Muszyński Józef - Bezpieczeństwo telefonii IP.pdf
(
119 KB
)
Pobierz
IDG - Bezpieczeństwo telefo...
IDGBezpieczeństwotelefoniiIP
http://www.idg.pl/cgibin/print.asp
BezpieczeństwotelefoniiIP
raport:
KomunikacjaIP
wersjadowydruku
|
stronagłówna
|
wersjaoryginalna
|
20070305
BezpieczeństwojestszczególniewaŜne,gdyzastępujesięwiekową,szeroko
rozpowszechnionąirelatywnieodpornąnazagroŜeniasiećkomunikacyjną.ChociaŜŜadne
indywidualneśrodkiochronneniewyeliminującałkowicieataków,podejściewarstwowew
zapewnianiubezpieczeństwaVoIPmoŜewznaczącysposóbograniczyćzagroŜenia.
ZarównouŜytkownicy,jakiusługodawcytechnologiiVoIPsąnaraŜeninaatakipodobnedotych,jakie
moŜnaspotkaćwtradycyjnejtelefoniiiusługachkomórkowych.CelesątesamekradzieŜtoŜsamości
iimpulsów.InfrastrukturypublicznegoVoIPmogąbyćczęściejcelematakówmotywowanych
politycznieczyterroryzmu,natomiastprywatnesieciVoIPwwiększymstopniuzagroŜonesąryzykiem
elektronicznegoszpiegostwaprzemysłowegoipodsłuchem.
ZagroŜeniadobrzeznane
WieleatakówskupiasięnapunktachkońcowychsystemuVoIP.System
operacyjny,protokołyinternetowe,interfejsyaplikacyjneizarządzania
telefonówikomputerów,naktórychpracujeoprogramowanietelefoniiIP,są
podatnenanieautoryzowanydostęp,wirusy,robakiiróŜneatakiodmowy
usługi(DoSDenialofService)wykorzystującepowszechneprotokoły
internetoweiprotokołyVoIP.
VoIPwykorzystujedosterowaniasygnalizacjąprotokółIETFSIP(Session
InitiationProtocol),aprotokółRTP(RealtimeTransportProtocol)dodostarczaniaruchugłosowego.
ProtokołyteorazuzupełniająceprotokołyopisysesjiiprocedursterującychRTP(SDPSession
DescriptionProtocoliRTCPRTPControlProtocol)nieprzewidująjednakodpowiedniego
uwierzytelnianiastronpołączeniatelefonicznego,ochronyintegralnościwukładzie"punktkońcowy
punktkońcowy"orazśrodkówzapewniającychpoufnośćsygnalizacjiidanychnadrodzepołączenia.
JeŜelitakiemechanizmybezpieczeństwaniezostanązaimplementowaneiwdroŜonewusługachVoIP,
napastnicymajądodyspozycjiwielewektorówataku.
WadąprotokołuSIPjestto,Ŝewjegopodstawowejwersjikomunikatyprzesyłanesątekstemjawnym,
coułatwiapodglądichtreści.Bardzopodstawowafunkcjonalnośćprotokołusprawia,Ŝetworzone
róŜnejegorozszerzeniamogąwprowadzaćnowelukibezpieczeństwa.
NadziśSIPiRTPniezapewniająszyfrowaniapakietówsygnalizacjiistrumienigłosowych,takwięc
toŜsamość,referencjeiSIPUniformResourceNumber(numertelefonu)stronyinicjującejpołączenie
mogąbyćprzechwytywaneprzyuŜyciunarzędzipodsłuchuruchusieciowego(snifferów)LANlub
WLAN
(WirelessLAN).NapastnikmoŜewykorzystaćprzechwyconedaneokoncieuŜytkownikado
podszywaniasiępodniegowróŜnychsytuacjach.MoŜetakŜeuzyskaćdostępdopocztygłosowejlub
skierowaćrozmowęnainnynumer.
AtakiwykorzystującepodszywaniesiępodlegalnegouŜytkownikasąpowszechnieuŜywanedo
kradzieŜyimpulsów,abardziejwyrafinowaninapastnicymogąrównieŜprzechwytywaćkonwersacje
głosowewceluuzyskaniawraŜliwychinformacjibiznesowychczyosobistych.
ZalewającstronęodbiorcząwsystemieVoIPpakietamisygnalizacjiSIPmoŜnazablokować
dostępnośćusługi,wymusićprzedwczesnezerwaniepołączeniaczydoprowadzićposzczególne
elementywyposaŜeniaVoIPdocałkowitejniezdolnościprzetwarzaniapołączeń.WyposaŜenieVoIP
moŜebyćtakŜepodatnenaatakiDoSwykorzystująceprotokołyinternetowe.
1z5
2008120721:24
SłabepunktyVoIP
IDGBezpieczeństwotelefoniiIP
http://www.idg.pl/cgibin/print.asp
AtakiodmowyusługisązwiązanezkaŜdąsieciąopartąnaIP.MogąoneprzybieraćróŜneformy,ale
wszystkiezmierzajądotakiegoobciąŜeniainfrastruktury,abyuŜytkownicyniemogliprawidłowo
korzystaćzusług.SieciVoIP,realizująceusługiwczasierzeczywistym,sąszczególnienaraŜonena
tegotypuataki.
NajprostsząmetodąjestzalewaniepakietamiportówwykorzystywanychprzezVoIP.SiećVoIPmoŜe
zostaćwykorzystanadoprzeprowadzeniatakiegoatakunainnąsiećVoIP.
WiększośćsystemówVoIPniezapewniajeszczewystarczającoskutecznejautoryzacji,bezktórej
atakującymoŜewykorzystaćzjawiskopodszywanialubinnetechnikidowykonaniaróŜnegorodzaju
ataków.MoŜeprzechwycićsesjęrejestracjitelefonuIP(callhijacking)alboprzejąćwychodzące
połączenieizablokowaćdostępdotelefonuIP.
SystemyVoIPmogąbyćrównieŜzakłócaneprzezatakispecyficznedla
mediumtransportowego,takiejakEthernetbroadcaststormczyWiFiradio
jamming.SystemyoperacyjneistosyTCP/IPuŜywanewsprzęcieVoIP
mogąbyćpodatnenaatakispecyficznedlaichimplementacji
wykorzystująceusterkioprogramowania.Mogąpowodowaćzawieszenie
systemuoperacyjnegolubzapewnićnapastnikowimoŜliwośćzdalnej,
administracyjnejkontrolinadsystemem.
AnatomiaatakuDDoSna
systemyVoIP
ProgramowetelefonyVoIP(softphony)stanowiąwyjątkowyipowaŜny
problem.AplikacjetelefonicznepracująnakomputerachPCczyPDAuŜytkownikówidlategosą
podatnenaatakikodówzłośliwychwymierzonewdaneiaplikacjegłosowe.Trzebabraćpoduwagę
moŜliwość,ŜetakieatakimogąwymykaćsiękonwencjonalnejochroniePC,np.poprzezwprowadzanie
złośliwegokoduzapośrednictwemaplikacjitelefonicznychVoIP.TelefonyIPsąpodatnegłówniena
usterkioprogramowania.
Spambardzoczęstojestprzykrywkądlaspywareizdalnychnarzędziadministrowania.Wtelefonii
internetowejmoŜeprzenosićniezamawianepołączeniazwiązanezesprzedaŜączyinne,niemniej
kłopotliwe,asprowadzanedosoftfonówoprogramowaniemoŜezawieraćukrytekodyzłośliwe.
BardziejspecyficznedlaVoIPzagroŜeniatofałszywarejestracja,gdynapastnikzgłaszasiędoserwera
rejestracjiSIP,przedstawiającsięjakouprawnionyuŜytkownikUA(UserAgent)ipodającwnimwłasny
adres.OdtegomomentuwszystkiepołączeniaprzychodzącedoprawomocnegouŜytkownikabędą
kierowanenaadresintruza.NapastnikmoŜetylkopośredniczyćwkomunikacjipomiędzyinicjującyma
odbiorcąpołączeniairejestrowaćkonwersacjęwrazzsygnalizacjąlubjemodyfikować(atakmanin
themiddle).
InnymzagroŜeniemjestpodstawioneproxySIP.NapastnikwymuszanaagencieuŜytkownikalub
legalnymserwerzeSIPprzesyłaniewiadomościsterującychdofałszywegoproxySIP,uzyskując
dostępdowszystkichkomunikatówSIPimoŜliwośćmanipulowaniapołączeniami.
AtakinasieciVoIPmogądotyczyćsystemuoperacyjnegourządzeńVoIP(atakiDoSlubprzepełnienia
bufora),lukkonfiguracyjnychurządzeńVoIP,infrastrukturyIP(DoS,SYNflooditp.)orazimplementacji
protokołówVoIP.
KomponentyVoIP,takiejakbramkiIPPBXczytelefonyIP,mogąstaćsięcelematakuopartegona
pakietachIP.SłabymipunktamiinfrastrukturytelefoniiIPsąsystemyoperacyjne,zawierająceczęsto
łatwedowykorzystanialuki,oraznieszczelnośćoprogramowaniaVoIP,ułatwiającapokonanie
zabezpieczeń.
Wiarygodnośćpunktówkońcowych
CorazczęściejjednakwurządzeniachVoIPimplementujesiętakiemechanizmybezpieczeństwa,jak
autoryzacja,uwierzytelnianieorazszyfrowaniesygnalizacjiistrumieniagłosu.
DoautoryzacjitelefonówIPmoŜebyćstosowanystandardLLDP(LinkLayerDiscoveryProtocol)
IEEE802.1AB.ProtokółpozwalanawymianęinformacjiourządzeniachwsieciEthernet.LLDP
definiujestandardowąmetodęrozgłaszaniainformacjidosąsiednichwęzłówprzełączników,routerówi
bezprzewodowychpunktówdostępowychWLAN.ZpomocątegoprotokołumoŜnarozgłaszaćtakie
informacje,jakkonfiguracjaurządzenia,moŜliwościurządzeniaczyidentyfikatorurządzenia.
Telefonyzgłaszająsiędoprzełącznika,podająinformacjeosobie.Serweruwierzytelnianiasprawdza
2z5
2008120721:24
IDGBezpieczeństwotelefoniiIP
http://www.idg.pl/cgibin/print.asp
następnie,czyMACtelefonufigurujenaliścieuprawnionychdokorzystaniazsieci.Popozytywnym
zweryfikowaniu,dotelefonumoŜebyćprzesłanainformacjakonfiguracyjna.Mechanizmwykrywania
LLDPumoŜliwiarównieŜlokalizacjęurządzeniakońcowego.
Ochronapodstawowa
OpisanezagroŜeniapowinnymotywowaćszefówITdoocenyryzykaprzy
wprowadzaniuVoIPiwkonsekwencjizaprojektowaniapolitykiorazplanujej
implementacjimającejnaceluzredukowanietegoryzykazwykorzystaniem
technologiibezpieczeństwabędącychpodręką.
RozwiązaniatelefoniiIPwymagajątakiejsamejpoufnościjakdane.Do
podsłuchutransmisjiwystarczypodpiąćlaptopadosiecilokalnejlubumieścićwzasięgusieciWLAN.Z
tegopowodukoniecznejestuwierzytelnianietelefonówIPorazszyfrowaniesygnalizacjiistrumienia
głosu.
Kryptografiawprowadzadopakietówgłosowychdodatkowedaneizwiększaopóźnienia.IETF
opracowałaprotokółSecureIPzapewniającyszyfrowanietransmisjipomiędzyklientamiVoIPbezich
nadmiernegoobciąŜania.BezpieczeństwoVoIPmoŜnarównieŜzwiększaćdrogątworzeniapodsieci
wirtualnychLAN(VLAN).
VoIPjeststosunkowonowymispecyficznymtypemaplikacjiinternetowej,alewkońcumoŜna
sprowadzićjądojednegozestrumienidanychczasurzeczywistegodostarczanychprzyuŜyciuIP.
DlategoteŜwieleześrodkówbezpieczeństwaszerokostosowanychdzisiajdoochronyinnychaplikacji
internetowychFTP,HTTP,pocztaelektronicznaczykomunikatorymoŜebyćwykorzystanychdo
zwiększeniabezpieczeństwaVoIP.
BezpieczeństwoVoIPjestwduŜejmierzezaleŜneodbezpieczeństwaprotokołuIP.Zabezpieczając
infrastrukturęsystemuVoIP,moŜnaograniczyćzagroŜeniazestronyatakówopartychnaDoS,SYN
flood,przechwytywaniusesji(hijacking)czynasłuchiwaniu.
WiększośćaplikacjiusługiVoIPpracujenapopularnychplatformachserwerowychsystemów
operacyjnych.Wzmacnianiesystemówoperacyjnychserwerówihostowesystemywykrywania
wtargnięćtopodstawowaochronaVoIP.Najczęściejrekomendowaneśrodkibezpieczeństwadla
serwerów,któremogąbyćzastosowanerównieŜdlaserwerówgłosowych,to:
UtrzymywanienaaktualnympoziomiestanułateksystemuoperacyjnegoiaplikacjiVoIP.
Uruchamianienatakimserwerzewyłącznieaplikacjiwymaganychdlazapewnieniaiutrzymania
usługVoIP.
StosowaniesilnegouwierzytelnianiadostępudokontadministracyjnychiuŜytkowników.
UdostępnienieuŜytkownikomkontwymaganychjedyniedlaoperacjiutrzymaniaikonfigurowania.
Stosowaniesurowejpolitykiautoryzacjizapobiegającejnieautoryzowanemudostępowidousług
VoIPidanychokontach.
AudytsesjiadministracyjnychiuŜytkownikaorazdziałańzwiązanychzjakościąusług.
Instalowanieiutrzymywaniezapórogniowychserweraorazśrodkówdopowstrzymywania
atakówkodówzłośliwychiatakówDoS.
BezpiecznekonfigurowanieaplikacjiVoIPwceluzapobieŜenianaduŜyciom,np.białelisty
dozwolonychnumerówkrajowych,zapobiegająceprzekierowaniuwywołańorazsocjotechnikom,
któremogąprowadzićdokradzieŜyimpulsówinieupowaŜnionegouŜytkowania.
Obronarozbudowana
KiedyserweryVoIPiaplikacjenanichpracującesąjuŜbezpiecznieskonfigurowane,moŜnaprzystąpić
dobudowania"obronygłębokiej"poprzezdodawaniepoziomówzabezpieczeńwokółserwera.Serwery
VoIPiwymaganąinfrastrukturę(DNS,LDAP)moŜnaizolowaćodmaszynklienckich(telefonów,
pecetówilaptopów),uŜywającdoprzenoszeniazarządzania,głosuidanychfizycznieseparowanych
lubwirtualnychLAN(VLAN).
DoograniczaniatypówruchuprzekraczającegograniceVLAN,tylkodoniezbędnychprotokołów,uŜywa
sięzapórogniowych.TakieodgrodzeniemoŜeefektywnieograniczaćrozprzestrzenianiesięzłośliwych
kodówzzainfekowanychklientówdoserwerówVoIP,zwłaszczawsiecihomogenicznej(np.Windows).
CzęstomateŜwpływnauproszczeniepolitykibezpieczeństwarozdzieleniejejnaograniczające
3z5
2008120721:24
Fałszywarejestracjarozmowy
IDGBezpieczeństwotelefoniiIP
http://www.idg.pl/cgibin/print.asp
zaporyognioweułatwiazarządzanie,stajesięmniejskomplikowaneniŜutrzymywanieregułpolitykina
pojedynczejzaporzeogniowej.
Segmentacjajestsilnymnarzędziemzapewnianiabezpieczeństwa,takwięcniemoŜnajejzaniechać.
Takiesamemetodysegmentacji,jakiesąuŜywanedopodniesieniabezpieczeństwa,mogąbyć
stosowanedoimplementacjiQoS.PrzydzielenietelefonówSIPdoichwłasnychVLANpomaga
ograniczyćVoIPdodozwolonychurządzeńinadaćwyŜszypriorytetpakietomVoIPprzemieszczanymz
obrzeŜasiecidotakiegosegmentu.
RozwaŜyćteŜmoŜnaoddzielenieagentówVoIPuŜytkownika(softfonów)od
komputerówPCilaptopówuŜywanychdodostępudosieciowychaplikacji
danych.TakasegregacjaobniŜyskutecznośćatakówskierowanychprzeciw
segmentomdanych,rozprzestrzeniającychiinterferującychsięzsystemami
głosowymi.
Wirtualnesiecilokalnepozwalająnalogiczneodseparowaniedanych
głosowychodpozostałychdanychsieciowych.WdroŜeniemechanizmów
QoSwzarządzaniupasmemprzeznaczonymdlaaplikacjigłosowychumoŜliwianadawaniepriorytetów
dlaspecyficznychusług.ZarządzanieprzepustowościąkaŜdegokomponentuVoIPmoŜeograniczyć
atakiSYNfloodczyDDoS.
Mechanizmuwierzytelniania
telefonówzapomocąLLDP
Gdyzastosujesięsegmentacjęirozgraniczaniewykorzystująceregułypolityki,problememmoŜebyć
wydajnośćzaporyogniowej.DlategotakieprzedsięwzięcianaleŜyplanowaćostroŜnie,abyuniknąć
nadmiernychopóźnieńnadrodzetransportustrumieniagłosu.
BezpieczeństwopunktówkońcowychzapewniazewnętrznypoziomochronywsystemachVoIP.
KontroladostępudosieciopartanaIEEE802.1Xiekwiwalentnetechnikiudostępnianiasieci
zapewniajądodatkowypoziomkontroliautoryzacjipoprzezblokowaniedostępudoLANczyWAN
dopókiurządzeniekońcoweniespełniwymagańobowiązującejpolitykibezpieczeństwa.
Administratorzymogąblokowaćurządzeniazainfekowanelubtakie,któreniespełniająinnychkryteriów
dopuszczeniadosieci,jaknp.aktualnełatkiczyodpowiednioskonfigurowanazaporaogniowa.Mogą
teŜskierowaćniespełniającewymagańurządzeniadowyizolowanegosegmentuLAN,któryoferuje
ograniczonyzakresusługlubdoLAN,gdzieuŜytkownicysoftfonówmogąuzyskaćdostępdo
oprogramowania,łatekiaktualnychsygnaturwirusowychzapewniającychspełnienieprzyjętych
kryteriów.Wwieluprzypadkachteśrodkibezpieczeństwamogąbyćpodejmowaneprzed
uwierzytelnieniem,uniemoŜliwiająckodomzłośliwym(np.rejestratoromklawiatury)przechwytywanie
referencji.
TrzebateŜpamiętać,ŜeVoIPjestczęstoproblememdlatradycyjnychzapórogniowych,poniewaŜ
mogąbyćoneniedostosowanedozadańzabezpieczaniastrumieniagłosuidanych.Tradycyjne
sieciowezaporyogniowesąprzygotowanedodopuszczanialubblokowaniaruchunapodstawie
informacjinagłówkowejTCP,UDP(UserDatagramProtocol)iIP.NaprzykładadresIP,typprotokołui
numerportu.
ProtokołyVoIPuŜywająszerokiegozakresuportówUDPiprzydzielająjedynamiczniedostrumienia
głosu.Wieletradycyjnychzapórogniowychjestnieprzystosowanychdotakiegodziałania,tj.duŜego
zakresunumerówportówstaleotwartychdlauŜytkuVoIP.Niektórezaporyogniowenieprzetwarzają
efektywnieUDP.InnenieobsługująmechanizmówQoSzarządzającychopóźnieniemiróŜnicamiw
czasienadejściapakietówgłosowych(jitter)wsposóbzapewniającypołączeniomVoIPjakość
połączeńnieodbiegającąodtelefoniitradycyjnej.
InnymproblemempołączeńVoIPprzechodzącychprzezzaporęogniowąsąwiadomości
sygnalizacyjne.Sąoneignorowaneprzeztradycyjnątranslacjęadresów(NAT).Typowezapory
ognioweniemonitorująrównieŜwszystkichprotokołówVoIPdlaróŜnychtypówataków,któremogą
miećmiejsce.
PoduwagęnaleŜywięcbraćzaporyognioweobsługująceSIP,któremogąwykrywaćiprzeciwdziałać
atakomnakomunikatysygnałoweSIPorazprzetwarzaćstrumieniepakietówRTPbezdokładania
znaczącychopóźnień.
Bramypoziomuaplikacyjnego(proxy)mogąodgrywaćznaczącąrolęwewdraŜaniuVoIP.Włączenie
tuneliSSLdoproxySIPstajesięcorazbardziejpopularnąmetodąulepszeniauwierzytelnianiaoraz
wprowadzaniapoufnościiochronyintegralnościkomunikatówsygnałowychwymienianychpomiędzy
4z5
2008120721:24
IDGBezpieczeństwotelefoniiIP
http://www.idg.pl/cgibin/print.asp
agentemuŜytkownikaiproxySIP.
WwieluimplementacjachbierzesiępoduwagęłańcuchowaniepołączeńSIPwceluochronyruchu
sygnałowegopomiędzyproxySIPwcałejorganizacji,jakrównieŜmiędzyróŜnymiorganizacjami.JeŜeli
organizacjamusiprzekazywaćstrumieniegłosumiędzylokalnymiiglobalnymiadresamiIPorazportami
RTP,odpowiednimrozwiązaniemmoŜebyćzastosowaneproxyRTP.Organizacje,którejuŜpoczyniły
pewneinwestycjewinfrastrukturęIPSec,mogąwykorzystaćjądozabezpieczaniaruchuVoIP
pomiędzyośrodkami.
WpewnychkonfiguracjachmoŜnapróbowaćpreferencyjnegoprzetwarzaniaruchuVoIPpoprzez
tworzenieasocjacjibezpieczeństwaIPSec,którenadająpriorytetruchowimultimedialnemunadruchem
danych.MoŜnateŜstosowaćfiltrowanieruchusygnałowegoistrumienimultimedialnychRCPprzez
SessionBorderController(SBC).SBCmogąstosowaćpolitykębezpieczeństwawodniesieniudo
połączeńpomiędzyprywatnymiipublicznymiagentamiuŜytkownika.PodkilkomawzględamiSBC
zachowujesiępodobniejakproxybezpiecznejpocztyelektronicznej.MoŜezmieniaćnagłówki
wiadomościwceluukryciaszczegółówoprywatnejsieci(takichjakadresy),usuwaćnieznanei
niepoŜądanepolanagłówkaSIP,atakŜezabraniaćspecyficznychpołączeń.
Takieśrodkibezpieczeństwa,wrazzproaktywnymplanemmonitorowaniabezpieczeństwaoraz
systememwykrywaniaizapobieganiawtargnięciom,nietylkopoprawiająbezpieczeństwoVoIP,ale,
poichwprowadzeniuworganizacji,takŜewznacznymstopniuzmniejszająryzykodlasiecidanych.
WieleztychśrodkówbędzienadaluŜytecznychdlaróŜnychwdroŜeń,nawetpowniesieniudo
protokołówiarchitekturyVoIProzszerzeńzwiązanychzbezpieczeństwem.
WprzedsiębiorstwachtrzebatakŜewziąćpoduwagęwdroŜenieodpowiedniegohelpdesku.Usuwanie
problemówzwiązanychzzakłóceniemusługi,podszywaniemsiępodabonentaczykradzieŜąimpulsów
musimiećodpowiedniewsparcie.Rozwiązywaniesporówiprzywracanieusługipracownikom,którzy
padliofiarątakichataków,wymagaodpowiednichzasobówiwpływanaichwydajność.
JózefMuszyński
wersjadowydruku
|
stronagłówna
|
wersjaoryginalna
|
Serwisrealizuje
wytyczneASMEorazuzupełnieniaIDG
dotyczącezasadpublikacjiwmediachelektronicznych.
KorzystaniezserwisuIDGjestjednoznacznezwyraŜeniemzgodynanastępujące
warunkiobsługi
.
©copyright
2008
IDGPolandSA
04204Warszawaul.Jordanowska12
tel.(+4822)3217800
fax(+4822)3217888
Kontakt
5z5
2008120721:24
Plik z chomika:
silvegon
Inne pliki z tego folderu:
inSSIDer portable.zip
(4531 KB)
Mark.Sportack.-.Sieci.Komputerowe.-.Ksiega.Eksperta.pdf
(30204 KB)
Sieci LAN, MAN i WAN - Protokoły komunikacyjne.pdf
(31970 KB)
Petkovic Dusan - Microsoft SQL Server 2008. A Beginners guide.pdf
(5486 KB)
Cohen Ben - VHDL. Coding Styles and Methodologies.pdf
(12392 KB)
Inne foldery tego chomika:
Pliki dostępne do 01.06.2025
Pliki dostępne do 08.07.2024
Pliki dostępne do 19.01.2025
▪Podróż na zachód
audiobook Plastusiowy pamiętnik
Zgłoś jeśli
naruszono regulamin