Оцените материал
(0 голосов)
Обеспечение безопасности IP-телефонии Обеспечение безопасности IP-телефонии

Технология VoIP — это будущее телефонных коммуникаций. Однако нельзя пренебрегать теми новыми угрозами для их безопасно-сти, которые она несет в себе. Ей присущи все недостатки любой IP-службы, равно как и некоторые специфические элементы уязвимости, проистекающие из ее сложности и связанные с требованием обслуживания в режиме реального времени. Многие из этих проблем решаются с помощью сетевых средств безопасности общего назначения, защищенных IP-УАТС и телефонов, модернизации сетевой инфраструктуры с учетом требований безопасности и развертывания VoIP-оптимизированных межсетевых экранов (МЭ). Но сначала нужно выявить имеющиеся уязвимости, а затем уже следовать базовым рекомендациям по обеспечению безопасности.

По мере перехода отрасли связи на технологию “голос поверх IP” (Voice Over IP — VoIP) многие предприятия используют “гибридные” сети, поддерживающие как VoIP, так и коммутацию каналов. В этот переходный период к уже имеющимся проблемам безопасности сетей с коммутацией каналов (circuit-switched) добавляются новые, связанные с VoIP.

Cети с коммутацией каналов подвержены таким угрозам, как махинации с оплатой услуг связи (toll fraud), их хищение, атаки на модемы и их нелегальное использование, а также прослушивание каналов ТфОП. Все эти угрозы продолжают действовать до тех пор, пока существуют сети с коммутацией каналов — а некоторые из них, например такие, как махинации с оплатой и хищение услуг, еще больше усугубляются.

Эти вопросы, вкупе c рассмотренными ниже проблемами, привносимыми технологией VoIP, лучше всего решать в рамках универсального подхода к обеспечению безопасности (unified security approach) сетей обоих типов.

Слабые места IP-телефонии

IP-телефония наследует от IP-сети как преимущества, так и недостатки обеспечения безопасности. Хотя IP-телефония является своего рода уникальной службой даже для IP-сети, защищена она, как правило, не больше чем любая другая IP-служба, например такая, как Web или электронная почта. У этих служб тоже имеются изъяны в защите, что часто делает их мишенью для атак.


Так, например, IP-служба голосовой связи может подвергнуться заражению “червями” и вирусами, а также атакам типа “отказ в обслуживании” (DoS), тогда как прежние сети с коммутацией каналов таких проблем не имели. Кроме того, на свете существует куда больше личностей, осведомленных о методах атак на IP-системы. Среди людей, умеющих выявить уязвимое место в системе и воспользоваться им для своих целей, есть немало “любителей”, которые развлекаются подобными атаками, часто даже не понимая, какой вред они наносят.

IP-телефония — это служба, “живущая” в разделяемой IP-се-ти и, следовательно, доступная для пользователей как из ЛВС, так и, напрямую или не напрямую, из Интернет.

Такие технологии, как коммутируемый Ethernet и виртуальные ЛВС (ВЛВС), обеспечивают некоторую изолированность телефонного трафика, но не гарантируют ее в полной мере. Ведь IP-телефония привлекает главным образом возможностями интеграции речевой информации с другими приложениями, следовательно, служба VoIP в целом должна быть доступна им. Сигнализация IP-телефонии, посредством которой контролируется сервис и вызовы, доступна в IP-сети и обычно присутствует на хорошо известных IP-портах. То же самое можно сказать и в отношении поддерживающих служб, таких, как администрирование, которые часто реализуются посредством Web-сервера.

Для сети VoIP требуется большее число компонентов и программ, чем для традиционной сети с коммутацией каналов. К этим компонентам относятся IP-УАТС, серверы поддержки, медиашлюзы, коммутаторы, маршрутизаторы, межсетевые экраны, кабельные системы, IP- и программные телефоны. Чем больше компонентов, тем выше уязвимость. В компонентах IP-телефонии часто используются ОС общего назначения, которые нередко грешат большим (по сравнению со специализированными ОС) числом “дыр”. В некоторых IP-УАТС используются СУБД и Web-серверы, имеющие свои элементы уязвимости.

Сегодня расплодилось великое множество “стандартов” IP-телефонии. Это Session Initiation Protocol (SIP), H.323, Media Gateway Control Protocol (MGCP), H.248, а также фирменные протоколы. Помножьте их число на множество версий этих протоколов.

Многие из этих стандартов чересчур сложны, а их реализации, как правило, грешат изъянами — что опять же приводит к уязвимости VoIP-системы. Помимо сложности самого стандарта, причины уязвимости кроются и в стремлении поставщиков поскорее закрепиться на рынке.

Протоколы могут быть либо реализованы самим поставщиком VoIP-решения (следовательно, должен быть сделан упор на их безопасность), либо приобретены “на стороне” (в этом случае риски распространяются на все решения, использующие данный стек протоколов). На рис. 1 приведены базовые уровни ПО IP-УАТС, причем каждый из них может иметь свои слабые места.

Дефектами реализации стека становятся программные ошибки, например при проверке размера запроса протокола приводящие к тому, что злоумышленник может предпринять следующие атаки:

• Удаленный доступ. Злоумышленник получает удаленный доступ к системе (часто с правами администратора).

• Отказ в обслуживании из-за искаженного запроса (Malformed request DoS). Неправильно сформированный запрос приводит к частичному или полному отказу службы.

• Отказ в обслуживании из-за высокой нагрузки (Load-based DoS). Шквал запросов способен “парализовать” плохо спроектированную систему.

В силу важности своей роли в обеспечении телефонного обслуживания и сложности программного обеспечения IP-УАТС становятся главной мишенью для атак. Вот лишь некоторые из них.

• Атака на ОС с использованием слабых мест в операционной си-стеме. Даже не будучи направленной непосредственно на VoIP-си-стему, такая атака может тем не менее представлять для нее угрозу.

• Атака на поддерживающее ПО, например такое, как СУБД или Web-сервер, с использованием его слабых мест. Примером может служить “червь” SQL Slammer, проникающий в систему через уязвимое место в используемой IP-УАТС СУБД.

• Атака на протокол, например SIP или H.323, с использованием дефекта в его реализации. Примером может служить уязвимость протокола H.323 в продукте ISA Server фирмы Microsoft.

• Атака на приложение с использованием уязвимости в базовом приложении голосовой связи, которая не устраняется на уровне протокола.

• Манипуляция приложением с использованием слабого места в системе его защиты, например нестрогой аутентификации или неправильной конфигурации, что может привести к неавторизованному пользованию VoIP-сервисом.

• Несанкционированный доступ, в результате которого злоумышленник получает право админи-стративного доступа к IP-УАТС.

• Отказ в обслуживании. Причиной этой атаки может послужить либо дефект ПО, приводящий к потере функции, либо шквал запросов, парализующий IP-УАТС. Примеры DoS-атак на компоненты SIP доступны по адресу http://www.ee.oulu.fi.research/ouspg/protos/testing/c07/sip/

Аналогичные элементы уязвимости можно обнаружить и у прочих компонентов VoIP-сети в зависимости от используемого в них ПО.

DoS-атаки на среду передачи тоже являются серьезной проблемой. За передачу данных в IP-телефонии, как правило, отвечает протокол RTP (Real-Time Protocol), уязвимый для любой атаки, которая “забивает” сеть пакетами или приводит к замедлению процесса их обработки конечным устройством (телефоном или шлюзом). Для этого злоумышленнику достаточно “впрыснуть” в сеть большую дозу либо RTP-пакетов, либо пакетов с высоким приоритетом обслуживания, которые будут конкурировать с легитимными RTP-пакетами.

Пользователи привыкли полагаться на конфиденциальность телефонных переговоров в отличие от служб электронной почты или мгновенных сообщений, конфиденциальности от которых никто не ждет. Какая-то часть VoIP-вызовов, правда, шифруется, но не большинство. Кроме этого, шифрование без строгой аутентификации еще не гарантирует конфиденциальности, ведь абоненты не могут быть уверены в том, что злоумышленник не предпринял так называемую атаку “чужой среди своих” (Man-In-The-Middle — MITM) и не получил доступ к среде передачи.

Общие рекомендации

Чтобы сделать вашу VoIP-систему более безопасной, можно предпринять следующее:

• Для выявления атак используйте систему обнаружения вторжений уровня хоста.

• С целью защиты IP-УАТС от атак из ЛВС и Интернет разверните МЭ, оптимизированный для поддержки речевого трафика.

• Используйте коммутируемую ЛВС, что не только улучшит производительность VoIP-системы, но и затруднит получение злоумышленником доступа к ее компонентам.

• Используйте виртуальные ЛВС, чтобы изолировать телефонный трафик.

• Обеспечьте защиту всех сетевых компонентов, включая коммутаторы, маршрутизаторы и т. д.

• Для кампусной сети IP-телефонии МЭ и прочие системы Интернет-безопасности сконфигурируйте таким образом, чтобы предотвратить выход VoIP-трафика за пределы внутренней сети.

• Ограничьте число вызовов, попадающих через территориально распределенную сеть на медиашлюз или любой другой разделяемый ресурс, который может быть парализован DoS-атакой.

• Рассмотрите возможность установки дополнительных МЭ и средств безопасности с целью контроля сетевого трафика.

Специализированные МЭ

Мы рекомендуем также развернуть VoIP-оптимизированные МЭ и шлюзы безопасности на ключевых участках сети. К последним относятся участки между IP-УАТС и телефонами, периметры территориально распределенной сети и сети сервис-провайдера/Интернет-провайдера. VoIP-оптимизированный МЭ осуществляет следующие функции:

• Обеспечивает защиту голосовой связи на уровне приложений посредством мониторинга сигнализации с целью выявления атак. Если сигнализация шифруется, то такой МЭ должен уметь дешифровать сигнальную информацию.

• Обеспечивает 99,999% работоспособного времени в сеансах передачи данных (media sessions) и отсутствие дополнительной задержки в них.

• В случае необходимости и по мере возможности обеспечивает интерфейс с другими имеющимися МЭ.

• Транслирует сетевые адреса с учетом протокола и управляет сеансом передачи данных.

• Поддерживает маркеры QoS.

• Поддерживает безопасность в гибридных сетях на период перехода к IP-телефонии.

На рис. 2 приведен пример развертывания гибридной сети с VoIP-оптимизированными МЭ, установленными на нескольких ключевых участках.

И не забудьте о телефонах

Не менее важно защитить IP- и программные телефоны. Последние — это наиболее распространенный, а следовательно, наиболее уязвимый компонент VoIP-сети. Можно дать следующие рекомендации по защите телефонов:

• Приобретайте телефоны с усиленной защитой, которая предусматривает строгую аутентификацию и шифрование сигнализации и среды передачи.

• Применяйте усиленную парольную защиту.

• Не используйте в качестве паролей их значения по умолчанию, добавочные номера и т. д.

• Запретите удаленный доступ, такой, как telnet.

• Применяйте строгую аутентификацию для любого Web-доступа к телефону.

• Запретите локальное администрирование телефона.

• Позаботьтесь о безопасности процесса обновления микропрограммного обеспечения (firmware) телефона.

• Обеспечьте регистрацию событий, если есть такая возможность.

• Настаивайте на использовании строгой аутентификации для программных телефонов, чтобы предотвратить возможные атаки на телефонную сеть со стороны незарегистрированных приложений.

Установите стандарты

И наконец, в целях обеспечения строгой аутентификации и шифрования можно использовать некоторые стандарты безопасности. Они позволяют реализовать защищенное взаимодействие между компонентами VoIP-системы; они медленно, но неуклонно принимаются поставщиками.

Transport Layer Security (TLS). Обеспечивает шифрование “точка—точка” и аутентификацию сеанса TCP/IP, например при обмене данными между IP-УАТС и телефоном. Secure RTP (SRTP). Обеспечивает шифрование сеанса передачи данных. IP Security (IPsec). Предоставляет средства шифрования и аутентификации на третьем уровне OSI. S/MIME. Используется для шифрования и гарантирует целостность SIP-сообщений..

Прочитано 9445 раз Последнее изменение Понедельник, 13 июня 2016 10:45

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно
HTML-коды запрещены

Свяжитесь с нами и мы Вам поможем

*

Техническая поддержка Вашего бизнеса.

 

Вопрос? Звони

Техническая поддержка
В любой день: 8(7172) 57-69-08
Понедельник-пятница: с 9.00 до 18.00
Суббота: с 10.00 до 14.00

 

Нужна поддержка?

Вы можете задать вопрос на нашем сайте и мы в кратчайшие сроки ответим на него.
Задать ...

 

Live chat сейчас

Также для Вас доступен круглосуточный Чат с нашими сотрудниками.Мы ответим на любой вопрос.