IP телефония

  Перехват данных может быть осуществлен как изнутри корпоративной сети, так и снаружи. Квалифицированный злоумышленник, имеющий доступ к физической среде передаче данных, может подключить свой IP-телефон к коммутатору и таким образом подслушивать чужие переговоры. Он также может изменить маршруты движения сетевого трафика и стать центральным узлом корпоративной сети через который проходит интересующий его трафик. Причем, если во внутренней сети вы можете с определенной долей вероятности обнаружить несанкционированно подключенное устройство, перехватывающее голосовые данные, то во внешней сети обнаружить ответвления практически невозможно. Поэтому любой незашифрованный трафик, выходящий за пределы корпоративной сети, должен считаться небезопасным.

Отказ в обслуживании

  Традиционная телефонная связь всегда гарантирует качество связи даже в случае высоких нагрузок, что не является аксиомой для IP-телефонии. Высокая нагрузка на сеть, в которой передаются оцифрованные голосовые данные, приводит к существенному искажению и даже пропаданию части голосовых сообщений. Поэтому одна из атак на IP-телефонию может заключаться в посылке на сервер IP-телефонии большого числа "шумовых" пакетов, которые засоряют канал передачи данных, а в случае превышения некоторого порогового значения могут даже вывести из строя часть сети IP- телефонии (т.е. атака "отказ в обслуживании"). Что характерно, для реализации такой атаки нет необходимости "изобретать велосипед" - достаточно использовать широкие известные DoS-атаки Land, Ping of Death, Smurf, UDP Flood и т.д. Одним из решений этой проблемы является резервирование полосы пропускания, которого можно достичь с помощью современных протоколов, например, RSVP. Более подробно способы защиты будут рассмотрены далее. Отказ в обслуживании - серьезная проблема для устройств IP-телефонии. Учитывая, что загруженные сервера могут приносить огромные доходы в час, успешные атаки с организацией отказа в обслуживания приводят к серьезным финансовым потерям. Одна из атак, которая появилась в конце 1990-х годов, получила название SYN-лавины, так как в ее основе лежало использование пакетов синхронизации, или SYN-пакетов, которые открывают TCP-соединение. Атакующая хост-машина генерирует тысячи отдельных сообщений, каждое из

которых пытается начать трехэтапное квитирование по протоколу TCP.  Каждое сообщение содержит другой фиктивный адрес отправителя, так что каждое как бы собирается открыть отдельное соединение. Хост-машина – жертва пытается сгенерировать соответствующий TCP-ответ и посылает его на каждый фиктивный адрес. Она держит эти полуоткрытые соединения, ожидая ответа, который никогда не придет. Одновременно атакующая машина продолжает слать новые и новые фиктивные пакеты, запрашивая все новые и новые соединения. В конечном итоге эти полуоткрытые соединения расходуют все ресурсы хоста по соединениям, и последующие запросы на установление соединений от законных клиентов будут сбрасываться. Хорошей защитой от подобных атак было улучшение способа обработки набором протоколов полуоткрытых соединений, в частности пересмотр работы в тех ситуациях, когда таких соединений очень много. Было предложено и реализовано несколько методов, и результаты оказались достаточно успешными. Одна стратегия заключалась в ведении списка полуоткрытых соединений в порядке поступления запросов и отбрасывании более старых при поступлении новых запросов. Хотя при возникновении лавины это могло приводить к отказу в установлении соединения для законных запросов, все же чаще подобный подход позволял устанавливать законные соединения даже во время массового поступления запросов.

Подмена номера

  Для связи с абонентом в обычной телефонной сети вы должны знать его номер, а в IP-телефонии - роль телефонного номера выполняет IP-адрес. Следовательно, возможна ситуация, когда злоумышленник, используя подмену адреса, сможет выдать себя за нужного вам абонента. Или он может фальсифицировать IP-адрес с целью имитации узла, которому разрешен доступ к приложениям и сервисам, выполняющим аутентификацию запросов на основе проверки адресов. С помощью фальсификации IP-адреса внешний злоумышленник пытается представиться заслуживающим доверия узлом, находящимся внутри или вне сети. Для фальсификации выбирается IP-адрес из

диапазона IP-адресов, используемых внутри сети, или  же авторизованный внешний IP-адрес, которому вы доверяете и которому разрешается доступ к определенным ресурсам сети. Фальсификация адреса обычно предполагает манипуляцию данными пакетов TCP/IP, в результате чего нарушитель получает возможность выступать от имени другого узла. Например, злоумышленник может фальсифицировать IP-адрес и представить себя в качестве легального пользователя или даже рабочей станции, чтобы получить привилегии доступа более высокого уровня. При попытке обойти механизм аутентификации, основанный на проверке адресов, он может указать для пакета произвольный адрес источника. Наибольший эффект достигается в случае, когда в качестве адреса источника внешний злоумышленник может указать адрес внутреннего узла, находящимся за маршрутизатором периметра или брандмауэром. Тогда он, используя фальсификацию IP-адреса, может обойти механизмы аутентификации, а при недостаточно квалифицированной  их реализации может разрушить и фильтры на фильтрующих маршрутизаторах.

  Именно поэтому задача обеспечения аутентификации не обойдена вниманием во всех существующих VoIP-стандартах и будет рассмотрена в третьей главе. Контрмерой против подобных атак является фильтрация пакетов, приходящих извне, а объявляющих себя пришедшими из самой сети. Соответствующие фильтры устанавливаются в маршрутизаторе периметра, но соответствующие атаки обнаруживаются системой обнаружения вторжений, например, CiscoSecure IDS.

Атаки на абонентские пункты

  Необходимо понимать, что абонентские пункты, реализованные на базе персонального компьютера, являются менее защищенными устройствами, чем специальные IP-телефоны. Этот тезис также применим и к любым другим компонентам IP-телефонии, построенным на программной основе. Это связано с тем, что на такие компоненты можно реализовать не только специфичные для IP-телефонии атаки. Сам компьютер и его составляющие (операционная система, прикладные программы, базы данных и т.д.) подвержены различным атакам, которые могут повлиять и на компоненты IP-телефонии. При этом, даже если в самом ПО не найдено уязвимостей (до поры до времени), то используемые им другие программные компоненты третьих фирм (особенно широко известные) могут снизить общую защищенность до нуля. Ведь давно известно общее правило - "защищенность всей системы равна защищенности самого слабого ее звена". Для примера можно привести Cisco CallManager, который использует для своего функционирования Windows 2000 Server, MS Internet Information Server и MS SQL Server, каждый из которых обладает своим набором недостатков с точки зрения обеспечения безопасности.

Атаки на узлы сети

  Злоумышленники могут атаковать и узлы (Gatekeeper в терминах H.323), которые хранят информацию о разговорах пользователей (имена абонентов, время, продолжительность, причина завершения звонка и т.д.). Это может быть сделано, как с целью получения конфиденциальной информации о самих разговорах, так и с целью модификации и даже удаления указанных данных. В последнем случае биллинговая система (например, у оператора связи) не сможет правильно выставлять счета своим клиентам, что может нарушить функционирование или нанести ущерб всей инфраструктуре IP-телефонии.

2. Возможности стандартов IP-телефонии с точки зрения

обеспечения безопасности

2.1. Современное видение  VoIP сети

2.1.1. Мультисервисная  сеть нового поколения

  После того как схлынула волна всеобщей эйфории, связанной с широким распространением пакетных технологий и предсказаниями скорой гибели классических телефонных операторов, большинство аналитиков телекоммуникационного рынка пришли к мнению, что наряду с сетями, основанными на пакетных технологиях, будут еще довольно долго существовать сети с коммутацией каналов, предоставляющие классические телефонные услуги. Такой вывод позволяет сделать сравнение доходов генерируемых различными видами сетей. Несмотря на быстрый рост объемов трафика передачи данных, доходы, приносимые данным видом услуг, не скоро сравняются с доходами от телефонных услуг. Более трезвому взгляду на ситуацию способствовало и постепенное выравнивание тарифов. Из-за появления большого количества молодых активных конкурентов из мира пакетных сетей, классические телефонные операторы были вынуждены сильно понизить свои тарифы на междугородную телефонную связь, в свою очередь, крупные компании, занимающиеся передачей голосовых сообщений по пакетным сетям, пришли к необходимости значительно улучшить качество предоставляемых сервисов с целью привлечения клиентов бизнес-класса, что повысило себестоимость их услуг, а, следовательно, и тарифы. Понимание того, что операторам еще долгое время предстоит работать в условиях параллельного существования сетей, основанных на различных технологиях, привело к смене революционной модели развития на эволюционную. При таком сценарии, всеобщий интерес начинают вызывать устройства, которые смогли бы обеспечить тесное взаимодействие этих технологий не только на физическом уровне, но и на уровнях формирования и предоставления услуг.

  Мультисервисная сеть следующего поколения - вот то, чем заняты во всем мире мысли специалистов в области телекоммуникации. Обычная телефонная связь, сотовая связь, огромные ресурсы сети Интернет, IP-телефония, кабельное телевидение (видео по заказу) - всё это должно быть объединено в единую архитектуру. На начальном же этапе развития мультисервисная сеть, скорее всего, будет представлять собой интеграцию сети с коммутацией каналов и сети с коммутацией пакетов. Задачу объединения интеллектуальной периферии сетей связи независимо от применяемых ими технологий решила компания Lucent Technologies, разработав комплекс аппаратных средств и программного обеспечения под названием Softswitch. С точки зрения пакетных сетей (IP и АТМ) – это устройство управления медиашлюзами (Media Gateway Controller) и одновременно контроллер сигнализаций (Signaling Controller). Для осуществления всех этих функций, устройство должно уметь работать с протоколами сигнализаций, построенными по совершенно различной архитектуре, и взаимодействовать с медиашлюзами основанными на различных технологиях. Решение поставленных задач в Softswitch осуществляется отделением функций взаимодействия со специализированными протоколами (оборудованием), от функций обработки и маршрутизации вызовов между аппаратной частью и программным ядром устройства. Все сообщения протоколов сигнализации и управления устройствами приводятся к единому виду, удобному для представления в единой программной модели обработки вызовов. Аппаратная часть Softswitch, отвечающая за взаимодействие с внешними устройствами, называется Сервер устройств (Device Server). Сервер устройств может поддерживать как взаимодействие с медиашлюзами определенного типа (коммутаторами АТМ, шлюзами IP-телефонии), так и работу со специализированными протоколами сигнализаций (ОКС №7 (MTP, ISUPR), SIP). Он может быть выполнен в виде отдельно стоящего оборудования

(сервер Sun), или в виде платы для  установки в общее шасси. Все  сервера устройств обрабатывают сигнальные сообщения и сообщения управления согласно правилам, необходимым при функционировании связанных с ними протоколов. При этом все функции установления, контроля и разрыва соединений выполняются в отдельном устройстве – Сервере вызовов (Call Server). Именно в данном устройстве происходит принятие решений о маршрутизации вызовов, разрешение адресов, отслеживается политика обработки соединений на основе информации, получаемой от устройств интеллектуальной периферии (например, SPINS). Softswitch (программный коммутатор) не является обязательным элементом при построении сети оператора IP-телефонии, но его использование в архитектуре расширяет возможности оператора по предоставлению услуг. Это объясняется тем, что различные операторы IP-телефонии, взаимодействие с которыми неизбежно, могут использовать и используют оборудование различных производителей. В принципе, процесс конвергенции сетей (процесс создания мультисервисной сети) уже идет полным ходом, и главная проблема на данный момент заключается, пожалуй, в отсутствии единой системы сигнализации. Единой системы сигнализации пока не создано, а вот устройство, позволяющее обрабатывать и преобразовывать различные протоколы сигнализации, уже есть. Это Softswitch, область применения которого демонстрирует рис.2.2.

2.1.2. Построение сети  без использования  программного коммутатора

  На рисунке 2.1 и 2.2 изображены схемы сетей на основе оборудования Cisco и VocalTec, которые изначально предназначены для предоставления услуг по предоплаченным карточкам IP-телефонии (однако не ограничиваются этими возможностями), при этом доступ пользователей к услуге осуществляется с помощью PIN-кода. Схема сети без использования программного коммутатора показана на рисунке 2.1.

  При установлении соединения между шлюзами различных зон, шлюз, принимающий звонок, обеспечивает терминацию звонка, в которую входит:

• авторизация  вызывающего шлюза, что необходимо для защиты от

несанкционированного  использования ресурсов сети

• вызов  и установка соединения с абонентом  через ТФОП. 

  Кроме этого, и вызывающий и терминирующий шлюз осуществляют преобразование речевой и факсимильной информации в вид, пригодный для передачи по IP-сетям, ограничивают время соединения, если клиент израсходовал оплаченное время, и информируют систему биллинга о продолжительности соединения.

Рассмотренные выше схемы имеют следующие недостатки:

• При  разрыве связи между шлюзом и  сервером биллинга или между шлюзом и контроллером зоны информация о соединении может теряться. Если вызывающий и терминирующий шлюзы принадлежат одной сети, то эту информацию можно восстановить. Если же для терминации используется шлюз другой сети, то при взаиморасчетах операторов возникает спорная ситуация, когда один оператор простит оплатить его услуги на основании данных своего биллинга, а другой оператор не имеет данных об этих услугах.

• Для  защиты от несанкционированного использования  своей сети операторы авторизуют шлюзы своих партнеров по IP-адресу. При изменении конфигурации сети одного оператора все его партнеры должны произвести адекватные изменения в настройках своих сетей. Это трудоемкая операция, и не всегда её удается выполнить оперативно и в короткие сроки. Этого недостатка можно было бы избежать, если бы контроллер зоны поддерживал функцию проксирования трафика (когда пакеты с данными от одного шлюза попадают сначала к контроллеру зоны, а затем они переправляются по назначению, к другому шлюзу), тогда при взаимодействии с другими операторами всегда использовался бы только один IP-адрес.