Thực đơn
trang chủLỗi

Về truyền thông và công nghệ hiện đại. Bảo mật điện thoại IP

Ngày nay, vấn đề an ninh thông tin trên thế giới ngày càng trở nên cấp thiết. Trên các phương tiện truyền thông, bạn thường có thể bắt gặp tin tức về một cuộc tấn công thành công khác của hacker, một vụ rò rỉ dữ liệu quan trọng lớn hoặc một loại virus ransomware khác làm gián đoạn hoạt động của toàn bộ công ty. Ngay cả khi bạn là một người ở xa lĩnh vực bảo mật thông tin và thế giới công nghệ thông tin, thì bạn có thể đã nghe nói về virus “WannaCry”, các lỗ hổng “Spectre” và “Meltdown”, và thậm chí có thể về cuộc tấn công gần đây vào các thiết bị của Cisco, tấn công các nhà cung cấp lớn và làm tê liệt nhiều dịch vụ và phân khúc mạng.

Tuy nhiên, tin tức về các cuộc tấn công và lỗ hổng trên diện rộng nhằm vào các hệ thống cơ sở hạ tầng phổ biến nhất thường được công bố rộng rãi. Chúng tôi muốn nói về tình hình bảo mật thông tin trong một lĩnh vực riêng - giải pháp điện thoại IP và VoIP. Hãy xem xét các vấn đề quan trọng nhất và xu hướng phát triển trong lĩnh vực này.

Vấn đề bảo mật thông tin trong VoIP

Nếu như trước đây, khi lựa chọn xây dựng hệ thống điện thoại văn phòng, khách hàng quan tâm nhất đến vấn đề chi phí và độ tin cậy thì do tình hình hiện nay, vấn đề bảo vệ, an ninh ngày càng bắt đầu chiếm ưu thế. Mặc dù điện thoại IP có nhiều ưu điểm so với hệ thống điện thoại truyền thống nhưng nó lại dễ bị hack hơn nhiều. Trong trường hợp hệ thống PSTN truyền thống, kẻ tấn công phải có quyền truy cập vật lý vào phương tiện truyền dẫn hoặc các hệ thống có liên quan đến việc trao đổi thông tin giọng nói. Điện thoại IP chủ yếu là một mạng có chuyển mạch gói, được truyền cùng với các dịch vụ khác của công ty - Internet, thư và các dịch vụ khác. Nếu mạng này không được bảo vệ đầy đủ thì kẻ tấn công thậm chí không cần phải ở cùng quốc gia với hệ thống điện thoại IP để có quyền truy cập vào dữ liệu quan trọng, đánh cắp hoặc sửa đổi dữ liệu đó.

Đó là lý do tại sao cần cung cấp bảo vệ đa cấp cho hệ thống điện thoại IP của công ty. Chỉ đặt mật khẩu mạnh cho giao diện quản lý là chưa đủ. Đây phải là một tập hợp rõ ràng các biện pháp cụ thể được sử dụng kết hợp - tường lửa, bảo vệ chống vi-rút, cập nhật phần mềm thường xuyên, mã hóa dữ liệu được truyền, v.v.

Cần chú ý đặc biệt đến việc nâng cao nhận thức của nhân viên về các cuộc tấn công lừa đảo qua mạng. Một trong những phương thức tấn công phổ biến nhất thuộc loại này hiện nay là “lừa đảo”. Bản chất của nó nằm ở chỗ kẻ tấn công gửi “chuỗi thư” kèm theo các tệp đính kèm độc hại, với hy vọng người đó sẽ mở tệp đính kèm này và từ đó tải phần mềm độc hại xuống máy tính của họ. Bạn có thể tự bảo vệ mình khỏi các cuộc tấn công như vậy ở nhiều cấp độ cùng một lúc:

  1. Tường lửa nơi địa chỉ người gửi email lừa đảo phải bị chặn. Bạn có thể tự động hóa quy trình lấy danh sách cập nhật các địa chỉ người gửi đang hoạt động để chặn trên tường lửa bằng các giải pháp Thông tin về mối đe dọa. Có cả hai giải pháp trả phí từ các công ty như Anomali, ThreatConnect hoặc EclecticIQ và OpenSource, chẳng hạn như YETI và MISP.
  2. Giải pháp bảo vệ máy chủ thư giúp kiểm tra tất cả các thư để tìm các tệp đính kèm đáng ngờ, địa chỉ người gửi và chặn thư rác. Ví dụ về các giải pháp như vậy là Kaspersky Security dành cho máy chủ thư, AVG Email Server Edition dành cho ME, McAfee Security dành cho Máy chủ Email. Nhân tiện, trong trường hợp này cũng có thể tự động hóa quy trình chặn bằng giải pháp TI.
  3. Phần mềm chống vi-rút để bảo vệ các điểm cuối, phần mềm này sẽ chặn tệp đính kèm nguy hiểm nếu phần mềm độc hại tìm cách vượt qua tường lửa và máy chủ thư. Kaspersky Endpoint Security, Norton, Trend Micro và những sản phẩm khác phù hợp cho việc này.

Nhưng nếu bạn có thể tự bảo vệ mình khỏi lừa đảo bằng cách sử dụng các chương trình và giải pháp phần cứng chuyên dụng thì các loại tấn công dựa trên kỹ thuật xã hội sau đây sẽ khó bảo vệ hơn nhiều. Có thể bạn chưa biết, nhưng ngoài “lừa đảo qua email” truyền thống, còn có lừa đảo qua điện thoại. Ví dụ: một nhân viên trong công ty của bạn có thể nhận được một tin nhắn thư thoại từ “ngân hàng” cho biết ai đó đã cố truy cập vào tài khoản của anh ấy và anh ấy cần gọi gấp đến số mà anh ấy đã để lại. Không khó để đoán rằng ở đầu dây bên kia, một kẻ tấn công sẽ đợi anh ta, kẻ này sẽ cố gắng làm mọi cách để lấy lòng tin của anh ta, đánh cắp thông tin tài khoản của anh ta và cuối cùng là đánh cắp tiền.

Ngoài ra còn có dịch vụ gọi điện thoại. Kiểu tấn công này nhắm vào tuyến nhân viên đầu tiên nhận tất cả các cuộc gọi đến trong công ty của bạn. Một cuộc gọi đến một số chung từ một tổ chức hoặc cá nhân nổi tiếng nào đó, sau đó, dùng các biện pháp gây áp lực tâm lý, nhân viên cả tin buộc phải làm điều gì đó. Trong trường hợp tốt nhất, người gọi sẽ mạnh mẽ yêu cầu được kết nối với ban quản lý của công ty để cung cấp một số dịch vụ; trong trường hợp xấu nhất, anh ta sẽ cung cấp thông tin bí mật hoặc quan trọng. Điều gì sẽ xảy ra nếu kẻ tấn công phát hiện ra ngân hàng nào phục vụ công ty của bạn và gọi nhân viên kế toán thay mặt cho “ngân hàng của bạn”? Bạn cũng cần phải chuẩn bị cho việc này.

Có thể bảo vệ chống lại kiểu tấn công này bằng cách sử dụng một số loại tương tự của Thông tin về mối đe dọa cho VoIP - một danh sách các số điện thoại mà từ đó nhận được các cuộc gọi “lừa đảo” và “vishing” để chặn chúng trên PBX. Tuy nhiên, vẫn chưa có giải pháp nào như vậy nên nhân viên sẽ phải được đào tạo về chủ đề bảo mật.

Bảo mật đám mây

Ngày nay thật khó để xác định ranh giới rõ ràng của mạng văn phòng. Với sự lan rộng của các giải pháp đám mây, mạng VPN phân tán và ảo hóa chung, mạng công ty đã không còn có vị trí địa lý rõ ràng.

Tình hình cũng tương tự trong lĩnh vực VoIP. Mỗi nhà cung cấp điện thoại IP lớn đều có một tổng đài đám mây trong phạm vi dịch vụ của mình, được thiết lập trong vài phút và có khả năng cung cấp điện thoại cho một công ty ở mọi quy mô và bất kể vị trí địa lý của nó. Điện toán đám mây hoặc tổng đài ảo là giải pháp rất tiện lợi, thu hút khách hàng vì không cần phải giữ thêm máy chủ trong tòa nhà và bảo trì chúng. Thay vào đó, bạn chỉ cần thuê dung lượng máy chủ hoặc dịch vụ điện thoại cần thiết. Tuy nhiên, từ quan điểm bảo mật thông tin, tổng đài đám mây là mục tiêu lý tưởng cho các cuộc tấn công của hacker. Bởi vì, theo quy định, các tài khoản để truy cập cài đặt PBX đều được cung cấp công khai. Nếu chủ tài khoản không thèm tạo một mật khẩu mạnh, thì anh ta có nguy cơ phải trả một hóa đơn khổng lồ cho các cuộc trò chuyện qua điện thoại của kẻ tấn công hoặc cung cấp quyền truy cập vào bản ghi âm các cuộc trò chuyện của nhân viên của anh ta. Về vấn đề này, khi chọn nhà cung cấp, bạn cũng nên kiểm tra xem nhà cung cấp đó có cung cấp các biện pháp bổ sung để bảo vệ tính toàn vẹn và bảo mật của dữ liệu hay không. Mã hóa được sử dụng khi kết nối với tài khoản có cài đặt PBX trên nền tảng đám mây và liệu dữ liệu có được mã hóa trong quá trình vận chuyển hay không.

Xu hướng phát triển bảo mật thông tin trong VoIP

Phương pháp phổ biến nhất để bảo vệ cơ sở hạ tầng của công ty là tổ chức một mạng VPN an toàn, khi các kết nối từ bên ngoài được thực hiện qua kênh được mã hóa và dữ liệu trong mạng được truyền đi không được mã hóa. Điều này cũng áp dụng cho lưu lượng thoại. Tuy nhiên, xu hướng phát triển của công nghệ thông tin cho thấy trong tương lai gần, thông tin giọng nói cũng sẽ được mã hóa. Hầu hết các nhà cung cấp VoIP từ lâu đã triển khai các giải pháp hỗ trợ các giao thức như SIP/TLS, SRTP, ZRTP, v.v., khuyến khích người dùng triển khai một mức độ bảo vệ khác. Ví dụ: hầu hết các điện thoại IP và giải pháp hội nghị truyền hình của Cisco, cũng như các hệ thống CUCM, CUBE, Cisco SBC, UCCS, v.v. đều hỗ trợ TLS 1.2 và SRTP. Giải pháp IP-PBX nguồn mở phổ biến nhất, Asterisk, có hỗ trợ các giao thức an toàn để truyền lưu lượng phương tiện bắt đầu từ phiên bản 1.8. Trong phiên bản phần mềm PBX dựa trên Windows 3CX V15, hỗ trợ SRTP được bật theo mặc định.

Các giải pháp VoIP thường được tích hợp rất chặt chẽ với các hệ thống khác của doanh nghiệp như CRM, ERP, CMS, chưa kể các kênh liên lạc kinh doanh như email, nhắn tin tức thời (chat) và mạng xã hội, tạo thành khái niệm chung về UC (Truyền thông hợp nhất). Những lợi ích tiềm tàng mà khái niệm này mang lại rất hấp dẫn nhưng đồng thời cũng tạo ra nhiều điểm dễ bị hacker tấn công. Mức độ bảo vệ không đủ đối với một trong số chúng có thể là mối đe dọa đối với toàn bộ mạng công ty. Vì vậy, các nhà phát triển chắc chắn sẽ tăng cường tính bảo mật của các kênh tích hợp cho các hệ thống này.

Bạn cũng có thể mong đợi sự tích hợp của hệ thống điện thoại công ty vào các công cụ bảo mật như DLP (công cụ bảo vệ rò rỉ), điều chỉnh các số liệu VoIP trong hệ thống SIEM (hệ thống quản lý sự kiện và thông tin bảo mật), cũng như sự xuất hiện của cơ sở dữ liệu danh tiếng thống nhất (Threat Intelligence ) với danh sách các số có khả năng nguy hiểm hoặc các dấu hiệu xâm phạm khác liên quan đến VoIP sẽ tự động bị chặn bởi các biện pháp bảo mật hiện có.

Bài viết này có hữu ích cho bạn không?

Xin vui lòng cho tôi biết tại sao?

Chúng tôi rất tiếc vì bài viết không hữu ích cho bạn: (Xin vui lòng, nếu không khó, hãy cho biết lý do? Chúng tôi sẽ rất biết ơn nếu có câu trả lời chi tiết. Cảm ơn bạn đã giúp chúng tôi trở nên tốt hơn!

Một bài viết rất thú vị về bảo mật trong điện thoại IP đã được đăng trên trang web linkmeup.ru. Có thể nói, chúng tôi đang đăng nó mà không có thay đổi nào từ tác giả.

=======================

Xin chào các đồng nghiệp và bạn bè, tôi, Vadim Semenov, cùng với nhóm dự án network-class.net, trình bày một bài viết đánh giá đề cập đến các xu hướng và mối đe dọa chính trong điện thoại IP và quan trọng nhất là các công cụ bảo vệ mà nhà sản xuất hiện cung cấp như một biện pháp bảo vệ (theo ngôn ngữ của các chuyên gia bảo mật, hãy xem xét những công cụ mà nhà sản xuất cung cấp để giảm thiểu các lỗ hổng có thể bị các cá nhân bất hợp pháp khai thác). Vì vậy, ít từ hơn - hãy bắt tay vào công việc.
Đối với nhiều độc giả, thuật ngữ điện thoại IP đã hình thành từ lâu và cũng thực tế là loại điện thoại này “tốt hơn”, rẻ hơn so với điện thoại công cộng (PSTN), giàu chức năng bổ sung đa dạng, v.v. Và điều này đúng, tuy nhiên... một phần. Khi chúng ta chuyển từ điện thoại analog (kỹ thuật số), các đường dây thuê bao (từ điện thoại thuê bao đến trạm hoặc máy nhánh trạm) và các đường kết nối (đường liên lạc liên trạm) không kém gì vùng truy cập và điều khiển của điện thoại. các nhà cung cấp. Nói cách khác, người bình thường không có quyền truy cập vào đó (hoặc thực tế là như vậy, nếu bạn không tính đến ống dẫn cáp). Tôi nhớ một câu hỏi trên diễn đàn hacker cũ: “Hãy cho tôi biết cách truy cập vào PBX? - trả lời: “Chà, bạn lấy một chiếc máy ủi, tông vào bức tường của tòa nhà tổng đài điện thoại và thì đấy.” Và trò đùa này có phần đúng sự thật) Tuy nhiên, với việc chuyển điện thoại sang môi trường IP giá rẻ, chúng tôi cũng nhận được thêm những mối đe dọa mà môi trường IP mở đặt ra. Một ví dụ về các mối đe dọa có được là như sau:

  • Đánh hơi các cổng tín hiệu để thực hiện cuộc gọi thu phí bằng chi phí của người khác
  • Nghe lén bằng cách chặn các gói thoại IP
  • Chặn cuộc gọi, người dùng bất hợp pháp giả làm người dùng hợp pháp, tấn công trung gian
  • DDOS tấn công vào các máy chủ báo hiệu trạm để vô hiệu hóa tất cả điện thoại
  • Tấn công thư rác, gửi một số lượng lớn các cuộc gọi ảo đến một trạm để chiếm hết tài nguyên miễn phí của nó

Mặc dù nhu cầu rõ ràng là phải loại bỏ tất cả các lỗ hổng có thể xảy ra để giảm khả năng xảy ra một cuộc tấn công cụ thể, nhưng trên thực tế, việc thực hiện các biện pháp bảo vệ nhất định phải bắt đầu bằng việc lập ra một lịch trình có tính đến chi phí thực hiện các biện pháp bảo vệ chống lại một mối đe dọa cụ thể. và tổn thất của doanh nghiệp do những kẻ tấn công thực hiện mối đe dọa này. Rốt cuộc, thật ngu ngốc khi chi nhiều tiền hơn cho sự an toàn của một tài sản hơn là giá trị của chính tài sản mà chúng ta đang bảo vệ.
Sau khi xác định ngân sách bảo mật, chúng tôi sẽ bắt đầu loại bỏ chính xác những mối đe dọa có thể xảy ra nhất đối với công ty; ví dụ, đối với một tổ chức nhỏ, việc nhận được một hóa đơn lớn cho các cuộc gọi đường dài và quốc tế không hoàn hảo sẽ là điều khó khăn nhất. đối với các công ty đại chúng, điều quan trọng nhất là duy trì tính bảo mật của các cuộc trò chuyện. Hãy bắt đầu xem xét dần dần trong bài viết hiện tại với những điều cơ bản - đây là cung cấp một cách an toàn để truyền dữ liệu dịch vụ từ nhà ga đến điện thoại. Tiếp theo, chúng ta sẽ xem xét việc xác thực điện thoại trước khi kết nối chúng với trạm, xác thực trạm từ điện thoại và mã hóa lưu lượng báo hiệu (để ẩn thông tin về ai đang gọi và ở đâu) cũng như mã hóa lưu lượng hội thoại.
Nhiều nhà sản xuất thiết bị thoại (bao gồm cả Cisco Systems) đã có sẵn các công cụ bảo mật tích hợp, từ hạn chế thông thường về phạm vi địa chỉ IP mà từ đó cuộc gọi có thể được thực hiện đến việc xác thực thiết bị cuối bằng chứng chỉ. Ví dụ: nhà sản xuất Cisco Systems với dòng sản phẩm thoại CUCM (Cisco Unified CallManager) đã bắt đầu tích hợp chức năng “Bảo mật theo mặc định” từ phiên bản sản phẩm 8.0 (ngày phát hành tháng 5 năm 2010; phiên bản 10.5 ngày 5 tháng 5 năm 2014 hiện có sẵn). Nó bao gồm những gì:

  • Xác thực tất cả các tệp được tải xuống qua/từ TFTP (tệp cấu hình, tệp chương trình cơ sở cho điện thoại, v.v.)
  • Mã hóa tập tin cấu hình
  • Kiểm tra chứng chỉ bằng điện thoại đang khởi tạo kết nối HTTPS

Chúng ta hãy xem một ví dụ về cuộc tấn công “man in the middle”, khi một người bất hợp pháp chặn các tập tin cấu hình cho điện thoại, từ đó điện thoại sẽ biết nên đăng ký với trạm nào, hoạt động trên giao thức nào, tải xuống chương trình cơ sở nào, v.v. Sau khi chặn tệp, kẻ tấn công sẽ có thể tự mình thực hiện các thay đổi đối với tệp đó hoặc xóa hoàn toàn tệp cấu hình, do đó ngăn điện thoại của toàn bộ văn phòng (xem hình) đăng ký tại trạm và do đó, tước quyền truy cập của văn phòng. khả năng thực hiện cuộc gọi.

Hình 1 Tấn công trung gian

Để bảo vệ khỏi điều này, chúng tôi cần có kiến ​​thức về mã hóa bất đối xứng, cơ sở hạ tầng khóa công khai và hiểu biết về các thành phần của Bảo mật theo mặc định mà giờ đây chúng tôi sẽ giới thiệu: Danh sách tin cậy danh tính (ITL) và Dịch vụ xác minh tin cậy (TVS). TVS là dịch vụ được thiết kế để xử lý các yêu cầu từ điện thoại IP không có tệp ITL hoặc CTL trong bộ nhớ trong. Điện thoại IP liên hệ với TVS nếu nó cần đảm bảo liệu nó có thể tin tưởng vào một dịch vụ cụ thể hay không trước khi bắt đầu truy cập dịch vụ đó. Trạm cũng hoạt động như một kho lưu trữ chứng chỉ của các máy chủ đáng tin cậy. Ngược lại, ITL là danh sách các khóa chung của các thành phần trạm tạo nên cụm, nhưng điều quan trọng đối với chúng tôi là khóa chung của máy chủ TFTP và khóa chung của dịch vụ TVS được lưu trữ ở đó. Khi điện thoại khởi động lần đầu, khi điện thoại đã nhận được địa chỉ IP và địa chỉ máy chủ TFTP, nó sẽ yêu cầu sự hiện diện của tệp ITL (Hình 2). Nếu nó nằm trên máy chủ TFTP, thì tin tưởng một cách mù quáng, nó sẽ tải nó vào bộ nhớ trong và lưu trữ cho đến lần khởi động lại tiếp theo. Sau khi tải xuống tệp ITL, điện thoại sẽ yêu cầu tệp cấu hình đã được ký.

Bây giờ, hãy xem cách chúng ta có thể sử dụng các công cụ mã hóa - ký một tệp bằng hàm băm MD5 hoặc SHA và mã hóa bằng khóa riêng của máy chủ TFTP (Hình 3). Điều đặc biệt của hàm băm là chúng là hàm một chiều. Dựa trên hàm băm nhận được từ bất kỳ tệp nào, không thể thực hiện thao tác ngược lại và lấy chính xác tệp gốc. Khi một tập tin được thay đổi, hàm băm thu được từ tập tin này cũng thay đổi. Điều đáng chú ý là hàm băm không được ghi vào chính tệp mà chỉ được thêm vào tệp và truyền đi cùng với tệp.

Hình 3 Ký vào tập tin cấu hình điện thoại

Khi hình thành chữ ký, chính tệp cấu hình sẽ được lấy, hàm băm được trích xuất từ ​​​​nó và được mã hóa bằng khóa riêng của máy chủ TFTP (chỉ máy chủ TFTP mới có).
Khi nhận được tệp cài đặt này, ban đầu điện thoại sẽ kiểm tra tính toàn vẹn của nó. Chúng ta nhớ rằng hàm băm là chức năng một chiều, vì vậy điện thoại không còn gì để làm ngoại trừ việc tách hàm băm được mã hóa bởi máy chủ TFTP khỏi tệp cấu hình, giải mã nó bằng khóa công khai TFTP (và làm sao điện thoại IP biết được nó). ? - và chỉ từ tệp ITL ), từ tệp cấu hình sạch, tính toán hàm băm và so sánh nó với những gì chúng tôi nhận được trong quá trình giải mã. Nếu hàm băm khớp, điều đó có nghĩa là không có thay đổi nào được thực hiện đối với tệp trong quá trình truyền và tệp có thể được sử dụng một cách an toàn trên điện thoại (Hình 4).

Hình 4 Kiểm tra tệp cấu hình bằng điện thoại IP

Tệp cấu hình đã ký cho điện thoại được hiển thị bên dưới:

Cơm. 5 Tệp điện thoại IP đã ký trong Wireshark

Bằng cách ký vào tệp cấu hình, chúng tôi có thể đảm bảo tính toàn vẹn của tệp cài đặt được chuyển nhưng chúng tôi không bảo vệ tệp đó khỏi bị xem. Từ tệp cấu hình đã ghi lại, bạn có thể nhận được khá nhiều thông tin hữu ích, chẳng hạn như địa chỉ IP của tổng đài điện thoại (trong ví dụ của chúng tôi là 192.168.1.66) và các cổng mở tại tổng đài (2427), v.v. Đó không phải là thông tin khá quan trọng mà bạn không muốn chỉ “tỏa sáng” trên Internet sao? Để ẩn thông tin này, nhà sản xuất cung cấp việc sử dụng mã hóa đối xứng (cùng một khóa được sử dụng để mã hóa và giải mã). Trong một trường hợp, khóa có thể được nhập vào điện thoại theo cách thủ công; trong trường hợp khác, tệp cấu hình của điện thoại được mã hóa tại trạm bằng khóa chung của điện thoại. Trước khi gửi tệp tới điện thoại, máy chủ tftp nơi tệp này được lưu trữ sẽ mã hóa tệp bằng khóa chung của điện thoại và ký tên bằng khóa riêng của nó (do đó chúng tôi đảm bảo không chỉ tính bí mật mà còn cả tính toàn vẹn của tệp được truyền). Điều chính ở đây là không nên nhầm lẫn về việc ai đang sử dụng khóa nào, mà hãy thực hiện theo thứ tự: máy chủ tftp, bằng cách mã hóa tệp bằng khóa chung của điện thoại IP, đảm bảo rằng chỉ chủ sở hữu của khóa chung được ghép nối có thể mở tập tin này. Bằng cách ký vào tệp bằng khóa riêng của nó, máy chủ tftp xác nhận rằng chính anh ta là người đã tạo ra nó. Tệp được mã hóa được hiển thị trong Hình 6:

Hình 6 Tệp điện thoại IP được mã hóa

Vì vậy, tại thời điểm này, chúng tôi đã xem xét việc bảo vệ các tệp cấu hình điện thoại của mình khỏi bị xem và đảm bảo tính toàn vẹn của chúng. Đây là lúc chức năng Bảo mật theo mặc định kết thúc. Để đảm bảo mã hóa lưu lượng thoại và ẩn thông tin báo hiệu (về ai đang gọi và họ đang gọi ở đâu), cần có các công cụ bổ sung dựa trên danh sách chứng chỉ tin cậy - CTL, chúng tôi sẽ xem xét thêm.

Xác thực trao đổi điện thoại

Khi điện thoại cần liên lạc với tổng đài điện thoại (ví dụ: để đàm phán kết nối TLS để trao đổi tín hiệu), điện thoại IP cần xác thực tổng đài. Như bạn có thể đoán, chứng chỉ cũng được sử dụng rộng rãi để giải quyết vấn đề này. Hiện tại, các trạm IP hiện đại bao gồm một số lượng lớn các thành phần: một số máy chủ báo hiệu để xử lý cuộc gọi, một máy chủ quản trị chuyên dụng (điện thoại mới, người dùng, cổng, quy tắc định tuyến, v.v. được thêm vào thông qua nó), một máy chủ TFTP chuyên dụng cho lưu trữ các tập tin cấu hình và phần mềm cho điện thoại, máy chủ phát nhạc chờ... Ngoài ra, hạ tầng thoại có thể bao gồm thư thoại, máy chủ xác định trạng thái hiện tại của thuê bao (trực tuyến, ngoại tuyến, “lúc ăn trưa”). - danh sách này rất ấn tượng và quan trọng nhất là mọi máy chủ đều có chứng chỉ tự ký riêng và mỗi máy chủ đóng vai trò là cơ quan chứng nhận gốc (Hình 7). Vì lý do này, bất kỳ máy chủ nào trong cơ sở hạ tầng thoại sẽ không tin cậy chứng chỉ của máy chủ khác, ví dụ: máy chủ thoại không tin cậy máy chủ TFTP, thư thoại không tin cậy máy chủ báo hiệu và ngoài ra, điện thoại phải lưu trữ chứng chỉ của tất cả các phần tử tham gia trao đổi lưu lượng báo hiệu. Chứng chỉ trao đổi điện thoại được thể hiện trong Hình 7.

Hình 7 Chứng chỉ trạm IP Cisco tự ký

Đối với các nhiệm vụ thiết lập mối quan hệ tin cậy giữa các thành phần được mô tả ở trên trong cơ sở hạ tầng thoại, cũng như mã hóa lưu lượng thoại và tín hiệu, cái gọi là Danh sách tin cậy chứng chỉ (CTL) sẽ phát huy tác dụng. CTL chứa tất cả các chứng chỉ tự ký của tất cả các máy chủ trong cụm trạm thoại, cũng như những máy chủ tham gia trao đổi tin nhắn báo hiệu điện thoại (ví dụ: tường lửa) và tệp này được ký bằng khóa riêng của cơ quan chứng nhận đáng tin cậy (Hình 8). Tệp CTL tương đương với các chứng chỉ đã cài đặt được sử dụng trong trình duyệt web khi làm việc với giao thức https.

Hình.8 Danh sách các chứng chỉ tin cậy

Để tạo tệp CTL trên thiết bị Cisco, bạn sẽ cần một PC có đầu nối USB, chương trình máy khách CTL được cài đặt trên đó và chính Mã thông báo bảo mật quản trị viên trang (SAST) (Hình 9), chứa khóa riêng và chứng chỉ X.509v3 được ký bởi nhà sản xuất trung tâm xác thực (Cisco).

Hình 9 eToken Cisco

Máy khách CTL là một chương trình được cài đặt trên PC Windows và bạn có thể chuyển TOÀN BỘ tổng đài điện thoại sang chế độ được gọi là chế độ hỗn hợp, nghĩa là chế độ hỗn hợp hỗ trợ đăng ký thiết bị đầu cuối ở chế độ an toàn và không an toàn. Chúng tôi khởi chạy ứng dụng khách, chỉ định địa chỉ IP của tổng đài điện thoại, nhập thông tin đăng nhập/mật khẩu của quản trị viên và ứng dụng khách CTL thiết lập kết nối TCP trên cổng 2444 với trạm (Hình 10). Sau đó, chỉ có hai hành động sẽ được đưa ra:

Hình 10 Máy khách Cisco CTL

Sau khi tạo tệp CTL, tất cả những gì còn lại là khởi động lại máy chủ TFTP để chúng tải xuống tệp CTL mới được tạo, sau đó khởi động lại máy chủ thoại để điện thoại IP cũng khởi động lại và tải xuống tệp CTL mới (32 kilobyte). Có thể xem tệp CTL đã tải xuống từ cài đặt điện thoại IP (Hình 11)

Hình 11 Tệp CTL trên điện thoại IP

Xác thực điểm cuối

Để đảm bảo rằng chỉ các điểm cuối đáng tin cậy mới được kết nối và đăng ký, xác thực thiết bị phải được triển khai. Trong trường hợp này, nhiều nhà sản xuất sử dụng một phương pháp đã được chứng minh - xác thực thiết bị bằng chứng chỉ (Hình 12). Ví dụ: trong kiến ​​trúc giọng nói của Cisco, điều này được triển khai như sau: có hai loại chứng chỉ để xác thực với khóa chung và khóa riêng tương ứng được lưu trữ trên điện thoại:
Chứng chỉ do nhà sản xuất cài đặt – (MIC). Chứng chỉ do nhà sản xuất cài đặt chứa khóa 2048 bit, được cơ quan chứng nhận của nhà sản xuất (Cisco) ký. Chứng chỉ này không được cài đặt trên tất cả các kiểu điện thoại và nếu nó được cài đặt thì không cần phải có chứng chỉ khác (LSC).
Chứng chỉ quan trọng cục bộ – (LSC) Chứng chỉ có ý nghĩa cục bộ chứa khóa chung của điện thoại IP, được ký bằng khóa riêng của trung tâm xác thực cục bộ, chạy trên chính tổng đài điện thoại, Chức năng ủy quyền cấp chứng chỉ (CAPF).
Vì vậy, nếu chúng ta có điện thoại cài đặt sẵn chứng chỉ MIC thì mỗi khi điện thoại đăng ký với một đài, trạm đó sẽ yêu cầu chứng chỉ được nhà sản xuất cài đặt sẵn để xác thực. Tuy nhiên, nếu MIC bị hỏng thì việc thay thế đòi hỏi phải liên hệ với trung tâm chứng nhận của nhà sản xuất, việc này có thể mất rất nhiều thời gian. Để không phụ thuộc vào thời gian phản hồi của cơ quan chứng nhận của nhà sản xuất trong việc cấp lại chứng chỉ điện thoại bị xâm phạm, tốt nhất nên sử dụng chứng chỉ địa phương.

Hình 12 Chứng chỉ xác thực thiết bị đầu cuối

Theo mặc định, chứng chỉ LSC không được cài đặt trên điện thoại IP và việc cài đặt nó có thể được thực hiện bằng chứng chỉ MIB (nếu có) hoặc thông qua kết nối TLS (Bảo mật lớp truyền tải) bằng khóa chung chung do quản trị viên tạo thủ công tại điện thoại IP. trạm và nhập vào điện thoại.
Quá trình cài đặt chứng chỉ có ý nghĩa cục bộ (LSC) trên điện thoại chứa khóa chung của điện thoại được cơ quan chứng nhận địa phương ký được thể hiện trong Hình 13:

Hình 13 Quá trình cài đặt chứng chỉ LSC hợp lệ cục bộ

1. Sau khi tải điện thoại IP, nó yêu cầu danh sách chứng chỉ đáng tin cậy (tệp CTL) và tệp cấu hình
2. Trạm gửi các tập tin được yêu cầu
3. Từ cấu hình nhận được, điện thoại sẽ xác định xem có cần tải xuống chứng chỉ quan trọng cục bộ (LSC) từ trạm hay không
4. Nếu tại trạm chúng tôi thiết lập cho điện thoại cài đặt chứng chỉ LSC (xem bên dưới), trạm sẽ sử dụng chứng chỉ này để xác thực điện thoại IP này thì chúng tôi phải đảm bảo rằng khi có yêu cầu cấp chứng chỉ LSC, trạm sẽ phát hành nó cho người đó. Với những mục đích này, chúng tôi có thể sử dụng chứng chỉ MIC (nếu có), tạo mật khẩu một lần cho mỗi điện thoại và nhập thủ công trên điện thoại hoặc hoàn toàn không sử dụng ủy quyền.
Ví dụ này minh họa quá trình cài đặt LSC bằng cách sử dụng

Được cung cấp bởi SEO CMS phiên bản: 23.1 TOP 2 (opencartadmin.com)

Đặc tả IETF mô tả các kỹ thuật tiêu chuẩn cho tất cả các thành phần VPN là Bảo mật Giao thức Internet hoặc IPSec - đôi khi được gọi là đường hầm cấp ba(Đường hầm lớp 3). IPSec cung cấp các phương pháp tiêu chuẩn để xác định người dùng hoặc máy tính khi bắt đầu một đường hầm, các cách tiêu chuẩn để các điểm cuối trong đường hầm sử dụng mã hóa và các phương thức tiêu chuẩn để trao đổi và quản lý khóa mã hóa giữa các điểm cuối. Tiêu chuẩn linh hoạt này cung cấp nhiều cách để hoàn thành mọi nhiệm vụ. Các phương pháp được chọn cho một nhiệm vụ thường độc lập với các phương pháp được sử dụng để thực hiện các nhiệm vụ khác. Việc xác thực có thể được thực hiện bằng cách sử dụng đặc tả IPSec và là thành phần bắt buộc của giao thức IPv6.

IPSec có thể hoạt động cùng với L2TP, dẫn đến hai giao thức cung cấp khả năng xác thực mạnh hơn, mã hóa tiêu chuẩn hóa và tính toàn vẹn dữ liệu. Cần lưu ý rằng đặc tả IPSec lấy IP làm trung tâm và do đó không hữu ích cho lưu lượng truy cập từ bất kỳ giao thức lớp mạng nào khác. Đường hầm IPSec giữa hai mạng LAN có thể hỗ trợ nhiều đường dẫn dữ liệu riêng lẻ, mang lại lợi thế cho loại ứng dụng này về khả năng mở rộng so với công nghệ Lớp 2.

Một số nhà cung cấp VPN sử dụng một cách tiếp cận khác gọi là proxy mạch hoặc VPN lớp 5. Phương thức này hoạt động phía trên lớp vận chuyển và chuyển tiếp lưu lượng truy cập từ mạng được bảo vệ sang Internet công cộng trên cơ sở mỗi coxt. (Ổ cắm IP được xác định bằng sự kết hợp giữa kết nối TCP và một cổng cụ thể hoặc một cổng UDP nhất định. IP không có lớp phiên thứ năm, nhưng các hoạt động hướng ổ cắm thường được gọi là hoạt động của lớp phiên.)

Việc mã hóa thông tin được truyền giữa bộ khởi tạo và bộ kết thúc đường hầm thường được thực hiện bằng cách sử dụng Bảo mật lớp vận chuyển (TLS), trước đây là giao thức Lớp cổng bảo mật (SSL). Để chuẩn hóa đường đi được xác thực qua tường lửa, IETF đã xác định một giao thức có tên SOCKS và SOCKS 5 hiện đang được sử dụng để chuẩn hóa việc triển khai các nhà môi giới kênh.

Trong SOCKS 5, máy khách thiết lập một ổ cắm (hoặc phiên) được xác thực với máy chủ hoạt động như một proxy. Trung gian này là cách duy nhất để liên lạc qua tường lửa. Đến lượt mình, người trung gian sẽ thực hiện mọi hoạt động mà khách hàng yêu cầu. Vì man-in-the-middle nhận biết được lưu lượng truy cập ở cấp độ ổ cắm nên nó có thể thực hiện kiểm soát chặt chẽ, chẳng hạn như chặn các ứng dụng người dùng cụ thể nếu họ không có các quyền cần thiết. Để so sánh, VPN Lớp 2 và Lớp 3 thường chỉ đơn giản là mở hoặc đóng một kênh đối với tất cả lưu lượng truy cập trên một đường hầm được xác thực. Đây có thể là một vấn đề nếu thông tin ở đầu kia của đường hầm không được đảm bảo an toàn.

Cần lưu ý rằng có mối quan hệ giữa tường lửa và VPN. Nếu các đường hầm bị kết thúc trên thiết bị của nhà cung cấp Internet thì lưu lượng truy cập sẽ được truyền qua mạng cục bộ của bạn hoặc qua đường liên lạc với nhà cung cấp Internet ở dạng không bảo mật. Nếu điểm cuối nằm phía sau tường lửa, lưu lượng đường hầm có thể được kiểm soát bằng cách sử dụng các biện pháp kiểm soát truy cập của tường lửa nhưng không cung cấp bất kỳ biện pháp bảo vệ bổ sung nào khi truyền qua mạng cục bộ. Trong trường hợp này, điểm cuối sẽ có kênh không an toàn giao tiếp với tường lửa.

Đặt điểm cuối trong vùng được bảo vệ bằng tường lửa thường có nghĩa là mở một đường dẫn xuyên qua tường lửa (thường là một cổng TCP cụ thể). Một số công ty chọn áp dụng kiểm soát truy cập tường lửa cho tất cả lưu lượng truy cập, bao gồm cả lưu lượng truy cập trong đường hầm, đặc biệt nếu phía bên kia đường hầm là người dùng có chiến lược bảo mật không xác định hoặc không đáng tin cậy. Một trong những lợi ích của việc sử dụng các sản phẩm tạo đường hầm được tích hợp chặt chẽ với tường lửa là bạn có thể mở một đường hầm, áp dụng các quy tắc bảo vệ tường lửa cho nó và định tuyến lưu lượng truy cập đến điểm cuối trên một máy tính hoặc mạng con cụ thể được bảo vệ bởi tường lửa.

Giống như bất kỳ chức năng điện toán nào khác, công việc tạo mạng VPN được thực hiện bằng phần mềm. Trong khi đó, phần mềm VPN có thể chạy trên nhiều nền tảng phần cứng khác nhau. Bộ định tuyến hoặc bộ chuyển mạch Lớp 3 có thể hỗ trợ chức năng VNP theo mặc định (hoặc dưới dạng một tính năng tùy chọn được cung cấp với một khoản phí). Tường lửa dựa trên phần cứng và phần mềm thường bao gồm các mô-đun VPN có hoặc không có kiểm soát lưu lượng. Một số thiết bị kết hợp biên bao gồm bộ định tuyến, tường lửa, quản lý băng thông và chức năng VPN (cũng như chế độ cấu hình). Cuối cùng, một số sản phẩm phần mềm thuần túy chạy trên các máy chủ thích hợp, lưu vào bộ đệm các trang Web và triển khai các chức năng tường lửa và VPN.

Cơ chế VPN không thể tưởng tượng được nếu không có nhận dạng. Cơ sở hạ tầng khóa công khai (PKI) để nhận dạng điện tử và quản lý khóa công khai hiện là xu hướng chủ đạo. Tốt nhất là lưu trữ dữ liệu PKI trong một thư mục chung có thể được truy cập bằng Giao thức truy cập thư mục hạng nhẹ (LDAP).

Lịch sử phát triển truyền giọng nói trong mạng máy tính bắt đầu từ năm 1994. Vì lưu lượng truy cập Internet rẻ hơn đáng kể so với việc thuê các kênh liên lạc analog và kỹ thuật số để đàm phán đường dài và quốc tế, nên chủ sở hữu các doanh nghiệp nhỏ, vừa và lớn đã nảy sinh lợi ích hoàn toàn chính đáng. Đương nhiên, ý tưởng thoại qua IP rất thú vị đối với các nhà sản xuất nên mọi người đều cố gắng thực hiện nó theo cách riêng của mình.

Nhưng thời gian này đã trôi qua, các tiêu chuẩn/giao thức cụ thể cho thoại qua IP đã xuất hiện, chẳng hạn như một hớp, H.323, MGCP. Cùng với các giao thức mở này còn xuất hiện cả các giải pháp độc quyền và phần mềm độc hại, cũng như các phương pháp hack gây khó khăn cho cả người tiêu dùng và nhà phát triển giải pháp dựa trên VoIP(Voice over IP - thoại qua IP).

Công nghệ VoIP cho phép bạn giải quyết các vấn đề liên quan đến truyền thông hiện tại của công ty, tăng lòng trung thành của khách hàng, tăng hiệu quả của nhân viên và tiết kiệm các cuộc gọi điện thoại do:

  1. Tổ chức mạng điện thoại trong tòa nhà/văn phòng công ty;
  2. Củng cố mạng điện thoại giữa các tòa nhà/văn phòng công ty;
  3. Tổ chức tổng đài cho văn phòng/công ty;
  4. Tích hợp giải pháp VoIP với các ứng dụng kinh doanh của công ty;
  5. Triển khai các dịch vụ như menu thoại tương tác, thư thoại, gọi hội nghị, ghi âm cuộc gọi, máy chủ fax, v.v.

Nhưng các giải pháp VoIP cũng có một số nhược điểm liên quan đến bảo mật. Giải pháp VoIP tồn tại cả trong mạng IP và mạng đường dây truyền thông analog và kỹ thuật số nên tính bảo mật phải được đảm bảo từ cả ba phía. Nếu không, chúng ta có nguy cơ nhận được một giải pháp chỉ làm tăng chi phí bảo trì và làm phức tạp quy trình làm việc.

Luôn luôn có một mối đe dọa!

Hệ thống Điện thoại IP tiềm ẩn những mối đe dọa ảnh hưởng tiêu cực đến hoạt động của toàn bộ cơ sở hạ tầng và toàn bộ tổ chức. Bản thân các mối đe dọa có thể được chia thành 2 loại – công nghệ và nhân sự. Chúng ta hãy xem xét từng cái một cách riêng biệt.

Hạng mục công nghệ

  1. Trộm tiền là một cuộc tấn công trong đó IP-PBX của bạn, được sử dụng làm máy chủ proxy thoại ẩn danh, bị tấn công, do đó đánh cắp tiền từ tài khoản của bạn và trong một số trường hợp, ghi có vào tài khoản của những kẻ lừa đảo;
  2. Modem fax và máy fax - một cuộc tấn công trong đó máy fax của công ty bạn bị tấn công, làm quá tải tài nguyên, điều này thường làm vô hiệu hóa bộ phận làm nóng của nó;
  3. Từ chối dịch vụ là một cuộc tấn công khiến không thể thực hiện cả cuộc gọi đi và nhận cuộc gọi đến;
  4. Nghe cuộc gọi - nghe đường dây liên lạc analog không khó, cũng không yêu cầu kỹ năng đặc biệt và thông tin bị chặn có thể rất có giá trị. Trong trường hợp điện thoại IP, việc chặn và nghe thông tin cũng dễ dàng như vậy.

Hạng mục nhân sự

  1. Năng lực chuyên môn. Thiếu kiến ​​thức cơ bản và thậm chí còn nhiều kiến ​​thức chuyên môn hơn trong quá trình vận hành và bảo trì hệ thống điện thoại IP, điều này thường dẫn đến những hậu quả không thể khắc phục được, chẳng hạn như “trộm cắp tiền”. Tất nhiên, bạn vẫn có cơ hội lấy lại được tiền, nhưng sẽ mất bao lâu trước khi bạn nhận được công lý nếu những kẻ lừa đảo ở đâu đó ở Trung Quốc và cuộc tấn công bắt nguồn từ Cộng hòa Dominica;
  2. Yếu tố con người và sơ suất chuyên môn. Một nhân viên không hài lòng, thiếu chú ý hay đơn giản là một người lười biếng có thể đóng vai trò quan trọng trong một cuộc tấn công thành công vào hệ thống điện thoại IP của bạn. Và không thành vấn đề nếu đó là người của bạn hay từ một nhà thầu;
  3. Quản lý công ty. Rất thường xuyên, mong muốn tiết kiệm thiết bị và chuyên gia sau đó dẫn đến tổn thất lớn hơn và chi phí bổ sung mà lẽ ra có thể tránh được bằng cách chọn một giải pháp đúng đắn hơn nhưng đắt tiền hơn.

Làm thế nào để đối phó với nó

Có nhiều phương pháp để chống lại các mối đe dọa được mô tả ở trên cũng như số lượng các mối đe dọa:

Rất dễ dàng để đối phó với việc lắng nghe. Sử dụng mạng IP làm phương tiện truyền tải giọng nói và sử dụng mã hóa mạnh để bảo vệ chống nghe lén. Tôi muốn lưu ý rằng hiện tại, việc sử dụng các công cụ mã hóa mật mã không được FSB/FAPSI chứng nhận đều bị pháp luật nghiêm cấm. Nhưng đây là một chủ đề cho một cuộc trò chuyện khác.

Các cuộc tấn công vào modem fax và máy fax có thể được bảo vệ dễ dàng. Sử dụng máy chủ fax chuyên dụng. Có rất nhiều giải pháp máy chủ fax trên thị trường và nhiều giải pháp trong số đó đã được tích hợp sẵn tính năng bảo vệ chống lại kiểu tấn công này. Ngoài ra, việc sử dụng máy chủ fax hỗ trợ rất nhiều cho quá trình làm việc. Rốt cuộc, với sự trợ giúp của giải pháp như vậy, bạn có thể gửi fax chỉ bằng một cú nhấp chuột mà không cần rời khỏi nơi làm việc của mình!

Nhưng các cuộc tấn công từ chối dịch vụ khó giải quyết hơn một chút.Đặc biệt là khi nói đến các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Nhưng các phương pháp và phương tiện bảo vệ đã tồn tại từ lâu và với cách tiếp cận vấn đề phù hợp, bạn có thể sống mà không sợ kiểu tấn công này. Sử dụng tường lửa chuyên dụng cho VoIP, triển khai các dịch vụ QoS và đừng quên cập nhật kịp thời phần mềm của các thành phần chịu trách nhiệm về tính bảo mật và ổn định cho điện thoại IP của bạn.

Còn về yếu tố con người, mọi chuyện ở đây phức tạp hơn nhiều. Chúng tôi sẽ không xem xét các phương pháp lựa chọn nhân sự, nhưng tôi muốn lưu ý rằng loại vấn đề này phổ biến hơn các loại tấn công được mô tả ở trên. Do đó, nếu bạn không phải là một công ty lớn có bộ phận CNTT riêng chuyên duy trì các giải pháp VoIP, thì hãy sử dụng dịch vụ của các công ty chuyên nghiệp giải quyết các giải pháp này. Nhưng ngay cả trong trường hợp này, việc lấy ý kiến ​​​​của các chuyên gia sẽ rất hữu ích.

Đừng tiết kiệm các giải pháp VoIP, vì trong tương lai điều này có thể dẫn đến tổn thất lớn. Các chỉ số tài chính của các giải pháp rẻ tiền và chưa được chứng minh đầy đủ là rất hấp dẫn, nhưng nếu bạn có một doanh nghiệp đang phát triển, ổn định thì thêm sáu tháng nữa để hoàn vốn sẽ không tạo ra sự khác biệt lớn và trong tương lai nó sẽ tiết kiệm thời gian và tránh được nhiều vấn đề. Hãy chắc chắn sử dụng dịch vụ của các công ty chuyên nghiệp. Những công ty như vậy khá coi trọng danh tiếng của mình và trong trường hợp có sai sót từ phía họ, họ sẽ làm mọi cách để khắc phục hậu quả.

Bài viết được viết riêng cho linkmeup.

=======================

Xin chào các đồng nghiệp và bạn bè, tôi, Vadim Semenov, cùng với nhóm dự án network-class.net, trình bày một bài viết đánh giá đề cập đến các xu hướng và mối đe dọa chính trong điện thoại IP và quan trọng nhất là các công cụ bảo vệ mà nhà sản xuất hiện cung cấp về chất lượng bảo vệ (theo ngôn ngữ của các chuyên gia bảo mật, hãy xem xét những công cụ nào nhà sản xuất cung cấp để giảm thiểu các lỗ hổng mà các cá nhân bất hợp pháp có thể lợi dụng). Vì vậy, ít từ hơn - hãy bắt tay vào công việc.
Đối với nhiều độc giả, thuật ngữ điện thoại IP đã hình thành từ lâu và cũng thực tế là loại điện thoại này “tốt hơn”, rẻ hơn so với điện thoại công cộng (PSTN), giàu chức năng bổ sung đa dạng, v.v. Và điều này đúng, tuy nhiên... một phần. Khi chúng ta chuyển từ điện thoại analog (kỹ thuật số), các đường dây thuê bao (từ điện thoại thuê bao đến trạm hoặc máy nhánh trạm) và các đường kết nối (đường liên lạc liên trạm) không kém gì vùng truy cập và điều khiển của điện thoại. các nhà cung cấp. Nói cách khác, người bình thường không có quyền truy cập vào đó (hoặc thực tế là như vậy, nếu bạn không tính đến ống dẫn cáp). Tôi nhớ một câu hỏi trên diễn đàn hacker cũ: “Hãy cho tôi biết cách truy cập vào PBX? - trả lời: “Chà, bạn lấy một chiếc máy ủi, tông vào bức tường của tòa nhà tổng đài điện thoại và thì đấy.” Và trò đùa này có phần đúng sự thật) Tuy nhiên, với việc chuyển điện thoại sang môi trường IP giá rẻ, chúng tôi cũng nhận được thêm những mối đe dọa mà môi trường IP mở đặt ra. Một ví dụ về các mối đe dọa có được là như sau:

  • Đánh hơi các cổng tín hiệu để thực hiện cuộc gọi thu phí bằng chi phí của người khác
  • Nghe lén bằng cách chặn các gói thoại IP
  • Chặn cuộc gọi, người dùng bất hợp pháp giả làm người dùng hợp pháp, tấn công trung gian
  • DDOS tấn công vào các máy chủ báo hiệu trạm để vô hiệu hóa tất cả điện thoại
  • Tấn công thư rác, gửi một số lượng lớn các cuộc gọi ảo đến một trạm để chiếm hết tài nguyên miễn phí của nó
Mặc dù nhu cầu rõ ràng là phải loại bỏ tất cả các lỗ hổng có thể xảy ra để giảm khả năng xảy ra một cuộc tấn công cụ thể, nhưng trên thực tế, việc thực hiện các biện pháp bảo vệ nhất định phải bắt đầu bằng việc lập ra một lịch trình có tính đến chi phí thực hiện các biện pháp bảo vệ chống lại một mối đe dọa cụ thể. và tổn thất của doanh nghiệp do những kẻ tấn công thực hiện mối đe dọa này. Rốt cuộc, thật ngu ngốc khi chi nhiều tiền hơn cho sự an toàn của một tài sản hơn là giá trị của chính tài sản mà chúng ta đang bảo vệ.
Sau khi xác định ngân sách bảo mật, chúng tôi sẽ bắt đầu loại bỏ chính xác những mối đe dọa có thể xảy ra nhất đối với công ty; ví dụ, đối với một tổ chức nhỏ, việc nhận được một hóa đơn lớn cho các cuộc gọi đường dài và quốc tế không hoàn hảo sẽ là điều khó khăn nhất. đối với các công ty đại chúng, điều quan trọng nhất là duy trì tính bảo mật của các cuộc trò chuyện. Hãy bắt đầu xem xét dần dần trong bài viết hiện tại với những điều cơ bản - đây là cung cấp một cách an toàn để truyền dữ liệu dịch vụ từ nhà ga đến điện thoại. Tiếp theo, chúng ta sẽ xem xét việc xác thực điện thoại trước khi kết nối chúng với trạm, xác thực trạm từ điện thoại và mã hóa lưu lượng báo hiệu (để ẩn thông tin về ai đang gọi và ở đâu) cũng như mã hóa lưu lượng hội thoại.
Nhiều nhà sản xuất thiết bị thoại (bao gồm cả Cisco Systems) đã có sẵn các công cụ bảo mật tích hợp, từ hạn chế thông thường về phạm vi địa chỉ IP mà từ đó cuộc gọi có thể được thực hiện đến việc xác thực thiết bị cuối bằng chứng chỉ. Ví dụ: nhà sản xuất Cisco Systems với dòng sản phẩm thoại CUCM (Cisco Unified CallManager) đã bắt đầu tích hợp chức năng “Bảo mật theo mặc định” từ phiên bản sản phẩm 8.0 (ngày phát hành tháng 5 năm 2010; phiên bản 10.5 ngày 5 tháng 5 năm 2014 hiện có sẵn). Nó bao gồm những gì:
  • Xác thực tất cả các tệp được tải xuống qua/từ TFTP (tệp cấu hình, tệp chương trình cơ sở cho điện thoại, v.v.)
  • Mã hóa tập tin cấu hình
  • Kiểm tra chứng chỉ bằng điện thoại đang khởi tạo kết nối HTTPS
Chúng ta hãy xem một ví dụ về cuộc tấn công “man in the middle”, khi một người bất hợp pháp chặn các tập tin cấu hình cho điện thoại, từ đó điện thoại sẽ biết nên đăng ký với trạm nào, hoạt động trên giao thức nào, tải xuống chương trình cơ sở nào, v.v. Sau khi chặn tệp, kẻ tấn công sẽ có thể tự mình thực hiện các thay đổi đối với tệp đó hoặc xóa hoàn toàn tệp cấu hình, do đó ngăn điện thoại của toàn bộ văn phòng (xem hình) đăng ký tại trạm và do đó, tước quyền truy cập của văn phòng. khả năng thực hiện cuộc gọi.

Hình 1 Tấn công trung gian

Để bảo vệ khỏi điều này, chúng tôi cần có kiến ​​thức về mã hóa bất đối xứng, cơ sở hạ tầng khóa công khai và hiểu biết về các thành phần của Bảo mật theo mặc định mà giờ đây chúng tôi sẽ giới thiệu: Danh sách tin cậy danh tính (ITL) và Dịch vụ xác minh tin cậy (TVS). TVS là dịch vụ được thiết kế để xử lý các yêu cầu từ điện thoại IP không có tệp ITL hoặc CTL trong bộ nhớ trong. Điện thoại IP liên hệ với TVS nếu nó cần đảm bảo liệu nó có thể tin tưởng vào một dịch vụ cụ thể hay không trước khi bắt đầu truy cập dịch vụ đó. Trạm cũng hoạt động như một kho lưu trữ chứng chỉ của các máy chủ đáng tin cậy. Ngược lại, ITL là danh sách các khóa chung của các thành phần trạm tạo nên cụm, nhưng điều quan trọng đối với chúng tôi là khóa chung của máy chủ TFTP và khóa chung của dịch vụ TVS được lưu trữ ở đó. Khi điện thoại khởi động lần đầu, khi điện thoại đã nhận được địa chỉ IP và địa chỉ máy chủ TFTP, nó sẽ yêu cầu sự hiện diện của tệp ITL (Hình 2). Nếu nó nằm trên máy chủ TFTP, thì tin tưởng một cách mù quáng, nó sẽ tải nó vào bộ nhớ trong và lưu trữ cho đến lần khởi động lại tiếp theo. Sau khi tải xuống tệp ITL, điện thoại sẽ yêu cầu tệp cấu hình đã được ký.

Bây giờ, hãy xem cách chúng ta có thể sử dụng các công cụ mã hóa - ký một tệp bằng hàm băm MD5 hoặc SHA và mã hóa bằng khóa riêng của máy chủ TFTP (Hình 3). Điều đặc biệt của hàm băm là chúng là hàm một chiều. Dựa trên hàm băm nhận được từ bất kỳ tệp nào, không thể thực hiện thao tác ngược lại và lấy chính xác tệp gốc. Khi một tập tin được thay đổi, hàm băm thu được từ tập tin này cũng thay đổi. Điều đáng chú ý là hàm băm không được ghi vào chính tệp mà chỉ được thêm vào tệp và truyền đi cùng với tệp.


Hình 3 Ký vào tập tin cấu hình điện thoại

Khi hình thành chữ ký, chính tệp cấu hình sẽ được lấy, hàm băm được trích xuất từ ​​​​nó và được mã hóa bằng khóa riêng của máy chủ TFTP (chỉ máy chủ TFTP mới có).
Khi nhận được tệp cài đặt này, ban đầu điện thoại sẽ kiểm tra tính toàn vẹn của nó. Chúng ta nhớ rằng hàm băm là chức năng một chiều, vì vậy điện thoại không còn gì để làm ngoại trừ việc tách hàm băm được mã hóa bởi máy chủ TFTP khỏi tệp cấu hình, giải mã nó bằng khóa công khai TFTP (và làm sao điện thoại IP biết được nó). ? - và chỉ từ tệp ITL ), từ tệp cấu hình sạch, tính toán hàm băm và so sánh nó với những gì chúng tôi nhận được trong quá trình giải mã. Nếu hàm băm khớp, điều đó có nghĩa là không có thay đổi nào được thực hiện đối với tệp trong quá trình truyền và tệp có thể được sử dụng một cách an toàn trên điện thoại (Hình 4).


Hình 4 Kiểm tra tệp cấu hình bằng điện thoại IP

Tệp cấu hình đã ký cho điện thoại được hiển thị bên dưới:


Cơm. 5 Tệp điện thoại IP đã ký trong Wireshark

Bằng cách ký vào tệp cấu hình, chúng tôi có thể đảm bảo tính toàn vẹn của tệp cài đặt được chuyển nhưng chúng tôi không bảo vệ tệp đó khỏi bị xem. Từ tệp cấu hình đã ghi lại, bạn có thể nhận được khá nhiều thông tin hữu ích, chẳng hạn như địa chỉ IP của tổng đài điện thoại (trong ví dụ của chúng tôi là 192.168.1.66) và các cổng mở tại tổng đài (2427), v.v. Đó không phải là thông tin khá quan trọng mà bạn không muốn chỉ “tỏa sáng” trên Internet sao? Để ẩn thông tin này, nhà sản xuất cung cấp việc sử dụng mã hóa đối xứng (cùng một khóa được sử dụng để mã hóa và giải mã). Trong một trường hợp, khóa có thể được nhập vào điện thoại theo cách thủ công; trong trường hợp khác, tệp cấu hình của điện thoại được mã hóa tại trạm bằng khóa chung của điện thoại. Trước khi gửi tệp tới điện thoại, máy chủ tftp nơi tệp này được lưu trữ sẽ mã hóa tệp bằng khóa chung của điện thoại và ký tên bằng khóa riêng của nó (do đó chúng tôi đảm bảo không chỉ tính bí mật mà còn cả tính toàn vẹn của tệp được truyền). Điều chính ở đây là không nên nhầm lẫn về việc ai đang sử dụng khóa nào, mà hãy thực hiện theo thứ tự: máy chủ tftp, bằng cách mã hóa tệp bằng khóa chung của điện thoại IP, đảm bảo rằng chỉ chủ sở hữu của khóa chung được ghép nối có thể mở tập tin này. Bằng cách ký vào tệp bằng khóa riêng của nó, máy chủ tftp xác nhận rằng chính anh ta là người đã tạo ra nó. Tệp được mã hóa được hiển thị trong Hình 6:


Hình 6 Tệp điện thoại IP được mã hóa

Vì vậy, tại thời điểm này, chúng tôi đã xem xét việc bảo vệ các tệp cấu hình điện thoại của mình khỏi bị xem và đảm bảo tính toàn vẹn của chúng. Đây là lúc chức năng Bảo mật theo mặc định kết thúc. Để đảm bảo mã hóa lưu lượng thoại và ẩn thông tin báo hiệu (về ai đang gọi và họ đang gọi ở đâu), cần có các công cụ bổ sung dựa trên danh sách chứng chỉ tin cậy - CTL, chúng tôi sẽ xem xét thêm.

Xác thực trao đổi điện thoại

Khi điện thoại cần liên lạc với tổng đài điện thoại (ví dụ: để đàm phán kết nối TLS để trao đổi tín hiệu), điện thoại IP cần xác thực tổng đài. Như bạn có thể đoán, chứng chỉ cũng được sử dụng rộng rãi để giải quyết vấn đề này. Hiện tại, các trạm IP hiện đại bao gồm một số lượng lớn các thành phần: một số máy chủ báo hiệu để xử lý cuộc gọi, một máy chủ quản trị chuyên dụng (điện thoại mới, người dùng, cổng, quy tắc định tuyến, v.v. được thêm vào thông qua nó), một máy chủ TFTP chuyên dụng cho lưu trữ các tập tin cấu hình và phần mềm cho điện thoại, máy chủ phát nhạc chờ... Ngoài ra, hạ tầng thoại có thể bao gồm thư thoại, máy chủ xác định trạng thái hiện tại của thuê bao (trực tuyến, ngoại tuyến, “lúc ăn trưa”). - danh sách này rất ấn tượng và quan trọng nhất là mọi máy chủ đều có chứng chỉ tự ký riêng và mỗi máy chủ đóng vai trò là cơ quan chứng nhận gốc (Hình 7). Vì lý do này, bất kỳ máy chủ nào trong cơ sở hạ tầng thoại sẽ không tin cậy chứng chỉ của máy chủ khác, ví dụ: máy chủ thoại không tin cậy máy chủ TFTP, thư thoại không tin cậy máy chủ báo hiệu và ngoài ra, điện thoại phải lưu trữ chứng chỉ của tất cả các phần tử tham gia trao đổi lưu lượng báo hiệu. Chứng chỉ trao đổi điện thoại được thể hiện trong Hình 7.


Hình 7 Chứng chỉ trạm IP Cisco tự ký

Đối với các nhiệm vụ thiết lập mối quan hệ tin cậy giữa các thành phần được mô tả ở trên trong cơ sở hạ tầng thoại, cũng như mã hóa lưu lượng thoại và tín hiệu, cái gọi là Danh sách tin cậy chứng chỉ (CTL) sẽ phát huy tác dụng. CTL chứa tất cả các chứng chỉ tự ký của tất cả các máy chủ trong cụm trạm thoại, cũng như những máy chủ tham gia trao đổi tin nhắn báo hiệu điện thoại (ví dụ: tường lửa) và tệp này được ký bằng khóa riêng của cơ quan chứng nhận đáng tin cậy (Hình 8). Tệp CTL tương đương với các chứng chỉ đã cài đặt được sử dụng trong trình duyệt web khi làm việc với giao thức https.


Hình.8 Danh sách các chứng chỉ tin cậy

Để tạo tệp CTL trên thiết bị Cisco, bạn sẽ cần một PC có đầu nối USB, chương trình máy khách CTL được cài đặt trên đó và chính Mã thông báo bảo mật quản trị viên trang (SAST) (Hình 9), chứa khóa riêng và chứng chỉ X.509v3 được ký bởi nhà sản xuất trung tâm xác thực (Cisco).


Hình 9 eToken Cisco

Máy khách CTL là một chương trình được cài đặt trên PC Windows và bạn có thể chuyển TOÀN BỘ tổng đài điện thoại sang chế độ được gọi là chế độ hỗn hợp, nghĩa là chế độ hỗn hợp hỗ trợ đăng ký thiết bị đầu cuối ở chế độ an toàn và không an toàn. Chúng tôi khởi chạy ứng dụng khách, chỉ định địa chỉ IP của tổng đài điện thoại, nhập thông tin đăng nhập/mật khẩu của quản trị viên và ứng dụng khách CTL thiết lập kết nối TCP trên cổng 2444 với trạm (Hình 10). Sau đó, chỉ có hai hành động sẽ được đưa ra:


Hình 10 Máy khách Cisco CTL

Sau khi tạo tệp CTL, tất cả những gì còn lại là khởi động lại máy chủ TFTP để chúng tải xuống tệp CTL mới được tạo, sau đó khởi động lại máy chủ thoại để điện thoại IP cũng khởi động lại và tải xuống tệp CTL mới (32 kilobyte). Có thể xem tệp CTL đã tải xuống từ cài đặt điện thoại IP (Hình 11)


Hình 11 Tệp CTL trên điện thoại IP

Xác thực điểm cuối

Để đảm bảo rằng chỉ các điểm cuối đáng tin cậy mới được kết nối và đăng ký, xác thực thiết bị phải được triển khai. Trong trường hợp này, nhiều nhà sản xuất sử dụng một phương pháp đã được chứng minh - xác thực thiết bị bằng chứng chỉ (Hình 12). Ví dụ: trong kiến ​​trúc giọng nói của Cisco, điều này được triển khai như sau: có hai loại chứng chỉ để xác thực với khóa chung và khóa riêng tương ứng được lưu trữ trên điện thoại:
Chứng chỉ do nhà sản xuất cài đặt - (MIC). Chứng chỉ do nhà sản xuất cài đặt chứa khóa 2048 bit, được cơ quan chứng nhận của nhà sản xuất (Cisco) ký. Chứng chỉ này không được cài đặt trên tất cả các kiểu điện thoại và nếu nó được cài đặt thì không cần phải có chứng chỉ khác (LSC).
Giấy chứng nhận quan trọng tại địa phương – (LSC) Chứng chỉ hợp lệ cục bộ chứa khóa chung của điện thoại IP, được ký bằng khóa riêng của trung tâm xác thực cục bộ, chạy trên chính tổng đài điện thoại, Chức năng ủy quyền cấp chứng chỉ (CAPF).
Vì vậy, nếu chúng ta có điện thoại cài đặt sẵn chứng chỉ MIC thì mỗi khi điện thoại đăng ký với một đài, trạm đó sẽ yêu cầu chứng chỉ được nhà sản xuất cài đặt sẵn để xác thực. Tuy nhiên, nếu MIC bị hỏng thì việc thay thế đòi hỏi phải liên hệ với trung tâm chứng nhận của nhà sản xuất, việc này có thể mất rất nhiều thời gian. Để không phụ thuộc vào thời gian phản hồi của cơ quan chứng nhận của nhà sản xuất trong việc cấp lại chứng chỉ điện thoại bị xâm phạm, tốt nhất nên sử dụng chứng chỉ địa phương.


Hình 12 Chứng chỉ xác thực thiết bị đầu cuối

Theo mặc định, chứng chỉ LSC không được cài đặt trên điện thoại IP và việc cài đặt nó có thể được thực hiện bằng chứng chỉ MIB (nếu có) hoặc thông qua kết nối TLS (Bảo mật lớp truyền tải) bằng khóa chung chung do quản trị viên tạo thủ công tại điện thoại IP. trạm và nhập vào điện thoại.
Quá trình cài đặt chứng chỉ có ý nghĩa cục bộ (LSC) trên điện thoại chứa khóa chung của điện thoại được cơ quan chứng nhận địa phương ký được thể hiện trong Hình 13:


Hình 13 Quá trình cài đặt chứng chỉ LSC hợp lệ cục bộ

1. Sau khi tải điện thoại IP, nó yêu cầu danh sách chứng chỉ đáng tin cậy (tệp CTL) và tệp cấu hình
2. Trạm gửi các tập tin được yêu cầu
3. Từ cấu hình nhận được, điện thoại sẽ xác định xem có cần tải xuống chứng chỉ quan trọng cục bộ (LSC) từ trạm hay không
4. Nếu tại trạm chúng tôi thiết lập cho điện thoại cài đặt chứng chỉ LSC (xem bên dưới), trạm sẽ sử dụng chứng chỉ này để xác thực điện thoại IP này thì chúng tôi phải đảm bảo rằng khi có yêu cầu cấp chứng chỉ LSC, trạm sẽ phát hành nó cho người đó. Với những mục đích này, chúng tôi có thể sử dụng chứng chỉ MIC (nếu có), tạo mật khẩu một lần cho mỗi điện thoại và nhập thủ công trên điện thoại hoặc hoàn toàn không sử dụng ủy quyền.
Ví dụ minh họa quá trình cài đặt LSC bằng khóa được tạo.
Tại trạm ở chế độ cài đặt điện thoại IP, chúng tôi cho biết rằng chúng tôi muốn cài đặt chứng chỉ LSC trên điện thoại và quá trình cài đặt sẽ thành công nếu chúng tôi nhập khóa xác thực trên điện thoại mà chúng tôi đã xác định là 12345 (Hình 14) .


Hình 14 Chế độ cài đặt CAPF trên điện thoại

Chúng ta chuyển sang chế độ thiết lập điện thoại và nhập khóa của mình (Hình 15):


Hình 15 Khóa xác thực để cài đặt LSC

Sau đó, quá trình cài đặt chứng chỉ LSC trên điện thoại đã thành công (Hình 16):


Hình 16 Cài đặt bảo mật trên điện thoại IP

Điểm đặc biệt của việc sử dụng chứng chỉ LSC để xác thực thiết bị đầu cuối là nếu bản thân chứng chỉ đó bị xâm phạm, nó có thể được cơ quan chứng nhận CAPF của tổng đài điện thoại ký lại bằng khóa riêng mới.

Vì vậy, hiện tại, chúng tôi đã đạt được tính bảo mật không chỉ cho các tệp đã tải xuống mà còn cả xác thực máy chủ báo hiệu từ các thiết bị đầu cuối (điện thoại IP), cũng như chính các thiết bị đầu cuối từ trạm. Bây giờ chúng ta hãy xem xét việc duy trì tính bảo mật của các cuộc hội thoại bằng cách mã hóa lưu lượng thoại và ẩn thông tin báo hiệu.

Mã hóa cuộc hội thoại - SRTP

Hãy xem xét những gì nhà sản xuất hiện cung cấp để thực hiện nhiệm vụ phổ biến nhất - đảm bảo tính bảo mật của các cuộc hội thoại.
Theo tiêu chuẩn, tất cả các tin nhắn tín hiệu và thoại được truyền dưới dạng văn bản rõ ràng, như trong Hình 17:


Hình 17 Mở tin nhắn SIP

Giao thức thời gian thực an toàn (SRTP) là giao thức RTP được phát triển đặc biệt được thiết kế để truyền thoại và video nhưng được bổ sung các cơ chế để đảm bảo tính bảo mật và tính toàn vẹn của thông tin được truyền không chỉ qua RTP mà còn cả RTCP. Ứng dụng thoại hỗ trợ SRTP phải chuyển đổi các gói RTP thành SRTP trước khi gửi chúng qua mạng. Hoạt động ngược lại phải được thực hiện ở phía nhận. Kiến trúc SRTP xác định hai loại khóa: khóa chính và khóa phiên (để mã hóa và xác thực) (Hình 18). Tuy nhiên, SRTP không quy định thủ tục trao đổi khóa chính; vì những mục đích này cần sử dụng TLS hoặc IPSec. Để trao đổi khóa, giải pháp tiêu chuẩn hóa cho SRTP là MIKEY (Khóa Internet đa phương tiện), nhưng cũng có thể sử dụng các giao thức như SDES và ZRTP.


Hình 18 Thực hiện cuộc gọi bằng SRTP

Quá trình nhắn tin SRTP:

  • Chứng chỉ trao đổi điện thoại và máy chủ;
  • Điện thoại và máy chủ xác thực lẫn nhau;
  • Điện thoại tạo khóa TLS để xác thực SHA và mã hóa AES;
  • Điện thoại mã hóa các khóa bằng khóa chung của trạm và gửi. Trạm giải mã bằng khóa riêng của nó;
  • Trạm trao đổi khóa TLS với từng điện thoại và bắt đầu trao đổi an toàn các tin nhắn báo hiệu điện thoại (điện thoại của thuê bao bị gọi đổ chuông);
  • Trạm tạo khóa phiên để xác thực SRTP SHA và mã hóa SRTP AES;
  • Trạm phân phối khóa phiên cho cả hai điện thoại thông qua kết nối báo hiệu an toàn;
  • Các điện thoại bắt đầu trao đổi lưu lượng thoại thông qua kết nối SRTP an toàn (người được gọi nhấc máy).
Việc kích hoạt mã hóa và xác thực trên thiết bị Cisco được kiểm soát bởi hồ sơ bảo mật. Nó trông như thế này (Hình 19):


Hình 19 Cấu hình bảo mật trên Cisco CallManager

Trong đó, chúng tôi xác định chế độ nào các thiết bị cuối (điện thoại) sẽ đăng ký và hoạt động. Khi chọn tùy chọn Không bảo mật, cả dữ liệu tín hiệu và giọng nói đều không được mã hóa; Đã xác thực – tin nhắn báo hiệu được mã hóa nhưng giọng nói không được mã hóa; Được mã hóa - cả tín hiệu và giọng nói đều được mã hóa. Có thể chọn mã hóa dữ liệu cấu hình. Sau khi tạo hồ sơ, bạn cần gán hồ sơ đó cho điện thoại của mình (Hình 20).


Hình 20 Cấu hình bảo mật điện thoại trên Cisco CallManager

Hiện tại, chúng tôi đã xem xét các điểm chính về bảo mật của điện thoại IP, điều này cho phép chúng tôi chống lại các mối đe dọa chính đối với điện thoại, tuy nhiên, đây chỉ là phần nổi của tảng băng chìm trong toàn bộ cơ sở hạ tầng bảo mật của giọng nói) Riêng biệt, cần phải xem xét tính bảo mật vật lý của cơ sở hạ tầng (ví dụ: ở đây: GOST R ISO/IEC 17799-2005 Các quy tắc quản lý thực tế về bảo mật thông tin) và một chủ đề riêng có thể được dành cho an ninh mạng. Tôi hy vọng rằng những người đọc đến cuối bài viết sẽ hài lòng với nó và thông tin hữu ích.
Tôi sẵn sàng trả lời mọi câu hỏi qua thư: [email được bảo vệ]
Với sự hỗ trợ của dự án network-class.net