Атаки на VoIP и методы защиты

Полная версия статьи в приложении Безопасность журнала Системный Администратор

Сервисы IP-телефонии сегодня востребованы как никогда, но еще во время внедрения уже нужно думать как их защищать.

Появление VoIP и связанных технологий были хорошо приняты бизнесом. Изначально они применялись для замены традиционной связи, в частности удешевления международных звонков и упрощения связи между филиалами компаний. Они просты во внедрении, так используются ресурсы уже имеющаяся компьютерной сети, а для передачи данных – Интернет. Но со временем спектр применения IPT расширился и теперь можно легко построить систему коммуникаций с интегрированными голосовыми сервисами – обратный вызов, голосовая почта, запись разговоров, аудио- и видеоконференцсвязь и многие другие услуги. То есть можно сказать, что VoIP тесно интегрировался в бизнес процесс, делая его более эффективным и простым. Это относительно молодая но быстроразвивающаяся и перспективная технология. Изначально решались задачи малосвязанные с безопасностью — качество связи, надежность соединения и обеспечение стандартных возможностей сервиса. Но по мере роста популярности VoIP и количества пользователей, четко прослеживается тенденция к увеличению связанных угроз, поэтому к защите следует готовиться уже сейчас. И как обычно вследствие недооценки уровня риска IPT оказался, уязвим со всех сторон.
Между тем при внедрении подобного сервиса часть организаций даже не имеет конкретного плана по применению, и тем более мало кто планирует мероприятия по защите.
И хотя, забегая наперед можно отметить, что ряд прогнозов по безопасности VoIP сделанных 5 лет назад, пока на практике мало подтвердился или не достиг критической массы. Хотя вероятно не все инциденты преданы широкой огласке, поэтому их известное количество не позволяет говорить о массовости и на них обращают внимание в последнюю очередь. Но это не значит, что они не будут реализованы в ближайшем будущем или использованы при атаке на конкретную организацию. Вероятно, интерес для хакеров сейчас представляют бурноразвивающиеся социальные сети, поэтому пока их интересуют более простые по реализации и затратам атаки. Но по мере выработки противодействия, усилия могут быть перенаправлены в новую сферу, а хакеры быстро набираются опыта. К тому же постепенно накапливается комплект инструментов необходимый для подготовки и проведения ряда атак на VoIP.

DOS — угроза №1

Итак, каких же “сюрпризов” ждать от VoIP. Начнем с того, что IP-телефония подвержена классическим атакам, направленным на любое сетевое приложение — DDOS, вирусы и черви, использующие уязвимости в реализации. Все они хотя и не касаются непосредственно VoIP, но могут легко нарушить работу сервиса. Причем именно DOS стоит сегодня первой в списке самых больших угроз IPT. Многие реализации, как программные так и аппаратные, особенно первых версий, уязвимы к fuzzing (отсылка некорректных данных) и flood (отсылка большого количества пакетов) атакам. Сама специфика голосового трафика делает эту атаку весьма эффективной, ведь даже относительно небольшого воздействия достаточно, чтобы нарушить нормальную работу сервиса. При реализации атаки Call tampering хакер “вмешивается” в текущий разговор, отправляя пустые пакеты, сервер обрабатывая их затрачивает ресурс в итоге появляются задержки и беседу вести уже невозможно. Проверить потенциал сети можно при помощи инструментов вроде SIP Traffic Generator.

Кроме традиционных мероприятий по борьбе с DOS (регулировка трафика на маршрутизаторе, настройка приложения и т.п.) специалисты рекомендуют выделять для VoIP отдельные сети (как реальные, так и виртуальные). Это даст дополнительный уровень безопасности, так как можно скрыть головой трафик от пользователей сети передачи данных и установить приоритет для VoIP, оптимально подобрав параметры QoS.
Также некоторую защиту можно организовать на уровне архитектуры сети, используя пограничные контроллеры сессий (SBC, session border controllers). Являясь единой точкой входа и анализируя пакеты в реальном времени, они способны не только предотвращать DDOS-атаки, распространение спама и вирусных эпидемий. Плюс некоторые реализации умеют шифровать трафик. Для смягчения атак на голосовой сервис можно использовать любой инструмент для защиты от DOS, например утилита fail2ban в связке с iptables, способен остановить атакующего в том числе и пытающегося подобрать пароль к общедоступному сервису. Плюс мониторинг сетевой активности.
Не исключена, возможность использования программных ошибок для проникновения в систему и выполнения определенных действий – DOS, запись или прослушивание разговоров, звонки на платные сервисы, рассылка аудиоспама. Так, например Asterisk первых версий имел множественные уязвимости, позволявшие удаленному пользователю провести DOS атаку или выполнить произвольный код в системе. Причем был реализован готовый эксплоит, что давало возможность реализовать такую атаку практически любому желающему. В интернет-телефонах компании Cisco также была найдена уязвимость (во встроенном веб-сервере используемом для удаленного), позволяющая производить в конфигурации по умолчанию удаленную прослушку разговоров. Убытки, понесенные клиентами уже исчисляются сотнями тысяч долларов. Несколько весьма серьезных ошибок нашли и периодически находят в Skype. И так практически в каждом приложении или железном устройстве. Поэтому использование подобного ПО, должно жестко контролироваться, а установленные программы обновляться и правильно настраиваться. Все неиспользуемые в настоящее время функции должны быть обязательно отключены, пароли по умолчанию меняться.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)