneling). IPSec furnizează metode standard pentru identificarea utilizatorilor sau computerelor la inițierea unui tunel, modalități standard prin care punctele terminale din tunel să utilizeze criptarea și metode standard pentru schimbul și gestionarea cheilor de criptare între punctele finale. Acest standard flexibil oferă mai multe moduri de a îndeplini fiecare sarcină. Metodele alese pentru o sarcină sunt de obicei independente de metodele utilizate pentru implementarea altor sarcini. Autentificarea poate fi realizată folosind specificația IPSec și este o componentă necesară a protocolului IPv6.

IPSec poate funcționa împreună cu L2TP, rezultând că cele două protocoale oferă o autentificare mai puternică, criptare standardizată și integritate a datelor. Trebuie remarcat faptul că specificația IPSec este centrată pe IP și, prin urmare, nu este utilă pentru traficul din alte protocoale de nivel de rețea. tunelul IPSecîntre două rețele locale poate suporta mai multe canale individuale de transmisie a datelor, rezultând aplicații de acest tip obțineți avantaje în ceea ce privește scalarea în comparație cu tehnologia de nivel al doilea.

Unii furnizori VPN folosesc o abordare diferită numită proxy de circuit sau VPN-uri de nivel 5. Această metodă operează deasupra stratului de transport și transmite traficul de la rețeaua protejată către retea publica Internet pentru fiecare priză separat. (Un socket IP este identificat prin combinația dintre o conexiune TCP și un anumit port sau un anumit port UDP. IP nu are un al cincilea strat de sesiune, dar operațiunile orientate spre socket sunt adesea numite operațiuni la nivel de sesiune.)

Criptarea informațiilor transmise între inițiatorul și terminatorul tunelului este adesea efectuată folosind Transport Layer Security (TLS), anterior protocolul Secure Sockets Layer (SSL). Pentru a standardiza trecerea autentificată prin firewall-uri, IETF a definit un protocol numit SOCKS, iar SOCKS 5 este utilizat în prezent pentru a standardiza implementarea brokerilor de canal.

În SOCKS 5 computer client stabilește un socket (sau sesiune) autentificat cu un server care acționează ca un proxy. Acest intermediar este singura cale comunicare prin firewall. Intermediarul, la rândul său, efectuează orice operațiuni solicitate de client. Deoarece omul din mijloc este conștient de trafic la nivel de socket, poate exercita un control strâns, cum ar fi blocarea anumitor aplicații de utilizator dacă nu au permisiunile necesare. În comparație, VPN-urile Layer 2 și Layer 3 de obicei pur și simplu deschid sau închid un canal pentru tot traficul dintr-un tunel autentificat. Aceasta poate fi o problemă dacă informațiile de la celălalt capăt al tunelului nu sunt garantate a fi sigure.

Trebuie remarcat faptul că există o relație între firewall-uri și VPN-uri. Dacă tunelurile sunt terminate pe echipamentul furnizorului de internet, atunci traficul va fi transmis prin rețeaua locală sau prin linia de comunicație cu furnizorul de internet într-o formă nesecurizată. Dacă punctul final este situat în spatele unui firewall, traficul tunelizat poate fi controlat utilizând controalele de acces ale firewall-ului, dar nu oferă nicio protecție suplimentară atunci când este transmis prin rețeaua locală. În acest caz punctul final va comunica cu firewall-ul pe un canal nesigur.

Plasarea unui punct final în interiorul unui firewall înseamnă de obicei deschiderea firewall-ului (de obicei, un anumit Port TCP). Unele companii aleg să aplice controlul accesului firewall pentru tot traficul, inclusiv traficul tunelizat, mai ales dacă cealaltă parte a tunelului este un utilizator a cărui strategie de securitate este necunoscută sau nedemn de încredere. Unul dintre beneficiile utilizării produselor de tunelizare care sunt strâns integrate cu firewall-ul este că puteți deschide un tunel, îi puteți aplica reguli de protecție pentru firewall și puteți direcționa traficul către un punct final de pe un anumit computer sau subrețea protejată de firewall.

Ca orice altă funcție de calcul, munca de a crea Rețele VPN efectuate cu ajutorul unui software. Între timp, software-ul VPN poate rula pe o mare varietate de platforme hardware. Routerele sau comutatoarele Layer 3 pot suporta funcționalitatea VNP în mod implicit (sau ca o caracteristică opțională oferită la un cost). Firewall-urile bazate pe hardware și software includ adesea module VPN cu sau fără controale de trafic. Unele dispozitive combinate de margine includ un router, firewall, instrumente de management debituluiși funcții VPN (precum și modul de configurare). În cele din urmă, rândul este clar produse software rulează pe serverele corespunzătoare, memorează în cache paginile Web și implementează funcții de firewall și VPN.

Mecanismul VPN este de neconceput fără identificare. Infrastructura cu chei publice (PKI) pentru identificarea electronică și gestionarea cheilor publice este acum curentă. Cel mai bine este să stocați datele PKI într-un director global care poate fi accesat utilizând protocolul LDAP (Lightweight Directory Access Protocol).