IP-телефония со стопроцентной защитой

Наступило время всеобщего признания протокола VoIP. По оценке Dell? Oro Group, в 2005 году объем продаж оборудования IP-УАТС перешагнул отметку 1 млрд долл., впервые обогнав поставки традиционных АТС с мультиплексированием каналов по времени (TDM-УАТС).

Аналитики сходятся во мнении, что доля рынка, которую занимает голосовое оборудование на базе IP, к 2009 году превысит 90%. Однако прежде, чем разворачивать VoIP, предприятиям необходимо задуматься о соответствующих рисках и мерах, которые нужно предпринять для защиты корпоративных сетей.

Безопасность важна всегда, а особенно — если речь идет о замене старой, но большой и надежной телекоммуникационной сети, охватывающей всю планету. И хотя любая отдельно взятая мера не гарантирует защиты от атак против VoIP-сети, многоуровневый подход к обеспечению безопасности приводит к существенному снижению эффективности таких атак.

проблемы защиты

Против пользователей корпоративной телефонной сети и сервис-провайдеров предпринимаются многие из имитационных атак, которые организуют «фрикеры» (хакеры мира телефонных сетей) в традиционных сетях связи. Целями злонамеренных действий являются кража идентификационной информации и мошенничество.

Значительное количество атак направлено на точки подключения к сети VoIP, в том числе операционные системы, протоколы Internet, управляющие и прикладные интерфейсы телефонных аппаратов и компьютеров со специальным ПО. Эти объекты уязвимы при попытках несанкционированного доступа, «нападениях» вирусов, сетевых червей и атаках типа «отказ в обслуживании», в которых используются бреши протоколов Internet и VoIP.

Сегодня в мире VoIP получили распространение протоколы Session Initiation Protocol (SIP) и Real-time Transport Protocol (RTP), разработанные IETF, соответственно, для передачи служебной информации о телефонных вызовах и доставки голосовых пакетов. Эти технологии, а также дополняющие протоколы SDP и RTCP, предназначенные для описания сеанса и управления RTP, не обеспечивают надежной аутентификации участников сеанса связи. Они не поддерживают защиту целостности сеанса на всем его протяжении и достаточный уровень конфиденциальности как управляющих команд, так и голосовой информации (медиа-потоков, содержащих сжатую закодированную речь). Пока адекватные меры защиты не будут разработаны и внедрены, у злоумышленников останется множество способов нападений.

В протоколах SIP и RTP пакеты с управляющими данными и голосовым трафиком не шифруются. В результате информация, служащая для получения доступа к услугам, идентификаторы пользователей и их телефонные номера (точнее, SIP Uniform Resource Identifiers) могут быть определены при помощи снифферов — инструментов перехвата и анализа трафика. Атакующий способен задействовать перехваченные данные учетных записей для имитации реальных пользователей при контактах с клиентской службой оператора или работе на портале самообслуживания. Ему не составит труда получить доступ к голосовой почте легального абонента или изменить номер для переадресации звонков. Атаки с подменой идентификатора часто применяются для осуществления мошеннических звонков, но злоумышленники могут и перехватывать телефонные переговоры для получения важной деловой или личной информации.

Массовая посылка в точки VoIP-коммутации служебных SIP-сообщений (например, команд Invite, Register, Bye или RTP-пакетов) приводит к снижению качества сервиса. Звонки преждевременно прерываются, а некоторые модели оборудования вообще не способны корректно обрабатывать вызовы. VoIP-оборудование может подвергнуться DoS-атакам, направленным против таких Internet-протоколов, как TCP SYN. К этим атакам относятся известные методы нападений «смертельный ping» и недавно появившаяся распределенная DoS-атака на DNS.

Системы IP-телефонии можно вывести из строя с помощью атак, специфичных для конкретных сред передачи данных, например путем «широковещательного шторма» в сетях Ethernet. Операционные системы и стеки TCP/IP, используемые в VoIP-оборудовании, чувствительны к атакам, которые ориентированы на конкретные реализации протоколов или используют программные недочеты. Такие бреши грозят выходом системы из строя или получением злоумышленником полного удаленного контроля над ней.

Программные VoIP-телефоны создают дополнительную головную боль специалистам по безопасности. Такие приложения запускаются на пользовательских системах (ПК и КПК), поэтому уязвимы перед атаками, нацеленными на приложения, которые работают с голосом и данными. Корпоративные ИТ-администраторы должны осознавать, что злоумышленник может попытаться обойти обычную защиту ПК и проникнуть в систему через приложение VoIP-телефонии.

Зачастую шпионское ПО и инструменты удаленного администрирования попадают на ПК вместе со спамом. Передаваемый через сети Internet-телефонии спам может представлять собой нежелательные рекламные звонки или инициировать неприятные события. А программное обеспечение, загружаемое в телефонные приложения, порой содержит скрытый вредоносный код.

Даже это (далеко не полное) описание проблем должно привлечь внимание ИТ-руководителей к оценке рисков при внедрении VoIP-технологий. Им необходимо разработать адекватную политику защиты. Потребуется также план ее реализации при помощи технологий обеспечения ИБ, направленных на снижение возможных рисков.

Оценка риска

Передача голоса является неиссякаемым источником доходов для традиционных операторов связи, активно развивающимся рынком для поставщиков VoIP-решений и критически важным приложением для бизнеса. Максимальный риск, который должны учитывать как публичные, так и частные корпоративные VoIP-операторы, состоит в недоступности услуг связи. Пользователи вправе ожидать от VoIP не меньшего уровня доступности, чем они привыкли получать от операторов телефонных сетей общего пользования. При развертывании VoIP-приложений любой оператор должен осуществить мероприятия по снижению вредоносного влияния DoS-атак.

Серьезными источниками риска являются кража идентификационной информации и телефонное мошенничество. При внедрении VoIP проблемы защиты, характерные для публичных провайдеров, сложнее тех, которые возникают при развертывании ТфОП. Они связаны с необходимостью проверки идентификационной информации пользователей и самих точек подключения, а объясняются отсутствием механизма проверки IP-адресов конечного оборудования в точках доступа к Internet.

У VoIP-операторов пока нет единых методов сертификации и проверки корректности SIP-идентификаторов, и они должны осторожно подходить к построению доверительных отношений с другими поставщиками услуг. Нужно убедиться, что те используют эквивалентные методы идентификации и проверки конечных точек. Эти методы можно прописать на уровне соглашений при внедрении VoIP-технологий в большой корпорации или одновременно в нескольких организациях.

Атаки так называемых инсайдеров (сотрудников компаний) предпринимаются чаще, чем нападения со стороны. Администраторы корпоративной VoIP-сети должны учитывать угрозу подмены пользователя даже при работе в изолированной системе. Им необходимо предусмотреть методы обнаружения и блокировки подобных атак, использовать инструменты ведения учетных записей и аудита, которые помогают выявлять злоупотребления сотрудников.

Открытые сети в большей степени подвержены политически мотивированным атакам и террористическим действиям. А вот частные компании скорее рискуют пострадать от промышленного шпионажа и атак, нацеленных на перехват информации. Корпоративные заказчики должны позаботиться о системе технической и консультационной поддержки. Отключение связи, подмена личности подписчика и телефонное мошенничество являются серьезными проблемами. Разрешение споров и восстановление связи для сотрудников, ставших жертвами таких атак, отнимает силы и отражается на продуктивности работы предприятия. А отрицательная реакция клиентов, пользователей, менеджеров и акционеров на случаи нарушения информационной безопасности может привести к последствиям, которые скажутся на развитии сетей VoIP.

Встречные меры

Сервисы VoIP как разновидность IP-приложений формируют еще один поток данных — передаваемый в режиме реального времени по протоколу IP. Многие из систем, используемых для защиты текстовых приложений (от telnet до Web и электронной почты), могут задействоваться и для повышения уровня безопасности голосовых служб. Основная масса приложений VoIP работает под управлением коммерческих серверных ОС. Усиление защиты серверов и использование штатных средств обнаружения вторжений, без сомнения, повышает безопасность сети VoIP. Можно порекомендовать такие способы защиты серверов:

• автоматическая установка самых свежих заплаток для ОС и VoIP-приложений;
• запуск только тех приложений, которые требуются для работы VoIP-сервисов;
• использование «сильных» методов аутентификации пользователей и администраторов;
• активация только тех пользовательских записей, которые необходимы для управления системой;
• следование строгой политике авторизации для предотвращения несанкционированного доступа к VoIP-сервисам и учетным данным;
• проведение аудита сеансов работы (как пользователей, так и администраторов), а также действий, связанных с функционированием сервисов;
• установка и поддержка на сервере межсетевого экрана и средств борьбы с нежелательным программным обеспечением.

Нельзя предавать гласности настройки VoIP-приложений. А, к примеру, перечень кодов стран, в которые разрешены звонки, позволяет пресечь часть нелегально переадресованных звонков. С его помощью можно бороться и с нарушениями на основе методов социальной инженерии, которые приводят к реализации мошеннических вызовов и несанкционированных подключений.

После выполнения общих настроек безопасности серверов и VoIP-приложений следует создать глубоко эшелонированную оборону, добавив дополнительные уровни защиты серверов. Изолируйте VoIP-серверы и сопутствующую инфраструктуру (например, сервисы DNS и LDAP) от клиентских машин (телефонов, ПК и ноутбуков) при помощи отдельных физических или виртуальных локальных сетей (VLAN). При настройке межсетевых экранов ограничьте трафик, который может проходить через границу VLAN-сети, на основе исключительно необходимого набора протоколов. Такое разделение сетевой среды особенно эффективно для борьбы с вредоносным ПО, поступающим от зараженных клиентов к серверам VoIP в гомогенной сети (скажем, состоящей из Windows-машин).

Сегментирование является мощным инструментом обеспечения информационной безопасности. Те же методы разделения ресурсов, которые служат для усиления защиты, могут применяться для поддержки QoS. Например, размещение SIP-телефонов в отдельном VLAN-сегменте позволяет ограничить голосовой трафик обслуживанием только разрешенных устройств. Кроме того, VoIP-трафику обеспечивается более высокий приоритет при прохождении IP-пакетов от границы сети к ее ядру.

Отделяйте голосовые пользовательские терминалы (аппаратные телефоны) от ПК и ноутбуков, использующих сетевые приложения для работы с данными. Это необходимо, чтобы предотвратить распространение на голосовые системы атак, нацеленных на сегмент сети передачи данных. Низкая производительность работы МЭ может стать проблемой при использовании сегментирования и разделения сетевых ресурсов на основе политик. Тщательно планируйте маршруты, чтобы избежать задержек при передаче голосовых потоков.

Обеспечение защиты конечных точек добавляет внешний периметр контроля в конвергентные системы. Стандарт IEEE 802.1X описывает управление доступом к сети на уровне портов и соответствующие техники сетевого доступа. Он служит для дополнительного управления авторизацией; использование устройств в локальной или глобальной сети блокируется до тех пор, пока не будут выполнены определенные проверки.

Администраторы могут блокировать клиентские устройства, зараженные вредоносным ПО или не удовлетворяющие другим критериям проверки (таким как наличие последних программных заплаток, корректность настроек межсетевых экранов и т.п.). У них должна быть возможность перенаправлять эти устройства в изолированный сегмент локальной сети (в котором обеспечивается лишь ограниченный набор сервисов) либо в локальную сеть (где пользователи программных телефонов получают свежие заплатки или обновления антивирусных сигнатур). Во многих случаях эти меры защиты реализуются до этапа аутентификации пользователя, что предотвращает перехват идентификационной информации (последовательностей нажатий клавиш) шпионским ПО.

Традиционные межсетевые экраны ориентированы на разрешение или запрет прохождения трафика в зависимости от служебной информации, содержащейся в заголовках IP-пакетов TCP и UDP. Экраны фильтруют трафик по критерию разрешенных IP-адресов, типов протоколов и номеров используемых портов. Однако в приложениях VoIP исользуется широкий диапазон портов UDP, которые динамически выделяются медиапотокам. В таких условиях многие МЭ не могут работать корректно — они вынуждены оставлять широкий спектр номеров портов постоянно открытыми. Кроме того, некоторые экраны не поддерживают технологии QoS, предназначенные для управления задержками и неравномерностью потока данных (джиттером), поэтому качество звонков в пакетной сети снижается.

ИТ-администраторам нужно устанавливать межсетевые экраны, поддерживающие SIP. Они способны распознавать некорректные IP-пакеты и предпринимать против них определенные действия. Кроме того, эти МЭ могут обрабатывать медиапотоки RTP без существенного увеличения задержек. Не стоит забывать и о применении шлюзов прикладного уровня (прокси-серверов).

Использование туннелей SSL становится распространенным способом совершенствования схем аутентификации, повышения уровня конфиденциальности и целостности управляющих сообщений, которыми обмениваются пользовательские агенты и SIP-шлюзы. Многие организации применяют SSL-протокол для защиты управляющего трафика, проходящего между SIP-шлюзами. В свою очередь, RTP-шлюзы могут оказаться полезными, если обмен медийными потоками происходит между IP-адресами глобальной и локальной сетей.

В качестве альтернативы для защиты голосового трафика, проходящего между серверами, предлагается использовать алгоритмы IPSec. В некоторых случаях можно попытаться обрабатывать трафик VoIP в приоритетном режиме — за счет создания IPSec-соединений, которые повышают приоритет голосового трафика по сравнению с приоритетом потоков данных. В некоторых организациях требуется фильтрация управляющего трафика и медийных потоков при помощи граничного контроллера сессий (Session Border Controller, SBC). Такие устройства работают как пользовательские агенты, проверяющие соблюдение политики безопасности по отношению к звонкам между внешними и внутренними пользовательскими агентами.

В некотором смысле работа SBC похожа на функционирование защищенного шлюза электронной почты. Он может изменить заголовки сообщения (чтобы скрыть подробности структуры внутренней сети), удалить неизвестные или нежелательные поля SIP-заголовков, проверить номера вызываемых абонентов. Поскольку голосовой трафик передается через SBC, он может служить еще одной точкой контроля над выполнением политики безопасности RTP.

Дэвид Пискителло (dave@corecom.com) — президент компании Core Competence и соавтор книги Understanding Voice over IP Security