Удк 004 техническая защита сетей ipтелефонии на базе ip атс asterisk
Скачать 15.28 Kb.
|
УДК 004 ТЕХНИЧЕСКАЯ ЗАЩИТА СЕТЕЙ IP-ТЕЛЕФОНИИ НА БАЗЕ IP АТС ASTERISK М.И. Витязев, П.Ю. Филяк Рассматриваются подходы к обеспечению информационной безопасности в случае применения 1Р-телефонии Ключевые слова: IP-телефония, угрозы IP-телефонии, виртуальная сеть, технологии VPN, технологии VLAN, мониторинг, IP АТС Asterisk фиксированной полосой частот, В современном мире информация для организации — важнейший ресурс. От нее, так или иначе, зависит прибыль организации и присутствие на рынке. Одной из основных форм обмена информацией является устный обмен посредством телефонных переговоров. С помощью телефонных переговоров решается множество оперативных вопросов, однако, не всегда уделяется должное внимание защищенности данных каналов от перехвата информации. В то же время распространенной причиной атак и попыток взломов сетей телефонии осуществляется для кражи сервисов. И сети IP-телефонии подвержены этому в большей мере, чем «традиционная» телефония. Более ста лет телефонные сети были исключительно коммутируемыми. Это означало, что для каждого телефонного звонка между двумя конечными точками устанавливалось выделенное соединение с распределенной для этого канала. Создание такой сети было дорогим удовольствием, а использование ее на больших расстояниях обходилось вдвое дороже[1]. Однако, возможности, которые они могут предоставить не достаточны в век информации. Поэтому наблюдается активный переход к пакетным сетям. IP- телефония позволяет объединить множество рассредоточенных объектов организации, включая мобильных работников, в единую сеть. Позволяет достигнуть экономии затрат путем объединения функций голосовой связи Витязев Максим Иванович — ФГБОУ ВПО СГУ, студент, e-mail: max@vityazev.me Филяк Петр Юрьевич - ФГБОУ ВПО СГУ, канд. техн. наук, доцент, e-mail: parallax-l@yandex.ru и передачи данных в одну сеть, техническая поддержка которой может осуществляться централизовано, а также путем ликвидации расходов на междугороднюю и международную связь при звонках на удалённые объекты. Поэтому многие организации переходят на IP-телефонию. Но при ее использовании вопросы защищенности корпоративной телефонной сети стоят особо остро. Угрозы традиционной телефонии Под термином «традиционная телефония» понимаются телефонные сети с коммутацией каналов, в англоязычной литературе используется термин — PSTN (Public Switched Telephone Network). В PSTN передача сигналов (в том числе и настройка соединения) и сам разговор осуществляется через одну и ту же универсальную линию связи (магистраль) от системы коммутации источника к системы коммутации адресата. К угрозам таких сетей относятся: отказ в обслуживании (физический, то есть, выведение из строя оборудования); кража сервисов (при получении физического доступа к телефонному аппарату и использование чужих сервисов); получение административного доступа к АТС (с системного телефонного аппарата секретаря); прослушивание разговоров (имея физический доступ к телефонной линии); «черные ходы» (back holes) - выключение всех телефонных станций при удаленном вводе некоего набора цифр; доступ к кроссовой панели (злоумышленник может перекроссировать соединение); несовершенство стандартов сигнализации. Проблема кражи сервисов с использованием несовершенства стандартов сигнализации в телефонных сетях стала актуальна с середины 50-х годов. В 1954 корпорация "Bell Telephone System", в то время - крупнейший монополист в сфере обеспечения телефонных услуг, перешла на новый стандарт телефонной сети. Это решение обошлось компании в миллиарды долларов, но сделало управление мировыми коммуникациями более удобным и гибким. Замысел заключался в том, чтобы все операции производились посредством мультичастотных сигналов. Для каждого действия, будь то соединение с абонентом или переключение на междугороднюю связь, телефон отправлял на АТС сигнал определенной тональности. В 50-е годы для "Bell Telephone System" это была оптимальная система. В середине 70х она превратилась для компании в ночной кошмар [2]. Средства защиты традиционной телефонии: маскираторы (разбиение спектра сигнала на несколько областей, поворот некоторых из них вокруг несущих частот и перемешивание, защита не очень надежная) скремблеры (спектр сигнала, в соответствии со специальным алгоритмом, делится на частотно-временные сегменты, после чего эти части перемешиваются по криптографическому ключу, защита более серьезная); генераторы шума (генерируется «белый шум» с одного конца линии, с другого пользователь говорит что-то секретное, а шумогенератор вычитает шум из сигнала) [3]. IP-телефония предоставляет пользователю большее число новых возможностей по сравнению с традиционной телефонией. Однако эти возможности таят в себе и новые опасности. Относительная легкость реализации атак на 1Р-телефонию ставит вопросы обеспечения безопасности на первое место наряду с обеспечением качества обслуживания. К угрозам IP- телефонии можно отнести: • прослушивание разговоров в IP- телефонии сводится к простому перехвату данных (с помощью сниффера); отказ в обслуживании можно осуществить не только физическими способами, но и осуществлением IP-DoS- атаки, что технически намного проще реализовать; кража сервисов также осуществима в IP-телефонии путем, например, подмены IP- адреса телефона; получение административного доступа к диспетчеру IP-телефонии можно осуществить с помощью уязвимостей в ПО, установленном на сервере (диспетчере); атаки на абонентские узлы не применимы к традиционной телефонии, так как у аналоговых телефонов не достаточно возможностей, чтобы их можно было взломать. В то время как IP-телефоны и ПК с ПО для IP-телефонии можно сравнительно легко взломать, поскольку они подвержены уязвимостям, имеющимся в операционной системе и другом ПО, установленном на компьютерах [3 ]. В обеспечении безопасности инфраструктуры IP-телефонии можно выделить следующие направления защиты: физическая безопасность (как защита помещения от несанкционированного доступа, так и защита коммутационного оборудования); использование технологии VLAN (вынос IP-телефонии в отдельную виртуальную сеть); использование межсетевых экранов (открытие соответствующих портов и блокировка остальных); использование протоколов SRTP, TLS, либо технологии VPN для защиты голосового и сигнального трафика; применение средств мониторинга; использование средств обнаружения атак. Защита IP АТС Asterisk Одно из популярных решений для организации корпоративной IP-телефонии является свободная программная IP АТС Asterisk. Данная IP АТС обладает следующими плюсами: - свободное программное обеспечение с открытым исходным кодом (распространяется по открытой лицензии GNU GPL); гибкость в конфигурации, возможна интеграция с внешними системами обработки данных (посредством модулей на языке С, либо с помощью AGI); поддержка множества протоколов IP- телефонии; отсутствие ограничений на количество пользователей; возможность организации отказоустойчивого кластера[4]. При запуске сервера IP-телефонии часто не уделяется должного внимания настройкам безопасности, а ведь при правильной настройке конфигурационных файлов (с оглядкой на безопасность) вероятность взлома IP АТС существенно снижается. Стоит уделить особое внимание на следующие параметры конфигурации: если возможно, сменить стандартный порт, к которому подключаются клиенты (параметр bindporfy, запретить перебор по номерам, что не позволит узнать существует ли абонент с таким номером или нет (параметр alwaysaiithreject=yes)-. запретить гостевые вызовы (параметр allowguest=ndy Защита клиентских устройств Атаки на клиентские устройства является одной из угроз инфраструктуры IP- телефонии. С устройства может быть похищена аутентифицирующая информация, использована уязвимость во встроенном программном обеспечении и т.д.. В качестве клиентских устройств могут использоваться различные модели IP- телефонов, либо софтфонов. При этом важно выполнение следующих условий: наличие для работы удаленных устройств поддержки протоколов SRTP и TLS; смена стандартного (устанавливаемый производителем) пароля администратора устройства на устойчивый пароль; запрет доступа к конфигурированию устройства для всех сетей кроме локальной (или конкретного IP- адреса); наличие актуальной версии встроенного программного обеспечения устройства. Использование системы мониторинга (системы выявления аномального трафика) Все принятые меры не в полном объеме защищают от кражи сервисов. Кража сервисов (звонков за чужой счет) является наиболее распространенной причиной атак и попыткой взломов сетей IP-телефонии. Если злоумышленник получит доступ к АТС, то он сможет совершать звонки по всем доступным направлениям и организация рискует получить большой счет за услуги связи от телефонной компании. Для предотвращения угроз связанных с кражей сервисов необходимо использование системы мониторинга, с помощью которой возможно отслеживание текущих соединений, зарегистрированных пользователей, а также автоматическая блокировка пользователя, в случае выявления аномального трафика. Сформулируем необходимые требования для системы мониторинга: а) отображение статистики по зарегистрированным пользователям, количеству звонков, сетевому трафику; б) возможность задания списка доверенных IP-адресов; в) определение географического местоположения по сетевому адресу; г) наличие фильтров, на основании которых производится автоматическая блокировка пользователей. Фильтры должны иметь следующие типы условий: Смена IP-адреса. В данном условии блокировка происходит при любой смене IP-адреса пользователя, кроме диапазона доверенных IP-адресов. Смена страны IP-адреса. Данное условие срабатывает при смене IP-адреса относящегося к одной стране на IP-адрес присвоенного другой стране. Изменение географического расстояния. Данное условие срабатывает, если географическое расстояние пользователя изменилось на определенную величину за определенный промежуток времени. Географическое положение определяется по IP-адресу с помощью сервиса геолокации. Превышение числа звонков. Данное условие позволяет ограничивать количество звонков в каком-либо направлении за определенный период времени. Превышение времени звонков. В данном условии блокировка происходит пр превышении времени звонков по какому- либо направлению за определенный период времени. Данные меры позволят своевременно выявить и нейтрализовать атаки на инфраструктуру сети IP телефонии. Литература Джим Ван Меггелен, Лейф Мадсен, Джаред Смит. Asterisk: будущее телефонии. Второе издание. Спб.: Символ, 2009. 655 с. Леонтьев Б. К. Пособие по взлому и защите телефонных сетей. Мек.: Литературное агентство «Бук-Пресс», 2006. 320 с. Общие вопросы безопасности телефонных сетей. [WWW-документ] URL http://www.discom.net.ru/docs/IP-secure.doc (Дата обращения — 17.04.2014). What is Asterisk. [WWW-документ] URL http ://www.asterisk.org/get-started (Дата обращения — 21.10.2013). ФГБОУ ВПО «Сыктывкарский государственный университет» Syktyvkar State University TECHNICAL PROTECTION OF IP-TELEPHONY’S NETWORKS IN BASE OF IP PBX «ASTERISK» M.I. Vityazev, P.Yu. Filyak In this article are looked through the approaches of IP-telephony’s networks infosecurity in base of IP PBX «ASTERISK» Key words: infosecurity, IP-telephony, technologies VPN, technologies VLAN, virtualization, network services, standards, resources, architecture, monitoring, IP PBX Asterisk |