Securitatea telefoniei IP: protecție maximă pentru rețelele IP corporative. Rezolvarea problemei de securitate este o abordare integrată. Probleme de securitate a informațiilor în VoIP

ÎN lumea modernă Informația este una dintre cele mai valoroase resurse, așa că protejarea acesteia este o sarcină importantă. Convorbirile telefonice joacă un rol semnificativ în activitatea unei organizații la orice nivel. Datorită popularității tot mai mari a telefoniei IP, problema asigurării securității acesteia în general și Confidențialitatea conversațiilorîn special.

Cunoașterea principalelor surse de pericol pentru rețelele de telefonie IP, precum și înțelegerea modului de eliminare a acestor amenințări, va ajuta la păstrarea reputației și a resurselor financiare ale companiei. În ciuda faptului că articolul descrie soluții pentru platforma gratuită Asterisk, problema este relevantă pentru orice alte platforme de telefonie IP.

Principalele tipuri de amenințări pentru rețelele VoIP:

• Interceptarea și manipularea datelor

Cea mai comună vulnerabilitate retelele telefonice, mai ales periculos pentru telefonia IP. În cazul telefoniei IP, atacatorul nu are nevoie acces fizic la linia de date. Un dispozitiv de interceptare situat în interiorul unei rețele corporative poate fi detectat, cel mai probabil, interceptarea externă este aproape imposibil de urmărit. În plus, datele sau vocea interceptate pot fi transmise în continuare cu modificări. În astfel de circumstanțe, întregul flux de voce necriptat trebuie considerat nesigur.

• Înlocuirea și piratarea datelor utilizatorilor

Refuzul utilizării sau simplificarea mecanismelor de autentificare și autorizare în telefonia IP deschide posibilitatea unui atacator de a obține acces neautorizat la sistem prin înlocuirea datelor utilizatorului cu propriile lor. De asemenea, este posibil să piratați acreditările utilizatorului prin forță brută sau prin interceptarea canalelor de comunicare nesecurizate. O astfel de vulnerabilitate poate fi folosită pentru a efectua apeluri costisitoare în detrimentul victimei, anulând toate beneficiile posibile din utilizarea telefoniei IP. De asemenea, această gaură de securitate poate fi folosită pentru a primi apeluri destinate a fi piratate sau pentru a înregistra apeluri interceptate pe mass-media atacatorului, pentru a utiliza aceste informații în beneficiul personal.

• Limitare de disponibilitate

Un tip de atac este Denial of Service (DoS). Acest atac are ca scop depășirea sarcinii maxime a sistemului cu un număr mare de apeluri scurte sau gunoi de informații. Fără monitorizarea constantă a semnelor unor astfel de atacuri și utilizarea măsurilor de protecție pasivă, acest lucru duce la faptul că serverele de telefonie IP nu pot face față sarcinii crescute și nu pot deservi abonații conectați.

Securitatea telefoniei IP – o abordare integrată!

Când proiectați oricare Sistem de comunicatii Este important să înțelegeți că nicio soluție tehnică independentă de securitate nu poate oferi protecție absolută împotriva tuturor amenințărilor posibile.

După ce am analizat principalele surse de amenințări la securitatea telefoniei IP, putem identifica criteriile cheie de securitate:

• Confidențialitate

Necesitatea de a asigura protecția traficului de telefonie IP pentru a preveni interceptarea sau interceptarea apelurilor telefonice, modificările informațiilor transmise și furtul acreditărilor utilizatorului.

• Integritate

Asigurarea că informațiile transmise nu sunt manipulate de utilizatori neautorizați, care solicită îndeplinirea anumitor sarcini sau funcții ( de exemplu, efectuarea unui apel sau efectuarea de modificări la setările sistemului de telefonie IP) inițiate de utilizatori sau aplicații autorizate.

• Disponibilitate

Funcționarea neîntreruptă a unui sistem de telefonie IP corporativă în fața atacurilor DoS, a diverșilor viermi, viruși etc.

Cum se protejează telefonia IP?

Să ne uităm la cel mai puțin sigur și, în același timp, unul dintre cele mai comune exemple de implementare a telefoniei IP.

Figura 1 - Implementarea telefoniei IP

Bazat pe server de telefonie IP-PBX Asterisk are acces direct la Internet pentru a deservi filialele de la distanță și pentru a comunica cu un furnizor SIP care oferă acces la liniile de comunicație externe. Autentificarea utilizatorului are loc prin adrese IP.

Rezolvarea problemelor securitatea informatiei trebuie să fie cuprinzătoare, deoarece fiecare metodă de protecție nu numai că acoperă partea sa din perimetrul informațional, ci completează și alte soluții.

Configurarea unui server de telefonie

Ultima linie de apărare este serverul de telefonie IP însuși. Există mai multe metode clasice pentru a proteja un server de atacuri.

Metoda de protectie	Descriere
Aplicarea unei politici puternice de parole	Obținerea acreditărilor folosind forța brută necesită o investiție semnificativă de timp și resurse de calcul, complexarea parolelor va face această metodă de atac nepractică
Dezactivarea apelurilor pentru oaspeți	Numai utilizatorii sistemului au permisiunea de a efectua apeluri. Cu această setare puteți bloca încercările de a apela din exterior fără autorizație prealabilă
Dezactivarea răspunsului la parola greșită	În mod implicit, Asterisk generează o eroare de parolă incorectă pentru un cont existent și alta pentru un cont inexistent. Există multe programe pentru ghicirea parolelor, așa că nu ar fi dificil pentru un atacator să verifice toate numerele scurte și să colecteze parole doar pentru conturile existente care au răspuns „parolă greșită”.
Utilizarea sistemelor de blocare a accesului după încercări eșuate de înregistrare	Vizualizarea rapoartelor de sistem pentru a detecta încercările de hacking vă va permite să izolați și să blocați adresa IP a atacatorului. Astfel, puteți reduce cantitatea de trafic SIP nedorit și vă puteți proteja de mai multe încercări de hacking
Restricționarea direcțiilor de apel disponibile pentru abonați, aplicarea schemei „totul cu excepția a ceea ce este permis” este interzisă	Dacă un atacator obține acreditările utilizatorului sistemului, acesta va putea efectua apeluri numai către anumite direcții. Acest lucru va evita efectuarea neautorizată a apelurilor internaționale costisitoare
Verificări regulate ale sistemului pentru încercări de hacking, monitorizare a parametrilor	Organizarea unui sistem de monitorizare a stării sistemului va îmbunătăți calitatea telefoniei IP și va nota parametrii tipici pentru o anumită configurație. Abaterile acestor parametri de la valorile standard obținute vor ajuta la identificarea problemelor cu echipamentele, canalele de comunicare și la identificarea încercărilor de intruziune ale intrușilor

Aplicarea firewall-urilor

Firewall permite trecerea trafic de ieșire de la serverul de telefonie la furnizorul SIP și filtrează mesajele primite după anumite reguli. O soluție rațională poate fi considerată închiderea tuturor porturilor de rețea pentru telefonia IP pe firewall, cu excepția celor necesare pentru funcționarea și administrarea corectă a acestuia. Este recomandabil să folosiți aceeași metodă de protecție pe serverul de telefonie în sine pentru a-l proteja de atacurile interne.

Astfel, serverul de telefonie este accesibil din rețele externe doar prin anumite porturi de serviciu, conexiuni la care, din motive de securitate, se vor realiza prin criptare.

Criptarea convorbirilor telefonice

Pentru protecția negocierilor confidențialeși pentru a minimiza posibilitatea ca informațiile confidențiale sau comerciale să cadă în mâinile unui atacator, este necesar să se protejeze canale deschise date de comunicații de la interceptare și interceptare.

Deoarece pentru a efectua un apel, clientul și serverul fac mai întâi schimb de date de serviciu pentru a stabili o conexiune, această problemă poate fi împărțită în două componente - protejarea datelor serviciului de telefonie IP și protejarea traficului vocal. Ca măsură de securitate, protocolul TLS (Transport Layer Security) poate fi utilizat pentru a proteja semnalele SIP și protocolul SRTP (Secure Real Time Protocol) pentru a proteja traficul de voce.

Figura 2 - Criptarea telefoniei IP

TLS este un protocol criptografic care asigură transferul securizat de date între nodurile unei rețele și este metoda standard pentru criptarea protocolului SIP. TLS asigură confidențialitatea și integritatea informațiilor transmise și asigură autentificarea.

După stabilirea unei conexiuni securizate, începe transmiterea datelor vocale, care pot fi securizate folosind protocolul SRTP.

Protocolul SRTP este considerat unul dintre cele mai bune moduri Protecție de telefonie IP bazată pe Asterisk IP-PBX. Principalul avantaj al acestui protocol este absența oricărui impact asupra calității comunicării. Modul în care funcționează protocolul SRTP arată astfel: fiecărui apel pe care îl efectuați i se atribuie a cod unic, ceea ce face aproape imposibil ca utilizatorii neautorizați să asculte cu urechea conversațiilor. Acest lucru face ca SRTP să fie protocolul preferat atât pentru apelurile obișnuite, cât și pentru cele private.

Nu trebuie să uităm de necesitatea de a proteja conexiunea serverului de telefonie la canalele de comunicare externe ( conexiune mobilă, rețele publice de telefonie).

Folosind tuneluri VPN criptate

Dacă este necesar să se organizeze sisteme cu cerințe sporite pentru protecția telefoniei IP, este posibil să se conecteze utilizatori la distanță prin rețele private virtuale (VPN). Conținutul pachetelor interceptate trimise prin tuneluri VPN criptate este de înțeles doar deținătorii cheii de criptare. Aceeași metodă poate fi folosită pentru a securiza conexiunile la furnizorii de servicii de telefonie IP. În prezent, mulți furnizori VoIP oferă conexiuni VPN.

Figura 3 - Schema de funcționare a telefoniei IP printr-un tunel VPN

in orice caz Tehnologia VPN are o serie de dezavantaje care îi limitează utilizarea:

• reducerea calității comunicațiilor din cauza întârzierilor create de criptare;
• sarcină crescută pe canalele și echipamentele de comunicație cauzată de necesitatea criptării;
• creșterea complexității structurii rețelei.

Aplicarea metodelor enumerate de protecție a serverului va minimiza probabilitatea de hacking, iar dacă sistemul de securitate este ocolit cu succes, va minimiza daunele.

Figura 4 - Protecția cuprinzătoare a telefoniei IP

Din păcate, niciun set de măsuri nu poate oferi o garanție absolută a siguranței. Aspectele discutate mai sus rezolvă doar parțial problema construcției sistem de comunicare securizat. În practică, ar trebui luată în considerare întreaga infrastructură a rețelei corporative și ar trebui efectuată o analiză aprofundată a nivelului de protecție necesar. Este necesar să se țină cont nu numai de necesitatea de a asigura securitatea telefoniei IP, dar și accesul la canale de comunicare externe (comunicații mobile, rețele publice de telefonie). Doar această abordare, împreună cu îmbunătățirea constantă a sistemelor de securitate a informațiilor, va crea un sistem fiabil și sigur.

Pentru a crea o protecție completă împotriva interceptării, este necesar să „ascundeți” serverul de telefonie IP, pentru care soluția „Server în Israel” este excelentă.

Integrarea sistemului. Consultanta

Un sistem de telefonie IP trebuie să ofere două niveluri de securitate: sistem și apel.

Următoarele funcții sunt utilizate pentru a asigura securitatea sistemului:

Prevenirea accesului neautorizat la rețea prin utilizarea unui cuvânt de cod partajat. Cuvântul de cod este calculat simultan folosind algoritmi standard pe sistemele de inițiere și terminare, iar rezultatele obținute sunt comparate. Când se stabilește o conexiune, fiecare dintre cele două sisteme de telefonie IP identifică inițial celălalt sistem; Dacă apare cel puțin un rezultat negativ, conexiunea este întreruptă.

• Liste de acces care includ toate gateway-urile de telefonie IP cunoscute.
• Înregistrați refuzurile de acces.
• Funcții de securitate ale interfeței de acces, inclusiv verificarea ID-ului utilizatorului și a parolei cu acces limitat de citire/scriere, verificarea drepturilor de acces la un server WEB special pentru administrare.
• Funcții de securitate a apelurilor, inclusiv verificarea ID-ului utilizatorului și a parolei (opțional), statutul utilizatorului, profilul de abonat.

Atunci când un gateway stabilește o conexiune cu un alt gateway din zona sa, se efectuează o verificare opțională a ID-ului utilizatorului și a parolei. Utilizatorul poate fi lipsit de drepturi de acces în orice moment.

Într-adevăr, în timpul dezvoltării protocolului IP, nu s-a acordat atenția cuvenită problemelor de securitate a informațiilor, dar de-a lungul timpului situația s-a schimbat, iar aplicațiile moderne bazate pe IP conțin suficiente mecanisme de securitate. Iar soluțiile din domeniul telefoniei IP nu pot exista fără implementarea tehnologiilor standard de autentificare și autorizare, control al integrității și criptare etc. Pentru claritate, să luăm în considerare aceste mecanisme întrucât sunt utilizate în diferite etape ale organizării unei convorbiri telefonice, începând cu ridicarea receptoarele telefonice și terminând cu un semnal de închidere.

1. Telefon.

În telefonia IP, înainte ca telefonul să trimită un semnal pentru a stabili o conexiune, abonatul trebuie să-și introducă ID-ul și parola pentru a accesa dispozitivul și funcțiile acestuia. Această autentificare vă permite să blocați orice acțiuni ale străinilor și să nu vă faceți griji că utilizatorii altor persoane vor apela un alt oraș sau țară pe cheltuiala dvs.

2. Stabilirea unei conexiuni.

După formarea numărului, semnalul de stabilire a conexiunii este trimis către serverul corespunzător de gestionare a apelurilor, unde sunt efectuate o serie de verificări de securitate. Primul pas este verificarea autenticității telefonului în sine, atât prin utilizarea protocolului 802.1x, cât și prin certificate de cheie publică integrate în infrastructura de telefonie IP. Această verificare vă permite să izolați telefoanele IP neautorizate instalate în rețea, în special într-o rețea cu adresare dinamică. Fenomene similare cu notoriile centre de apel vietnameze sunt pur și simplu imposibile în telefonia IP (desigur, cu condiția să fie respectate regulile pentru construirea unei rețele telefonice securizate).

Cu toate acestea, problema nu se limitează la autentificarea telefonică - este necesar să se afle dacă abonatul are dreptul să sune numărul pe care l-a format. Acesta nu este atât un mecanism de securitate, cât este o măsură de prevenire a fraudei. Dacă un inginer al companiei nu are voie să folosească comunicare la distanță lungă, atunci regula corespunzătoare este înregistrată imediat în sistemul de gestionare a apelurilor și indiferent de la ce telefon se face o astfel de încercare, aceasta va fi imediat oprită. În plus, puteți specifica măști sau intervale numere de telefon, pe care un anumit utilizator are dreptul să îl apeleze.

În cazul telefoniei IP, problemele de comunicare similare cu supraîncărcările de linie în telefonia analogică sunt imposibile: cu proiectarea corectă a rețelei cu conexiuni de rezervă sau duplicarea serverului de control al apelurilor, defecțiunea elementelor infrastructurii de telefonie IP sau supraîncărcarea acestora nu are un impact negativ asupra funcționării rețelei.

3. Convorbire telefonică.

În telefonia IP, a fost oferită încă de la început o soluție la problema protecției împotriva interceptării. Un nivel ridicat de confidențialitate al comunicațiilor telefonice este asigurat de algoritmi și protocoale dovediți (DES, 3DES, AES, IPSec etc.) fără costuri pentru organizarea unei astfel de protecție - toate mecanismele necesare (criptare, control al integrității, hashing, schimb de chei). , etc.) au fost deja implementate în elemente de infrastructură, de la un telefon IP la un sistem de gestionare a apelurilor. În același timp, protecția poate fi folosită cu succes egal atât pentru conversațiile interne, cât și pentru cele externe (în acest din urmă caz, toți abonații trebuie să folosească telefoane IP).

Cu toate acestea, există o serie de probleme asociate cu criptarea pe care trebuie să le țineți cont atunci când implementați o infrastructură VoIP. În primul rând, există o întârziere suplimentară din cauza criptării/decriptării, iar în al doilea rând, costurile generale cresc ca urmare a creșterii lungimii pachetelor transmise.

4. Funcționalitate invizibilă.

Până acum am luat în considerare doar acele pericole la care este expusă telefonia tradițională și care pot fi eliminate prin introducerea telefoniei IP. Dar trecerea la protocolul IP aduce cu sine o serie de noi amenințări care nu pot fi ignorate. Din fericire, există deja soluții, tehnologii și abordări bine dovedite pentru a proteja împotriva acestor amenințări. Majoritatea nu necesită nicio investiție financiară, fiind deja implementate în echipamente de rețea, care stau la baza oricărei infrastructuri de telefonie IP.

Cel mai simplu lucru care poate fi făcut pentru a îmbunătăți securitatea convorbirilor telefonice atunci când acestea sunt transmise prin același sistem de cablu ca datele obișnuite este segmentarea rețelei folosind tehnologia VLAN pentru a preveni utilizatorii obișnuiți să asculte conversațiile. Rezultate bune se obțin prin utilizarea unui spațiu de adrese separat pentru segmentele de telefonie IP. Și, bineînțeles, nu ar trebui să reduceți regulile de control al accesului pe routere (Lista de control al accesului, ACL) sau firewall-uri, a căror utilizare face dificilă conectarea atacatorilor la segmentele de voce.

5. Comunicarea cu lumea exterioară.

Indiferent de beneficiile oferite de telefonia IP în cadrul rețelei interne ale companiei, acestea vor fi incomplete fără posibilitatea de a efectua și primi apeluri către numere de telefon fix. În acest caz, de regulă, apare sarcina de a converti traficul IP într-un semnal transmis prin rețeaua publică de telefonie (PSTN). Se rezolvă prin utilizarea unor gateway-uri speciale de voce, care implementează și unele funcții de protecție, iar cea mai importantă dintre ele este blocarea tuturor protocoalelor de telefonie IP (H.323, SIP etc.) dacă mesajele lor provin dintr-un segment non-vocal. .

Pentru a proteja elementele infrastructurii de voce de eventuale influențe neautorizate, pot fi utilizate soluții specializate - firewall-uri (FWE), aplicații layer gateway (ALG) și controlere de frontieră de sesiune (Session Border Controller). În special, RTP utilizează porturi UDP dinamice, care, atunci când sunt deschise pe un firewall, creează o gaură de securitate. Prin urmare, firewall-ul trebuie să determine în mod dinamic porturile folosite pentru comunicare, să le deschidă în momentul conexiunii și să le închidă când este finalizată. O altă caracteristică este că o serie de protocoale, de exemplu, SIP, plasează informații despre parametrii de conexiune nu în antetul pachetului, ci în corpul de date. Prin urmare, dispozitivul de securitate trebuie să fie capabil să analizeze nu doar antetul, ci și corpul de date al pachetului, extragând din acesta toate informațiile necesare organizării unei conexiuni vocale. O altă limitare este dificultatea de a folosi împreună porturile dinamice și NAT.

Articolul a fost scris special pentru linkmeup.

=======================

Bună ziua, colegi și prieteni, eu, Vadim Semenov, împreună cu echipa de proiect network-class.net, vă prezint un articol de recenzie care atinge principalele tendințe și amenințări în telefonia IP și, cel mai important, acele instrumente de protecție care acest moment este oferit de producător ca protecție (în limbajul specialiștilor în securitate, să luăm în considerare ce instrumente oferă producătorul pentru a reduce vulnerabilitățile care pot fi exploatate de persoane nelegitime). Deci, mai puține cuvinte - să trecem la treabă.
Pentru mulți cititori s-a format de mult termenul de telefonie IP, precum și faptul că această telefonie este „mai bună”, mai ieftină în comparație cu telefonia publică (PSTN), bogată în diverse funcții suplimentare etc. Și acest lucru este adevărat, totuși... parțial. Pe măsură ce trecem de la telefonia analogică (digitală) cu sistemul nostru linii de abonat(de la telefonul abonatului la stația sau extensia stației) și liniile de legătură (linia de comunicație între stații) se aflau nu mai puțin decât numai în zona de acces și control a furnizorului de telefonie. Cu alte cuvinte, oamenii obișnuiți nu aveau acces acolo (sau practic, dacă nu țineți cont de canalul de cablu). Îmi amintesc o întrebare de pe forumul vechi de hackeri: „Spune-mi cum să obțin acces la PBX? - răspunde: „Ei bine, luați un buldozer, loviți peretele clădirii centralei telefonice și voilà.” Și această glumă are partea ei de adevăr) Cu toate acestea, odată cu transferul telefoniei într-un mediu IP ieftin, am primit în plus și amenințările pe care le prezintă un mediu IP deschis. Un exemplu de amenințări dobândite este următorul:

• Sniffing porturi de semnal pentru a se comita apeluri cu taxă pe cheltuiala altcuiva
• Ascultarea prin interceptarea pachetelor de voce IP
• Interceptarea apelurilor, utilizator nelegitim care se prezintă drept utilizator legitim, atac de tip om-in-the-middle
• Atacurile DDOS asupra serverelor de semnalizare a stațiilor pentru a dezactiva toată telefonia
• Atacurile de spam, colaps cantitate mare apeluri fantomă către o stație pentru a-și ocupa toate resursele gratuite

În ciuda necesității evidente de a elimina toate vulnerabilitățile posibile pentru a reduce probabilitatea unui anumit atac, de fapt, implementarea anumitor măsuri de protecție trebuie să înceapă cu întocmirea unui program care să ia în considerare costul implementării măsurilor de protecție împotriva unei anumite amenințări. și pierderile întreprinderii din implementarea acestei amenințări de către atacatori. La urma urmei, este o prostie să cheltuim mai mulți bani pentru securitatea unui activ decât valoarea activului în sine pe care îl protejăm.
După ce am stabilit bugetul de securitate, vom începe să eliminăm exact acele amenințări care sunt cele mai probabile pentru companie, de exemplu, pentru o organizație mică, va fi cel mai dureros să primim o factură mare pentru apeluri imperfecte la distanță și internaționale, în timp ce; pentru companiile publice este cel mai important să se păstreze confidențialitatea conversațiilor. Să începem analiza noastră treptată în articolul curent cu lucruri de bază - aceasta oferă o modalitate sigură de a furniza date de serviciu de la stație la telefon. În continuare, vom lua în considerare autentificarea telefoanelor înainte de a le conecta la stație, autentificarea stației de la telefoane și criptarea traficului de semnalizare (pentru a ascunde informații despre cine apelează și unde) și criptarea traficului conversațional.
Mulți producători de echipamente de voce (inclusiv Cisco Systems) au deja instrumente de securitate integrate, de la limitarea obișnuită a gamei de adrese IP de la care pot fi efectuate apeluri până la autentificare. dispozitive terminale conform certificatului. De exemplu, producătorul Cisco Systems cu linia sa de produse vocale CUCM (Cisco Unified CallManager) a început să integreze funcția „Security by Default” din versiunea 8.0 a produsului (data de lansare mai 2010; versiunea 10.5 din mai 2014 este disponibilă în prezent). Ce include:

• Autentificarea tuturor fișierelor descărcate prin/din TFTP ( fișierele de configurare, fișiere firmware pentru telefoane etc.)
• Criptarea fișierelor de configurare
• Verificarea certificatului cu telefonul inițialând conexiunea HTTPS

Să ne uităm la un exemplu de atac „om la mijloc”, când o persoană nelegitimă interceptează fișierele de configurare pentru telefoane, de la care telefonul învață la ce stație să se înregistreze, pe ce protocol să lucreze, pe ce firmware să descarce etc. După ce a interceptat fișierul, atacatorul va putea să-și facă propriile modificări sau să șteargă complet fișierul de configurare, împiedicând astfel telefoanele întregului birou (vezi figura) să se înregistreze la stație și, în consecință, privând biroul de capacitatea de a efectua apeluri.

Fig.1 Atacul omului din mijloc

Pentru a ne proteja împotriva acestui lucru, vom avea nevoie de cunoștințe despre criptarea asimetrică, infrastructura cheii publice și o înțelegere a componentelor Security by Default, pe care le vom introduce acum: Identity Trust List (ITL) și Trust Verification Service (TVS). TVS este un serviciu conceput pentru a procesa cereri de la telefoanele IP care nu au un fișier ITL sau CTL în memoria internă. Telefonul IP contactează TVS dacă trebuie să se asigure că poate avea încredere într-un anumit serviciu înainte de a începe să îl acceseze. Stația acționează și ca un depozit care stochează certificate ale serverelor de încredere. La rândul său, ITL este o listă de chei publice ale elementelor stației care alcătuiesc clusterul, dar este important pentru noi ca acolo să fie stocate cheia publică a serverului TFTP și cheia publică a serviciului TVS. Când telefonul pornește inițial, când telefonul și-a primit adresa IP și adresa serverului TFTP, acesta solicită prezența unui fișier ITL (Fig. 2). Dacă se află pe serverul TFTP, atunci, având încredere orbită, îl încarcă pe acesta memorie internași stochează până la următoarea repornire. După descărcarea fișierului ITL, telefonul solicită un fișier de configurare semnat.

Acum să vedem cum putem folosi instrumentele de criptare - semnarea unui fișier utilizând funcțiile hash MD5 sau SHA și criptarea folosind cheia privată a serverului TFTP (Fig. 3). Lucrul special despre funcțiile hash este că sunt funcții unidirecționale. Pe baza hash-ului primit de la orice fișier, este imposibil să efectuați operația inversă și să obțineți exact fișierul original. Când un fișier este schimbat, hash-ul obținut din acest fișier se schimbă și el. Este de remarcat faptul că hash-ul nu este scris în fișierul în sine, ci este pur și simplu atașat la acesta și transmis împreună cu acesta.

Fig.3 Semnarea fișierului de configurare a telefonului

La formarea unei semnături, fișierul de configurare în sine este preluat, hash-ul este extras din acesta și criptat cu cheia privată a serverului TFTP (pe care o are doar serverul TFTP).
Când primește acest fișier de setări, telefonul verifică inițial integritatea acestuia. Ne amintim că un hash este o funcție unidirecțională, așa că telefonul nu mai are nimic de făcut decât să separe hash-ul criptat de serverul TFTP din fișierul de configurare, să-l decripteze folosind cheia publică TFTP (și cum îl cunoaște telefonul IP). - și doar din fișierul ITL), dintr-un fișier de configurare curat, calculați hash-ul și comparați-l cu ceea ce am primit în timpul decriptării. Dacă hash-ul se potrivește, înseamnă că nu s-au făcut modificări fișierului în timpul transmiterii și poate fi utilizat în siguranță pe telefon (Fig. 4).

Fig.4 Verificarea fișierului de configurare cu un telefon IP

Fișierul de configurare semnat pentru telefon este afișat mai jos:

Orez. 5 Fișier de telefon IP semnat în Wireshark

Prin semnarea fișierului de configurare, am putut să asigurăm integritatea fișierului de setări transferat, dar nu l-am protejat de vizualizare. Din fișierul de configurare capturat puteți obține o mulțime de informații utile, de exemplu, adresa IP a centralului telefonic (în exemplul nostru este 192.168.1.66) și porturi deschise la gară (2427) etc. Nu este o informație destul de importantă pe care nu ați dori să „străluciți” doar pe Internet? Pentru a ascunde aceste informații, producătorii oferă utilizarea criptare simetrică(aceeași cheie este folosită pentru criptare și decriptare). Într-un caz, cheia poate fi introdusă manual în telefon, în alt caz, fișierul de configurare al telefonului este criptat la stație folosind cheia publică a telefonului. Înainte de a trimite fișierul către telefon, serverul tftp pe care este stocat acest fișier îl criptează folosind cheia publică a telefonului și îl semnează folosind cheia sa privată (astfel asigurăm nu numai secretul, ci și integritatea fișierele transferate). Principalul lucru aici este să nu ne confuzi cu privire la cine folosește ce cheie, dar haideți să o luăm în ordine: serverul tftp, prin criptarea fișierului cu cheia publică a telefonului IP, s-a asigurat că numai proprietarul cheii publice asociate poate deschide acest fișier. Prin semnarea fișierului cu cheia sa privată, serverul tftp confirmă că el a fost cel care l-a creat. Fișierul criptat este prezentat în Figura 6:

Fig.6 Fișier telefon IP criptat

Deci, în acest moment, ne-am uitat la protejarea fișierelor de configurare a telefonului împotriva vizualizarii și la asigurarea integrității acestora. Aici se termină funcționalitatea Security by Default. Pentru a asigura criptarea traficului vocal, ascunderea informațiilor de semnalizare (despre cine sună și unde să sune), este necesar instrumente suplimentare, pe baza listei de certificate de încredere - CTL, pe care o vom lua în considerare în continuare.

Autentificare centrală telefonică

Când un telefon trebuie să comunice cu o centrală telefonică (de exemplu, pentru a negocia o conexiune TLS pentru schimbul de semnalizare), telefonul IP trebuie să autentifice centrala. După cum ați putea ghici, certificatele sunt, de asemenea, utilizate pe scară largă pentru a rezolva această problemă. În prezent, stațiile IP moderne constau dintr-un număr mare de elemente: mai multe servere de semnalizare pentru procesarea apelurilor, un server de administrare dedicat (prin el se adaugă telefoane noi, utilizatori, gateway-uri, reguli de rutare etc.), un server TFTP dedicat pt. stocarea fișierelor de configurare și software pentru telefoane, un server pentru difuzarea muzicii în așteptare etc., în plus, infrastructura vocală poate include mesageria vocală, un server pentru determinarea stării curente a abonatului (online, offline, „la prânz”) - lista este impresionantă și , cel mai important, fiecare server are propriul certificat autosemnat și fiecare funcționează ca o autoritate de certificare rădăcină (Fig. 7). Din acest motiv, orice server din infrastructura de voce nu va avea încredere în certificatul altui server, de exemplu, un server de voce nu are încredere într-un server TFTP, mesageria vocală nu are încredere într-un server de semnalizare și, în plus, telefoanele trebuie să stocheze certificatele de toate elementele care participă la schimbul de trafic de semnalizare. Certificatele centralei telefonice sunt prezentate în Figura 7.

Fig.7 Certificate auto-semnate de stație Cisco IP

Pentru sarcini de stabilire relații de încredereÎntre elementele descrise mai sus din infrastructurile de voce, precum și criptarea traficului de voce și semnalizare, intră în joc așa-numita Listă de încredere în certificate (CTL). CTL conține toate certificatele autosemnate ale tuturor serverelor din clusterul stației de voce, precum și cele care participă la schimbul de mesaje de semnalizare telefonică (de exemplu, un firewall) și acest fișier este semnat cu cheia privată a unei autorități de certificare de încredere. (Fig. 8). Fișierul CTL este echivalent cu certificatele instalate care sunt utilizate în browserele web atunci când lucrează cu protocolul https.

Fig.8 Lista certificatelor de încredere

Pentru a crea un fișier CTL pe Echipamente Cisco, veți avea nevoie de un PC cu conector USB, de programul client CTL instalat pe acesta și de Site Administrator Security Token (SAST) propriu-zis (Fig. 9), care conține o cheie privată și un certificat X.509v3 semnat de autentificarea producătorului centru (Cisco).

Fig.9 eToken Cisco

Clientul CTL este un program care este instalat pe un PC Windows și cu ajutorul căruia puteți transfera ÎNTREAGA centrală telefonică în așa-numitul mod mixt, adică un mod mixt care susține înregistrarea dispozitivelor finale în moduri sigure și nesigure. Lansăm clientul, precizăm adresa IP a centrală telefonică, introducem login/parola administrator și clientul CTL stabilește o conexiune TCP pe portul 2444 cu stația (Fig. 10). După aceasta, vor fi oferite doar două acțiuni:

Fig.10 Client Cisco CTL

După crearea fișierului CTL, tot ce rămâne este să reporniți serverele TFTP, astfel încât acestea să descarce noul fișier CTL creat și apoi să reporniți serverele de voce, astfel încât telefoanele IP să repornească și să descarce noul fișier CTL (32 kilobytes). Fișierul CTL descărcat poate fi vizualizat din setările telefonului IP (Fig. 11)

Fig. 11 Fișier CTL pe un telefon IP

Autentificare endpoint

Pentru a vă asigura că numai punctele finale de încredere sunt conectate și înregistrate, trebuie implementată autentificarea dispozitivului. În acest caz, mulți producători folosesc o metodă deja dovedită - autentificarea dispozitivului folosind certificate (Fig. 12). De exemplu, în arhitectura de voce Cisco, acest lucru este implementat după cum urmează: există două tipuri de certificate pentru autentificare cu cheile publice și private corespunzătoare care sunt stocate pe telefon:
Certificat instalat de producător - (MIC). Certificatul instalat de producător conține o cheie de 2048 de biți, care este semnată de autoritatea de certificare a producătorului (Cisco). Acest certificat nu este instalat pe toate modelele de telefoane, iar dacă este instalat, atunci nu este nevoie să aveți un alt certificat (LSC).
Certificat de importanță locală – (LSC) Un certificat valabil la nivel local conține cheia publică a telefonului IP, care este semnată de cheia privată a centrului de autentificare local, care rulează pe centrala telefonică în sine, Funcția de proxy a autorității de certificare (CAPF).
Deci, dacă avem telefoane cu certificat MIC preinstalat, atunci de fiecare dată când telefonul se înregistrează la o stație, stația va solicita un certificat preinstalat de producător pentru autentificare. Cu toate acestea, dacă MIC-ul este compromis, înlocuirea acestuia necesită contactarea centrului de certificare al producătorului, ceea ce poate necesita mult timp. Pentru a nu depinde de timpul de răspuns al autorității de certificare a producătorului pentru a reemite un certificat de telefon compromis, este de preferat să utilizați un certificat local.

Fig. 12 Certificate pentru autentificarea dispozitivelor finale

În mod implicit, certificatul LSC nu este instalat pe telefonul IP și instalarea acestuia se poate face folosind un certificat MIB (dacă este disponibil), sau printr-o conexiune TLS (Transport Layer Security) folosind o cheie publică partajată generată manual de administrator la post și a intrat la telefon.
Procesul de instalare a unui certificat local semnificativ (LSC) pe telefon care conține cheia publică a telefonului semnată de o autoritate locală de certificare este prezentat în Figura 13:

Fig.13 Procesul de instalare a unui certificat LSC valabil local

1. După încărcarea telefonului IP, acesta solicită o listă de certificate de încredere (fișier CTL) și un fișier de configurare
2. Stația trimite fișierele solicitate
3. Din configurația primită, telefonul stabilește dacă trebuie să descarce un certificat local semnificativ (LSC) de la stație
4. Dacă la stație am configurat telefonul să instaleze un certificat LSC (vezi mai jos), pe care stația îl va folosi pentru a autentifica acest telefon IP, atunci trebuie să ne asigurăm că, la cererea de eliberare a unui certificat LSC, stația o emite acelei persoane căreia îi este destinată. În aceste scopuri, putem folosi un certificat MIC (dacă este disponibil), genera parolă de unică folosință la fiecare telefon și introduceți-l manual pe telefon sau nu utilizați deloc autorizarea.
Exemplul demonstrează procesul de instalare a LSC folosind cheia generată.
La stația din modul setări telefon IP, indicăm că dorim să instalăm un certificat LSC pe telefon, iar instalarea va avea succes dacă introducem cheia de autentificare pe telefon, pe care am definit-o ca fiind 12345 (Fig. 14) .

Fig.14 Modul setări CAPF pe telefon

Intrăm în modul de configurare a telefonului și introducem cheia noastră (Fig. 15):

Fig.15 Cheie de autentificare pentru instalarea LSC

După aceasta, instalarea certificatului LSC pe telefon a avut succes (Fig. 16):

Fig.16 Setări de securitate pe telefonul IP

Particularitatea utilizării unui certificat LSC pentru autentificarea dispozitivelor finale este că, dacă certificatul în sine este compromis, acesta poate fi resemnat cu o nouă cheie privată de către autoritatea de certificare CAPF a centralului telefonic.

Deci, în acest moment am realizat securitatea nu numai a fișierelor descărcate, ci și autentificarea serverelor de semnalizare de la dispozitivele finale (telefoane IP), precum și a dispozitivelor finale în sine de la stație. Să luăm acum în considerare menținerea confidențialității conversațiilor prin criptarea traficului vocal și ascunderea informațiilor de semnalizare.

Criptarea conversației - SRTP

Să luăm în considerare ce oferă producătorul în prezent pentru a îndeplini cea mai populară sarcină - asigurarea confidențialității conversațiilor.
În mod standard, toate mesajele de alarmă și vocale sunt transmise către formă deschisă, așa cum se arată în Figura 17:

Fig.17 Deschideți mesajul SIP

Protocol securizat în timp real (SRTP) este un protocol RTP special dezvoltat, conceput pentru transmisia voce și video, dar completat cu mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise nu doar prin RTP, ci și prin RTCP. O aplicație vocală care acceptă SRTP trebuie să convertească pachetele RTP în SRTP înainte de a le trimite prin rețea. Operația inversă trebuie efectuată pe partea de recepție. Arhitectura SRTP definește două tipuri de chei: o cheie principală și o cheie de sesiune (pentru criptare și autentificare) (Figura 18). Cu toate acestea, SRTP nu reglementează procedura de schimb de chei principale în aceste scopuri este necesar să se utilizeze TLS sau IPSec. Pentru schimbul de chei, soluția standardizată pentru SRTP este MIKEY (Multimedia Internet Keying), dar pot fi utilizate și protocoale precum SDES și ZRTP.

Fig.18 Efectuarea unui apel folosind SRTP

Procesul de mesagerie SRTP:

• Telefonul și serverul schimbă certificate;
• Telefonul și serverul se autentifică reciproc;
• Telefonul creează chei TLS pentru autentificare SHA și criptare AES;
• Telefonul criptează cheile folosind cheia publică a stației și trimite. Stația decriptează folosind cheia privată;
• Stația schimbă cheile TLS cu fiecare dintre telefoane și începe schimbul securizat de mesaje de semnalizare telefonică (telefonul abonatului apelat sună);
• Stația creează chei de sesiune pentru autentificarea SRTP SHA și criptarea SRTP AES;
• Stația distribuie cheile de sesiune ambelor telefoane printr-o conexiune de semnalizare securizată;
• Telefoanele încep să facă schimb de trafic vocal printr-o conexiune SRTP securizată (persoana apelată ridică receptorul).

Activarea criptării și autentificării pe echipamentele Cisco este controlată de profilurile de securitate. Arată astfel (Fig. 19):

Fig.19 Profil de securitate pe Cisco CallManager

În el determinăm în ce mod se vor înregistra și vor funcționa dispozitivele finale (telefoanele). Când selectați opțiunea Nesigură, nici datele de semnal și nici vocea nu sunt criptate; Autentificat – mesajele de semnalizare sunt criptate, dar vocea nu este criptată; Criptat – atât semnalizarea, cât și vocea sunt criptate. Este posibil să selectați criptarea datelor de configurare. După crearea unui profil, trebuie să-l atribuiți telefonului dvs. (Fig. 20).

Fig.20 Profilul de securitate al telefonului pe Cisco CallManager

În momentul de față, am luat în considerare principalele puncte în securitatea telefoniei IP, care ne permit să luptăm împotriva principalelor amenințări la adresa telefoniei, cu toate acestea, acesta este doar vârful aisbergului întregii securități a infrastructurii de voce) Separat, este necesar să se ia în considerare securitatea fizică a infrastructurii (de exemplu, aici: GOST R ISO/IEC 17799-2005 Reguli practice de management securitatea informațiilor), iar un subiect separat poate fi dedicat securității rețelei. Sper că cei care au citit articolul până la capăt au fost mulțumiți de el și informațiile au fost utile.
Sunt gata să răspund la orice întrebări prin e-mail: [email protected]
Cu sprijinul proiectului network-class.net

2015. SwitchRay prezintă o soluție actualizată pentru a proteja IP PBX de fraudă

SwitchRay, un furnizor de top de soluții VoIP pentru operatorii de telecomunicații cu amănuntul și angro, furnizorii de servicii Internet, operatorii de rețele cu fir și fără fir, a anunțat disponibilitatea unei noi versiuni a produsului SR-P7000 v1.1 pentru prevenirea fraudei IP PBX. Spre deosebire de alte soluții, SR-P7000 v1.1 este o platformă independentă care este ușor compatibilă cu orice softswitch pentru a proteja operatorii de pierderile de venituri cauzate de diverse forme de fraudă, hacking și alte încălcări ale securității informațiilor.

2013. WebMoney Voice - aplicație pentru comunicații VoIP sigure

Plată Sistemul WebMoney a lansat aplicația WebMoney Voice (sau, mai degrabă, este un modul suplimentar pentru client mobil sisteme), permițând conversații telefonice sigure prin telefonie IP. WebMoney Voice codifică datele folosind algoritmi speciali și practic elimină posibilitatea de interceptare și interceptare a conversațiilor de către terți în orice rețele de date. În același timp, în timpul unui apel confidențial, calitatea sunetului vocii interlocutorului nu se pierde. Nu există nicio taxă pentru utilizarea serviciului. Aplicația este în prezent disponibilă pentru descărcare în Google Play Pentru versiuni Android 3.0.52 și o versiune ulterioară. Versiunile sunt planificate pentru alte platforme mobile.

2012. Telfin protejează comunicațiile VoIP corporative

Furnizorul de servicii VoIP de afaceri Telfin a lansat un nou serviciu Telfin.VoiceVPN, care este conceput pentru a proteja comunicațiile VoIP. Faptul este că tehnologia VoIP implică transmiterea vocii pe canale publice de internet, precum și pe intranet, care nu este întotdeauna îngrădit corespunzător de rețeaua externă. Prin urmare, semnalul vocal poate fi interceptat și secretele comerciale furate. Telfin.VoiceVPN vă permite să protejați rețeaua internă companiilor de la interceptări și să organizeze un canal securizat între birourile aflate la distanță. Pentru a face acest lucru, fiecare birou trebuie să aibă instalat un router VPN (pe care Telfin îl vinde cu 3.200 de ruble). Conexiunea costă încă 1000 de ruble, iar apoi plătiți o taxă lunară de 500 de ruble/lună.

2011. BELTEL va vinde soluții VoIP către Polycom

Integratorul de sistem BELTEL anunță că a primit statutul de reseller autorizat Polycom. Acest statut permite companiei să-și extindă gama de produse și soluții, cum ar fi telefoane hardware pentru lucrul cu Microsoft Endpoint, soluții de voce bazate pe IP, precum și soluții Video Border Proxy create pentru a oferi siguranță. acces de la distanță la funcțiile UC, VoIP și Video și asigurarea trecerii datelor multimedia prin firewall-uri corporative.

2010. PhoneUp crește securitatea și controlabilitatea afacerii

Compania BKS-IT a introdus un nou modul „Priority” pentru pachetul său PhoneUp, extinzând puterile anumitor grupuri de angajați de a gestiona apelurile într-o rețea IP construită pe tehnologii Cisco. Cu ajutorul noului modul, managerii sau ofițerii de securitate ai companiei vor putea să asculte conversațiile conectându-se discret la telefonul unui angajat, să inițieze o conexiune forțată cu un angajat (chiar dacă telefonul său este ocupat), să se alăture conversației curente a unui angajat, și inițiază înregistrarea conversației unui angajat. Pe lângă noul modul, pachetul PhoneUp include module pentru implementarea unui director telefonic unificat al companiei, supraveghere video și informații despre angajați.

2009. WatchGuard XTM va oferi securitate pentru telefonia IP

Importanța protejării comunicațiilor VoIP împotriva amenințărilor a crescut semnificativ în ultimii ani, iar această tendință se va intensifica doar din cauza creșterii anuale a volumelor de trafic VoIP. WatchGuard Technologies a introdus o nouă versiune a sistemului de securitate al rețelei IP corporative WatchGuard XTM 8 Series, ale cărei caracteristici principale sunt instrumente pentru protejarea telefoniei IP. Sistemul oferă protecție VoIP, mesagerie instantanee (IM) și blocarea aplicațiilor P2P. Soluțiile WatchGuard XTM 8 Series oferă, de asemenea, securitate bazată pe aplicații pentru protocoalele SIP și H.323, permițând ca sistemele VoIP comerciale să fie mascate în timp ce le întăresc pentru a respinge atacurile de colectare a directoarelor, accesul neautorizat la verificarea intrărilor și alte amenințări de securitate. Soluția WatchGuard XTM 8 Series este concepută pentru companiile mari cu rețele de la 1 mie la 5 mii de utilizatori.

2009. Un curs special despre securitatea telefoniei IP va avea loc în Rusia

Centrul de instruire Informzashita a anunțat un curs special de securitate în telefonie IP, dedicat problemelor complexe de analiză de securitate și asigurare a securității telefoniei IP. Acesta este un curs unic pentru Rusia, care examinează abordările moderne ale construirii unei infrastructuri de telefonie IP, vulnerabilitățile și atacurile asupra componentelor acesteia, metodele de protecție, sistemele de monitorizare și metodologiile pentru analiza securității unei rețele VoIP. Peste 50% din timpul de instruire va fi dedicat lucrărilor practice, timp în care se simulează atacurile tipice asupra infrastructurii de telefonie IP și se ia în considerare metodologia de utilizare a mecanismelor de protecție. Tehnologia de virtualizare a serverelor și stațiilor de lucru utilizată în procesul de instruire permite fiecărui specialist să efectueze lucrări practice pe o rețea VoIP individuală. Cursul se adresează administratorilor de securitate a informațiilor, sisteme și administratori de rețea, responsabil cu operarea aplicațiilor VoIP, experți și analiști în probleme de securitate a computerelor, stabilirea cerințelor pentru securitatea resurselor rețelei și protecția împotriva scurgerilor informații confidențiale prin canale tehnice.

2009. Autoritățile euro vor să asculte Skype

Agenția Uniunii Europene pentru Coordonarea Sistemelor Naționale de Justiție dorește să poată asculta sistemele de telefonie IP, inclusiv. Yahoo Messenger, InternetCalls, Skype. În prezent, acești furnizori VoIP nu sunt supuși legilor UE și SUA privind interceptarea și păstrarea datelor și, spre deosebire de companiile de telecomunicații, nu sunt obligați să coopereze cu forțele de ordine. În plus, criptarea comunicațiilor, de exemplu în Skype, face practic imposibilă ascultarea „forțată”. În săptămânile următoare va avea loc o reuniune a legislatorilor UE pe această temă.

2008. Cisco va asigura comunicațiile unificate

Securitatea SIP pentru comunicațiile unificate utilizează protocolul SIP din Cisco IOS Firewall pentru a securiza comunicațiile vocale. Această inovație va permite companiilor să îmbrățișeze conceptul de întreprindere distribuită, să crească productivitatea și să minimizeze amenințările asociate cu comunicațiile vocale. Această actualizare se transformă solutii de retea CISCO Self-Defending Network într-o soluție de sistem mai largă, care oferă protecție generală pentru rețele și o mare varietate de puncte finale, aplicații și conținut.

2007. VoIP este greu de ascultat

Utilizarea pe scară largă a serviciilor VoIP cauzează probleme diferitelor agenții de informații. Apelurile telefonice prin Skype sunt aproape imposibil de urmărit și ascultat, iar dacă se folosește un VPN, sarcina devine de câteva ori mai dificilă, scrie Australian IT. Proliferarea operatorilor de telefonie IP și disponibilitatea criptării datelor înseamnă că zilele simplelor interceptări telefonice au trecut. Serviciile de informații lucrează în această direcție, atrăgând specialiști și extinzându-și capacitățile tehnice. Cu toate acestea, salariile unor astfel de specialiști și costul echipamentelor sunt prea mari. În acest caz, guvernul este tentat să introducă reglementări care impun furnizorilor de VoIP să utilizeze tehnologii simplificate, ceea ce ar putea duce în cele din urmă la slăbirea securității rețelei.

2007. Cisco: Profesioniştii în securitate IT nu se tem de VoIP

Un sondaj comandat de Vanson Bourne pentru Cisco a constatat că virușii sunt în fruntea listei celor mai importante amenințări. În 2007, aceștia au primit campionatul de 55% dintre respondenți (față de 27% în 2006). A fost apelat acces neautorizat la date principala amenintare 33%, față de 50% anul trecut. Preocuparea numărul unu a 38% dintre profesioniștii în securitate IT a fost securitatea datelor, iar 33% au citat necesitatea de a aduce procesele în conformitate cu cerințele de reglementare. Niciunul dintre respondenți nu și-a exprimat „îngrijorări mari” cu privire la securitatea VoIP, Asterisk sau sisteme unificate comunicații (internet plus conexiune prin cablu). Cu toate acestea, jumătate (49%) au fost de acord că considerentele de securitate trebuie luate în considerare la implementarea comunicațiilor IP. Sondajul a fost realizat în rândul a 100 de profesioniști în securitate IT responsabili cu protecția informațiilor în companiile lor cu peste 1 mie de angajați.

2007. Skype se angajează să îmbunătățească securitatea software-ului său

Popularul operator de telefonie IP peer-to-peer Skype intenționează să încheie un acord de cooperare cu o companie specializată în protejarea rețelelor de mesagerie instant, FaceTime Communications. Potrivit publicației de informare Silicon, Skype va încerca astfel să ofere mai multe instrumente de control asupra sesiunilor de telefonie IP pentru a-și promova serviciile în sectorul de afaceri. Este de așteptat ca acest acord să fie urmat de o serie de alte tranzacții similare. Intenția Skype de a face din software-ul său un instrument de comunicare de afaceri disponibil publicului a necesitat o schimbare în atitudinea managerilor IT de întreprindere care nu puteau controla traficul popularului sistem de telefonie. Potrivit datelor oficiale Skype, aproximativ 30% din cei 171 de milioane de utilizatori înregistrați sunt din lumea afacerilor.

2007. Experții în securitate continuă să ridice temeri cu privire la problemele viitoare cu telefonia IP

Companiile specializate în asigurarea securității calculatoarelor în rețele continuă să sperie comunitatea mondială cu potențiale amenințări care vor afecta în curând numeroși utilizatori de telefonie IP. Absența unor probleme de mult promise se explică prin dezvoltarea insuficientă a acestui tip de comunicare, dar pe baza datelor cercetării care susțin că până în 2010 numărul de telefoane IP în afaceri se va mai mult decât de patru ori, experții în securitate susțin că majoritatea companiilor pur și simplu nu sunt pregătite. pentru atacuri asupra rețelelor lor VoIP, scrie The Register. În același timp, producătorii de sisteme de securitate nu ascund faptul că se așteaptă la o creștere rapidă a pieței sistemelor de securitate pentru telefonie IP și își explică previziunile sumbre prin dorința de a avertiza potențialii clienți despre pericol în avans. Experții Symantec consideră că principalele dificultăți ale sistemelor VoIP vor fi legate de phishing, Panda Software se teme de răspândirea viermilor prin traficul modulelor VoIP ale clienților IM sau sisteme precum Skype, iar reprezentanții ScanSafe susțin că rețelele VoIP vor fi deosebit de vulnerabile pentru Atacurile DoS.

2006. Experții americani creează grup partener privind securitatea VoIP

Un grup de academicieni americani și experți industriali a fost format recent pentru a investiga problemele de siguranță asociate cu Tehnologia VoIP. Grupul partener a inclus Georgia Tech Information Centru de securitate(GTISC), BellSouth și securitatea internetului Sisteme (ISS). Serviciile de comunicații trec pe platformele de internet și importanța securității crește în contextul utilizării noilor tehnologii convergente. Cercetătorii intenționează să analizeze securitatea protocoalelor VoIP și problemele de autentificare, să modeleze traficul VoIP și comportamentul dispozitivului și să protejeze telefoane mobileși aplicații VoIP. ISS și BellSouth au oferit 300.000 USD pentru un program de cercetare de doi ani care va permite GTISC să dezvolte și să evalueze soluții de securitate, iar ISS și BellSouth vor avea acces la rezultatele cercetării respective.

2006. Controlerul de frontieră de sesiune va ajuta la protejarea VoIP

Dezvoltarea serviciilor de telefonie IP ridică cu toată urgența o nouă problemă care își are rădăcinile în probleme vechi: securitatea VoIP. Experții prevăd că până la jumătatea anului 2007 hacking și atacuri de virus Rețelele VoIP vor deveni obișnuite, ceea ce reprezintă o preocupare pentru dezvoltatorii de soluții VoIP și pentru furnizorii de servicii VoIP. Cu toate acestea, o anumită protecție de bază poate fi organizată la nivel de arhitectură de rețea, folosind controlori de frontieră de sesiune (SBC), care pot preveni atacurile DDoS, răspândirea SPIT (Spam prin telefonie prin internet) și izbucnirile de viruși, precum și criptarea continuă a traficului. SBC-urile au fost folosite inițial pentru a organiza sesiuni VoIP în spatele NAT. Astăzi, aceștia sunt capabili să îndeplinească o mulțime de funcții de protecție, datorită capacității de a examina conținutul pachetelor în timp real. În rețea, controlorii de frontieră de sesiune ascund adresa reală a utilizatorului, ceea ce minimizează posibilitatea unui atac DDoS sau hacking, controlează lățimea de bandă, mențin QoS și ascund topologia rețelelor învecinate. În rețelele de ultimă generație, SBC va deveni un element esențial de securitate, alături de flexibilitate și scalabilitate, fiind în același timp fiabil și simplu.

2006. Noua criptare pentru VoIP pe platforma Windows

Tehnologie nouă protecţie criptografică, care vă permite să securizați o sesiune VoIP între două noduri fără a contacta o terță parte sau a stoca chei separate, a fost dezvoltat de Phil Zimmermann, autorul legendar al software-ului de criptare a datelor PGP. Zimmerman a spus că protocolul pe care l-a dezvoltat este potrivit pentru utilizare cu orice sistem de telefonie care acceptă SIP. Ținând cont de faptul că noua versiune de Zfone funcționează cu Windows, utilizatorul în masă al sistemelor de telefonie IP peer-to-peer are posibilitatea de a-și securiza temeinic comunicațiile. Tehnologia a fost trimisă spre aprobare Internet Engineering Task Force (IETF).

2006. VoIP este mai sigur decât telefonia obișnuită

În tranziția de la rețelele TDM la VoIP, furnizorii de servicii se confruntă cu o provocare semnificativă: asigurarea securității comunicațiilor vocale. Rețeaua de telefonie nu mai era izolată, iar un sistem VoIP prost proiectat putea să cadă cu ușurință victimă oricărei nenorociri comune pe internet: de la un atac DoS până la interceptarea datelor. Până în prezent, tehnologiile dezvoltate pentru a rezolva această problemă s-au acumulat suficient pentru a vorbi despre posibilitatea realizării unei securități mai mari în telefonia IP în comparație cu o rețea de telefonie convențională, scrie Director de Marketing al AudioCodes în articolul său publicat în publicația de informare Converge Haim Melamed. Cu toate acestea, securitatea nu este deloc un concept nou pentru sistemele de telefonie. Pentru rețelele telefonice obișnuite, toate problemele actuale, de la interceptarea cu urechea până la refuzul serviciului, au fost, într-o măsură sau alta, relevante. Simpla conectare la o rețea globală a crescut considerabil numărul potențialilor atacatori care au posibilitatea de a efectua acțiuni neautorizate în legătură cu sistemul de comunicații și au un set extins de instrumente dovedite. Anterior, acest lucru necesita acces fizic și echipamente speciale, care limitau drastic numărul de potențiali criminali.

2006. NetIQ lansează instrumentul VoIP Anti-Hacking

NetIQ a dezvăluit o soluție de securitate VoIP care funcționează cu telefonia IP Cisco și protejează împotriva DoS, viruși, viermi, fraudă cu taxe, interceptări și alte amenințări, relatează NetworkWorld. Noul instrument permite administratorilor să aibă informații în timp real despre funcționarea sistemului, disponibilitatea acestuia și avertizează asupra oricăror amenințări de securitate. Soluția include AppManager, care monitorizează mediul VoIP pentru evenimente de securitate și modificări de configurare. AppManager Call Data Analysis examinează înregistrările apelurilor incorecte și generează un raport, Security Manager pentru Telefonia IP înregistrează și analizează evenimentele de securitate. Vânzările soluției de securitate VoIP vor începe mai târziu în acest trimestru și au un preț de 6 USD per telefon IP.

2005. VPN pentru telefonie IP de la Avaya

Avaya a introdus un serviciu VPN în familia sa de echipamente de telefonie IP. Acest lucru va permite utilizatorilor de afaceri să-și extindă în siguranță comunicațiile de la sediul central către angajații care lucrează de acasă sau care lucrează temporar în medii de rețea nesigure. Integrarea noului software VPNremote cu un telefon IP va oferi angajaților comunicații de clasă business, care conțin toate caracteristicile necesare pentru comunicații de înaltă performanță și neîntrerupte ale întreprinderii. VPNremote pentru telefoanele IP Avaya 4600 vă permite să instalați rapid și rentabil telefoane IP desktop în birouri de acasă sau la distanță. Tot ceea ce este necesar este ca administratorul să descarce software-ul pe telefonul IP și ca angajatul să îl activeze el însuși. priză electrică, m-am conectat la routerul meu de bandă largă de acasă și am introdus parola.

2005. VoIPShield lansează un instrument de evaluare a riscurilor folosind VoIP sisteme

VoIPShield System a lansat o nouă soluție de evaluare a vulnerabilităților pentru sistemele VoIP (cum ar fi Asterisk) care permite organizațiilor să prevină amenințările înainte ca acestea să afecteze serviciile VoIP. Bazat pe o bază de date de amenințări, VoIPaudit este cuprinzător și scalabil. Poate fi folosit pentru a monitoriza familia de protocoale VoIP, inclusiv Protocolul de stabilire a sesiunii (SIP), Protocolul H.323, Protocolul Cisco Skinny, Protocolul Nortel Unistim și multe altele, comunicațiile VoIP sunt critice, iar VoIPaudit oferă un nivel de protecție fără precedent toate rețelele de echipamente și dispozitive VoIP. VoIPaudit este disponibil astăzi, începând de la 10.000 USD, care include instruire și asistență.

2005. VoIPSA face primii pași

După ce și-a început activitatea anul acesta, organizația care se ocupă de problemele de securitate a telefoniei IP, Voce off IP Security Alliance (VoIPSA) a făcut primul pas serios în protejarea serviciilor VoIP: a definit clar o listă de probleme și vulnerabilități care pot fi exploatate de atacatori. Proiectul, numit VoIP Security Threat Taxonomy, este postat pentru discuție publică. Acesta oferă definiții și descrieri cuprinzătoare și detaliate ale potențialelor amenințări de securitate, care stă la baza creării sistemelor de contramăsuri, scrie Computer Business. Deși organizația este conștientă de atacuri grave care folosesc vulnerabilități VoIP folosind mijloace destul de simple, exemple concreteȘeful VoIPSA, Jonathan Zar, refuză să ofere nicio informație. Pe listă probleme potentiale includ recunoașterea, atacurile DoS și DDoS, exploatarea vulnerabilităților protocolului, interceptarea cu urechea, ștergerea și modificarea fluxurilor audio.

2005. Juniper oferă securitate VoIP

Juniper Networks Inc. a anunțat Dynamic Threat Mitigation, care permite furnizorilor de servicii să ofere întreprinderilor și consumatorilor protecție avansată a serviciilor de rețea și asigurare a serviciilor, inclusiv VoIP. Sistemul este încorporat în routere Juniper (seria M sau seria E), fără a fi necesar ca clienții să instaleze echipamente noi. Soluția vă permite să identificați atacurile după utilizator sau aplicație, folosind managementul dinamic al politicilor și metodele de detectare și prevenire a intruziunilor (atacuri DoS, penetrare a viermilor). Având în vedere numărul mare de servicii furnizate prin rețelele IP, utilizarea sistemului Dynamic Threat Mitigation este un pas firesc și progresiv.

2005. Securitatea VoIP va fi amenințată serios în doi ani

Atacatorii vor reprezenta o amenințare la adresa telefoniei IP cu spam și viruși speciali în doi ani. Așa au declarat reprezentanții cunoscutului producător de echipamente de telecomunicații Nortel. În plus, companiile care folosesc VoIP, conferințe video și alte servicii multimedia pe baza tehnologii de rețea, ar trebui să se pregătească acum pentru următoarea etapă de protejare a infrastructurii lor, scrie publicația de informare Silicon. Vicepreședintele companiei, Atul Bhatnager, a declarat că, deocamdată, interferența cu serviciul VoIP este mai degrabă exotică, dar hackerii câștigă rapid experiență și, în viitor, utilizatorii de telefonie IP se vor confrunta cu aceleași probleme care sunt inerente din cauza atacatorilor. rețele obișnuite transmiterea datelor: spam și atacuri DoS. Adevărat, doi ani sunt suficienți pentru a pregăti și a implementa suficiente sisteme de protecție capabile analiză profundă pachete de date.

2005. Motorola+Skype

Motorola și furnizorul de servicii de telefonie prin internet Skype Technologies au semnat un acord de cooperare, așa cum a anunțat la Congresul 3GSM de la Cannes. În prima etapă a cooperării, companiile vor dezvolta împreună noi produse optimizate din seria Motorola Skype Ready pentru telefonie IP. Linia de produse va include o cască cu interfață Bluetooth, dispozitive difuzorși hardware pentru a proteja software-ul și datele împotriva accesului neautorizat. În plus, Motorola plănuiește să lanseze o serie de modele de telefoane mobile cu funcții de telefon pe Internet. Telefoanele vor fi echipate cu software de telefonie IP dezvoltat de Skype, care va permite telefoanelor să interacționeze atât cu rețelele celulare, cât și cu rețelele Wi-Fi. Parteneriatul dintre companii va face posibil serviciu accesibil Comunicatie vocala prin Internet nu numai utilizatorilor de computere personale și handheld-uri. Posesorii de noi telefoane mobile Motorola vor avea, de asemenea, posibilitatea de a suna oriunde în lume, fără a-și face griji cu privire la facturile uriașe pentru serviciile de comunicații.

2004. Cisco CallManager 4.1: Nivel de securitate fără precedent

Cisco Systems anunță lansarea de noi caracteristici de securitate pentru sistemele de comunicații IP. Noua soluție - Cisco CallManager 4.1 - oferă un nivel sporit de securitate pentru comunicațiile vocale și confirmă încă o dată liderul Cisco în domeniul tehnologiilor IP. Cisco CallManager 4.1 acceptă criptarea vocii pe noile telefoane IP Cisco 7940G și 7960G, precum și pe cele peste 2,5 milioane de telefoane IP Cisco 7940G și 7960G deja instalate. Criptarea datelor vocale garantează integritatea conversațiilor telefonice, iar criptarea informațiilor de semnal protejează împotriva manipulării pachetelor de semnalizare telefonică. Software-ul Cisco CallManager 4.1 interfață cu o gamă largă de gateway-uri media Cisco, inclusiv familia de rutere pentru servicii integrate. Suportul de criptare pentru gateway-urile media Cisco completează puternicul Voice over Virtual Private Network (V3PN) și capabilitățile de protecție împotriva amenințărilor incluse deja în aceste platforme.

2002. A fost lansată o nouă versiune de Avaya IP Office 1.3

Avaya a introdus o nouă versiune a soluției sale VoIP pentru întreprinderile mici și mijlocii, Avaya IP Office 1.3. Avaya IP Office Release 1.3 include software și hardware nou pentru a satisface diverse cerințe de afaceri. Software-ul îmbunătățește capacitățile sistemului de a suporta o gamă mai largă de telefoane IP Avaya, îmbunătățește securitatea sistemului și oferă mai multe funcții de rețea. Noua versiune permite până la 256 de utilizatori și acceptă până la două conferințe simultane (până la 64 de participanți fiecare) sau mai multe conferințe cu mai puțini participanți pe o platformă hardware extinsă. Caracteristicile de securitate includ moduri speciale de conferință și controlul accesului folosind coduri PIN. VoiceMail Pro vă permite să automatizați apelarea numerelor (apelați după nume). Există și funcții interactive meniul vocal(IVR) cu deschideți API-ul interfata.

2002. Avaya a introdus o nouă soluție pentru telefonia IP prin VPN

Avaya a lansat o nouă versiune de Avaya VPNremote cu suport extins pentru deschidere standardele de rețea. Noua soluție va permite companiilor să organizeze rapid și eficient accesul angajaților de la distanță la toate capabilitățile de comunicare care sunt utilizate în birourile organizației. Telefoanele IP Avaya bazate pe noua versiune VPNremote permit lucrătorilor la distanță să lucreze în rețelele Cisco Systems și Juniper Networks. Noile funcții Avaya VPNremote pentru telefoanele IP oferă nivel inalt controlul si calitatea comunicarii. Avaya VPNremote 2.0 este o soluție software care îmbunătățește telefoanele IP Avaya cu capabilități de acces securizat la rețeaua privată virtuală (VPN). Astfel, angajații de la distanță ai companiilor au posibilitatea de a lucra în rețeaua corporativă cu comunicații de înaltă calitate. Noua versiune de Avaya VPNremote acceptă mediile VPN Cisco Systems și Juniper Networks.

2001. PGPfone - conversație securizată prin VoIP și IM

PGPfone este un program care vă transformă computerul personal sau laptopul într-un telefon securizat. Pentru a oferi posibilitatea de a desfășura conversații telefonice securizate în timp real (prin linii telefonice și canale de Internet), utilizează tehnologia de compresie audio și protocoale criptografice puternice. Sunetul vocii tale primit prin microfon este digitizat secvenţial, comprimat, criptat şi trimis de PGPfone persoanei de la celălalt capăt al liniei care foloseşte şi PGPfone. Toate protocoalele criptografice și protocolul de compresie sunt selectate dinamic și fără probleme pentru utilizator, oferindu-i o interfață naturală similară cu un telefon obișnuit. Protocoalele de criptare cu chei publice sunt utilizate pentru a selecta cheia de criptare, astfel încât să nu fie necesar un canal securizat pentru schimbul de chei în prealabil.

Un articol foarte interesant despre securitatea în telefonia IP a fost publicat pe site-ul linkmeup.ru. Îl postăm fără modificări, ca să spunem așa, de la autor.

=======================

Bună ziua, colegi și prieteni, eu, Vadim Semenov, împreună cu echipa de proiect network-class.net, vă prezint un articol de recenzie care atinge principalele tendințe și amenințări în telefonia IP și, cel mai important, instrumentele de protecție pe care producătorul le oferă în prezent ca protecție (în limbajul specialiștilor în securitate, să luăm în considerare ce instrumente oferă producătorul pentru a reduce vulnerabilitățile care ar putea fi exploatate de persoane nelegitime). Deci, mai puține cuvinte - să trecem la treabă.
Pentru mulți cititori s-a format de mult termenul de telefonie IP, precum și faptul că această telefonie este „mai bună”, mai ieftină în comparație cu telefonia publică (PSTN), bogată în diverse funcții suplimentare etc. Și acest lucru este adevărat, totuși... parțial. Pe măsură ce am trecut de la telefonia analogică (digitală), cu liniile sale de abonat (de la telefonul de abonat la stația sau extensia stației) și liniile de legătură (linia de comunicație între stații) se aflau nu mai puțin decât numai în zona de acces și control a telefoniei. furnizor. Cu alte cuvinte, oamenii obișnuiți nu aveau acces acolo (sau practic, dacă nu țineți cont de canalul de cablu). Îmi amintesc o întrebare de pe forumul vechi de hackeri: „Spune-mi cum să obțin acces la PBX? - răspunde: „Ei bine, luați un buldozer, loviți peretele clădirii centralei telefonice și voilà.” Și această glumă are partea ei de adevăr) Cu toate acestea, odată cu transferul telefoniei într-un mediu IP ieftin, am primit în plus și amenințările pe care le prezintă un mediu IP deschis. Un exemplu de amenințări dobândite este următorul:

• Adulmecare porturi de semnalizare pentru a efectua apeluri cu taxă pe cheltuiala altcuiva
• Ascultarea prin interceptarea pachetelor de voce IP
• Interceptarea apelurilor, utilizator nelegitim care se prezintă drept utilizator legitim, atac de tip om-in-the-middle
• Atacurile DDOS asupra serverelor de semnalizare a stațiilor pentru a dezactiva toată telefonia
• Atacurile spam, trimiterea unui număr mare de apeluri fantomă către o stație pentru a-și ocupa toate resursele gratuite

În ciuda necesității evidente de a elimina toate vulnerabilitățile posibile pentru a reduce probabilitatea unui anumit atac, de fapt, implementarea anumitor măsuri de protecție trebuie să înceapă cu întocmirea unui program care să ia în considerare costul implementării măsurilor de protecție împotriva unei anumite amenințări. și pierderile întreprinderii din implementarea acestei amenințări de către atacatori. La urma urmei, este o prostie să cheltuim mai mulți bani pentru securitatea unui activ decât valoarea activului în sine pe care îl protejăm.
După ce am stabilit bugetul de securitate, vom începe să eliminăm exact acele amenințări care sunt cele mai probabile pentru companie, de exemplu, pentru o organizație mică, va fi cel mai dureros să primim o factură mare pentru apeluri imperfecte la distanță și internaționale, în timp ce; pentru companiile publice este cel mai important să se păstreze confidențialitatea conversațiilor. Să începem analiza noastră treptată în articolul curent cu lucruri de bază - aceasta oferă o modalitate sigură de a furniza date de serviciu de la stație la telefon. În continuare, vom lua în considerare autentificarea telefoanelor înainte de a le conecta la stație, autentificarea stației de la telefoane și criptarea traficului de semnalizare (pentru a ascunde informații despre cine apelează și unde) și criptarea traficului conversațional.
Mulți producători de echipamente de voce (inclusiv Cisco Systems) au deja instrumente de securitate integrate, de la limitarea obișnuită a gamei de adrese IP de la care se pot efectua apeluri până la autentificarea dispozitivelor finale cu ajutorul unui certificat. De exemplu, producătorul Cisco Systems cu linia sa de produse vocale CUCM (Cisco Unified CallManager) a început să integreze funcția „Security by Default” din versiunea 8.0 a produsului (data de lansare mai 2010; versiunea 10.5 din mai 2014 este disponibilă în prezent). Ce include:

• Autentificarea tuturor fișierelor descărcate prin/din TFTP (fișiere de configurare, fișiere de firmware pentru telefoane etc.)
• Criptarea fișierelor de configurare
• Verificarea certificatului cu telefonul inițialând conexiunea HTTPS

Să ne uităm la un exemplu de atac „om la mijloc”, când o persoană nelegitimă interceptează fișierele de configurare pentru telefoane, de la care telefonul învață la ce stație să se înregistreze, pe ce protocol să lucreze, pe ce firmware să descarce etc. După ce a interceptat fișierul, atacatorul va putea să-și facă propriile modificări sau să șteargă complet fișierul de configurare, împiedicând astfel telefoanele întregului birou (vezi figura) să se înregistreze la stație și, în consecință, privând biroul de capacitatea de a efectua apeluri.

Fig.1 Atacul omului din mijloc

Pentru a ne proteja împotriva acestui lucru, vom avea nevoie de cunoștințe despre criptarea asimetrică, infrastructura cheii publice și o înțelegere a componentelor Security by Default, pe care le vom introduce acum: Identity Trust List (ITL) și Trust Verification Service (TVS). TVS este un serviciu conceput pentru a procesa cereri de la telefoanele IP care nu au un fișier ITL sau CTL în memoria internă. Telefonul IP contactează TVS dacă trebuie să se asigure că poate avea încredere într-un anumit serviciu înainte de a începe să îl acceseze. Stația acționează și ca un depozit care stochează certificate ale serverelor de încredere. La rândul său, ITL este o listă de chei publice ale elementelor stației care alcătuiesc clusterul, dar este important pentru noi ca acolo să fie stocate cheia publică a serverului TFTP și cheia publică a serviciului TVS. Când telefonul pornește inițial, când telefonul și-a primit adresa IP și adresa serverului TFTP, acesta solicită prezența unui fișier ITL (Fig. 2). Dacă se află pe serverul TFTP, atunci, încrezător orbește, îl încarcă în memoria sa internă și îl stochează până la următoarea repornire. După descărcarea fișierului ITL, telefonul solicită un fișier de configurare semnat.

Acum să vedem cum putem folosi instrumentele de criptare - semnarea unui fișier utilizând funcțiile hash MD5 sau SHA și criptarea folosind cheia privată a serverului TFTP (Fig. 3). Lucrul special despre funcțiile hash este că sunt funcții unidirecționale. Pe baza hash-ului primit de la orice fișier, este imposibil să efectuați operația inversă și să obțineți exact fișierul original. Când un fișier este schimbat, hash-ul obținut din acest fișier se schimbă și el. Este de remarcat faptul că hash-ul nu este scris în fișierul în sine, ci este pur și simplu atașat la acesta și transmis împreună cu acesta.

Fig.3 Semnarea fișierului de configurare a telefonului

La formarea unei semnături, fișierul de configurare în sine este preluat, hash-ul este extras din acesta și criptat cu cheia privată a serverului TFTP (pe care o are doar serverul TFTP).
Când primește acest fișier de setări, telefonul verifică inițial integritatea acestuia. Ne amintim că un hash este o funcție unidirecțională, așa că telefonul nu mai are nimic de făcut decât să separe hash-ul criptat de serverul TFTP din fișierul de configurare, să-l decripteze folosind cheia publică TFTP (și cum îl cunoaște telefonul IP). - și doar din fișierul ITL), dintr-un fișier de configurare curat, calculați hash-ul și comparați-l cu ceea ce am primit în timpul decriptării. Dacă hash-ul se potrivește, înseamnă că nu s-au făcut modificări fișierului în timpul transmiterii și poate fi utilizat în siguranță pe telefon (Fig. 4).

Fig.4 Verificarea fișierului de configurare cu un telefon IP

Fișierul de configurare semnat pentru telefon este afișat mai jos:

Orez. 5 Fișier de telefon IP semnat în Wireshark

Prin semnarea fișierului de configurare, am putut să asigurăm integritatea fișierului de setări transferat, dar nu l-am protejat de vizualizare. Din fișierul de configurare capturat puteți obține destul de multe informații utile, de exemplu, adresa IP a centralului telefonic (în exemplul nostru este 192.168.1.66) și porturi deschise la centrală (2427), etc. Nu este o informație destul de importantă pe care nu ați dori să „străluciți” doar pe Internet? Pentru a ascunde aceste informații, producătorii oferă utilizarea criptării simetrice (aceeași cheie este folosită pentru criptare și decriptare). Într-un caz, cheia poate fi introdusă manual în telefon, în alt caz, fișierul de configurare al telefonului este criptat la stație folosind cheia publică a telefonului. Înainte de a trimite un fișier către telefon, serverul tftp pe care este stocat acest fișier îl criptează folosind cheia publică a telefonului și îl semnează folosind cheia privată a acestuia (astfel asigurăm nu doar secretul, ci și integritatea fișierelor transferate). Principalul lucru aici este să nu ne confuzi cu privire la cine folosește ce cheie, dar haideți să o luăm în ordine: serverul tftp, prin criptarea fișierului cu cheia publică a telefonului IP, s-a asigurat că numai proprietarul cheii publice asociate poate deschide acest fișier. Prin semnarea fișierului cu cheia sa privată, serverul tftp confirmă că el a fost cel care l-a creat. Fișierul criptat este prezentat în Figura 6:

Fig.6 Fișier telefon IP criptat

Deci, în acest moment, ne-am uitat la protejarea fișierelor de configurare a telefonului împotriva vizualizarii și la asigurarea integrității acestora. Aici se termină funcționalitatea Security by Default. Pentru a asigura criptarea traficului vocal și ascunderea informațiilor de semnalizare (despre cine apelează și unde apelează), sunt necesare instrumente suplimentare pe baza listei de certificate de încredere - CTL, pe care le vom lua în considerare în continuare.

Autentificare centrală telefonică

Când un telefon trebuie să comunice cu o centrală telefonică (de exemplu, pentru a negocia o conexiune TLS pentru schimbul de semnalizare), telefonul IP trebuie să autentifice centrala. După cum ați putea ghici, certificatele sunt, de asemenea, utilizate pe scară largă pentru a rezolva această problemă. În prezent, stațiile IP moderne constau dintr-un număr mare de elemente: mai multe servere de semnalizare pentru procesarea apelurilor, un server de administrare dedicat (prin el se adaugă telefoane noi, utilizatori, gateway-uri, reguli de rutare etc.), un server TFTP dedicat pt. stocarea fișierelor de configurare și a software-ului pentru telefoane, un server pentru difuzarea muzicii în așteptare etc., în plus, infrastructura vocală poate include mesageria vocală, un server pentru determinarea stării curente a abonatului (online, offline, „la prânz”) - lista este impresionantă și, cel mai important, fiecare server are propriul său certificat autosemnat și fiecare acționează ca o autoritate de certificare rădăcină (Fig. 7). Din acest motiv, orice server din infrastructura de voce nu va avea încredere în certificatul altui server, de exemplu, un server de voce nu are încredere într-un server TFTP, mesageria vocală nu are încredere într-un server de semnalizare și, în plus, telefoanele trebuie să stocheze certificatele de toate elementele care participă la schimbul de trafic de semnalizare. Certificatele centralei telefonice sunt prezentate în Figura 7.

Fig.7 Certificate auto-semnate de stație Cisco IP

Pentru sarcinile de stabilire a relațiilor de încredere între elementele descrise mai sus din infrastructurile de voce, precum și criptarea traficului de voce și semnalizare, intră în joc așa-numita Listă de încredere în certificate (CTL). CTL conține toate certificatele autosemnate ale tuturor serverelor din clusterul stației de voce, precum și cele care participă la schimbul de mesaje de semnalizare telefonică (de exemplu, un firewall) și acest fișier este semnat cu cheia privată a unei autorități de certificare de încredere. (Fig. 8). Fișierul CTL este echivalent cu certificatele instalate care sunt utilizate în browserele web atunci când lucrează cu protocolul https.

Fig.8 Lista certificatelor de încredere

Pentru a crea un fișier CTL pe echipamentul Cisco, veți avea nevoie de un PC cu un conector USB, de programul client CTL instalat pe acesta și de site-ul Administrator Security Token (SAST) însuși (Fig. 9), care conține o cheie privată și un certificat X.509v3 semnat de un producător al centrului de autentificare (Cisco).

Fig.9 eToken Cisco

Clientul CTL este un program care este instalat pe un PC Windows și cu ajutorul căruia puteți transfera ÎNTREAGA centrală telefonică în așa-numitul mod mixt, adică un mod mixt care susține înregistrarea dispozitivelor finale în moduri sigure și nesigure. Lansăm clientul, precizăm adresa IP a centrală telefonică, introducem login/parola administrator și clientul CTL stabilește o conexiune TCP pe portul 2444 cu stația (Fig. 10). După aceasta, vor fi oferite doar două acțiuni:

Fig.10 Client Cisco CTL

După crearea fișierului CTL, tot ce rămâne este să reporniți serverele TFTP, astfel încât acestea să descarce noul fișier CTL creat și apoi să reporniți serverele de voce, astfel încât telefoanele IP să repornească și să descarce noul fișier CTL (32 kilobytes). Fișierul CTL descărcat poate fi vizualizat din setările telefonului IP (Fig. 11)

Fig. 11 Fișier CTL pe un telefon IP

Autentificare endpoint

Pentru a vă asigura că numai punctele finale de încredere sunt conectate și înregistrate, trebuie implementată autentificarea dispozitivului. În acest caz, mulți producători folosesc o metodă deja dovedită - autentificarea dispozitivului folosind certificate (Fig. 12). De exemplu, în arhitectura de voce Cisco, acest lucru este implementat după cum urmează: există două tipuri de certificate pentru autentificare cu cheile publice și private corespunzătoare care sunt stocate pe telefon:
Certificat instalat de producător – (MIC). Certificatul instalat de producător conține o cheie de 2048 de biți, care este semnată de autoritatea de certificare a producătorului (Cisco). Acest certificat nu este instalat pe toate modelele de telefoane, iar dacă este instalat, atunci nu este nevoie să aveți un alt certificat (LSC).
Certificat de semnificație locală – (LSC) Un certificat de semnificație locală conține cheia publică a telefonului IP, care este semnată de cheia privată a centrului de autentificare local, care rulează pe centrala telefonică în sine, Funcția de proxy a autorității de certificare (CAPF).
Deci, dacă avem telefoane cu certificat MIC preinstalat, atunci de fiecare dată când telefonul se înregistrează la o stație, stația va solicita un certificat preinstalat de producător pentru autentificare. Cu toate acestea, dacă MIC-ul este compromis, înlocuirea acestuia necesită contactarea centrului de certificare al producătorului, ceea ce poate necesita mult timp. Pentru a nu depinde de timpul de răspuns al autorității de certificare a producătorului pentru a reemite un certificat de telefon compromis, este de preferat să utilizați un certificat local.

Fig. 12 Certificate pentru autentificarea dispozitivelor finale

În mod implicit, certificatul LSC nu este instalat pe telefonul IP și instalarea acestuia se poate face folosind un certificat MIB (dacă este disponibil), sau printr-o conexiune TLS (Transport Layer Security) folosind o cheie publică partajată generată manual de administrator la post și a intrat la telefon.
Procesul de instalare a unui certificat local semnificativ (LSC) pe telefon care conține cheia publică a telefonului semnată de o autoritate locală de certificare este prezentat în Figura 13:

Fig.13 Procesul de instalare a unui certificat LSC valabil local

1. După încărcarea telefonului IP, acesta solicită o listă de certificate de încredere (fișier CTL) și un fișier de configurare
2. Stația trimite fișierele solicitate
3. Din configurația primită, telefonul stabilește dacă trebuie să descarce un certificat local semnificativ (LSC) de la stație
4. Dacă la stație am configurat telefonul să instaleze un certificat LSC (vezi mai jos), pe care stația îl va folosi pentru a autentifica acest telefon IP, atunci trebuie să ne asigurăm că, la cererea de eliberare a unui certificat LSC, stația o emite acelei persoane căreia îi este destinată. În aceste scopuri, putem folosi un certificat MIC (dacă este disponibil), putem genera o parolă unică pentru fiecare telefon și o introducem manual pe telefon sau nu folosim deloc autorizarea.
Exemplul demonstrează procesul de instalare a LSC folosind generat

Produs de SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)