• Главная
  • Карта сайта
Не найдено

Безпека VoIP

  1. [Вступ] У цій статті ви знайдете опис основних атак VoIP і дві ідеї щодо забезпечення безпеки VoIP...
  2. [Мережеві елементи SIP]
  3. [Атака на VoIP мережу]
  4. Атаки «UPDATE» і «Re-INVITE»
  5. Заходи протидії::
  6. [Атаки парсером]
  7. Заходи протидії:
  8. [Атаки блокуванням DNS] (отримати хост по імені блоку 5 секунд).
  9. Заходи протидії::
  10. [Загальний доступ до мереж VoIP]
  11. Підказки по конфігурації Asterisk для підвищення безпеки.

[Вступ]

У цій статті ви знайдете опис основних атак VoIP і дві ідеї щодо забезпечення безпеки VoIP мереж. Перше речення полягає в наборі мережі з інфраструктурою оператора VoIP. Друга пропозиція є напрямком до компанії АТС, що працює на основі asterisk, яка є загальнодоступним комутаційним сервером з обмеженим доступом.
У VoIP використовується безліч протоколів. У цій статті ми зупинимося на найпопулярнішому протоколі, SIP. SIP є абревіатурою Протоколу Встановлення Сеансу (IETF RFC 3261), який представляє собою широко використовуваний стандарт в VoIP комунікаціях для настройки та управління (переадресації, утримання, скасування і т.д.) телефонними дзвінками.

[Основні концепції SIP]

SIP являє собою протокол на основі тексту з синтаксисом аналогічним протоколу HTTP. Існують два різних типи SIP повідомлень: запити і відповіді. Перший рядок запиту містить метод, який визначає природу запиту, і ідентифікатор ресурсу в запиті, який вказує на те, куди повинен бути направлений запит. Загалом, повідомлення SIP виглядає наступним чином:

[Мережеві елементи SIP]

- Проксі-сервер є посередницькою сутністю, яка діє як сервер і як клієнт з метою створення запитів від імені інших клієнтів.
- Призначений для користувача агент SIP є кінцевий точкою логічної мережі, яка використовується для створення або отримання SIP повідомлень і, внаслідок цього, для управління SIP- сеансом.
- Реєстратор є сервером, який приймає заявки на реєстрацію і поміщає інформацію, яку він отримує в цих запитах, в сервіс локалізації домену, який він обробляє.
- переадресує сервер є сервером для користувача агента, який генерує 3xx відповіді на запити, отримані ним, направляючи клієнта в контакт з альтернативним набором універсальних ідентифікаторів ресурсу. Переадресує сервер дозволяє проксі-серверів SIP направляти запити SIP- сеансів на зовнішні домени.

[Атака на VoIP мережу]

Атаки потоком повідомлень.

Ці види атак засновані на шкідливих повідомленнях, що впливають на час обробки повідомлення, вони також можуть змінити параметри сесії. Ці атаки можуть також включати повінь фальшивими повідомленнями.

Нижче представлені інші відомі типи атак:

Це можна здійснити або шляхом прослуховування мережі, або виконанням атаки «людина посередині», щоб вставити запит "BYE" в сеанс для того, щоб ознайомитися з актуальними параметрами сеансу.

Зловмисник може використовувати метод CANCEL для скасування запиту INVITE згенерованого законним користувачем. Проте, обробка вхідного повідомлення CANCEL від іншого адміністративного SIP домену досі залишається відкритим і невирішеним питанням. Моніторинг INVITE повідомлень, які ще не згенерували остаточну відповідь, можливо, можуть допомогти в ідентифікації будь-якого несанкціонованого CANCEL запиту.

Повідомлення Refer використовуються для передачі і перенаправлення дзвінків. Ця схема дозволяє реферала виступати в якості подслушівателя, і дозволяє йому запустити атаку «людина посередині».

  • Атаки «UPDATE» і «Re-INVITE»

Єдина різниця між атаками UPDATE і Re-INVITE полягає в тому, що атака "Re-INVITE" може бути використана тільки після того,
як сеанс був встановлений. UPDATE використовується для зміни параметрів сеансу перед остаточною відповіддю на початкове запрошення. Як і в «Re-INVITE» атаці, зловмисник може послати підроблене повідомлення UPDATE, щоб змінити початкові параметри сеансу, щоб викликати відмову від обслуговування, який змінює такі параметри, як QoS або початкові адреси і порт.
Проте, бувають випадки, (деякі дуже відомі шкідливі повідомлення), які неможливо ідентифікувати за допомогою цих загальних структурованих правил. У разі цих винятків необхідно сформувати спеціальні правила для кожного окремого SIP-методу. Наприклад, INVITE запити, які не мають конкретного заголовка (наприклад, Content-Type, Call-ID) повинні характеризуватися як недійсні.

Заходи протидії::

Процедури перевірки введених значень повинні розглядатися як вкрай необхідні для безпеки VoIP послуг. Відсутність перевірки даних SIP повідомлень відповідально за вади в безпеці, викликані перекрученими повідомленнями. Також вивчалося застосування шлюзів для фільтрації шкідливих вхідних значень на рівні інтернет-додатків. Сучасні технології системи мережевого захисту включають в себе аналіз пакетів для перевірки правильності вхідних даних, а також використання основних механізмів безпеки (наприклад, TLS, IPsec, S / MIME).

Іншою можливою мірою протидії, яка може стримувати цю атаку, є аутентифікація повідомлень OPTIONS.

[Атаки парсером]

Для інтерпретації SIP повідомлень необхідний ефективний аналізатор, який аналізує тільки повідомлення до необхідного рівня. Зловмисник може створити дуже довгі повідомлення з множинними полями заголовка (інформативні поля заголовка, наприклад Supported) збільшеної довжини, плюс текст повідомлення великого розміру.

SIP повідомлення можуть включати тексти, навіть незважаючи на те, що вони не потрібні в кожному повідомленні. Довші повідомлення також збільшують навантаження на використання ресурсів процесора. Якщо множинні заголовки повідомлень з одного і того ж поля включені в повідомлення, тоді ці заголовки розкидані по всьому повідомленням, що ускладнює інтерпретацію. Поля заголовка Vital є полями специфічними маршрутизації, такими як To, Via, Route і т.д. Як наслідок, повідомлення, в яких ці поля додані ближче до кінця повідомлення, важче інтерпретувати. Одним із способів подолання цієї проблеми є включення множинних інформативних полів заголовків перед полями маршрутизації, такими як Allow або Supported.

Навіть якщо високо оптимізований парсер зможе впоратися з такими атаками, необхідні вимоги до обчислювальної потужності будуть відсутні для виконання інших завдань, пов'язаних з SIP.

Алгоритм SIP парсер атаки:

  1. бнаружівает SIP можливості цільового об'єкта. Повідомлення REGISTER і OPTIONS відповіді можуть надати інформацію про можливості будь-якого користувача агента SIP. Ця конфіденційна інформація входить в заголовок Contact в повідомленні REGISTER і заголовок Allow у відповідь на запит OPTIONS. У кожному разі ці повідомлення можуть бути використані зловмисником двома різними способами, які спрямовані на виявлення можливостей для користувача агента.
  2. Створює спотворене повідомлення. SIP підсистеми були розроблені і створені для обробки повідомлень, які дійсні і відповідають синтаксису протоколу SIP.
  3. Перевіряє отримане «хибне» повідомлення щодо цільового об'єкта SIP. Основним «перевагою» такого підходу є те, що атаку неможливо легко ідентифікувати на її початкових етапах, так як захисні механізми зазвичай не в змозі своєчасно її виявити ..

Заходи протидії:

SIP аналізатор повинен бути надійним, що дозволить реалізувати правило фільтрації, яке виявить шаблон потенційних шкідливих пакетів. Також можна використовувати мережеве пристрій, який буде забезпечувати дотримання політики передачі інформації. Застосування цих заходів протидії не означає, що агресор не може виконати атаку, але це гарантує, що йому буде важче почати атаку.

[Атаки блокуванням DNS] (отримати хост по імені блоку 5 секунд).

SIP агенти уразливі для DoS атак через недійсні DNS-пошуки. Інструмент атаки може генерувати довільну кількість SIP INVITE повідомлень з настроюваної затримкою між ними. SIP повідомлення містять випадково згенеровані SIP URI. Крім того, численні генератори повідомлень можуть працювати паралельно, щоб зафлуділі мета подібними повідомленнями.

Заходи протидії::

Для захисту від такого роду атак SIP DNS можна використовувати кеш. Кеш SIP DNS виступає в якості інтерфейсу для обробки запитів щодо визначення імені від SIP проксі. Проте, в разі нападу, виділений кеш DNS не намагається вирішити будь-які невідомі доменні імена. Якщо відповідь не доступний в цьому кеші, на SIP проксі повертається помилка про нерозв'язному хості. Він ніколи передає ніякі запити про основну підсистемі. Замість цього, він тільки повертає відповіді зі свого внутрішнього кеша. В цьому режимі гарантується, що кожен запит обробляється в найкоротші терміни, що захищає сервер від блокування.

[Загальний доступ до мереж VoIP]

Підходи до безпеки в мережах VoIP громадського доступу з великою кількістю клієнтів створюють бастіон серверів, які здійснюють повний контроль вхідного трафіку, а також виконують основну фільтрацію пакетів. Після того, як велика кількість пакетів фільтрується, і деякі прості атаки запобігають на цьому етапі, можна використовувати прозорий проксі-сервер з будь-яким IDS (Snort і т.д.) або мережевий захист, яка встановлюється на сервер. Наступним кроком є ​​використання SIP проксі OpenSER з включеними IDS і модулями кеша DNS. Після цього, можна використовувати агенти-сервери, такі як asterisk, які розміщуються в DMZ зоні.

Підказки по конфігурації Asterisk для підвищення безпеки.

Для малого бізнесу або домашнього використання ви можете використовувати АТС сервер на основі програмних продуктів з відкритим вихідним текстом, таких як asterisk. Asterisk є відкритим програмним забезпеченням, здатним перетворювати аудіо і відео потоки в різні формати в режимі реального часу.

Використовуючи спеціальну апаратуру, можна інтегрувати його з традиційними телефонними технологіями: аналоговими, ISDN, GSM і т.д. В цьому випадку весь вхідний трафік обмежений відомими хостами і провайдерами. Тому, доступ може бути обмежений для всіх ненадійних хостів і дозволений лише для перевіреного трафіку.

Нижче ви зможете ознайомитися з корисними порадами для поліпшення конфігурації asterisk:

  1. Завжди приймайте аутентифікацію SIP від ​​всіх IP-адрес. Використовуйте "permit =" і "deny =" рядки в файлі sip.conf, щоб дозволити лише розумного подмножеству IP-адрес досягти кожного перерахованого розширення / користувача в вашому sip.conf файлі.
  2. alwaysauthreject = yes, та ж інформація, що в разі витоку розширення.
  3. Використовуйте надійні паролі.
  4. Заблокуйте ваші менеджер порти AMI.
  5. Приймайте тільки один або два дзвінки одночасно на SIP суб'єкта, та оцініть адміністративні проблеми надійності пароля і безвісності імені користувача.

На закінчення, для кращого захисту переконайтеся в тому, що використовуються всі методи, перераховані вище, це включає в себе систему мережевого захисту, IDS, і рішення SIP сервера. Якщо у вас велика система, то це буде дворівнева архітектура системи безпеки, що складається із загального хоста Bastion і забезпечує захист сервера SIP, і, нарешті, інструмент для тестування атак, такий як SIPP або sipsak.

Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью

Все права защищены © 2013 Fast : Интернет-провайдеры и сети
Хостинг, регистрация доменов, компьютерные сети