Главная страница
Навигация по странице:

  • Угрозы традиционной телефонии

  • К угрозам таких сетей относятся

  • Средства защиты традиционной телефонии

  • В обеспечении безопасности инфраструктуры IP-телефонии можно выделить следующие направления защиты

  • Защита IP АТС Asterisk

  • Защита клиентских устройств

  • Использование системы мониторинга (системы выявления аномального трафика)

  • TECHNICAL PROTECTION OF IP-TELEPHONY’S NETWORKS IN BASE OF IP

  • Удк 004 техническая защита сетей ipтелефонии на базе ip атс asterisk


    Скачать 15.28 Kb.
    НазваниеУдк 004 техническая защита сетей ipтелефонии на базе ip атс asterisk
    Дата09.06.2021
    Размер15.28 Kb.
    Формат файлаdocx
    Имя файлаelibrary_22540511_72285287.docx
    ТипДокументы
    #215965

    УДК 004

    ТЕХНИЧЕСКАЯ ЗАЩИТА СЕТЕЙ IP-ТЕЛЕФОНИИ НА БАЗЕ IP АТС ASTERISK

    М.И. Витязев, П.Ю. Филяк

    Рассматриваются подходы к обеспечению информационной безопасности в случае применения 1Р-телефонии

    Ключевые слова: IP-телефония, угрозы IP-телефонии, виртуальная сеть, технологии VPN, технологии VLAN, мониторинг, IP АТС Asterisk





    фиксированной

    полосой

    частот,



    В современном мире информация для организации — важнейший ресурс. От нее, так или иначе, зависит прибыль организации и присутствие на рынке. Одной из основных форм обмена информацией является устный обмен посредством телефонных переговоров. С помощью телефонных переговоров решается множество оперативных вопросов, однако, не всегда уделяется должное внимание защищенности данных каналов от перехвата информации.

    В то же время распространенной причиной атак и попыток взломов сетей телефонии осуществляется для кражи сервисов. И сети IP-телефонии подвержены этому в большей мере, чем «традиционная» телефония.

    Более ста лет телефонные сети были исключительно коммутируемыми. Это означало, что для каждого телефонного звонка между двумя конечными точками устанавливалось выделенное соединение с распределенной для этого канала. Создание такой сети было дорогим удовольствием, а использование ее на больших расстояниях обходилось вдвое дороже[1]. Однако, возможности, которые они могут предоставить не достаточны в век информации. Поэтому наблюдается активный переход к пакетным сетям. IP- телефония позволяет объединить множество рассредоточенных объектов организации, включая мобильных работников, в единую сеть. Позволяет достигнуть экономии затрат путем объединения функций голосовой связи

    Витязев Максим Иванович — ФГБОУ ВПО СГУ, студент, e-mail: max@vityazev.me

    Филяк Петр Юрьевич - ФГБОУ ВПО СГУ, канд. техн.

    наук, доцент, e-mail: parallax-l@yandex.ru

    и передачи данных в одну сеть, техническая поддержка которой может осуществляться централизовано, а также путем ликвидации расходов на междугороднюю и

    международную связь при звонках на удалённые объекты. Поэтому многие организации переходят на IP-телефонию. Но при ее использовании вопросы защищенности корпоративной телефонной сети стоят особо остро.

    Угрозы традиционной телефонии

    Под термином «традиционная телефония» понимаются телефонные сети с коммутацией каналов, в англоязычной литературе используется термин — PSTN (Public Switched Telephone Network).

    В PSTN передача сигналов (в том числе и настройка соединения) и сам разговор осуществляется через одну и ту же универсальную линию связи (магистраль) от системы коммутации источника к системы коммутации адресата.

    К угрозам таких сетей относятся:

    1. отказ в обслуживании (физический, то есть, выведение из строя оборудования);

    2. кража сервисов (при получении физического доступа к телефонному аппарату и использование чужих сервисов);

    3. получение административного доступа к АТС (с системного телефонного аппарата секретаря);

    4. прослушивание разговоров (имея физический доступ к телефонной линии);

    5. «черные ходы» (back holes) - выключение всех телефонных станций при удаленном вводе некоего набора цифр;

    6. доступ к кроссовой панели (злоумышленник может перекроссировать соединение);

    7. несовершенство стандартов

    сигнализации.

    Проблема кражи сервисов с использованием несовершенства стандартов сигнализации в телефонных сетях стала актуальна с середины 50-х годов.

    В 1954 корпорация "Bell Telephone System", в то время - крупнейший монополист в сфере обеспечения телефонных услуг, перешла на новый стандарт телефонной сети. Это решение обошлось компании в миллиарды долларов, но сделало управление мировыми коммуникациями более удобным и гибким. Замысел заключался в том, чтобы все операции производились посредством мультичастотных сигналов. Для каждого действия, будь то соединение с абонентом или переключение на междугороднюю связь, телефон отправлял на АТС сигнал определенной тональности. В 50-е годы для "Bell Telephone System" это была оптимальная система. В середине 70х она превратилась для компании в ночной кошмар [2].

    Средства защиты традиционной телефонии:

    1. маскираторы (разбиение спектра сигнала на несколько областей, поворот некоторых из них вокруг несущих частот и перемешивание, защита не очень надежная)

    2. скремблеры (спектр сигнала, в соответствии со специальным алгоритмом, делится на частотно-временные сегменты, после чего эти части перемешиваются по криптографическому ключу, защита более серьезная);

    3. генераторы шума (генерируется «белый шум» с одного конца линии, с другого пользователь говорит что-то секретное, а шумогенератор вычитает шум из сигнала) [3].

    IP-телефония предоставляет

    пользователю большее число новых возможностей по сравнению с традиционной телефонией. Однако эти возможности таят в себе и новые опасности. Относительная легкость реализации атак на 1Р-телефонию ставит вопросы обеспечения безопасности на первое место наряду с обеспечением качества обслуживания. К угрозам IP- телефонии можно отнести:

    • прослушивание разговоров в IP- телефонии сводится к простому перехвату данных (с помощью сниффера);

    • отказ в обслуживании можно осуществить не только физическими способами, но и осуществлением IP-DoS- атаки, что технически намного проще реализовать;

    • кража сервисов также осуществима в IP-телефонии путем, например, подмены IP- адреса телефона;

    • получение административного доступа к диспетчеру IP-телефонии можно осуществить с помощью уязвимостей в ПО, установленном на сервере (диспетчере);

    • атаки на абонентские узлы не применимы к традиционной телефонии, так как у аналоговых телефонов не достаточно возможностей, чтобы их можно было взломать. В то время как IP-телефоны и ПК с ПО для IP-телефонии можно сравнительно легко взломать, поскольку они подвержены уязвимостям, имеющимся в операционной системе и другом ПО, установленном на компьютерах [3 ].

    В обеспечении безопасности инфраструктуры IP-телефонии можно выделить следующие направления защиты:

    • физическая безопасность (как защита помещения от несанкционированного доступа, так и защита коммутационного оборудования);

    • использование технологии VLAN (вынос IP-телефонии в отдельную виртуальную сеть);

    • использование межсетевых экранов (открытие соответствующих портов и блокировка остальных);

    • использование протоколов SRTP, TLS, либо технологии VPN для защиты голосового и сигнального трафика;

    • применение средств мониторинга;

    • использование средств обнаружения атак.

    Защита IP АТС Asterisk

    Одно из популярных решений для организации корпоративной IP-телефонии является свободная программная IP АТС Asterisk. Данная IP АТС обладает следующими плюсами:

    - свободное программное обеспечение

    с открытым исходным кодом (распространяется по открытой лицензии GNU GPL);

    • гибкость в конфигурации, возможна интеграция с внешними системами обработки данных (посредством модулей на языке С, либо с помощью AGI);

    • поддержка множества протоколов IP- телефонии;

    • отсутствие ограничений на количество пользователей;

    • возможность организации

    отказоустойчивого кластера[4].

    При запуске сервера IP-телефонии часто не уделяется должного внимания

    настройкам безопасности, а ведь при правильной настройке конфигурационных файлов (с оглядкой на безопасность) вероятность взлома IP АТС существенно снижается.

    Стоит уделить особое внимание на следующие параметры конфигурации:

    • если возможно, сменить стандартный порт, к которому подключаются клиенты (параметр bindporfy,

    • запретить перебор по номерам, что не позволит узнать существует ли абонент с таким номером или нет (параметр alwaysaiithreject=yes)-.

    • запретить гостевые вызовы (параметр allowguest=ndy

    Защита клиентских устройств

    Атаки на клиентские устройства является одной из угроз инфраструктуры IP- телефонии. С устройства может быть похищена аутентифицирующая информация, использована уязвимость во встроенном программном обеспечении и т.д..

    В качестве клиентских устройств могут использоваться различные модели IP- телефонов, либо софтфонов. При этом важно выполнение следующих условий:

    1. наличие для работы удаленных устройств поддержки протоколов SRTP и TLS;

    2. смена стандартного

    (устанавливаемый производителем) пароля администратора устройства на устойчивый пароль;

    1. запрет доступа к конфигурированию устройства для всех сетей кроме локальной (или конкретного IP- адреса);

    2. наличие актуальной версии встроенного программного обеспечения устройства.

    Использование системы мониторинга (системы выявления аномального трафика)

    Все принятые меры не в полном объеме защищают от кражи сервисов. Кража сервисов (звонков за чужой счет) является наиболее распространенной причиной атак и попыткой взломов сетей IP-телефонии. Если злоумышленник получит доступ к АТС, то он сможет совершать звонки по всем доступным направлениям и организация рискует получить большой счет за услуги связи от телефонной компании.

    Для предотвращения угроз связанных с кражей сервисов необходимо использование системы мониторинга, с помощью которой возможно отслеживание текущих соединений, зарегистрированных

    пользователей, а также автоматическая блокировка пользователя, в случае выявления аномального трафика.

    Сформулируем необходимые требования для системы мониторинга:

    а) отображение статистики по

    зарегистрированным пользователям,

    количеству звонков, сетевому трафику;

    б) возможность задания списка доверенных IP-адресов;

    в) определение географического местоположения по сетевому адресу;

    г) наличие фильтров, на основании которых производится автоматическая блокировка пользователей.

    Фильтры должны иметь следующие типы условий:

    • Смена IP-адреса. В данном условии блокировка происходит при любой смене IP-адреса пользователя, кроме диапазона доверенных IP-адресов.

    • Смена страны IP-адреса. Данное условие срабатывает при смене IP-адреса относящегося к одной стране на IP-адрес присвоенного другой стране.

    • Изменение географического расстояния. Данное условие срабатывает,

    если географическое расстояние пользователя изменилось на определенную величину за определенный промежуток времени. Географическое положение определяется по IP-адресу с помощью сервиса геолокации.

    • Превышение числа звонков. Данное условие позволяет ограничивать количество звонков в каком-либо направлении за определенный период времени.

    • Превышение времени звонков. В данном условии блокировка происходит пр превышении времени звонков по какому- либо направлению за определенный период времени.

    Данные меры позволят своевременно выявить и нейтрализовать атаки на инфраструктуру сети IP телефонии.

    Литература

    1. Джим Ван Меггелен, Лейф Мадсен, Джаред Смит. Asterisk: будущее телефонии. Второе издание. Спб.: Символ, 2009. 655 с.

    2. Леонтьев Б. К. Пособие по взлому и защите телефонных сетей. Мек.: Литературное агентство «Бук-Пресс», 2006. 320 с.

    3. Общие вопросы безопасности телефонных сетей. [WWW-документ] URL http://www.discom.net.ru/docs/IP-secure.doc (Дата обращения — 17.04.2014).

    4. What is Asterisk. [WWW-документ] URL http ://www.asterisk.org/get-started (Дата обращения — 21.10.2013).


    ФГБОУ ВПО «Сыктывкарский государственный университет»

    Syktyvkar State University

    TECHNICAL PROTECTION OF IP-TELEPHONY’S NETWORKS IN BASE OF IP

    PBX «ASTERISK»

    M.I. Vityazev, P.Yu. Filyak

    In this article are looked through the approaches of IP-telephony’s networks infosecurity in base of IP PBX «ASTERISK»

    Key words: infosecurity, IP-telephony, technologies VPN, technologies VLAN, virtualization, network services, standards, resources, architecture, monitoring, IP PBX Asterisk


    написать администратору сайта