securitatea telefoniei IP. Telefonia IP este ușor de eșuat. Comunicarea cu lumea exterioară

În lumea modernă, informația este una dintre cele mai valoroase resurse, așa că protejarea acesteia este o sarcină importantă. Convorbirile telefonice joacă un rol semnificativ în activitatea unei organizații la orice nivel. Datorită popularității tot mai mari a telefoniei IP, problema asigurării securității acesteia în general și Confidențialitatea conversațiilorîn special.

Cunoașterea principalelor surse de pericol pentru rețelele de telefonie IP, precum și înțelegerea modului de eliminare a acestor amenințări, va ajuta la păstrarea reputației și a resurselor financiare ale companiei. În ciuda faptului că articolul descrie soluții pentru platforma gratuită Asterisk, problema este relevantă pentru orice alte platforme de telefonie IP.

Principalele tipuri de amenințări pentru rețelele VoIP:

• Interceptarea și manipularea datelor

Cea mai comună vulnerabilitate în rețelele de telefonie, mai ales periculoasă pentru telefonia IP. Când folosește telefonia IP, un atacator nu are nevoie de acces fizic la linia de date. Ce e inauntru rețeaua corporativă Cel mai probabil, dispozitivul de interceptare poate fi detectat; interceptarea externă este aproape imposibil de urmărit. În plus, datele sau vocea interceptate pot fi transmise în continuare cu modificări. În astfel de circumstanțe, întregul flux de voce necriptat trebuie considerat nesigur.

• Înlocuirea și piratarea datelor utilizatorilor

Refuzul utilizării sau simplificarea mecanismelor de autentificare și autorizare în telefonia IP deschide posibilitatea unui atacator de a obține acces neautorizat la sistem prin înlocuirea datelor utilizatorului cu propriile lor. De asemenea, este posibil să piratați acreditările utilizatorului prin forță brută sau prin interceptarea canalelor de comunicare nesecurizate. O astfel de vulnerabilitate poate fi folosită pentru a efectua apeluri costisitoare în detrimentul victimei, anulând toate beneficiile posibile din utilizarea telefoniei IP. De asemenea, această gaură de securitate poate fi folosită pentru a primi apeluri destinate a fi piratate sau pentru a înregistra apeluri interceptate pe mass-media atacatorului pentru a utiliza aceste informații în beneficiul personal.

• Limitare de disponibilitate

Un tip de atac este Denial of Service (DoS). Acest atac urmărește să depășească sarcina finala la sistemul cu un număr mare de apeluri scurte sau gunoiul informativ. Fără monitorizarea constantă a semnelor unor astfel de atacuri și utilizarea măsurilor de protecție pasivă, acest lucru duce la faptul că serverele de telefonie IP nu pot face față sarcinii crescute și nu pot deservi abonații conectați.

Securitatea telefoniei IP – o abordare integrată!

Atunci când proiectați orice sistem de comunicații, este important să înțelegeți că niciuna dintre soluțiile tehnice independente de securitate nu vă poate oferi protectie absoluta de toate amenințările posibile.

După ce am analizat principalele surse de amenințări la securitatea telefoniei IP, putem identifica criteriile cheie de securitate:

• Confidențialitate

Necesitatea de a asigura protecția traficului de telefonie IP pentru a preveni interceptarea sau interceptarea apelurilor telefonice, modificările informațiilor transmise și furtul acreditărilor utilizatorului.

• Integritate

Asigurarea că informațiile transmise nu sunt manipulate de utilizatori neautorizați, care solicită îndeplinirea anumitor sarcini sau funcții ( de exemplu, efectuarea unui apel sau modificarea setărilor sistemului de telefonie IP) inițiate de utilizatori sau aplicații autorizate.

• Disponibilitate

Funcționare fără probleme sistem corporativ Telefonie IP în condiții de atacuri DoS, diverse „viermi”, „viruși”, etc.

Cum se protejează telefonia IP?

Să ne uităm la cel mai puțin sigur și, în același timp, unul dintre cele mai comune exemple de implementare a telefoniei IP.

Figura 1 - Implementarea telefoniei IP

Un server de telefonie bazat pe IP-PBX Asterisk are acces direct la Internet pentru a deservi filiale de la distanță și pentru a comunica cu un furnizor SIP care oferă acces la liniile de comunicație externe. Autentificarea utilizatorului are loc prin adrese IP.

Soluția la problemele de securitate a informațiilor trebuie să fie cuprinzătoare, deoarece fiecare metodă de protecție nu numai că acoperă partea sa din perimetrul informațional, ci completează și alte soluții.

Configurarea unui server de telefonie

Ultima linie de apărare este serverul de telefonie IP însuși. Există mai multe metode clasice pentru a proteja un server de atacuri.

Aplicarea firewall-urilor

Firewall-ul transmite traficul de ieșire de la serverul de telefonie către furnizorul SIP și filtrează traficul de intrare conform anumitor reguli. O soluție rațională poate fi considerată închiderea tuturor porturilor de rețea pentru telefonia IP pe firewall, cu excepția celor necesare pentru funcționarea și administrarea corectă a acestuia. Este indicat să folosiți aceeași metodă de protecție pe serverul de telefonie în sine pentru a-l proteja de atacurile interne.

Astfel, serverul de telefonie este accesibil din rețele externe doar prin anumite porturi de serviciu, conexiunea la care, din motive de securitate, se va realiza prin criptare.

Criptarea convorbirilor telefonice

Pentru protecția negocierilor confidențialeși minimizarea posibilității confidențiale sau informatii comercialeîn mâinile unui atacator, este necesar să se protejeze cele transmise canale deschise date de comunicații de la interceptare și interceptare.

Deoarece pentru a efectua un apel, clientul și serverul fac mai întâi schimb de date de serviciu pentru a stabili o conexiune, această problemă poate fi împărțit în două componente – protecția datelor serviciului de telefonie IP și protecția traficului vocal. Ca măsură de securitate, protocolul TLS (Transport Layer Security) poate fi utilizat pentru a proteja semnalele SIP și protocolul SRTP (Secure Real Time Protocol) pentru a proteja traficul de voce.

Figura 2 - Criptarea telefoniei IP

TLS este un protocol criptografic care asigură transferul securizat de date între nodurile unei rețele și este metoda standard pentru criptarea protocolului SIP. TLS asigură confidențialitatea și integritatea informațiilor transmise și asigură autentificarea.

După stabilirea unei conexiuni securizate, începe transmiterea datelor vocale, care pot fi securizate folosind protocolul SRTP.

Protocolul SRTP este considerat unul dintre cele mai bune moduri Protecție de telefonie IP bazată pe Asterisk IP-PBX. Principalul avantaj al acestui protocol este absența oricărui impact asupra calității comunicării. Modul în care funcționează protocolul SRTP arată astfel: fiecărui apel pe care îl efectuați i se atribuie un cod unic, ceea ce face aproape imposibil ca utilizatorii neautorizați să asculte cu urechea conversațiilor. Acest lucru face ca SRTP să fie protocolul preferat atât pentru apelurile obișnuite, cât și pentru cele private.

Nu trebuie să uităm de necesitatea protejării conexiunii serverului de telefonie la canalele de comunicații externe (comunicații mobile, rețele publice de telefonie).

Folosind tuneluri VPN criptate

Dacă este necesar să se organizeze sisteme cu cerințe sporite pentru protecția telefoniei IP, este posibil să se conecteze utilizatori la distanță prin rețele private virtuale (VPN). Conținutul pachetelor interceptate trimise prin tuneluri VPN criptate este de înțeles doar deținătorii cheii de criptare. Aceeași metodă poate fi folosită pentru a securiza conexiunile la furnizorii de servicii de telefonie IP. În prezent, mulți furnizori VoIP oferă conexiuni VPN.

Figura 3 - Schema de funcționare a telefoniei IP printr-un tunel VPN

Cu toate acestea, tehnologia VPN are o serie de dezavantaje care îi limitează utilizarea:

• reducerea calității comunicațiilor din cauza întârzierilor create de criptare;
• sarcină crescută pe canalele și echipamentele de comunicație cauzată de necesitatea criptării;
• creșterea complexității structurii rețelei.

Aplicarea metodelor enumerate de protecție a serverului va minimiza probabilitatea de hacking, iar dacă sistemul de securitate este ocolit cu succes, va minimiza daunele.

Figura 4 - Protecția cuprinzătoare a telefoniei IP

Din păcate, niciun set de măsuri nu poate oferi o garanție absolută a siguranței. Aspectele discutate mai sus rezolvă doar parțial problema construcției sistem de comunicare securizat. În practică, ar trebui luată în considerare întreaga infrastructură a rețelei corporative și ar trebui efectuată o analiză aprofundată a nivelului de protecție necesar. Este necesar să se țină cont nu numai de necesitatea de a asigura securitatea telefoniei IP, dar și accesul la canale de comunicare externe (comunicații mobile, rețele publice de telefonie). Doar această abordare, împreună cu îmbunătățirea constantă a sistemelor de securitate a informațiilor, vor crea un sistem fiabil și sigur.

Pentru a crea o protecție completă împotriva interceptării, este necesar să „ascundeți” serverul de telefonie IP, pentru care soluția „Server în Israel” este excelentă.

Integrarea sistemului. Consultanta

2015. SwitchRay prezintă o soluție actualizată pentru a proteja IP PBX împotriva fraudei

SwitchRay, un furnizor de top de soluții VoIP pentru operatorii de telecomunicații cu amănuntul și angro, furnizorii de servicii Internet, operatorii de rețele cu fir și fără fir, a anunțat disponibilitatea unei noi versiuni a produsului SR-P7000 v1.1 pentru prevenirea fraudei IP PBX. Spre deosebire de alte soluții, SR-P7000 v1.1 este o platformă independentă care este ușor compatibilă cu orice softswitch pentru a proteja operatorii de pierderile de venituri cauzate de diverse forme de fraudă, hacking și alte încălcări ale securității informațiilor.

2013. WebMoney Voice - aplicație pentru comunicații VoIP sigure

Sistemul de plată WebMoney a lansat aplicația WebMoney Voice (sau, mai degrabă, este un modul suplimentar pentru clientul mobil al sistemului), care vă permite să conduceți conversații telefonice securizate prin telefonie IP. WebMoney Voice codifică datele folosind algoritmi speciali și practic elimină posibilitatea de interceptare și interceptare a conversațiilor de către terți în orice rețele de date. În același timp, în timpul unui apel confidențial, calitatea sunetului vocii interlocutorului nu se pierde. Nu există nicio taxă pentru utilizarea serviciului. Aplicația este disponibilă în prezent pentru descărcare pe Google Play pentru Android versiunea 3.0.52 și o versiune ulterioară. Versiunile sunt planificate pentru alte platforme mobile.

2012. Telfin protejează comunicațiile VoIP corporative

Furnizorul de servicii VoIP de afaceri Telfin a lansat un nou serviciu Telfin.VoiceVPN, care este conceput pentru a proteja comunicațiile VoIP. Faptul este că tehnologia VoIP implică transmiterea vocii pe canale publice de internet, precum și pe intranet, care nu este întotdeauna îngrădit corespunzător de rețeaua externă. Prin urmare, semnalul vocal poate fi interceptat și secretele comerciale furate. Telfin.VoiceVPN vă permite să protejați rețeaua internă a companiei dvs. de interceptări și să organizați un canal securizat între birourile de la distanță. Pentru a face acest lucru, fiecare birou trebuie să aibă instalat un router VPN (pe care Telfin îl vinde cu 3.200 de ruble). Conexiunea costă încă 1000 de ruble, iar apoi plătiți o taxă lunară de 500 de ruble/lună.

2011. BELTEL va vinde soluții VoIP către Polycom

Integratorul de sistem BELTEL anunță că a primit statutul de reseller autorizat Polycom. Statutul obținut permite companiei să-și extindă gama de produse și soluții precum telefoane hardware pentru lucrul cu Microsoft Endpoint, soluții vocale Soluții bazate pe IP și Video Border Proxy concepute pentru a oferi acces securizat de la distanță la funcțiile UC, VoIP și Video și pentru a permite media să treacă prin firewall-urile întreprinderii.

2010. PhoneUp crește securitatea și controlabilitatea afacerii

Compania BKS-IT a introdus un nou modul „Priority” pentru pachetul său PhoneUp, extinzând puterile anumitor grupuri de angajați de a gestiona apelurile într-o rețea IP construită pe tehnologii Cisco. Cu ajutorul noului modul, managerii sau ofițerii de securitate ai companiei vor putea să asculte conversațiile conectându-se discret la telefonul unui angajat, să inițieze o conexiune forțată cu un angajat (chiar dacă telefonul său este ocupat), să se alăture conversației curente a unui angajat, și inițiază înregistrarea conversației unui angajat. Pe lângă noul modul, pachetul PhoneUp include module pentru implementarea unui director telefonic unificat al companiei, supraveghere video și informații despre angajați.

2009. WatchGuard XTM va oferi securitate pentru telefonia IP

Importanța protejării comunicațiilor VoIP împotriva amenințărilor a crescut semnificativ în ultimii ani, iar această tendință se va intensifica doar din cauza creșterii anuale a volumelor de trafic VoIP. WatchGuard Technologies a introdus o nouă versiune a sistemului de securitate al rețelei IP corporative WatchGuard XTM 8 Series, ale cărei caracteristici principale sunt instrumente pentru protejarea telefoniei IP. Sistemul oferă protecție VoIP, mesagerie instantanee (IM) și blocarea aplicațiilor P2P. Soluțiile WatchGuard XTM 8 Series oferă, de asemenea, securitate bazată pe aplicații pentru protocoalele SIP și H.323, permițând ca sistemele VoIP comerciale să fie mascate în timp ce le întăresc pentru a respinge atacurile de recoltare de directoare, accesul neautorizat la verificarea intrărilor și alte amenințări de securitate. Soluția WatchGuard XTM 8 Series este concepută pentru companiile mari cu rețele de la 1 mie la 5 mii de utilizatori.

2009. Un curs special despre securitatea telefoniei IP va avea loc în Rusia

Centrul de instruire Informzashita a anunțat un curs special de securitate în telefonie IP, dedicat problemelor complexe de analiză de securitate și asigurare a securității telefoniei IP. Acesta este un curs unic pentru Rusia, care examinează abordările moderne ale construirii unei infrastructuri de telefonie IP, vulnerabilitățile și atacurile asupra componentelor acesteia, metodele de protecție, sistemele de monitorizare și metodologiile pentru analiza securității unei rețele VoIP. Peste 50% din timpul de predare va fi dedicat munca practica, în timpul cărora se modelează atacurile tipice asupra infrastructurii de telefonie IP și se ia în considerare metodologia de utilizare a mecanismelor de protecție. Tehnologia de virtualizare a serverelor și stațiilor de lucru utilizată în procesul de instruire permite fiecărui specialist să efectueze lucrări practice pe o rețea VoIP individuală. Cursul se adresează administratorilor de securitate a informațiilor, administratorilor de sistem și de rețea responsabili cu operarea aplicațiilor VoIP, experților în securitatea computerelor și analiștilor care determină cerințele de securitate resursele rețeleiși protecție împotriva scurgerilor informații confidențiale prin canale tehnice.

2009. Autoritățile euro vor să asculte Skype

Agenția de Coordonare a UE sistemele naționale Justiția vrea să poată asculta sistemele de telefonie IP, inclusiv. Yahoo Messenger, InternetCalls, Skype. În prezent, acești furnizori VoIP nu sunt supuși legilor UE și SUA privind interceptarea și păstrarea datelor și, spre deosebire de companiile de telecomunicații, nu sunt obligați să coopereze cu forțele de ordine. În plus, criptarea comunicațiilor, de exemplu în Skype, face practic imposibilă ascultarea „forțată”. În săptămânile următoare va avea loc o reuniune a legislatorilor UE pe această temă.

2008. Cisco va asigura comunicațiile unificate

Protecția SIP pentru comunicațiile unificate constă în utilizarea protocolului SIP în Cisco IOS Firewall pentru a proteja Comunicatie vocala. Această inovație va permite companiilor să îmbrățișeze conceptul de întreprindere distribuită, să crească productivitatea și să minimizeze amenințările asociate cu comunicațiile vocale. Această actualizare se transformă solutii de retea CISCO Self-Defending Network (rețea de auto-apărare) într-o mai largă soluție de sistem, oferind protecție generală pentru rețele și o gamă largă de puncte finale, aplicații și conținut.

2007. VoIP este greu de ascultat

Utilizarea pe scară largă a serviciilor VoIP cauzează probleme diverselor agenții de informații. Apelurile telefonice prin Skype sunt aproape imposibil de urmărit și ascultat, iar dacă se folosește un VPN, sarcina devine de câteva ori mai dificilă, scrie Australian IT. Proliferarea operatorilor de telefonie IP și disponibilitatea criptării datelor înseamnă că zilele simplelor interceptări telefonice au trecut. Serviciile de informații lucrează în această direcție, atrăgând specialiști și extinzându-și capacitățile tehnice. Cu toate acestea, salariile unor astfel de specialiști și costul echipamentelor sunt prea mari. În acest caz, guvernul este tentat să introducă reglementări care impun furnizorilor de VoIP să utilizeze tehnologii simplificate, ceea ce ar putea duce în cele din urmă la slăbirea securității rețelei.

2007. Cisco: profesioniștii în securitate IT nu le este frică de VoIP

Un sondaj comandat de Vanson Bourne pentru Cisco a constatat că virușii sunt în fruntea listei celor mai importante amenințări. În 2007, aceștia au primit campionatul de 55% dintre respondenți (față de 27% în 2006). Accesul neautorizat la date a fost numit principala amenințare de 33%, comparativ cu 50% anul trecut. Preocuparea numărul unu a 38% dintre profesioniștii în securitate IT a fost securitatea datelor, iar 33% au citat necesitatea de a aduce procesele în conformitate cu cerințele de reglementare. Niciunul dintre respondenți nu și-a exprimat „îngrijorări puternice” cu privire la securitatea VoIP, Asterisk sau sistemele de comunicații unificate (internet plus cablu). Cu toate acestea, jumătate (49%) au fost de acord că considerentele de securitate trebuie luate în considerare la implementarea comunicațiilor IP. Sondajul a fost realizat în rândul a 100 de profesioniști în securitate IT responsabili cu protecția informațiilor în companiile lor cu peste 1 mie de angajați.

2007. Skype se angajează să îmbunătățească securitatea software-ului său

Popularul operator de telefonie IP peer-to-peer Skype intenționează să încheie un acord de cooperare cu o companie specializată în protejarea rețelelor de mesagerie instant, FaceTime Communications. Potrivit publicației de informare Silicon, Skype va încerca astfel să ofere mai multe instrumente de control asupra sesiunilor de telefonie IP pentru a-și promova serviciile în sectorul de afaceri. Este de așteptat ca acest acord să fie urmat de o serie de alte tranzacții similare. Intenția Skype de a face din software-ul său un instrument de comunicare de afaceri disponibil publicului a necesitat o schimbare în atitudinea managerilor IT de întreprindere care nu puteau controla traficul popularului sistem de telefonie. Potrivit datelor oficiale Skype, aproximativ 30% din cei 171 de milioane de utilizatori înregistrați sunt din lumea afacerilor.

2007. Experții în securitate continuă să ridice temeri cu privire la problemele viitoare cu telefonia IP

Companiile specializate în asigurarea securității calculatoarelor în rețele continuă să sperie comunitatea mondială cu potențiale amenințări care vor afecta în curând numeroși utilizatori de telefonie IP. Absența unor probleme de mult promise se explică prin dezvoltarea insuficientă a acestui tip de comunicare, dar pe baza datelor cercetării care susțin că până în 2010 numărul de telefoane IP în afaceri se va mai mult decât de patru ori, experții în securitate susțin că majoritatea companiilor pur și simplu nu sunt pregătite. pentru atacuri asupra rețelelor lor VoIP, scrie The Register. În același timp, producătorii de sisteme de securitate nu ascund faptul că se așteaptă la o creștere rapidă a pieței sistemelor de securitate pentru telefonie IP și își explică previziunile sumbre prin dorința de a avertiza potențialii clienți despre pericol în avans. Experții Symantec consideră că principalele dificultăți ale sistemelor VoIP vor fi legate de phishing, Panda Software se teme de răspândirea viermilor prin traficul modulelor VoIP ale clienților IM sau sisteme precum Skype, iar reprezentanții ScanSafe susțin că rețelele VoIP vor fi deosebit de vulnerabile pentru Atacurile DoS.

2006. Experții americani creează un grup de parteneriat pentru securitate VoIP

Un grup de academicieni americani și experți industriali a fost format recent pentru a investiga problemele de siguranță asociate cu Tehnologia VoIP. Grupul partener include Georgia Tech Information Centru de securitate(GTISC), BellSouth și Internet Security Systems (ISS). Serviciile de comunicații trec pe platformele de internet și importanța securității crește în contextul utilizării noilor tehnologii convergente. Cercetătorii intenționează să analizeze securitatea protocoalelor VoIP și problemele de autentificare, să modeleze traficul VoIP și comportamentul dispozitivului și să protejeze telefoanele mobile și aplicațiile VoIP. ISS și BellSouth au oferit 300.000 USD pentru un program de cercetare de doi ani care va permite GTISC să dezvolte și să evalueze soluții de securitate, iar ISS și BellSouth vor avea acces la rezultatele cercetării respective.

2006. Controlerul de frontieră de sesiune va ajuta la protejarea VoIP

Dezvoltarea serviciilor de telefonie IP ridică cu toată urgența o nouă problemă care își are rădăcinile în probleme vechi: securitatea VoIP. Experții prevăd că până la jumătatea anului 2007, hacking-ul și atacurile de viruși asupra rețelelor VoIP vor fi obișnuite, ceea ce nu poate decât să îngrijoreze dezvoltatorii de soluții VoIP și furnizorii de servicii VoIP. Cu toate acestea, o anumită protecție de bază poate fi organizată la nivel de arhitectură de rețea, folosind controlori de frontieră de sesiune (SBC), care pot preveni atacurile DDoS, răspândirea SPIT (Spam over internet telephony) și izbucnirile de viruși, precum și criptarea continuă a traficului. SBC-urile au fost folosite inițial pentru a organiza sesiuni VoIP în spatele NAT. Astăzi, aceștia sunt capabili să îndeplinească o mulțime de funcții de protecție, datorită capacității de a examina conținutul pachetelor în timp real. În rețea, controlorii de frontieră de sesiune ascund adresa reală a utilizatorului, ceea ce minimizează posibilitatea unui atac DDoS sau hacking, controlează lățimea de bandă, mențin QoS și ascund topologia rețelelor învecinate. În rețelele de ultimă generație, SBC va deveni un element esențial de securitate, alături de flexibilitate și scalabilitate, fiind în același timp fiabil și simplu.

2006. Noua criptare pentru VoIP pe platforma Windows

O nouă tehnologie de securitate criptografică care vă permite să protejați o sesiune VoIP între două noduri fără a contacta o terță parte sau a stoca separat cheile a fost dezvoltată de Phil Zimmermann, autorul legendar al software-ului de criptare a datelor PGP. Zimmerman a declarat că protocolul pe care l-a dezvoltat este potrivit pentru utilizare cu orice sistem telefonic, care acceptă SIP. Ținând cont de faptul că noua versiune de Zfone funcționează cu Windows, utilizatorul în masă al sistemelor de telefonie IP peer-to-peer are posibilitatea de a-și securiza temeinic comunicațiile. Tehnologia a fost trimisă spre aprobare Internet Engineering Task Force (IETF).

2006. VoIP este mai sigur decât telefonia obișnuită

În tranziția de la rețelele TDM la VoIP, furnizorii de servicii se confruntă cu o provocare semnificativă: asigurarea securității comunicațiilor vocale. Rețeaua de telefonie nu mai era izolată, iar un sistem VoIP prost proiectat putea să cadă cu ușurință victimă oricărei nenorociri comune pe internet: de la un atac DoS până la interceptarea datelor. Până în prezent, tehnologiile dezvoltate pentru a rezolva această problemă s-au acumulat suficient pentru a vorbi despre posibilitatea realizării unei securități mai mari în telefonia IP în comparație cu o rețea de telefonie convențională, scrie directorul de marketing al AudioCodes în articolul său publicat în publicația de informare Converge.Haim Melamed. Cu toate acestea, securitatea nu este deloc un concept nou pentru sistemele de telefonie. Pentru rețelele telefonice obișnuite, toate problemele actuale, de la interceptarea cu urechea până la refuzul serviciului, au fost, într-o măsură sau alta, relevante. Simpla conectare la o rețea globală a crescut considerabil numărul potențialilor atacatori care au posibilitatea de a efectua acțiuni neautorizate în legătură cu sistemul de comunicații și au o gamă largă de instrumente dovedite. Anterior, acest lucru necesita acces fizic și echipamente speciale, care limitau drastic numărul de potențiali infractori.

2006. NetIQ lansează instrumentul anti-hacking VoIP

NetIQ a dezvăluit o soluție de securitate VoIP care funcționează cu telefonia IP Cisco și protejează împotriva DoS, viruși, viermi, fraudă cu taxe, interceptări și alte amenințări, relatează NetworkWorld. Instrument nou permite administratorilor să aibă informații în timp real despre funcționarea sistemului, disponibilitatea acestuia și avertizează asupra oricăror amenințări de securitate. Soluția include AppManager, care monitorizează mediul VoIP pentru evenimente de securitate și modificări de configurare. AppManager Call Data Analysis examinează înregistrările apelurilor incorecte și generează un raport, Security Manager for IP Telephony înregistrează și analizează evenimentele de securitate. Vânzările soluției de securitate VoIP vor începe mai târziu în acest trimestru și au un preț de 6 USD per telefon IP.

2005. VPN pentru telefonie IP de la Avaya

Avaya a introdus un serviciu VPN în familia sa de echipamente de telefonie IP. Acest lucru va permite utilizatorilor de afaceri să-și extindă în siguranță comunicațiile de la sediul central către angajații care lucrează de acasă sau care lucrează temporar în locații nesigure. mediu de rețea. Integrarea noului software VPNremote cu un telefon IP va oferi angajaților comunicații de clasă business, care conțin toate caracteristicile necesare pentru comunicații de înaltă performanță și neîntrerupte ale întreprinderii. VPNremote pentru telefoanele IP Avaya 4600 vă permite să instalați rapid și rentabil telefoane IP desktop acasă sau la birouri la distanță. Este necesar doar ca administratorul să încarce softwareîntr-un telefon IP, iar angajatul l-a pornit independent priză electrică, m-am conectat la routerul meu de bandă largă de acasă și am introdus parola.

2005. VoIPShield lansează instrumentul de evaluare a riscurilor VoIP

VoIPShield System a lansat o nouă soluție de evaluare a vulnerabilităților pentru sistemele VoIP (cum ar fi Asterisk) care permite organizațiilor să prevină amenințările înainte ca acestea să afecteze serviciile VoIP. Bazat pe o bază de date de amenințări, VoIPaudit este cuprinzător și scalabil. Poate fi folosit pentru a monitoriza familia de protocoale VoIP, inclusiv Protocolul de stabilire a sesiunii (SIP), Protocolul H.323, Protocolul Cisco Skinny, Protocolul Nortel Unistim și multe altele. Comunicațiile VoIP sunt critice, iar VoIPaudit oferă un nivel de protecție fără precedent pentru toate rețelele de echipamente și dispozitive VoIP. VoIPaudit este disponibil astăzi, începând de la 10.000 USD, care include instruire și asistență.

2005. VoIPSA face primii pași

De la lansarea activității în acest an, organizația de securitate pentru telefonie IP Voice over IP Security Alliance (VoIPSA) a făcut primul său pas major în protejarea serviciilor VoIP: a identificat clar o listă de probleme și vulnerabilități care pot fi exploatate de atacatori. Proiectul, numit VoIP Security Threat Taxonomy, este postat pentru discuție publică. Acesta oferă definiții și descrieri cuprinzătoare și detaliate ale potențialelor amenințări de securitate, care stă la baza creării sistemelor de contramăsuri, scrie Computer Business. În ciuda faptului că organizația este conștientă de atacuri grave care folosesc vulnerabilități VoIP folosind mijloace destul de simple, șeful VoIPSA, Jonathan Zar, refuză să ofere exemple specifice. Lista problemelor potențiale include recunoaștere, atacuri DoS și DDoS, exploatarea vulnerabilităților protocolului, interceptarea cu urechea, eliminarea și modificarea fluxurilor audio.

2005. Juniper oferă securitate VoIP

Juniper Networks Inc. a anunțat Dynamic Threat Mitigation, care permite furnizorilor de servicii să ofere întreprinderilor și consumatorilor protecție avansată a serviciilor de rețea și asigurare a serviciilor, inclusiv VoIP. Sistemul este încorporat în routere Juniper (seria M sau seria E), fără a fi necesar ca clienții să instaleze echipamente noi. Soluția vă permite să identificați atacurile după utilizator sau aplicație, folosind managementul dinamic al politicilor și metodele de detectare și prevenire a intruziunilor (atacuri DoS, penetrare a viermilor). Având în vedere numărul mare de servicii furnizate prin rețelele IP, utilizarea sistemului Dynamic Threat Mitigation este un pas firesc și progresiv.

2005. Securitatea VoIP va fi amenințată serios în doi ani

Atacatorii vor reprezenta o amenințare la adresa telefoniei IP cu spam și viruși speciali în doi ani. Așa au declarat reprezentanții cunoscutului producător de echipamente de telecomunicații Nortel. În plus, companiile care folosesc VoIP, conferințe video și alte servicii multimedia pe baza tehnologii de rețea, ar trebui să se pregătească acum pentru următoarea etapă de protejare a infrastructurii lor, scrie publicația de informare Silicon. Vicepreședintele companiei, Atul Bhatnager, a declarat că, deocamdată, interferența cu serviciul VoIP este mai degrabă exotică, dar hackerii câștigă rapid experiență și, în viitor, utilizatorii de telefonie IP se vor confrunta cu aceleași probleme care sunt inerente, din cauza atacatorilor, date convenționale ale rețelelor de transmisie: spam și atacuri DoS. Adevărat, doi ani sunt suficienți pentru a pregăti și a implementa suficient sisteme de protectie, capabil de analiză profundă a pachetelor de date.

2005. Motorola+Skype

Motorola și furnizorul de servicii de telefonie prin internet Skype Technologies au semnat un acord de cooperare, așa cum a anunțat la Congresul 3GSM de la Cannes. În prima etapă a cooperării, companiile vor dezvolta împreună noi produse optimizate Motorola Skype Ready pentru telefonie IP. Linia de produse va include o cască Bluetooth, dispozitive hands-free și hardware pentru a proteja software-ul și datele de accesul neautorizat. În plus, Motorola plănuiește să lanseze o serie de modele de telefoane mobile cu funcții de telefon pe Internet. Telefoanele vor fi echipate cu software de telefonie IP dezvoltat de Skype, care va permite telefoanelor să interacționeze atât cu rețelele celulare, cât și cu rețelele Wi-Fi. Parteneriatul dintre companii va face posibil serviciu accesibil Comunicatie vocala prin Internet nu numai pentru utilizatorii de computere personale și handheld-uri. Posesorii de noi telefoane mobile Motorola vor avea, de asemenea, posibilitatea de a suna oriunde în lume, fără a-și face griji cu privire la facturile uriașe pentru serviciile de comunicații.

2004. Cisco CallManager 4.1: Nivel de securitate fără precedent

Cisco Systems anunță lansarea de noi funcții de securitate pentru sistemele de comunicații IP. Noua soluție - Cisco CallManager 4.1 - oferă un nivel crescut de securitate pentru comunicațiile vocale și confirmă încă o dată liderul Cisco în domeniul tehnologiilor IP. Cisco CallManager 4.1 acceptă criptarea vocii pe noile telefoane IP Cisco 7940G și 7960G, precum și pe cele peste 2,5 milioane de telefoane IP Cisco 7940G și 7960G deja instalate. Criptarea datelor vocale asigură confidențialitatea convorbiri telefonice, iar criptarea informațiilor de semnal protejează împotriva manipulării pachetelor de semnalizare telefonică. Software-ul Cisco CallManager 4.1 interfață cu o gamă largă de gateway-uri media Cisco, inclusiv familia de rutere pentru servicii integrate. Suportul de criptare pentru gateway-urile media Cisco completează capabilitățile puternice Voice over Privat virtual Rețea (V3PN) și protecție împotriva amenințărilor care sunt deja conținute în aceste platforme.

2002. A fost lansată o nouă versiune de Avaya IP Office 1.3

Avaya a introdus o nouă versiune a soluției sale VoIP pentru întreprinderile mici și mijlocii, Avaya IP Office 1.3. Avaya IP Office Release 1.3 include software și hardware nou pentru a satisface diverse cerințe de afaceri. Software-ul îmbunătățește capacitățile sistemului de a suporta o gamă mai largă de telefoane IP Avaya, îmbunătățește securitatea sistemului și oferă mai multe funcționalități de rețea. Noua versiune permite până la 256 de utilizatori și acceptă până la două conferințe simultane (până la 64 de participanți fiecare) sau mai multe conferințe cu mai puțini participanți pe o platformă hardware extinsă. Caracteristicile de securitate includ moduri speciale de conferință și controlul accesului folosind coduri PIN. VoiceMail Pro vă permite să automatizați apelarea numerelor (apelați după nume). Există, de asemenea, funcții de răspuns vocal interactiv (IVR) cu o interfață API deschisă.

2002. Avaya a introdus o nouă soluție pentru telefonia IP prin VPN

Avaya a lansat o nouă versiune de Avaya VPNremote cu suport extins pentru standardele de rețea deschise. Noua soluție va permite companiilor să organizeze rapid și eficient accesul angajaților de la distanță la toate capabilitățile de comunicare care sunt utilizate în birourile organizației. Telefoanele IP Avaya bazate pe noua versiune VPNremote permit lucrătorilor la distanță să lucreze în rețelele Cisco Systems și Juniper Networks. Noile funcții Avaya VPNremote pentru telefoanele IP oferă un nivel ridicat de control și calitate a comunicării. Avaya VPNremote 2.0 este o soluție software care îmbunătățește telefoanele IP Avaya cu capabilități de acces securizat la rețeaua privată virtuală (VPN). Astfel, angajații de la distanță ai companiilor au posibilitatea de a lucra în rețeaua corporativă cu comunicații de înaltă calitate. O noua versiune Avaya VPNremote acceptă mediile VPN Cisco Systems și Juniper Networks.

2001. PGPfone - conversație securizată prin VoIP și IM

PGPfone este un program care vă transformă computerul personal sau laptopul într-un telefon securizat. Pentru a oferi posibilitatea de a desfășura conversații telefonice securizate în timp real (prin linii telefonice și canale de internet), utilizează tehnologia de compresie audio și protocoale criptografice puternice. Sunetul vocii tale primit prin microfon este digitizat secvenţial, comprimat, criptat şi trimis de PGPfone persoanei de la celălalt capăt al liniei care foloseşte şi PGPfone. Toate protocoalele criptografice și de compresie sunt selectate dinamic și transparent pentru utilizator, oferind o interfață naturală similară unui telefon obișnuit. Protocoalele de criptare cu chei publice sunt utilizate pentru a selecta cheia de criptare, astfel încât să nu fie necesar un canal securizat pentru schimbul de chei în prealabil.

A furniza securitatea sistemului Sunt utilizate următoarele funcții:

• Prevenirea accesului neautorizat la rețea prin utilizarea unui cuvânt de cod partajat. Cuvântul de cod este calculat simultan folosind algoritmi standard pe sistemele de inițiere și terminare, iar rezultatele obținute sunt comparate. Când se stabilește o conexiune, fiecare dintre cele două sisteme de telefonie IP identifică inițial celălalt sistem; Dacă apare cel puțin un rezultat negativ, conexiunea este întreruptă.
• Liste de acces care includ toate gateway-urile de telefonie IP cunoscute.
• Înregistrați refuzurile de acces.
• Funcții securitatea interfeței acces, inclusiv verificarea ID-ului utilizatorului și a parolei cu acces limitat de citire/scriere, verificarea drepturilor de acces la un server WEB special pentru administrare.
• Funcții de securitate a apelurilor, inclusiv verificarea ID-ului utilizatorului și a parolei (opțional), starea utilizatorului, profilul de abonat.

Atunci când un gateway stabilește o conexiune cu un alt gateway din zona sa, se efectuează o verificare opțională a ID-ului utilizatorului și a parolei. Utilizatorul poate fi lipsit de drepturi de acces în orice moment.

Într-adevăr, în timpul dezvoltării protocolului IP, nu s-a acordat atenția cuvenită problemelor de securitate a informațiilor, dar în timp situația s-a schimbat și aplicatii moderne Rețelele bazate pe IP conțin suficiente mecanisme de securitate. Iar soluțiile din domeniul telefoniei IP nu pot exista fără implementarea tehnologiilor standard de autentificare și autorizare, controlul integritatiiși criptare etc. Pentru claritate, să luăm în considerare aceste mecanisme deoarece sunt utilizate în diferite etape ale organizării unei convorbiri telefonice, începând cu ridicarea receptorului și terminând cu semnalul de închidere.

1. Telefon.

În telefonia IP, înainte ca telefonul să trimită un semnal pentru a stabili o conexiune, abonatul trebuie să-și introducă ID-ul și parola pentru a accesa dispozitivul și funcțiile acestuia. Această autentificare vă permite să blocați orice acțiuni ale străinilor și să nu vă faceți griji că utilizatorii altor persoane vor suna alt oraș sau țară pe cheltuiala dvs.

2. Stabilirea unei conexiuni.

După formarea numărului, semnalul de stabilire a conexiunii este trimis către serverul de control al apelurilor corespunzător, unde întreaga linie controale de securitate. Primul pas este verificarea autenticității telefonului în sine – atât prin utilizarea protocolului 802.1x, cât și prin certificate de cheie publică integrate în infrastructura de telefonie IP. Această verificare vă permite să izolați telefoanele IP neautorizate instalate în rețea, în special într-o rețea cu adresare dinamică. Fenomene similare cu notoriile centre de apel vietnameze sunt pur și simplu imposibile în telefonia IP (desigur, cu condiția să fie respectate regulile pentru construirea unei rețele telefonice securizate).

Cu toate acestea, problema nu se limitează la autentificarea telefonică - este necesar să se afle dacă abonatul are dreptul să sune numărul pe care l-a format. Acesta nu este atât un mecanism de securitate, cât este o măsură de prevenire a fraudei. Dacă un inginer al companiei nu are voie să folosească comunicare la distanță lungă, atunci regula corespunzătoare este înregistrată imediat în sistemul de gestionare a apelurilor și indiferent de la ce telefon se face o astfel de încercare, aceasta va fi imediat oprită. În plus, puteți specifica măști sau intervale de numere de telefon pe care un anumit utilizator are dreptul să le apeleze.

În cazul telefoniei IP, problemele de comunicare similare supraîncărcărilor de linie în telefonia analogică sunt imposibile: cu proiectarea corectă a rețelei cu conexiuni de rezervă sau duplicarea serverului de control al apelurilor, eșecul elementelor infrastructurii de telefonie IP sau supraîncărcarea acestora nu are un negativ impact asupra funcționării rețelei.

3. Convorbire telefonică.

În telefonia IP, a fost oferită încă de la început o soluție la problema protecției împotriva interceptării. Un nivel ridicat de confidențialitate al comunicațiilor telefonice este asigurat de algoritmi și protocoale dovediți (DES, 3DES, AES, IPSec etc.) cu practic absență completă costurile pentru organizarea unei astfel de protecție - toate mecanismele necesare (criptare, controlul integritatii, hashing, schimb de chei etc.) au fost deja implementate în elemente de infrastructură, de la un telefon IP la un sistem de gestionare a apelurilor. În același timp, protecția poate fi folosită cu succes egal atât pentru conversațiile interne, cât și pentru cele externe (în acest din urmă caz, toți abonații trebuie să folosească telefoane IP).

Cu toate acestea, există o serie de probleme asociate cu criptarea pe care trebuie să le țineți cont atunci când implementați o infrastructură VoIP. În primul rând, există o întârziere suplimentară din cauza criptării/decriptării, iar în al doilea rând, costurile generale cresc ca urmare a creșterii lungimii pachetele transmise.

4. Funcționalitate invizibilă.

Până acum am luat în considerare doar acele pericole la care este expusă telefonia tradițională și care pot fi eliminate prin introducerea telefoniei IP. Dar trecerea la protocolul IP aduce cu sine o serie de noi amenințări care nu pot fi ignorate. Din fericire, există deja soluții, tehnologii și abordări bine dovedite pentru a proteja împotriva acestor amenințări. Majoritatea nu necesită nicio investiție financiară, fiind deja implementate în echipamente de rețea, care stau la baza oricărei infrastructuri de telefonie IP.

Cel mai simplu lucru care poate fi făcut pentru a îmbunătăți securitatea convorbirilor telefonice atunci când acestea sunt transmise prin același sistem de cablu ca datele obișnuite este segmentarea rețelei folosind tehnologia VLAN pentru a preveni utilizatorii obișnuiți să asculte conversațiile. Rezultate bune se obțin prin utilizarea unui spațiu de adrese separat pentru segmentele de telefonie IP. Și, bineînțeles, nu ar trebui să reduceți regulile de control al accesului pe routere (Lista de control al accesului, ACL) sau firewall-uri, a căror utilizare face dificilă conectarea atacatorilor la segmentele de voce.

5. Comunicarea cu lumea exterioară.

Indiferent de beneficiile oferite de telefonia IP în cadrul rețelei interne ale companiei, acestea vor fi incomplete fără posibilitatea de a efectua și primi apeluri către numere de telefon fix. În acest caz, de regulă, apare sarcina de a converti traficul IP într-un semnal transmis prin rețeaua publică de telefonie (PSTN). Se rezolvă prin utilizarea unor gateway-uri speciale de voce, care implementează și unele funcții de protecție, iar cea mai importantă dintre ele este blocarea tuturor protocoalelor de telefonie IP (H.323, SIP etc.) dacă mesajele lor provin dintr-un segment non-vocal. .

Pentru a proteja elementele infrastructurii de voce de eventuale influențe neautorizate, pot fi utilizate soluții specializate - firewall-uri (Firewall-uri), gateway layer de aplicație (Application Layer Gateway, ALG) și controlere de frontieră de sesiune (Session Border Controller). În special, protocolul RTP utilizează dinamic porturi UDP, a cărui deschidere pe firewall duce la apariția unei găuri deschise în protecție. Prin urmare, firewall-ul trebuie să determine în mod dinamic porturile folosite pentru comunicare, să le deschidă în momentul conectării și să le închidă când este finalizată. O altă caracteristică este că o serie de protocoale, de ex.

Un articol foarte interesant despre securitatea în telefonia IP a fost publicat pe site-ul linkmeup.ru. Îl postăm fără modificări, ca să spunem așa, de la autor.

=======================

Bună ziua, colegi și prieteni, eu, Vadim Semenov, împreună cu echipa de proiect network-class.net, vă prezint un articol de recenzie care atinge principalele tendințe și amenințări în telefonia IP și, cel mai important, instrumentele de protecție pe care producătorul le oferă în prezent ca protecție (în limbajul specialiștilor în securitate, să luăm în considerare ce instrumente oferă producătorul pentru a reduce vulnerabilitățile care ar putea fi exploatate de persoane nelegitime). Deci, mai puține cuvinte - să trecem la treabă.
Pentru mulți cititori s-a format de mult termenul de telefonie IP, precum și faptul că această telefonie este „mai bună”, mai ieftină în comparație cu telefonia publică (PSTN), bogată în diverse funcții suplimentare etc. Și acest lucru este adevărat, totuși... parțial. Pe măsură ce am trecut de la telefonia analogică (digitală), cu liniile sale de abonat (de la telefonul de abonat la stația sau extensia stației) și liniile de legătură (linia de comunicație între stații) se aflau nu mai puțin decât numai în zona de acces și control a telefoniei. furnizor. Cu alte cuvinte, oamenii obișnuiți nu aveau acces acolo (sau practic, dacă nu țineți cont de canalul de cablu). Îmi amintesc o întrebare de pe forumul vechi de hackeri: „Spune-mi cum să obțin acces la PBX? - răspunde: „Ei bine, luați un buldozer, loviți peretele clădirii centralei telefonice și voilà.” Și această glumă are partea ei de adevăr) Cu toate acestea, odată cu transferul telefoniei într-un mediu IP ieftin, am primit în plus și amenințările pe care le prezintă un mediu IP deschis. Un exemplu de amenințări dobândite este următorul:

• Sniffing porturi de semnal pentru a se comita apeluri cu taxă pe cheltuiala altcuiva
• Ascultarea prin interceptarea pachetelor de voce IP
• Interceptarea apelurilor, utilizator nelegitim care se prezintă drept utilizator legitim, atac de tip om-in-the-middle
• Atacurile DDOS asupra serverelor de semnalizare a stațiilor pentru a dezactiva toată telefonia
• Atacurile spam, trimiterea unui număr mare de apeluri fantomă către o stație pentru a-și ocupa toate resursele gratuite

În ciuda necesității evidente de a elimina toate vulnerabilitățile posibile pentru a reduce probabilitatea unui anumit atac, de fapt, implementarea anumitor măsuri de protecție trebuie să înceapă cu întocmirea unui program care să ia în considerare costul implementării măsurilor de protecție împotriva unei anumite amenințări. și pierderile întreprinderii din implementarea acestei amenințări de către atacatori. La urma urmei, este o prostie să cheltuim mai mulți bani pentru securitatea unui bun decât valoarea activului în sine pe care îl protejăm.
După ce am stabilit bugetul de securitate, vom începe să eliminăm exact acele amenințări care sunt cele mai probabile pentru companie; de ​​exemplu, pentru o organizație mică, cel mai dureros ar fi să primim o factură mare pentru distanță lungă imperfectă și apeluri internaționale, în timp ce pentru companiile publice cel mai important lucru este păstrarea confidențialității conversațiilor. Să începem analiza noastră treptată în articolul curent cu lucruri de bază - aceasta oferă o modalitate sigură de a furniza date de serviciu de la stație la telefon. În continuare, vom lua în considerare autentificarea telefoanelor înainte de a le conecta la stație, autentificarea stației de la telefoane și criptarea traficului de semnalizare (pentru a ascunde informații despre cine apelează și unde) și criptarea traficului conversațional.
Mulți producători de echipamente de voce (inclusiv Cisco Systems) au deja instrumente de securitate integrate, de la limitarea obișnuită a gamei de adrese IP de la care se pot efectua apeluri până la autentificarea dispozitivelor finale cu ajutorul unui certificat. De exemplu, producătorul Cisco Systems cu linia sa de produse vocale CUCM (Cisco Unified CallManager) a început să integreze funcția „Security by Default” din versiunea 8.0 a produsului (data de lansare mai 2010; versiunea 10.5 din mai 2014 este disponibilă în prezent). Ce include:

• Autentificarea tuturor fișierelor descărcate prin/din TFTP (fișiere de configurare, fișiere de firmware pentru telefoane etc.)
• Criptarea fișierelor de configurare
• Verificarea certificatului cu telefonul inițialând conexiunea HTTPS

Să ne uităm la un exemplu de atac „om la mijloc”, când o persoană nelegitimă interceptează fișierele de configurare pentru telefoane, de la care telefonul învață la ce stație să se înregistreze, pe ce protocol să lucreze, pe ce firmware să descarce etc. După ce a interceptat fișierul, atacatorul va putea să-și facă propriile modificări sau să șteargă complet fișierul de configurare, împiedicând astfel telefoanele întregului birou (vezi figura) să se înregistreze la stație și, în consecință, privând biroul de capacitatea de a efectua apeluri.

Fig.1 Atacul omului din mijloc

Pentru a ne proteja împotriva acestui lucru, vom avea nevoie de cunoștințe despre criptarea asimetrică, infrastructura cheii publice și o înțelegere a componentelor Security by Default, pe care le vom introduce acum: Identity Trust List (ITL) și Trust Verification Service (TVS). TVS este un serviciu conceput pentru a procesa cereri de la telefoanele IP care nu au un fișier ITL sau CTL în memoria internă. Telefonul IP contactează TVS dacă trebuie să se asigure că poate avea încredere într-un anumit serviciu înainte de a începe să îl acceseze. Stația acționează și ca un depozit care stochează certificate ale serverelor de încredere. La rândul său, ITL este o listă de chei publice ale elementelor care alcătuiesc clusterul de stații, dar pentru noi este important ca cheia publică să fie stocată acolo Servere TFTPși cheia publică a serviciului TVS. Când telefonul pornește inițial, când telefonul și-a primit adresa IP și adresa serverului TFTP, acesta solicită prezența unui fișier ITL (Fig. 2). Dacă se află pe serverul TFTP, atunci, încrezător orbește, îl încarcă în memoria sa internă și îl stochează până la următoarea repornire. După descărcarea fișierului ITL, telefonul solicită un fișier de configurare semnat.

Acum să vedem cum putem folosi instrumentele de criptare - semnarea unui fișier utilizând funcțiile hash MD5 sau SHA și criptarea folosind cheia privată a serverului TFTP (Fig. 3). Lucrul special despre funcțiile hash este că sunt funcții unidirecționale. Pe baza hash-ului primit de la orice fișier, este imposibil să efectuați operația inversă și să obțineți exact fișierul original. Când un fișier este schimbat, hash-ul obținut din acest fișier se modifică și el. Este de remarcat faptul că hash-ul nu este scris în fișierul în sine, ci este pur și simplu atașat la acesta și transmis împreună cu acesta.

Fig.3 Semnarea fișierului de configurare a telefonului

La formarea unei semnături, fișierul de configurare în sine este preluat, hash-ul este extras din acesta și criptat cu cheia privată a serverului TFTP (pe care o are doar serverul TFTP).
Când primește acest fișier de setări, telefonul verifică inițial integritatea acestuia. Ne amintim că un hash este o funcție unidirecțională, așa că telefonul nu mai are nimic de făcut decât să separe hash-ul criptat de serverul TFTP din fișierul de configurare, să-l decripteze folosind cheia publică TFTP (și cum îl cunoaște telefonul IP). ? - și doar din fișierul ITL), dintr-un fișier de configurare curat, calculați hash-ul și comparați-l cu ceea ce am primit în timpul decriptării. Dacă hash-ul se potrivește, înseamnă că nu s-au făcut modificări fișierului în timpul transmiterii și poate fi utilizat în siguranță pe telefon (Fig. 4).

Fig.4 Verificarea fișierului de configurare cu un telefon IP

Fișierul de configurare semnat pentru telefon este afișat mai jos:

Orez. 5 Fișier de telefon IP semnat în Wireshark

Prin semnarea fișierului de configurare, am putut să asigurăm integritatea fișierului de setări transferat, dar nu l-am protejat de vizualizare. Din fișierul de configurare capturat puteți obține o mulțime de informații utile, de exemplu, adresa IP schimb de telefoane(în exemplul nostru acesta este 192.168.1.66) și porturi deschise pe stație (2427), etc. Nu este o informație destul de importantă pe care nu ați dori să „străluciți” doar pe Internet? Pentru a ascunde aceste informații, producătorii oferă utilizarea criptare simetrică(aceeași cheie este folosită pentru criptare și decriptare). Într-un caz, cheia poate fi introdusă manual în telefon; în alt caz, fișierul de configurare al telefonului este criptat la stație folosind cheia publică a telefonului. Înainte de a trimite fișierul către telefon, serverul tftp pe care este stocat acest fișier îl criptează folosind cheia publică a telefonului și îl semnează folosind cheia sa privată (astfel asigurăm nu numai secretul, ci și integritatea fișierele transferate). Principalul lucru aici este să nu ne confuzi cu privire la cine folosește ce cheie, dar haideți să o luăm în ordine: serverul tftp, prin criptarea fișierului cu cheia publică a telefonului IP, s-a asigurat că numai proprietarul cheii publice asociate poate deschide acest fișier. Prin semnarea fișierului cu cheia sa privată, serverul tftp confirmă că el a fost cel care l-a creat. Fișierul criptat este prezentat în Figura 6:

Fig.6 Fișier telefon IP criptat

Așadar, în acest moment, ne-am uitat la protejarea fișierelor de configurare a telefonului împotriva vizualizării și la asigurarea integrității acestora. Aici se termină funcționalitatea Security by Default. Pentru a asigura criptarea traficului vocal, ascunderea informațiilor de semnalizare (despre cine sună și unde să sune), este necesar instrumente suplimentare pe bază de listă certificate de încredere– CTL, la care ne vom uita în continuare.

Autentificare centrală telefonică

Când un telefon trebuie să comunice cu o centrală telefonică (de exemplu, pentru a negocia o conexiune TLS pentru schimbul de semnalizare), telefonul IP trebuie să autentifice centrala. După cum ați putea ghici, certificatele sunt, de asemenea, utilizate pe scară largă pentru a rezolva această problemă. În prezent, stațiile IP moderne constau dintr-un număr mare de elemente: mai multe servere de semnalizare pentru procesarea apelurilor, un server de administrare dedicat (prin el se adaugă telefoane noi, utilizatori, gateway-uri, reguli de rutare etc.), un server TFTP dedicat pt. stocarea fișierelor de configurare și a software-ului pentru telefoane, un server pentru difuzarea muzicii în așteptare etc., în plus, infrastructura vocală poate include mesageria vocală, un server pentru determinarea stării curente a abonatului (online, offline, „la prânz”) - lista este impresionantă și, cel mai important, fiecare server are propriul său certificat autosemnat și fiecare acționează ca o autoritate de certificare rădăcină (Fig. 7). Din acest motiv, orice server din infrastructura de voce nu va avea încredere în certificatul altui server, de exemplu, un server de voce nu are încredere într-un server TFTP, mesageria vocală nu are încredere într-un server de semnalizare și, în plus, telefoanele trebuie să stocheze certificatele de toate elementele care participă la schimbul de trafic de semnalizare. Certificatele centralei telefonice sunt prezentate în Figura 7.

Fig.7 Certificate auto-semnate de stație Cisco IP

Pentru sarcinile de stabilire a relațiilor de încredere între elementele descrise mai sus din infrastructurile de voce, precum și criptarea traficului de voce și semnalizare, intră în joc așa-numita Listă de încredere în certificate (CTL). CTL conține toate certificatele autosemnate ale tuturor serverelor din clusterul stației de voce, precum și cele care participă la schimbul de mesaje de semnalizare telefonică (de exemplu, un firewall) și acest fișier este semnat cu cheia privată a unei autorități de certificare de încredere. (Fig. 8). Fișierul CTL este echivalent cu certificatele instalate care sunt utilizate în browserele web când lucrează cu protocolul https.

Fig.8 Lista certificatelor de încredere

Pentru a crea un fișier CTL pe echipamentul Cisco, veți avea nevoie de un PC cu un conector USB, de programul client CTL instalat pe acesta și de site-ul Administrator Security Token (SAST) însuși (Fig. 9), care conține o cheie privată și un certificat X.509v3 semnat de un producător de centru de autentificare (Cisco).

Fig.9 eToken Cisco

Clientul CTL este un program care este instalat pe un PC Windows și cu ajutorul căruia puteți transfera ÎNTREAGA centrală telefonică în așa-numitul mod mixt, adică un mod mixt care susține înregistrarea dispozitivelor finale în moduri sigure și nesigure. Lansăm clientul, specificăm adresa IP centrală telefonică, introducem login/parola administrator și clientul CTL stabilește o conexiune TCP pe portul 2444 cu stația (Fig. 10). După aceasta, vor fi oferite doar două acțiuni:

Fig.10 Client Cisco CTL

După crearea fișierului CTL, tot ce rămâne este să reporniți serverele TFTP, astfel încât acestea să descarce noul fișier CTL creat și apoi să reporniți serverele de voce, astfel încât telefoanele IP să repornească și să descarce noul fișier CTL (32 kilobytes). Fișierul CTL descărcat poate fi vizualizat din setările telefonului IP (Fig. 11)

Fig. 11 Fișier CTL pe un telefon IP

Autentificarea punctului final

Pentru a vă asigura că numai punctele finale de încredere sunt conectate și înregistrate, trebuie implementată autentificarea dispozitivului. În acest caz, mulți producători folosesc o metodă deja dovedită - autentificarea dispozitivului folosind certificate (Fig. 12). De exemplu, în arhitectura de voce Cisco, acest lucru este implementat după cum urmează: există două tipuri de certificate pentru autentificare cu cheile publice și private corespunzătoare care sunt stocate pe telefon:
Certificat instalat de producător – (MIC). Certificatul instalat de producător conține o cheie de 2048 de biți, care este semnată de autoritatea de certificare a producătorului (Cisco). Acest certificat nu este instalat pe toate modelele de telefoane, iar dacă este instalat, atunci nu este nevoie să aveți un alt certificat (LSC).
Certificat de semnificație locală – (LSC) Un certificat de semnificație locală conține cheia publică a telefonului IP, care este semnată de cheia privată a centrului de autentificare local, care rulează pe centrala telefonică în sine, Funcția de proxy a autorității de certificare (CAPF).
Deci, dacă avem telefoane cu certificat MIC preinstalat, atunci de fiecare dată când telefonul se înregistrează la o stație, stația va solicita un certificat preinstalat de producător pentru autentificare. Cu toate acestea, dacă MIC-ul este compromis, înlocuirea acestuia necesită contactarea centrului de certificare al producătorului, ceea ce poate necesita mult timp. Pentru a nu depinde de timpul de răspuns al autorității de certificare a producătorului pentru a reemite un certificat de telefon compromis, este de preferat să utilizați un certificat local.

Fig. 12 Certificate pentru autentificarea dispozitivelor finale

În mod implicit, certificatul LSC nu este instalat pe telefonul IP și instalarea acestuia se poate face folosind un certificat MIB (dacă este disponibil), sau printr-o conexiune TLS (Transport Layer Security) folosind o cheie publică partajată generată manual de administrator la post și a intrat la telefon.
Procesul de instalare a unui certificat local semnificativ (LSC) pe telefon care conține cheia publică a telefonului semnată de o autoritate locală de certificare este prezentat în Figura 13:

Fig.13 Procesul de instalare a unui certificat LSC valabil local

1. După încărcarea telefonului IP, acesta solicită o listă de certificate de încredere (fișier CTL) și un fișier de configurare
2. Stația trimite fișierele solicitate
3. Din configurația primită, telefonul stabilește dacă trebuie să descarce un certificat local semnificativ (LSC) de la stație
4. Dacă la stație am configurat telefonul să instaleze un certificat LSC (vezi mai jos), pe care stația îl va folosi pentru a autentifica acest telefon IP, atunci trebuie să ne asigurăm că la cererea de eliberare a unui certificat LSC, stația îl emite acelei persoane.căreia îi este destinat. În aceste scopuri, putem folosi un certificat MIC (dacă este disponibil), putem genera o parolă unică pentru fiecare telefon și o introducem manual pe telefon sau nu folosim deloc autorizarea.
Exemplul demonstrează procesul de instalare a LSC folosind generat

Produs de SEO CMS ver.: 23.1 TOP 2 (opencartadmin.com)

telefonie IP? Si ea este atacata!

Principiul de funcționare

Principiul de funcționare al tehnologiei de telefonie IP este simplu. Componenta sa centrală este serverul (gateway-ul), care este responsabil pentru conectarea rețelelor telefonice și IP, adică. este conectat atât la rețeaua de telefonie și poate ajunge la orice telefon obișnuit, cât și la o rețea de date (de exemplu, internet) și poate accesa orice computer. În funcțiune a acestui dispozitiv include:

Răspundeți pentru a prelua apelantul

Stabilirea unei conexiuni cu un gateway la distanță și partea apelată

Digitalizare (codificare), compresie, pachetare și restaurare a semnalului

Acest gateway (de exemplu, Cisco Catalyst 4000 Access Gateway Module sau Cisco VG200) primește un semnal telefonic obișnuit ca intrare, îl digitizează (dacă semnalul nu este digital) și comprimă datele primite, după care le transmite în rețeaua IP în sub formă de pachete obișnuite (dar nu de dimensiuni foarte mari). La celălalt capăt, gateway-ul restabilește semnalul la ordine inversă. Această componentă nu poate fi utilizată dacă nu intenționați să vă integrați telefoanele IP în rețeaua publică de telefonie (vezi Fig. 1).

Pentru a putea construi retea distribuita Telefonia IP necesită un dispecer care este responsabil pentru distribuirea apelurilor între gateway-uri (de exemplu, Cisco CallManager). În plus față de această sarcină, dispecerul efectuează autentificarea și autorizarea abonaților și are, de asemenea, o interfață cu sistemul de facturare.

Pentru ușurința administrării un numar mare Gateway-urile și dispecerii la distanță pot utiliza un software special numit monitor. Și, în sfârșit, ultimul element obligatoriu al unei rețele de telefonie IP este punctul de abonat, care poate fi implementat fie în software (de exemplu, Cisco IP SoftPhone), fie în hardware (de exemplu, Cisco IP Phone, conectat direct la portul Ethernet al schimbarea). Mai mult, în primul caz, apelurile pot fi efectuate chiar și prin computer de acasă, echipat placa de sunetși un microfon, iar în al doilea caz, se utilizează așa-numita stație de abonat. telefon IP. O altă componentă a arhitecturii de telefonie IP poate fi numită aplicații de utilizator specializate care au apărut prin integrarea de voce, video și date (call center, sisteme unificate de mesagerie).

De ce sunt atacate telefonia IP?

Rețelele de telefonie IP sunt o țintă bună pentru hackeri. Unii dintre ei îți pot face o farsă trimițându-ți un mesaj vocal în numele conducerii companiei. Cineva poate dori să obțină acces la căsuța vocală a conducerii dvs. sau chiar să dorească să intercepteze date vocale despre tranzacțiile financiare schimbate între angajații din departamentul financiar sau contabil. Concurenții dvs. ar putea dori să vă submineze reputația prin dezactivarea gateway-urilor și a dispecerilor, compromițând astfel disponibilitatea servicii telefonice pentru abonații dvs., ceea ce, la rândul său, poate duce și la deteriorarea afacerii clienților dvs. Există și alte motive, de exemplu, apelurile pe cheltuiala altcuiva (furt de serviciu).

Posibile amenințări

Principala problemă a securității telefoniei IP este că este prea deschisă și face ca atacatorii să îi atace relativ ușor componentele. În ciuda faptului că cazurile de astfel de atacuri sunt practic necunoscute, acestea pot fi efectuate dacă se dorește, deoarece atacurile asupra rețelelor IP obișnuite pot fi direcționate către rețelele de voce digitalizate, practic fără modificări. Pe de altă parte, asemănarea rețelelor IP obișnuite și a rețelelor de telefonie IP ne spune, de asemenea, modalități de a le proteja, dar vom discuta despre asta puțin mai târziu.

Atacurile la telefonia obișnuită sunt aplicabile și vărului său IP - lanterna.

Telefonia IP, fiind o rudă directă a telefoniei convenționale și a tehnologiei IP, le-a absorbit nu numai avantajele, ci și dezavantajele acestora. Acestea. atacurile inerente telefoniei obișnuite pot fi aplicate și componentei sale IP. Voi enumera câteva dintre ele, dintre care unele le voi considera mai detaliat:

Ascultarea telefonică

Refuzarea serviciului

Înlocuirea numărului

Furtul de servicii

Provocări neașteptate

Modificare neautorizată a configurației

Frauda de cont.

Interceptarea datelor

Interceptarea datelor este cea mai mare o problema mare, atât telefonia obișnuită, cât și verișoara sa IP.

Cu toate acestea, în acest din urmă caz ​​acest pericol este mult mai mare, deoarece atacatorul nu mai trebuie să aibă acces fizic la linia telefonică. Pentru a înrăutăți situația, multe protocoale construite pe partea superioară a stivei TCP/IP transferă date către formă deschisă. HTTP, SMTP, IMAP, FTP, Telnet, SQL*net și, printre altele, protocoalele de telefonie IP suferă de acest păcat. Un atacator care a reușit să intercepteze traficul de voce IP (care nu este criptat între gateway-uri în mod implicit) poate restabili cu ușurință conversațiile originale. Există chiar și instrumente automate pentru aceasta. De exemplu, utilitarul vomit (Voice Over Misconfigured Internet Telephones), care convertește datele obținute ca urmare a interceptării traficului folosind analizatorul de protocol tcpdump distribuit gratuit într-un fișier WAV obișnuit care poate fi ascultat folosind orice player de pe computer. Acest utilitar vă permite să convertiți datele vocale transmise folosind telefoanele IP Cisco și comprimate folosind codecul G.711. Mai mult, pe lângă interceptarea neautorizată, atacatorii pot retransmite mesajele vocale interceptate (sau fragmente ale acestora) pentru a-și atinge obiectivele.

Cu toate acestea, aș dori să observ imediat că interceptarea datelor vocale nu este o sarcină atât de simplă pe cât pare la prima vedere. Atacatorul trebuie să aibă informații despre adresele gateway-urilor sau punctelor de abonat, protocoalele VoIP utilizate (de exemplu, H.323) și algoritmii de compresie (de exemplu, G.711). În caz contrar, va fi dificil pentru un atacator să configureze software pentru a intercepta traficul, sau volumul de date interceptate și timpul de analiză vor depăși toate limitele permise.

Interceptarea datelor poate fi efectuată atât din interiorul rețelei corporative, cât și din exterior. Un atacator calificat, cu acces la mediul fizic de transmisie a datelor, își poate conecta telefonul IP la comutator și astfel să asculte conversațiile altor persoane. De asemenea, poate schimba rutele traficului de rețea și poate deveni nodul central al rețelei corporative prin care trece traficul de interes. Mai mult, dacă în rețeaua internă poți, cu un anumit grad de probabilitate, să detectezi un dispozitiv neautorizat care interceptează date vocale, atunci în rețeaua externă este aproape imposibil să detectezi ramuri. Prin urmare, orice trafic necriptat care părăsește rețeaua corporativă ar trebui considerat nesigur.

Refuzarea serviciului

Comunicarea telefonică tradițională garantează întotdeauna calitatea comunicației chiar și în condiții de sarcini mari, ceea ce nu este o axiomă pentru telefonia IP. Sarcina mare a rețelei în care sunt transmise datele vocale digitizate duce la distorsiuni semnificative și chiar la pierderea unor mesaje vocale. Prin urmare, unul dintre atacurile asupra telefoniei IP poate consta în trimiterea unui număr mare de pachete „zgomote” către serverul de telefonie IP, care blochează canalul de transmisie a datelor, iar dacă se depășește o anumită valoare de prag, pot chiar dezactiva o parte din Rețea de telefonie IP (adică atac de refuz de serviciu). Ceea ce este tipic este că pentru a implementa un astfel de atac nu este nevoie să „reinventezi roata” - este suficient să folosești binecunoscutele atacuri DoS Land, Ping of Death, Smurf, UDP Flood etc. O soluție la această problemă este rezervarea lățimii de bandă, care poate fi realizată folosind protocoale moderne, cum ar fi RSVP. Metodele de protecție vor fi discutate mai detaliat mai jos.

Refuzarea serviciului este o problemă serioasă pentru dispozitivele de telefonie IP. - lanternă

Înlocuirea numărului

Pentru a comunica cu un abonat într-o rețea telefonică obișnuită, trebuie să cunoști numărul acestuia, iar în telefonia IP rolul numărului de telefon îl joacă adresa IP. Prin urmare, este posibil ca un atacator, folosind falsificarea adresei, să poată uzurpa identitatea abonatului de care aveți nevoie. De aceea sarcina de a asigura autentificarea nu este ignorată în toate standardele VoIP existente și va fi discutată puțin mai târziu.

Atacuri asupra punctelor de abonat

Este necesar să înțelegeți că punctele de abonat implementate pe un computer personal sunt dispozitive mai puțin sigure decât telefoanele IP speciale. Această teză se aplică și oricăror alte componente de telefonie IP bazate pe software. Acest lucru se datorează faptului că nu numai atacurile specifice telefoniei IP pot fi efectuate asupra unor astfel de componente. Calculatorul în sine și componentele acestuia (sistem de operare, programe de aplicație, baze de date etc.) sunt susceptibile la diferite atacuri care pot afecta și componentele de telefonie IP. De exemplu, viermii de Internet Red Code, Nimda, diverși troieni și viruși, atacuri DoS și modificările lor distribuite - toate acestea pot, dacă nu dezactiva infrastructura IP voce, apoi perturba semnificativ funcționarea acesteia. În același timp, chiar dacă nu se găsesc vulnerabilități în software-ul propriu-zis (deocamdată), atunci alte componente software terță parte utilizate de acesta (în special cele binecunoscute) pot reduce securitatea generală la zero. La urma urmei, regula generală este cunoscută de mult timp: „securitatea întregului sistem este egală cu securitatea verigii sale celei mai slabe”. De exemplu, putem cita Cisco CallManager, care folosește Windows 2000 Server, MS Internet Information Server și MS SQL Server pentru funcționarea sa, fiecare având propriul set de găuri.

Atacurile asupra dispeceratelor

Atacatorii pot ataca și noduri (Gatekeeper în termeni H.323 sau Redirect server în termeni SIP) care stochează informații despre conversațiile utilizatorilor (numele abonaților, ora, durata, motivul sfârșitului apelului etc.). Acest lucru se poate face atât în ​​scopul obținerii de informații confidențiale despre conversațiile în sine, cât și în scopul modificării și chiar ștergerii acestor date. În acest din urmă caz, sistemul de facturare (de exemplu, un operator de telecomunicații) nu își va putea factura corect clienții, ceea ce poate perturba sau deteriora întreaga infrastructură de telefonie IP.

Standardele de telefonie IP și mecanismele de securitate ale acestora

Lipsa comunului standarde acceptateîn acest domeniu (vezi Fig. 2) nu permite elaborarea de recomandări universale pentru protecția dispozitivelor de telefonie IP. Fiecare grup de lucru sau producător rezolvă problemele de asigurare a securității gateway-urilor și dispecerilor în felul său, ceea ce duce la necesitatea studierii cu atenție a acestora înainte de a alege măsurile de protecție adecvate.

Securitate H.323

H.323 este un protocol care vă permite să construiți un sistem VoIP de la început până la sfârșit. H.323 include o serie de specificații, inclusiv. și H.235, care implementează unele mecanisme de securitate (autentificare, integritate, confidențialitate și non-repudiare) pentru datele vocale.

Autentificarea în cadrul standardului H.323 poate fi implementată fie folosind algoritmi de criptare simetrică (în acest caz, nu este necesar nici un schimb preliminar între dispozitivele care interacționează și nu este încărcat atât de intens pe procesorul central), fie folosind certificate sau parole. În plus, specificația H.235 permite utilizarea IPSec ca mecanism de autentificare, care este recomandat și pentru utilizarea în alte standarde de telefonie IP.

După stabilirea unei conexiuni securizate, care are loc prin portul TCP 1300, nodurile care participă la schimbul de date vocale schimbă informații despre metoda de criptare, care poate fi utilizată la nivel de transport (criptarea pachetelor de protocol RTP) sau de rețea (folosind IPSec) .

Securitate SIP

Acest protocol, similar cu HTTP și folosit de punctele de abonat pentru a stabili conexiuni (nu neapărat telefonice, dar și, de exemplu, pentru jocuri), nu are o securitate serioasă și este axat pe utilizarea unor soluții terțe (de exemplu, PGP). ). Ca mecanism de autentificare, RFC 2543 oferă mai multe opțiuni și, în special, autentificare de bază (ca în HTTP) și autentificare bazată pe PGP. În încercarea de a aborda securitatea slabă a protocolului, Michael Thomas de la Cisco Systems a dezvoltat un proiect de standard IETF numit „cadru de securitate SIP” care descrie amenințările externe și interne la adresa protocolului SIP și modul de protecție împotriva acestora. În special, astfel de metode includ protecție la nivel de transport folosind TLS sau IPSec. Apropo, Cisco, în arhitectura sa de securitate a rețelei corporative SAFE, acordă o mare atenție problemelor practice de securitate a telefoniei IP.

Securitate MGCP

Standardul MGCP, definit în RFC 2705 și neaplicabil la punctele finale (gateway-urile MGCP pot gestiona atât componente compatibile cu H.323, cât și compatibile SIP), utilizează protocolul ESP al specificației IPSec pentru a proteja datele vocale. Protocolul AH poate fi, de asemenea, utilizat (dar nu și în rețelele IPv6), care oferă autentificare și integritate fără conexiune și protecție împotriva reluărilor transmise între gateway-uri. În același timp, protocolul AH nu asigură confidențialitatea datelor, care se realizează prin utilizarea ESP (împreună cu celelalte trei funcții de securitate).

Securitate

Alegerea topologiei potrivite

Nu se recomandă utilizarea hub-urilor pentru infrastructura VoIP, care facilitează interceptarea datelor atacatorilor. În plus, pentru că vocea digitizată circulă de obicei prin același sistem de cablu și prin același echipament de rețea ca și datele obișnuite; merită delimitat corect fluxurile de informații dintre ele. Acest lucru, de exemplu, se poate face folosind mecanismul VLAN (cu toate acestea, nu ar trebui să vă bazați doar pe ele). Este recomandabil să plasați serverele care participă la infrastructura de telefonie IP într-un segment de rețea separat (vezi fig. 3), protejat nu numai prin mecanismele de protecție încorporate în comutatoare și routere (liste de control acces, traducere adrese și detectarea atacurilor), ci și folosind instrumente de securitate instalate suplimentar (firewall-uri, sisteme de detectare a atacurilor, sisteme de autentificare etc.).

Trebuie să rețineți că transmiterea datelor de voce prin rețeaua dvs. corporativă lasă o amprentă specială asupra designului acesteia. Ar trebui să acordați o mare atenție problemelor de disponibilitate ridicată și toleranță la erori. Deși utilizatorii se pot obișnui în continuare cu o întrerupere pe termen scurt a unui server Web sau a unui sistem de e-mail, ei nu se vor putea obișnui cu o întrerupere a comunicațiilor telefonice. O rețea de telefonie obișnuită eșuează atât de rar, încât mulți utilizatori atribuie în mod natural proprietatea de funcționare fără erori surorii sale IP. Prin urmare, un eșec în funcționarea infrastructurii VoIP poate submina încrederea utilizatorilor în aceasta, ceea ce, la rândul său, poate duce la refuzul utilizării acesteia și poate duce la deteriorarea acesteia. daune materiale către proprietarul său.

Siguranță fizică

Este recomandabil să interziceți accesul utilizatorilor neautorizați la echipamentele de rețea, inclusiv. și comutatoare și, dacă este posibil, plasați toate echipamentele non-abonate în săli de servere special echipate. Acest lucru va împiedica conectarea neautorizată a computerului unui atacator. În plus, ar trebui să verificați în mod regulat dacă există dispozitive neautorizate conectate la rețea care pot fi „încorporate” direct în cablul de rețea. Pentru a identifica astfel de dispozitive, puteți utiliza diverse metode, inclusiv. și scanere (de exemplu, Internet Scanner sau Nessus), care determină de la distanță prezența dispozitivelor „străine” în rețea.

Controlul accesului

O altă modalitate destul de simplă de a vă proteja infrastructura VoIP este să controlați adresele MAC. Nu permiteți telefoanelor IP cu adrese MAC necunoscute să acceseze gateway-uri și alte elemente ale rețelei IP care transmit date vocale. Acest lucru va împiedica conectarea neautorizată a telefoanelor IP „străine” care vă pot asculta conversațiile sau pot efectua comunicații telefonice pe cheltuiala dumneavoastră. Desigur, adresa MAC poate fi falsificată, dar totuși nu trebuie să neglijați o astfel de măsură de protecție simplă, care poate fi implementată fără probleme pe majoritatea switch-urilor și chiar hub-urilor moderne. Nodurile (în principal gateway-uri, dispecerate și monitoare) trebuie configurate pentru a bloca toate încercările neautorizate de a le accesa. Pentru a face acest lucru, puteți utiliza atât capabilitățile încorporate în sistemele de operare, cât și produsele de la terți. Și din moment ce lucrăm în Rusia, recomand să folosiți produse certificate de Comisia Tehnică de Stat a Rusiei, mai ales că există o mulțime de astfel de produse.

VLAN

Tehnologia Virtual Local Area Network (VLAN) oferă o împărțire sigură a unei rețele fizice în mai multe segmente izolate care funcționează independent unele de altele. În telefonia IP, această tehnologie este utilizată pentru a separa transmisia vocală de transmisia obișnuită de date (fișiere, e-mail etc.). Dispeceratele, gateway-urile și telefoanele IP sunt plasate pe un VLAN dedicat pentru voce. După cum am menționat mai sus, VLAN-ul face viața mult mai dificilă atacatorilor, dar nu elimină toate problemele legate de interceptarea conversațiilor. Există tehnici care permit atacatorilor să intercepteze date chiar și într-un mediu comutat.

Criptare

Criptarea trebuie utilizată nu numai între gateway-uri, ci și între telefonul IP și gateway. Acest lucru va proteja întreaga cale pe care o iau datele vocale de la un capăt la altul. Confidențialitatea nu este doar o parte integrantă a standardului H.323, ci este implementată și în echipamentele unor producători. Cu toate acestea, acest mecanism nu este aproape niciodată utilizat. De ce? Deoarece calitatea transmisiei de date este o prioritate de top, iar criptarea/decriptarea continuă a unui flux de date vocale necesită timp și adesea introduce întârzieri inacceptabile în procesul de transmitere și recepție a traficului (o întârziere de 200...250 ms poate reduce semnificativ calitatea conversațiilor). În plus, așa cum am menționat mai sus, lipsa unui standard unic nu permite tuturor producătorilor să adopte un singur algoritm de criptare. Cu toate acestea, în mod corect, trebuie spus că dificultățile de interceptare a traficului vocal de până acum fac posibilă închiderea ochiului la criptarea acestuia.

Apropo, dacă decideți să utilizați criptarea, amintiți-vă că prin criptarea datelor vocale, le ascundeți nu numai de un atacator, ci și de instrumentele de asigurare a calității (QoS) care nu le vor putea oferi lățimea de bandă adecvată. si serviciu prioritar . După ce ați eliminat o problemă (vulnerabilitatea), vă confruntați cu alta (calitatea serviciului). Și poți fi sigur că în această situație vei prefera să rezolvi a doua problemă, neglijând soluția primei. Apropo, nici totul poate fi criptat. Protocoalele de semnalizare utilizate în telefonia IP nu sunt recomandate a fi criptate, deoarece în acest caz, veți cripta toate informațiile de serviciu necesare pentru a menține funcționalitatea întregii rețele.

Dar nu ar trebui să renunțați imediat la criptare - este totuși necesar să vă asigurați negocierile. Prin urmare, merită să abordați cu înțelepciune criptarea datelor VoIP. De exemplu, Cisco recomandă utilizarea unui tunel GRE sau a concentratoarelor VPN VPN Cisco 3000 folosesc comanda Crypto sistem de operare iOS al echipamentului său, care vă permite să protejați datele, menținând în același timp calitatea serviciului. În plus, puteți utiliza criptarea selectivă numai pentru anumite câmpuri din pachetele VoIP.

Firewall

Pentru a proteja o rețea corporativă, se folosesc de obicei firewall-uri, ceea ce poate la fel de bine

poate fi folosit și pentru a proteja infrastructura VoIP. Singurul lucru care trebuie făcut este să adăugați o serie de reguli care să ia în considerare topologia rețelei, locația componentelor de telefonie IP instalate etc. De exemplu, accesul la Cisco CallManager de la Internet sau de la rețeaua perimetrală este de obicei blocat, dar atunci când se utilizează managementul bazat pe Web, un astfel de acces trebuie permis, dar numai pe portul 80 și numai pentru o gamă limitată de adrese externe. Și pentru a proteja serverul SQL inclus în Cisco CallManager, puteți refuza accesul din toate porturile, cu excepția 1433.

Apropo, există două tipuri de firewall-uri care pot fi folosite pentru a proteja componentele de telefonie IP. Prima dintre ele, corporate, este instalată la ieșirea din rețeaua corporativă și își protejează toate resursele simultan. Un exemplu de astfel de firewall este CiscoSecure PIX Firewall. Al doilea tip este personal, protejând un singur nod specific, care poate găzdui un punct de abonat, gateway sau dispecer. Exemple de astfel de firewall-uri personale sunt RealSecure Desktop Protector sau BlackICE PC Protector. În plus, unele sisteme de operare (cum ar fi Linux sau Windows 2000) au firewall-uri personale încorporate, care pot fi folosite pentru a spori securitatea infrastructurii VoIP. În funcție de standardul de telefonie IP utilizat, utilizarea firewall-urilor poate duce la diferite probleme. De exemplu, după ce stațiile de abonat au schimbat informații despre parametrii de conexiune folosind protocolul SIP, toată interacțiunea se realizează prin porturi alocate dinamic cu numere mai mari de 1023. În acest caz, ITU „nu știe” în avans care port va fi utilizat. pentru schimbul de date vocale și, ca urmare, acest schimb va fi blocat. Prin urmare, firewall-ul trebuie să fie capabil să analizeze pachetele SIP pentru a determina porturile utilizate pentru comunicare și pentru a-și crea sau modifica în mod dinamic regulile. O cerință similară se aplică și altor protocoale de telefonie IP.

O altă problemă este legată de faptul că nu toate firewall-urile sunt capabile să proceseze în mod competent nu numai antetul protocolului de telefonie IP, ci și corpul de date, deoarece adesea informații importante sunt conținute în el. De exemplu, informațiile despre adresele abonaților din protocolul SIP se află în corpul de date. Incapacitatea unui firewall de a „ajunge la fundul lucrurilor” poate duce la imposibilitatea schimbului de comunicații vocale prin firewall sau la lăsarea unei gauri în firewall care este prea mare pentru ca atacatorii să o exploateze.

Autentificare

Diverse telefoane IP acceptă mecanisme de autentificare care vă permit să utilizați capacitățile sale numai după prezentarea și verificarea unei parole sau a unui număr PIN personal care permite utilizatorului să acceseze telefonul IP. Cu toate acestea, trebuie remarcat faptul că această soluție nu este întotdeauna convenabilă pentru Utilizator final, mai ales în contextul utilizării zilnice a unui telefon IP. Apare contradicția obișnuită „securitate sau comoditate”.

RFC 1918 și traducerea adresei

Nu este recomandat să folosiți adrese IP accesibile de pe Internet pentru VoIP - acest lucru reduce semnificativ nivelul general de securitate a infrastructurii. Prin urmare, ori de câte ori este posibil, utilizați adrese specificate în RFC 1918 (10.x.x.x, 192.168.x.x, etc.) care nu sunt rutabile pe Internet. Dacă acest lucru nu este posibil, atunci trebuie să utilizați mecanismul de traducere a adresei de rețea (NAT) pe firewall-ul care vă protejează rețeaua corporativă.

Sisteme de detectare a atacurilor

Am discutat deja mai sus despre câteva atacuri care pot perturba funcționarea infrastructurii VoIP. Pentru a vă proteja împotriva lor, puteți utiliza sisteme de detectare a intruziunilor bine-cunoscute și dovedite în Rusia, care nu numai că identifică prompt atacurile, ci și le blochează, împiedicându-le să dăuneze resurselor rețelei corporative. Astfel de instrumente pot proteja atât segmente întregi de rețea (de exemplu, RealSecure Network Sensor sau Snort), cât și noduri individuale (de exemplu, CiscoSecure IDS Host Sensor sau RealSecure Server Sensor).