Безопасность IP - телефонии
Безопасность IP - телефонии
Сапанов Әліби Мұратжанұлы, студент магистратуры
Ералы Умитжан Айтақынұлы, студент магистратуры
[1]Международный университет информационных технологий (г. Алматы, Казахстан)
В данной статье рассматриваются методы безопасности, связанные с осуществлением телефонных переговоров по сетям, а также описаны решения под бесплатную платформу Asterisk, проблематика актуальна для любых других платформ IP-телефонии.
Ключевые слова: IP-телефония, Asterisk, DoS-атака, IP-АТС, SRTP, SIP-протокол, TLS (Transport Layer Security) протокол, VPN, шифрование, криптография.
В современном мире информация является одним из ценнейших ресурсов, поэтому ее защита - важная задача. Немалую роль в работе организации любого уровня играют телефонные переговоры. В силу возрастающей популярности IP-телефонии, все острее встает вопрос обеспечения ее безопасности в общем и конфиденциальности разговоров в частности. Знание основных источников опасности для сетей IP-телефонии, а также понимание методов устранения этих угроз поможет сохранить репутацию и финансовые ресурсы компании.
ВИДЫ УГРОЗ ДЛЯ VOIP-СЕТЕЙ
1 Перехват и манипулирование данными
Наиболее часто встречаемая уязвимость телефонных сетей, особенно опасная для IP-телефонии. В случае применения IP-телефонии злоумышленнику не нужен физический доступ к линии передачи данных. Находящееся внутри корпоративной сети устройство перехвата, скорее всего, может быть обнаружено, внешнее прослушивание отследить практически невозможно[1]. Кроме того, перехваченные данные или голос могут быть переданы далее с изменениями. В таких условиях весь незашифрованный голосовой поток необходимо считать небезопасным.
2 Подмена и взлом пользовательских данных
Отказ от использования или упрощение механизмов аутентификации и авторизации в IP-телефонии открывает для злоумышленника возможность не санкционировано получить доступ к системе, подменив данные о пользователе своими. Возможен также взлом учетных данных пользователей посредством перебора или прослушивания незащищенных каналов связи. Подобная уязвимость может быть использована для совершения дорогостоящих звонков за счет жертвы, сводя на нет всю возможную выгоду от использования IP-телефонии.
3 Ограничение доступности
Одной из разновидностей атак является отказ в обслуживании (Denial of Service, DoS). Эта атака нацелена на превышение предельной нагрузки на систему большим количеством коротких звонков или информационного мусора [1]. Без постоянного отслеживания признаков подобных атак и применения пассивных средств защиты, это приводит к тому, что серверы IP-телефонии не справляются с возросшей нагрузкой и не в состоянии обслуживать подключенных абонентов.
Проанализировав основные источники угроз безопасности IP-телефонии, можно выделить ключевые критерии защищенности [2]:
1. Конфиденциальность - это необходимость обеспечения защиты траффика IP-телефонии для предотвращения перехвата или прослушивания телефонных звонков, внесения изменений в передаваемую информацию, кражи учетных данных пользователей.
2. Целостность - это обеспечение уверенности, что передаваемая информация не подвергается правке со стороны неавторизованных пользователей, что запросы на выполнение определенных задач или функций (например, совершение звонка или внесение изменений в настройки системы IP-телефонии) инициированы авторизованными пользователями или приложениями.
3. Доступность - это бесперебойное функционирование корпоративной системы IP-телефонии в условиях DoS-атак, различных червей, вирусов и т.п.
МЕТОДЫ ЗАЩИТЫ IP-ТЕЛЕФОНИИ
Рассмотрим наименее защищенный и, при этом, один из самых распространенных примеров реализации IP-телефонии.
Рисунок 1 - Реализация IP-телефонии
Сервер телефонии на базе IP-АТС Asterisk имеет прямой выход в сеть интернет для обслуживания удаленных филиалов и связи с SIP-провайдером, предоставляющим доступ к внешним линиям связи. Аутентификация пользователей происходит по IP-адресам [3]. Последним рубежом защиты является сам сервер IP-телефонии. Указаны несколько классических методов защиты сервера от атак в таблице 1[4].
Таблица 1
Метод защиты
Описание
Применение политики сложных паролей
Получение учетных данных методом перебора (bruteforce) требует значительных затрат времени и вычислительных ресурсов, усложнение паролей позволит сделать данный метод атак нецелесообразным
Отключение гостевых звонков
Разрешение на совершение исходящих звонков имеют только пользователи системы. Этой настройкой можно отсечь попытки позвонить извне без предварительной авторизации
Отключение ответа о неверном пароле
По умолчанию Asterisk выдает одну ошибку о неверном пароле для существующего аккаунта и другую для несуществующего аккаунта. Существует множество программ для подбора паролей, поэтому злоумышленнику не составит труда проверить все короткие номера и собирать пароли лишь к существующим аккаунтам, которые ответили неверный пароль
Использование систем блокировки доступа после неудачных попыток регистрации
Просмотр отчетов системы на предмет обнаружения попыток взлома позволят выделить и блокировать IP-адрес атакующего. Таким образом, можно сократить количество мусорного SIP трафика и защититься от множественных попыток взлома
Ограничение направлений звонков, доступных абонентам, применение схемы запрещено все, кроме разрешенного
В случае получения злоумышленником учетных данных пользователя системы, он сможет совершать звонки только по определенным направлениям. Это позволит избежать несанкционированного совершения дорогостоящих международных звонков
Регулярные проверки системы на предмет попыток взлома, контроль параметров
Организация системы мониторинга состояния системы позволит улучшить качество IP-телефонии и отметить типовые для данной конфигурации параметры. Отклонения этих параметров от полученных типовых значений поможет выявить ... продолжение
Сапанов Әліби Мұратжанұлы, студент магистратуры
Ералы Умитжан Айтақынұлы, студент магистратуры
[1]Международный университет информационных технологий (г. Алматы, Казахстан)
В данной статье рассматриваются методы безопасности, связанные с осуществлением телефонных переговоров по сетям, а также описаны решения под бесплатную платформу Asterisk, проблематика актуальна для любых других платформ IP-телефонии.
Ключевые слова: IP-телефония, Asterisk, DoS-атака, IP-АТС, SRTP, SIP-протокол, TLS (Transport Layer Security) протокол, VPN, шифрование, криптография.
В современном мире информация является одним из ценнейших ресурсов, поэтому ее защита - важная задача. Немалую роль в работе организации любого уровня играют телефонные переговоры. В силу возрастающей популярности IP-телефонии, все острее встает вопрос обеспечения ее безопасности в общем и конфиденциальности разговоров в частности. Знание основных источников опасности для сетей IP-телефонии, а также понимание методов устранения этих угроз поможет сохранить репутацию и финансовые ресурсы компании.
ВИДЫ УГРОЗ ДЛЯ VOIP-СЕТЕЙ
1 Перехват и манипулирование данными
Наиболее часто встречаемая уязвимость телефонных сетей, особенно опасная для IP-телефонии. В случае применения IP-телефонии злоумышленнику не нужен физический доступ к линии передачи данных. Находящееся внутри корпоративной сети устройство перехвата, скорее всего, может быть обнаружено, внешнее прослушивание отследить практически невозможно[1]. Кроме того, перехваченные данные или голос могут быть переданы далее с изменениями. В таких условиях весь незашифрованный голосовой поток необходимо считать небезопасным.
2 Подмена и взлом пользовательских данных
Отказ от использования или упрощение механизмов аутентификации и авторизации в IP-телефонии открывает для злоумышленника возможность не санкционировано получить доступ к системе, подменив данные о пользователе своими. Возможен также взлом учетных данных пользователей посредством перебора или прослушивания незащищенных каналов связи. Подобная уязвимость может быть использована для совершения дорогостоящих звонков за счет жертвы, сводя на нет всю возможную выгоду от использования IP-телефонии.
3 Ограничение доступности
Одной из разновидностей атак является отказ в обслуживании (Denial of Service, DoS). Эта атака нацелена на превышение предельной нагрузки на систему большим количеством коротких звонков или информационного мусора [1]. Без постоянного отслеживания признаков подобных атак и применения пассивных средств защиты, это приводит к тому, что серверы IP-телефонии не справляются с возросшей нагрузкой и не в состоянии обслуживать подключенных абонентов.
Проанализировав основные источники угроз безопасности IP-телефонии, можно выделить ключевые критерии защищенности [2]:
1. Конфиденциальность - это необходимость обеспечения защиты траффика IP-телефонии для предотвращения перехвата или прослушивания телефонных звонков, внесения изменений в передаваемую информацию, кражи учетных данных пользователей.
2. Целостность - это обеспечение уверенности, что передаваемая информация не подвергается правке со стороны неавторизованных пользователей, что запросы на выполнение определенных задач или функций (например, совершение звонка или внесение изменений в настройки системы IP-телефонии) инициированы авторизованными пользователями или приложениями.
3. Доступность - это бесперебойное функционирование корпоративной системы IP-телефонии в условиях DoS-атак, различных червей, вирусов и т.п.
МЕТОДЫ ЗАЩИТЫ IP-ТЕЛЕФОНИИ
Рассмотрим наименее защищенный и, при этом, один из самых распространенных примеров реализации IP-телефонии.
Рисунок 1 - Реализация IP-телефонии
Сервер телефонии на базе IP-АТС Asterisk имеет прямой выход в сеть интернет для обслуживания удаленных филиалов и связи с SIP-провайдером, предоставляющим доступ к внешним линиям связи. Аутентификация пользователей происходит по IP-адресам [3]. Последним рубежом защиты является сам сервер IP-телефонии. Указаны несколько классических методов защиты сервера от атак в таблице 1[4].
Таблица 1
Метод защиты
Описание
Применение политики сложных паролей
Получение учетных данных методом перебора (bruteforce) требует значительных затрат времени и вычислительных ресурсов, усложнение паролей позволит сделать данный метод атак нецелесообразным
Отключение гостевых звонков
Разрешение на совершение исходящих звонков имеют только пользователи системы. Этой настройкой можно отсечь попытки позвонить извне без предварительной авторизации
Отключение ответа о неверном пароле
По умолчанию Asterisk выдает одну ошибку о неверном пароле для существующего аккаунта и другую для несуществующего аккаунта. Существует множество программ для подбора паролей, поэтому злоумышленнику не составит труда проверить все короткие номера и собирать пароли лишь к существующим аккаунтам, которые ответили неверный пароль
Использование систем блокировки доступа после неудачных попыток регистрации
Просмотр отчетов системы на предмет обнаружения попыток взлома позволят выделить и блокировать IP-адрес атакующего. Таким образом, можно сократить количество мусорного SIP трафика и защититься от множественных попыток взлома
Ограничение направлений звонков, доступных абонентам, применение схемы запрещено все, кроме разрешенного
В случае получения злоумышленником учетных данных пользователя системы, он сможет совершать звонки только по определенным направлениям. Это позволит избежать несанкционированного совершения дорогостоящих международных звонков
Регулярные проверки системы на предмет попыток взлома, контроль параметров
Организация системы мониторинга состояния системы позволит улучшить качество IP-телефонии и отметить типовые для данной конфигурации параметры. Отклонения этих параметров от полученных типовых значений поможет выявить ... продолжение
Похожие работы
Дисциплины
- Информатика
- Банковское дело
- Оценка бизнеса
- Бухгалтерское дело
- Валеология
- География
- Геология, Геофизика, Геодезия
- Религия
- Общая история
- Журналистика
- Таможенное дело
- История Казахстана
- Финансы
- Законодательство и Право, Криминалистика
- Маркетинг
- Культурология
- Медицина
- Менеджмент
- Нефть, Газ
- Искуство, музыка
- Педагогика
- Психология
- Страхование
- Налоги
- Политология
- Сертификация, стандартизация
- Социология, Демография
- Статистика
- Туризм
- Физика
- Философия
- Химия
- Делопроизводсто
- Экология, Охрана природы, Природопользование
- Экономика
- Литература
- Биология
- Мясо, молочно, вино-водочные продукты
- Земельный кадастр, Недвижимость
- Математика, Геометрия
- Государственное управление
- Архивное дело
- Полиграфия
- Горное дело
- Языковедение, Филология
- Исторические личности
- Автоматизация, Техника
- Экономическая география
- Международные отношения
- ОБЖ (Основы безопасности жизнедеятельности), Защита труда