Garantizar la seguridad en el sistema de telefonía IP. Aspectos prácticos de la protección de una red de telefonía IP corporativa. Tendencias en el desarrollo de la seguridad de la información en VoIP.

Garantizar la seguridad en el sistema de telefonía IP. Aspectos prácticos de la protección de una red de telefonía IP corporativa. Tendencias en el desarrollo de la seguridad de la información en VoIP.

El artículo fue escrito específicamente para linkmeup.

=======================

Hola colegas y amigos, yo, Vadim Semenov, junto con el equipo del proyecto network-class.net, presento un artículo de revisión que aborda las principales tendencias y amenazas en telefonía IP y, lo más importante, las herramientas de protección que ofrece actualmente el fabricante. en la calidad de la protección (en el lenguaje de los especialistas en seguridad, consideremos qué herramientas ofrece el fabricante para reducir las vulnerabilidades que pueden aprovechar los individuos ilegítimos). Entonces, menos palabras- Pongámonos manos a la obra.
Para muchos lectores, el término telefonía IP se ha formado hace mucho tiempo, así como el hecho de que esta telefonía es "mejor", más barata en comparación con la telefonía pública (PSTN), rica en varias funciones adicionales, etc. Y esto es cierto, sin embargo... en parte. A medida que pasamos de la telefonía analógica (digital), sus líneas de abonado (desde el teléfono del abonado a la estación o extensión de la estación) y las líneas de conexión (línea de comunicación entre estaciones) se encontraban nada menos que en la zona de acceso y control de la telefonía. proveedor. En otras palabras, la gente corriente no tenía acceso allí (o prácticamente, si no se tiene en cuenta el conducto de cables). Recuerdo una pregunta en el viejo foro de hackers: “¿Dime cómo acceder a la PBX? - respuesta: "Bueno, tomas una excavadora, golpeas la pared del edificio de la central telefónica y listo". Y esta broma tiene su parte de verdad) Sin embargo, con la transferencia de la telefonía a un entorno IP barato, también recibimos las amenazas que plantea un entorno IP abierto. Un ejemplo de amenazas adquiridas es el siguiente:

  • Olfateando puertos de señal para comprometerse llamadas de peaje a costa de otra persona
  • Escuchando a escondidas mediante la interceptación de paquetes de voz IP
  • Intercepción de llamadas, usuario ilegítimo haciéndose pasar por usuario legítimo, ataque de intermediario
  • Ataques DDOS a los servidores de señalización de las estaciones para desactivar toda la telefonía
  • Ataques de spam, colapso gran cantidad llamadas fantasmas a una estación para ocupar todos sus recursos libres
A pesar de la obvia necesidad de eliminar todas las vulnerabilidades posibles para reducir la probabilidad de un ataque en particular, de hecho, la implementación de ciertas medidas de protección debe comenzar con la elaboración de un cronograma que tenga en cuenta el costo de implementar medidas de protección contra una amenaza específica. y las pérdidas de la empresa por la implementación de esta amenaza por parte de los atacantes. Después de todo, es estúpido gastar más dinero en la seguridad de un activo que el valor del propio activo que estamos protegiendo.
Habiendo determinado el presupuesto de seguridad, comenzaremos a eliminar exactamente aquellas amenazas que son más probables para la empresa, por ejemplo, para una organización pequeña, lo más doloroso será recibir una gran factura por llamadas imperfectas de larga distancia y; llamadas internacionales, mientras que para empresas estatales Lo más importante es mantener las conversaciones confidenciales. Comencemos nuestra consideración gradual en el artículo actual con cosas básicas: proporcionar una forma segura de entregar datos de servicio desde la estación al teléfono. A continuación, consideraremos la autenticación de los teléfonos antes de conectarlos a la estación, la autenticación de la estación desde los teléfonos y el cifrado del tráfico de señalización (para ocultar información sobre quién llama y dónde) y el cifrado del tráfico conversacional.
Muchos fabricantes de equipos de voz (incluido Cisco Systems) ya cuentan con herramientas de seguridad integradas, desde la habitual restricción del rango de direcciones IP desde las que se pueden realizar llamadas hasta la autenticación de los dispositivos finales mediante un certificado. Por ejemplo, el fabricante Cisco Systems con su línea de productos de voz CUCM (Cisco Unified CallManager) comenzó a integrar la función "Seguridad por defecto" a partir de la versión 8.0 del producto (fecha de lanzamiento mayo de 2010; actualmente está disponible la versión 10.5 de mayo de 2014). Qué incluye:
  • Autenticación de todos los archivos descargados vía TFTP (archivos de configuración, archivos de firmware para teléfonos, etc.)
  • Cifrado de archivos de configuración.
  • Comprobación del certificado con el teléfono inicializando la conexión HTTPS
Veamos un ejemplo de un ataque de "hombre en el medio", cuando una persona ilegítima intercepta archivos de configuración de teléfonos, de los cuales el teléfono aprende en qué estación registrarse, en qué protocolo trabajar, qué firmware descargar, etc. Una vez interceptado el archivo, el atacante podrá realizar sus propios cambios o borrar completamente el archivo de configuración, evitando así que los teléfonos de toda la oficina (ver figura) se registren en la estación y, en consecuencia, privando a la oficina de la capacidad de hacer llamadas.

Fig.1 Ataque de intermediario

Para protegernos contra esto, necesitaremos conocimientos de cifrado asimétrico, infraestructura de clave pública y comprensión de los componentes de Seguridad por defecto, que ahora presentaremos: Lista de confianza de identidad (ITL) y Servicio de verificación de confianza (TVS). TVS es un servicio diseñado para procesar solicitudes de teléfonos IP que no tienen un archivo ITL o CTL en la memoria interna. El teléfono IP se pone en contacto con TVS si necesita asegurarse de que puede confiar en un servicio en particular antes de comenzar a acceder a él. La estación también actúa como un depósito que almacena certificados de servidores confiables. A su vez, ITL es una lista de claves públicas de los elementos que componen el cluster de estaciones, pero para nosotros es importante que allí se almacenen la clave pública del servidor TFTP y la clave pública del servicio TVS. En descarga inicial teléfono, cuando el teléfono ha recibido su dirección IP y la dirección del servidor TFTP, solicita la presencia de un archivo ITL (Fig. 2). Si está en el servidor TFTP, entonces, confiando ciegamente, lo sube a su memoria interna y se almacena hasta el próximo reinicio. Después de descargar el archivo ITL, el teléfono solicita un archivo de configuración firmado.

Ahora veamos cómo podemos usar herramientas de criptografía: firmar un archivo usando las funciones hash MD5 o SHA y cifrarlo usando la clave privada del servidor TFTP (Fig. 3). Lo especial de las funciones hash es que son funciones unidireccionales. Según el hash recibido de cualquier archivo, es imposible realizar la operación inversa y obtener exactamente archivo original. Cuando se cambia un archivo, el hash obtenido de este archivo también cambia. Vale la pena señalar que el hash no se escribe en el archivo en sí, sino que simplemente se le agrega y se transmite junto con él.


Fig.3 Firma del archivo de configuración del teléfono

Al formar una firma, se toma el archivo de configuración, se extrae el hash y se cifra con la clave privada del servidor TFTP (que solo tiene el servidor TFTP).
Al recibir este archivo Con la configuración, el teléfono inicialmente verifica su integridad. Recordamos que un hash es una función unidireccional, por lo que al teléfono no le queda más que separar el hash cifrado por el servidor TFTP del archivo de configuración, descifrarlo usando clave pública TFTP (¿cómo lo sabe el teléfono IP? - solo a partir del archivo ITL), calcule el hash a partir de un archivo de configuración limpio y compárelo con lo que recibimos durante el descifrado. Si el hash coincide, significa que no se realizaron cambios en el archivo durante la transmisión y que se puede utilizar de forma segura en el teléfono (Fig. 4).


Fig.4 Comprobación del archivo de configuración con un teléfono IP

El archivo de configuración firmado para el teléfono se muestra a continuación:


Arroz. 5 Archivo de teléfono IP firmado en Wireshark

Al firmar el archivo de configuración, pudimos garantizar la integridad del archivo de configuración transferido, pero no lo protegimos para que no pudiera verse. Puede obtener bastante del archivo de configuración capturado. información útil, por ejemplo dirección IP central telefónica(en nuestro ejemplo esto es 192.168.1.66) y puertos abiertos en la estación (2427), etc. ¿No es una información tan importante que no le gustaría simplemente "brillar" en Internet? Para ocultar esta información, los fabricantes ofrecen el uso de cifrado simétrico (se utiliza la misma clave para cifrar y descifrar). En un caso, la clave se puede ingresar en el teléfono manualmente; en otro caso, el archivo de configuración del teléfono se cifra en la estación utilizando la clave pública del teléfono. Antes de enviar un archivo al teléfono, el servidor tftp en el que se almacena este archivo lo cifra utilizando la clave pública del teléfono y lo firma con su clave privada (de esta manera garantizamos no sólo el secreto, sino también la integridad de los archivos transferidos). Lo principal aquí es no confundirse sobre quién usa qué clave, pero veámoslo en orden: el servidor tftp, al cifrar el archivo con la clave pública del teléfono IP, aseguró que solo el propietario de la clave pública emparejada puede abrir este archivo. Al firmar el archivo con su clave privada, el servidor tftp confirma que fue él quien lo creó. El archivo cifrado se muestra en la Figura 6:


Fig.6 Archivo de teléfono IP cifrado

Entonces, en este punto, hemos considerado proteger los archivos de configuración de nuestro teléfono para que no sean vistos y garantizar su integridad. Aquí es donde termina la funcionalidad Seguridad por defecto. Para garantizar el cifrado tráfico de voz, es necesario ocultar la información de señalización (sobre quién llama y dónde llama) herramientas adicionales, basado en la lista de certificados confiables: CTL, que consideraremos a continuación.

Autenticación de central telefónica

Cuando un teléfono necesita comunicarse con una central telefónica (por ejemplo, para negociar una conexión TLS para el intercambio de señalización), el teléfono IP debe autenticar la central. Como puedes imaginar, los certificados también se utilizan ampliamente para resolver este problema. Por el momento, las estaciones IP modernas constan de una gran cantidad de elementos: varios servidores de señalización para procesar llamadas, un servidor de administración dedicado (a través de él se agregan nuevos teléfonos, usuarios, puertas de enlace, reglas de enrutamiento, etc.), un servidor TFTP dedicado para almacenar archivos de configuración y software para teléfonos, un servidor para transmitir música en espera, etc., además de esto, la infraestructura de voz puede tener correo de voz, servidor para determinar el estado actual del suscriptor (en línea, fuera de línea, "durante el almuerzo"): la lista es impresionante y, lo más importante, cada servidor tiene su propio certificado autofirmado y cada uno funciona como una autoridad de certificación raíz (Fig. 7). Por esta razón, cualquier servidor en la infraestructura de voz no confiará en el certificado de otro servidor, por ejemplo, un servidor de voz no confía en un servidor TFTP, el correo de voz no confía en un servidor de señalización y, además, los teléfonos deben almacenar los certificados de todos los elementos que participan en el intercambio de tráfico de señalización. Los certificados de central telefónica se muestran en la Figura 7.


Fig.7 Certificados de estación IP Cisco autofirmados

Para las tareas de establecer relaciones de confianza entre los elementos antes descritos en las infraestructuras de voz, así como de cifrar el tráfico de voz y de señalización, entra en juego la denominada Lista de confianza de certificados (CTL). El CTL contiene todos los certificados autofirmados de todos los servidores en el grupo de estaciones de voz, así como aquellos que participan en el intercambio de mensajes de señalización telefónica (por ejemplo, un firewall) y este archivo está firmado con la clave privada de una autoridad de certificación confiable. (Figura 8). El archivo CTL es equivalente a los certificados instalados que se utilizan en los navegadores web cuando se trabaja con protocolo https.


Fig.8 Lista de certificados confiables

Para crear un archivo CTL en un equipo Cisco, necesitará una PC con un conector USB, un programa cliente CTL instalado y el token de seguridad del administrador del sitio (SAST) (Fig. 9), que contiene una clave privada y un certificado X.509v3 firmado por un fabricante del centro de autenticación (Cisco).


Fig.9 Token electrónico Cisco

El cliente CTL es un programa que se instala en una PC con Windows y con el que se puede transferir TODA la central telefónica al llamado modo mixto, es decir, un modo mixto que admite el registro de dispositivos finales en modos seguros e inseguros. Lanzamos el cliente, indicamos la dirección IP de la central telefónica, ingresamos el nombre de usuario/contraseña del administrador y se instala el cliente CTL conexión TCP a través del puerto 2444 con la estación (Fig. 10). Tras esto, sólo se ofrecerán dos acciones:


Fig.10 Cliente Cisco CTL

Después de crear el archivo CTL, solo queda reiniciar los servidores TFTP para que descarguen el nuevo archivo CTL creado, y luego reiniciar los servidores de voz para que los teléfonos IP también se reinicien y descarguen el nuevo archivo CTL (32 kilobytes). El archivo CTL descargado se puede ver desde la configuración del teléfono IP (Fig. 11)


Fig.11 Archivo CTL en un teléfono IP

Autenticación de punto final

Para garantizar que solo se conecten y registren puntos finales confiables, se debe implementar la autenticación del dispositivo. En este caso, muchos fabricantes utilizan un método ya probado: la autenticación del dispositivo mediante certificados (Fig. 12). Por ejemplo, en la arquitectura de voz de Cisco esto se implementa de la siguiente manera: existen dos tipos de certificados de autenticación con las claves públicas y privadas correspondientes que se almacenan en el teléfono:
Certificado instalado por el fabricante - (MIC). El certificado instalado por el fabricante contiene una clave de 2048 bits firmada por la autoridad de certificación del fabricante (Cisco). Este certificado no está instalado en todos los modelos de teléfono y, si está instalado, no es necesario tener otro certificado (LSC).
Certificado de importancia local – (LSC) Un certificado válido localmente contiene la clave pública del teléfono IP, que está firmada por la clave privada del centro de autenticación local, que se ejecuta en la propia central telefónica, la Función de proxy de autoridad certificadora (CAPF).
Entonces, si tenemos teléfonos con un certificado MIC preinstalado, cada vez que el teléfono se registre en una estación, la estación solicitará un certificado preinstalado por el fabricante para la autenticación. Sin embargo, si el MIC está comprometido, reemplazarlo requiere comunicarse con el centro de certificación del fabricante, lo que puede llevar mucho tiempo. Para no depender del tiempo de respuesta de la autoridad certificadora del fabricante para volver a emitir un certificado telefónico comprometido, es preferible utilizar un certificado local.


Fig. 12 Certificados para autenticación de dispositivos finales

De forma predeterminada, un certificado LSC no está instalado en un teléfono IP y su instalación se puede realizar mediante un certificado MIB (si está disponible) o mediante una conexión TLS (Transport Layer Security) utilizando una clave pública compartida generada manualmente por el administrador en el estación y entró en el teléfono.
En la Figura 13 se muestra el proceso de instalación de un certificado de importancia local (LSC) en el teléfono que contiene la clave pública del teléfono firmada por una autoridad de certificación local:


Fig.13 Proceso de instalación de un certificado LSC válido localmente

1. Después de cargar el teléfono IP, solicita una lista confiable de certificados (archivo CTL) y un archivo de configuración.
2. La estación envía los archivos solicitados.
3. A partir de la configuración recibida, el teléfono determina si necesita descargar un certificado de importancia local (LSC) de la estación.
4. Si en la estación configuramos el teléfono para instalar un certificado LSC (ver a continuación), que la estación utilizará para autenticar este teléfono IP, entonces debemos asegurarnos de que ante una solicitud para emitir un certificado LSC, la estación lo emite a aquella persona a quien está destinado. Para estos fines, podemos usar un certificado MIC (si lo hay), generar una contraseña de un solo uso para cada teléfono e ingresarla manualmente en el teléfono, o no usar ninguna autorización.
El ejemplo demuestra el proceso de instalación de LSC utilizando la clave generada.
En la estación en el modo de configuración del teléfono IP indicamos que queremos instalar un certificado LSC en el teléfono, y la instalación será exitosa si ingresamos la clave de autenticación en el teléfono, que definimos como 12345 (Fig. 14) .


Fig.14 Modo de configuración CAPF en el teléfono

Entramos en el modo de configuración del teléfono e ingresamos nuestra clave (Fig.15):


Fig.15 Clave de autenticación para la instalación de LSC

Después de esto, la instalación del certificado LSC en el teléfono fue exitosa (Fig. 16):


Fig.16 Configuración de seguridad en el teléfono IP

La peculiaridad de utilizar un certificado LSC para autenticar dispositivos finales es que si el certificado en sí se ve comprometido, la autoridad de certificación CAPF de la central telefónica puede volver a firmarlo con una nueva clave privada.

Entonces, por el momento, hemos logrado la seguridad no solo de los archivos descargados, sino también la autenticación de los servidores de señalización de los dispositivos finales (teléfonos IP), así como de los propios dispositivos finales de la estación. Consideremos ahora mantener la confidencialidad de las conversaciones cifrando el tráfico de voz y ocultando la información de señalización.

Cifrado de conversaciones - SRTP

Consideremos lo que ofrece actualmente el fabricante para realizar la tarea más popular: garantizar la confidencialidad de las conversaciones.
toda la señal y mensajes de voz se transmiten en texto claro, como en la Figura 17:


Fig.17 Mensaje SIP abierto

Protocolo seguro en tiempo real (SRTP) es un protocolo RTP especialmente desarrollado diseñado para la transmisión de voz y video, pero complementado con mecanismos para garantizar la confidencialidad e integridad de la información transmitida no solo a través de RTP, sino también RTCP. aplicación de voz Los sistemas habilitados para SRTP deben convertir los paquetes RTP a SRTP antes de enviarlos a través de la red. La operación inversa debe realizarse en el lado receptor. La arquitectura SRTP define dos tipos de claves: una clave maestra y una clave de sesión (para cifrado y autenticación) (Figura 18). Sin embargo, SRTP no regula el procedimiento para el intercambio de claves maestras; para estos fines es necesario utilizar TLS o IPSec. Para el intercambio de claves, la solución estandarizada para SRTP es MIKEY (Multimedia Internet Keying), pero también se pueden utilizar protocolos como SDES y ZRTP.


Fig.18 Realizar una llamada mediante SRTP

Proceso de mensajería SRTP:

  • El teléfono y el servidor intercambian certificados;
  • El teléfono y el servidor se autentican entre sí;
  • El teléfono crea claves TLS para autenticación SHA y cifrado AES;
  • El teléfono cifra las claves utilizando la clave pública de la estación y las envía. La estación descifra utilizando su clave privada;
  • La estación intercambia claves TLS con cada uno de los teléfonos y comienza el intercambio seguro de mensajes de señalización telefónica (suena el teléfono del abonado llamado);
  • La estación crea claves de sesión para la autenticación SRTP SHA y el cifrado SRTP AES;
  • La estación distribuye claves de sesión a ambos teléfonos a través de una conexión de señalización segura;
  • Los teléfonos comienzan a intercambiar tráfico de voz a través de una conexión SRTP segura (la persona llamada levanta el auricular).
La habilitación del cifrado y la autenticación en equipos Cisco está controlada por perfiles de seguridad. Se ve así (Fig.19):


Fig. 19 Perfil de seguridad en Cisco CallManager

En él determinamos en qué modo se registrarán y funcionarán los dispositivos finales (teléfonos). Al seleccionar la opción No seguro, ni los datos de la señal ni la voz se cifran; Autenticado: los mensajes de señalización están cifrados, pero la voz no; Cifrado: tanto la señalización como la voz están cifradas. Es posible seleccionar el cifrado de los datos de configuración. Después de crear un perfil, debe asignarlo a su teléfono (Fig. 20).


Fig.20 Perfil de seguridad del teléfono en Cisco CallManager

Por el momento, hemos considerado los puntos principales en la seguridad de la telefonía IP, que nos permiten luchar contra las principales amenazas a la telefonía, sin embargo, esto es solo la punta del iceberg de toda la seguridad de la infraestructura de voz) Por separado, es necesario considerar la seguridad física de la infraestructura (por ejemplo, aquí: GOST R ISO/IEC 17799-2005 Reglas prácticas de gestión de seguridad de la información), y se puede dedicar un tema aparte a la seguridad de la red. Espero que quienes leyeron el artículo hasta el final hayan quedado satisfechos y la información haya sido útil.
Estoy dispuesto a responder cualquier duda por correo: [correo electrónico protegido]
Con el apoyo del proyecto network-class.net

La historia del desarrollo de la transmisión de voz en redes informáticas se remonta a 1994. Dado que el tráfico de Internet era significativamente más barato que alquilar canales analógicos y canales digitales comunicaciones, durante negociaciones internacionales y de larga distancia, entonces surgió un interés completamente legítimo por parte de los propietarios de pequeñas, medianas y grandes empresas. Naturalmente, la idea de la voz sobre IP resultó muy interesante para los fabricantes, por lo que cada uno intentó implementarla a su manera.

Pero ya pasó este tiempo, han aparecido estándares/protocolos específicos para voz sobre IP, como SORBO, H.323, MGCP. Junto con estos protocolos abiertos Aparecieron tanto soluciones propietarias como malware, así como métodos de piratería que complicaron la vida tanto a los consumidores como a los desarrolladores de soluciones basadas en VoIP(Voz sobre IP - voz sobre IP).

Las tecnologías VoIP permiten solucionar los problemas actuales relacionados con las comunicaciones de la empresa, aumentar la fidelidad de los clientes, aumentar la eficiencia de los empleados y ahorrar en conversaciones telefónicas, debido a:

  1. Organización de una red telefónica dentro de un edificio/oficina de empresa;
  2. Consolidación de la red telefónica entre edificios/oficinas de la empresa;
  3. Organización de un centro de llamadas para una oficina/empresa;
  4. Integración de soluciones VoIP con aplicaciones comerciales de la empresa;
  5. Introducción de servicios tales como menú de voz interactivo, correo de voz, conferencias telefónicas, grabación de llamadas, servidor de fax, etc.

Pero las soluciones VoIP también tienen una serie de desventajas relacionadas con la seguridad. Las soluciones VoIP conviven tanto en redes IP como en redes de líneas de comunicación analógicas y digitales, por lo que se debe garantizar la seguridad por los tres lados. De lo contrario, corremos el riesgo de obtener una solución que sólo aumente los costos de mantenimiento y complique el flujo de trabajo.

¡Siempre hay una amenaza!

Los sistemas de Telefonía IP conllevan amenazas que afectan negativamente el funcionamiento de toda la infraestructura y de la organización en su conjunto. Las amenazas en sí se pueden dividir en 2 categorías: tecnológicas y de personal. Veamos cada uno por separado.

Categoría de tecnología

  1. Robo dinero– un ataque en el que su IP-PBX, que se utiliza como servidor proxy de voz anónimo, es pirateado, robando así dinero de su cuenta y, en algunos casos, acreditándolo en la cuenta de los estafadores;
  2. Módems de fax y máquinas de fax: un ataque en el que se ataca la máquina de fax de su empresa, sobrecargando sus recursos, lo que muy a menudo desactiva su elemento calefactor;
  3. La denegación de servicio es un ataque que imposibilita tanto realizar llamadas salientes como recibir llamadas entrantes;
  4. Escuchar llamadas: escuchar líneas de comunicación analógicas no es difícil ni requiere habilidades especiales, y la información interceptada puede ser muy valiosa. En el caso de la telefonía IP, es igual de sencillo interceptar y escuchar información.

categoría de personal

  1. Competencias especializadas. Conocimiento insuficiente de los conceptos básicos, y más aún de los especializados, en el proceso de puesta en marcha y mantenimiento de sistemas de telefonía IP, lo que a menudo conduce a consecuencias irreversibles, como el "robo de fondos". Por supuesto, existe la posibilidad de recuperar su dinero, pero ¿cuánto tiempo pasará antes de que se haga justicia si los estafadores se encuentran en algún lugar de China y el ataque se originó en la República Dominicana?
  2. Factor humano y negligencia especializada. Un empleado insatisfecho, distraído o simplemente una persona perezosa puede desempeñar un papel importante en un ataque exitoso a su sistema de telefonía IP. Y no importa si es tu persona o de un contratista;
  3. Gestión de la empresa. Muy a menudo, el deseo de ahorrar en equipos y especialistas conduce posteriormente a pérdidas aún mayores y costes adicionales que podrían haberse evitado eligiendo una solución más cara pero correcta.

Cómo lidiar con eso

Existen tantos métodos para combatir las amenazas descritas anteriormente como amenazas mismas:

Es muy fácil lidiar con la escucha. Utilice una red IP como transporte para la transmisión de voz y utilice un cifrado sólido para protegerse contra escuchas ilegales. Me gustaría señalar que en este momento el uso medios criptográficos El cifrado no certificado por el FSB/FAPSI está prohibido por ley. Pero este es un tema para otra conversación.

Los ataques a módems y máquinas de fax se pueden proteger con la misma facilidad. Utilice servidores de fax dedicados. Hay muchas soluciones de servidor de fax en el mercado y muchas de ellas ya tienen protección incorporada contra este tipo de ataques. Además, el uso de servidores de fax facilita enormemente el proceso de trabajo. Después de todo, con la ayuda de esta solución puede enviar faxes con un solo clic del ratón, ¡sin salir de su lugar de trabajo!

Pero los ataques de denegación de servicio son un poco más difíciles de afrontar. Especialmente cuando se trata de ataques distribuidos de denegación de servicio (DDoS). Pero los métodos y medios de protección existen desde hace mucho tiempo y, con el enfoque correcto, se puede vivir sin miedo a este tipo de ataque. Utilice firewalls especializados en VoIP, implemente servicios QoS y no olvide actualizar oportunamente el software de los componentes responsables de la seguridad y estabilidad de su telefonía IP.

En cuanto al factor humano, aquí las cosas son mucho más complicadas. No consideraremos métodos de selección de personal, pero me gustaría señalar que este tipo de problema es más común que los tipos de ataques descritos anteriormente. Así que si no lo haces gran empresa Si tiene su propio departamento de TI que brinda servicios de soluciones VoIP, utilice los servicios de empresas profesionales que se ocupan de estas soluciones. Pero también en este caso será útil contar con la opinión de expertos.

No escatimes en soluciones VoIP, porque en el futuro esto puede provocar grandes pérdidas. Los indicadores financieros de soluciones baratas e insuficientemente probadas son muy tentadores, pero si tiene un negocio estable y en crecimiento, seis meses más para recuperar la inversión no supondrán una gran diferencia y, en el futuro, le permitirán ahorrar tiempo y dinero. evitar muchos problemas. Asegúrese de utilizar los servicios de empresas profesionales. Estas empresas se toman muy en serio su reputación y, en caso de error por su parte, harán todo lo posible para corregir las consecuencias.

A pesar de su avanzada edad Tecnologías VoIP y su uso generalizado en los sectores corporativo y gubernamental, el uso de esta tecnología plantea una serie de serias preocupaciones de seguridad: es relativamente fácil monitorear las llamadas VoIP, es relativamente fácil cambiar el contenido de las llamadas VoIP y el sistema VoIP es susceptible a ataques DoS.

Soluciones existentes al problema.

Uso de códecs de audio propietarios (cerrados)

Algunos fabricantes ofrecen resolver los problemas de seguridad de la telefonía IP mediante el uso audio cerrado códecs. Toda protección se basa en el hecho de que el atacante no conoce el algoritmo de codificación de audio, pero tan pronto como lo conoce, el sistema deja de ser seguro. Tendencias actuales son tales que la mayoría de los fabricantes utilizan códecs de audio abiertos. Por tanto, este método de protección ha perdido su eficacia.

Usando VLAN

Al construir un sistema de telefonía IP, se acostumbra distinguir red separada La VLAN a la que se conectan todos los teléfonos IP. este método tiene una serie de desventajas:

  • Si un atacante consigue acceder a la VLAN de un sistema de telefonía IP, tendrá acceso a todas las conversaciones telefónicas.
  • Esta solución no puede de ninguna manera garantizar la seguridad de un sistema de telefonía IP construido entre dos o más oficinas distribuidas geográficamente.

Cifrado VoIP y autenticación criptográfica

Este método de garantizar la seguridad es, con diferencia, el más fiable. La protección de los sistemas de telefonía IP modernos se puede implementar utilizando varios protocolos como SRTP, ZRTP e IPSec. Sin embargo, cada uno de estos protocolos tiene una serie de desventajas importantes:

  • SRTP y ZRTP utilizan criptografía "débil": claves de cifrado de longitud insuficiente o algoritmos de cifrado no criptográficos.
  • IPSec requiere un intercambio de claves preliminar, a menudo está bloqueado por varios proveedores de Internet y, en algunos casos, debido a limitaciones tecnológicas, no permite establecer una conexión segura.
  • Además de las desventajas específicas, todos los métodos mencionados de protección criptográfica de la telefonía IP tienen un inconveniente común: la falta de certificados del FSB de la Federación de Rusia y del FSTEC de la Federación de Rusia. De esto se desprende que métodos existentes La protección de la telefonía IP no se puede utilizar en agencias gubernamentales.

Solución de seguridad VoIP de JSC InfoTecs

La base para la protección VoIP es la solución ViPNet CUSTOM VPN, que tiene la siguiente funcionalidad:

  • Cifrado y filtrado de señalización y tráfico de voz de todos los participantes de la red de telefonía IP.
  • Garantiza el paso fluido del tráfico VoIP a través de dispositivos NAT.
  • Apoyo direcciones virtuales, incluidos los protocolos SIP, H.323 y Cisco SCCP (Skinny Client Control Protocol), es una solución al problema de cruzar el espacio de direcciones IP de oficinas remotas.

Ventajas

  • Le permite organizar la protección de sistemas de telefonía IP heterogéneos.
  • Le permite organizar una interacción segura entre dos o más redes locales con direcciones IP superpuestas sin cambiar la topología de estas redes.
  • Proporciona protección a los usuarios de telefonía IP móvil.
  • Asegura el paso del tráfico VPN en caso de utilizar NAT u oposición del proveedor.
  • Disponibilidad de certificados FSB y FSTEC.

¿Telefonía IP? ¡Ella también está siendo atacada!

Principio de funcionamiento

El principio de funcionamiento de la tecnología de telefonía IP es sencillo. Su componente central es el servidor (gateway), que se encarga de conectar las redes telefónicas e IP, es decir. Está conectado como una red telefónica y puede llegar a cualquiera. teléfono normal y a una red de datos (por ejemplo, Internet) y puede acceder a cualquier computadora. en funcion de este dispositivo incluye:

    Responder para contestar la llamada

    Establecer una conexión con una puerta de enlace remota y la parte llamada

    Digitalización (codificación), compresión, paquetización y restauración de señales.

Esta puerta de enlace (por ejemplo, Catalizador Cisco 4000 Access Gateway Module o Cisco VG200) acepta una señal telefónica normal como entrada, la digitaliza (si la señal no es digital) y comprime los datos recibidos, después de lo cual los transmite a la red IP en forma de paquetes regulares (pero no muy grande). En el otro extremo, la puerta de enlace restablece la señal en orden inverso. Este componente no se puede utilizar si no planea integrar sus teléfonos IP en la red telefónica pública (consulte la Figura 1).

Para poder construir red distribuida La telefonía IP requiere un despachador que sea responsable de distribuir las llamadas entre puertas de enlace (por ejemplo, Cisco CallManager). Además de esta tarea, el despachador realiza la autenticación y autorización de los suscriptores y también tiene una interfaz con el sistema de facturación.

Para facilitar la administración gran número Los gateways y despachadores remotos pueden utilizar un software especial llamado monitor. Y finalmente, el último elemento obligatorio de una red de telefonía IP es el punto de abonado, que puede implementarse tanto en software (por ejemplo, Cisco IP SoftPhone) como en hardware (por ejemplo, Cisco IP Phone, conectado directamente al puerto Ethernet de el interruptor). Además, en el primer caso, las llamadas se pueden realizar incluso a través de computadora de casa, equipado tarjeta de sonido y un micrófono, y en el segundo caso se utiliza la denominada estación de abonado. Teléfono IP. Otro componente de la arquitectura de la telefonía IP pueden denominarse aplicaciones de usuario especializadas que surgieron de la integración de voz, video y datos (centros de llamadas, sistemas de mensajería unificada).

¿Por qué se ataca la telefonía IP?

Las redes de telefonía IP son un buen objetivo para los piratas informáticos. Algunos de ellos pueden gastarle una broma enviándole un mensaje de voz en nombre de la dirección de la empresa. Es posible que alguien quiera acceder a la voz. buzón su dirección o incluso quiere interceptar datos de voz sobre transacciones financieras intercambiadas entre empleados del departamento de finanzas o del departamento de contabilidad. Es posible que sus competidores quieran socavar su reputación desactivando puertas de enlace y despachadores, interrumpiendo así la disponibilidad de servicios telefónicos para sus suscriptores, lo que a su vez también puede resultar en daños al negocio de sus clientes. Hay otros motivos, por ejemplo, llamadas a expensas de otra persona (robo de servicio).

Posibles amenazas

El principal problema de la seguridad de la telefonía IP es que es demasiado abierta y hace que sea relativamente fácil para los atacantes atacar sus componentes. A pesar de que los casos de este tipo de ataques son prácticamente desconocidos, se pueden llevar a cabo si se desea, porque Los ataques a redes IP normales pueden dirigirse a redes de voz digitalizadas prácticamente sin cambios. Por otro lado, la similitud entre las redes IP normales y las redes de telefonía IP también nos indica cómo protegerlas, pero hablaremos de eso más adelante.

Los ataques a la telefonía normal también se aplican a su prima IP: la linterna.

La telefonía IP, al ser pariente directa de la telefonía convencional y la tecnología IP, ha absorbido no sólo sus ventajas, sino también sus desventajas. Aquellos. Los ataques inherentes a la telefonía normal también se pueden aplicar a su componente IP. Enumeraré algunos de ellos, algunos de los cuales consideraré con más detalle:

    Escuchas telefónicas

    Denegación de servicio

    Sustitución de números

    robo de servicio

    Desafíos inesperados

    Cambio de configuración no autorizado

    Fraude de cuentas.

Intercepción de datos

La interceptación de datos es la más gran problema, tanto la telefonía regular como su prima IP.

Sin embargo, en el último caso este peligro es mucho mayor, porque el atacante ya no necesita tener acceso físico a linea telefonica. Lo que empeora la situación es el hecho de que muchos protocolos construidos sobre la pila TCP/IP transmiten datos en texto claro. HTTP, SMTP, IMAP, FTP, Telnet, SQL*net y, entre otros, los protocolos de telefonía IP padecen este pecado. Un atacante que haya podido interceptar el tráfico de voz IP (que no está cifrado entre puertas de enlace de forma predeterminada) puede restaurar fácilmente las conversaciones originales. Incluso existen herramientas automatizadas para esto. Por ejemplo, la utilidad vomit (Voice Over Misconfigured Internet Telephones), que convierte los datos obtenidos como resultado de la interceptación del tráfico utilizando el analizador de protocolo tcpdump de distribución gratuita en un archivo WAV normal que se puede escuchar con cualquier reproductor de computadora. Esta utilidad le permite convertir datos de voz transmitidos mediante teléfonos IP de Cisco y comprimidos mediante el códec G.711. Además, además de las escuchas no autorizadas, los atacantes pueden retransmitir mensajes de voz interceptados (o fragmentos de los mismos) para lograr sus objetivos.

Sin embargo, me gustaría señalar de inmediato que interceptar datos de voz no es una tarea tan sencilla como parece a primera vista. El atacante debe tener información sobre las direcciones de las puertas de enlace o puntos de abonado, los protocolos VoIP utilizados (por ejemplo, H.323) y los algoritmos de compresión (por ejemplo, G.711). De lo contrario, al atacante le resultará difícil configurar un software para interceptar el tráfico, o el volumen de datos interceptados y el tiempo para analizarlos superarán todos los límites permitidos.

La interceptación de datos se puede realizar tanto desde dentro red corporativa y afuera. Un atacante experto con acceso al medio físico de transmisión de datos puede conectar su teléfono IP al conmutador y así escuchar las conversaciones de otras personas. También puede cambiar las rutas del tráfico de la red y convertirse en el nodo central de la red corporativa por donde pasa el tráfico de interés. Además, si en la red interna puede, con cierta probabilidad, detectar un dispositivo conectado no autorizado que intercepta datos de voz, entonces red externa es casi imposible detectar ramas. Por lo tanto, cualquier tráfico no cifrado que salga de la red corporativa debe considerarse inseguro.

Denegación de servicio

La comunicación telefónica tradicional siempre garantiza la calidad de la comunicación incluso bajo cargas elevadas, lo que no es un axioma para la telefonía IP. Carga alta a la red en la que se transmiten datos de voz digitalizados, provoca una distorsión significativa e incluso la pérdida de algunos mensajes de voz. Por tanto, uno de los ataques a la telefonía IP puede consistir en enviar una gran cantidad de paquetes de “ruido” al servidor de telefonía IP, que obstruyen el canal de transmisión de datos, y si se supera un determinado valor umbral, pueden incluso desactivar parte del Red de telefonía IP (es decir, ataque de denegación de servicio). Lo típico es que para implementar un ataque de este tipo no es necesario "reinventar la rueda": basta con utilizar los conocidos ataques DoS Land, Ping of Death, Smurf, UDP Flood, etc. Una solución a este problema es la reserva de ancho de banda, que se puede lograr utilizando protocolos modernos como RSVP. Los métodos de protección se analizarán con más detalle a continuación.

Denegación de servicio - problema grave para dispositivos de telefonía IP. - linterna

Sustitución de números

Para comunicarse con un suscriptor en una red telefónica normal, es necesario conocer su número y, en telefonía IP, la dirección IP desempeña el papel de un número de teléfono. Por lo tanto, es posible que un atacante, utilizando la suplantación de direcciones, pueda hacerse pasar por el suscriptor que necesita. Es por eso que la tarea de garantizar la autenticación no se ignora en todos los estándares VoIP existentes y se discutirá un poco más adelante.

Ataques a puntos de abonado

Es necesario comprender que los puntos de abonado instalados en una computadora personal son dispositivos menos seguros que los teléfonos IP especiales. Esta tesis también se aplica a cualquier otro componente de telefonía IP construido sobre base del programa. Esto se debe a que no sólo se pueden realizar ataques específicos de telefonía IP contra estos componentes. El propio ordenador y sus componentes (sistema operativo, programas de aplicación, bases de datos, etc.) son susceptibles a diversos ataques que también pueden afectar a los componentes de la telefonía IP. Por ejemplo, los gusanos de Internet Red Code, Nimda, varios troyanos y virus, los ataques DoS y sus modificaciones distribuidas: todo esto puede, si no desactivar la infraestructura de voz IP, alterar significativamente su funcionamiento. Al mismo tiempo, incluso si no se encuentran vulnerabilidades en el software en sí (por el momento), otros componentes de software de terceros utilizados por él (especialmente los más conocidos) pueden reducir la seguridad general a cero. Después de todo, la regla general se conoce desde hace mucho tiempo: "la seguridad de todo el sistema es igual a la seguridad de su eslabón más débil". Por ejemplo, podemos citar Cisco CallManager, que utiliza para su funcionamiento Windows 2000 Server, MS Internet Information Server y MS SQL Server, cada uno de los cuales tiene su propio conjunto de agujeros.

Ataques a despachadores

Los atacantes también pueden atacar nodos (Gatekeeper en términos H.323 o servidor Redirect en términos SIP) que almacenan información sobre las conversaciones de los usuarios (nombres de los suscriptores, hora, duración, motivo del final de la llamada, etc.). Esto se puede hacer tanto con el fin de obtener información confidencial sobre las propias conversaciones, como con el fin de modificar e incluso eliminar estos datos. En este último caso, el sistema de facturación (por ejemplo, un operador de telecomunicaciones) no podrá facturar correctamente a sus clientes, lo que puede interrumpir o dañar toda la infraestructura de telefonía IP.

Estándares de telefonía IP y sus mecanismos de seguridad

La falta de estándares uniformes aceptados en esta área (ver Fig. 2) no permite desarrollar recomendaciones universales para la protección de dispositivos de telefonía IP. Cada grupo de trabajo o el fabricante resuelve a su manera los problemas de garantizar la seguridad de las puertas de enlace y despachadores, lo que lleva a la necesidad de estudiarlos detenidamente antes de elegir las medidas de protección adecuadas.

Seguridad H.323

H.323 es un protocolo que le permite construir un sistema VoIP de principio a fin. H.323 incluye una serie de especificaciones, incl. y H.235, que implementa algunos mecanismos de seguridad (autenticación, integridad, confidencialidad y no repudio) para datos de voz.

La autenticación en el marco del estándar H.323 se puede implementar mediante algoritmos de criptografía simétrica (en este caso, no se requiere ningún intercambio preliminar entre dispositivos que interactúan y no se carga tan intensamente). UPC), y utilizando certificados o contraseñas. Además, la especificación H.235 permite el uso de IPSec como mecanismo de autenticación, cuyo uso también se recomienda en otros estándares de telefonía IP.

Después de establecer una conexión segura, que se produce a través del puerto TCP 1300, los nodos que participan en el intercambio de datos de voz intercambian información sobre el método de cifrado, que se puede utilizar a nivel de transporte (cifrado de paquetes del protocolo RTP) o de red (usando IPSec).

Seguridad SIP

Este protocolo, similar a HTTP y utilizado por los puntos de abonado para establecer conexiones (no necesariamente telefónicas, sino también, por ejemplo, para juegos), no tiene una seguridad seria y está enfocado al uso de soluciones de terceros (por ejemplo, PGP ). Como mecanismo de autenticación, RFC 2543 ofrece varias opciones y, en particular, autenticación básica (como en HTTP) y autenticación basada en PGP. En un intento de abordar la débil seguridad de este protocolo, Michael Thomas de Cisco Systems desarrolló un borrador de estándar IETF llamado "marco de seguridad SIP" que describe los aspectos externos y amenazas internas para el protocolo SIP y los métodos de protección contra ellos. En particular, dichos métodos incluyen protección a nivel de transporte mediante TLS o IPSec. Por cierto, empresa cisco en su arquitectura de seguridad para redes corporativas SAFE, presta gran atención a cuestiones practicas Protección de telefonía IP.

Seguridad MGCP

El estándar MGCP, definido en RFC 2705 y no aplicado en los puntos finales (las puertas de enlace MGCP pueden manejar componentes habilitados para H.323 y SIP), utiliza protocolo ESP Especificaciones IPSec. También se puede utilizar el protocolo AH (pero no en redes IPv6), que proporciona autenticación e integridad sin conexión y protección contra repeticiones transmitidas entre puertas de enlace. Al mismo tiempo, el protocolo AH no garantiza la confidencialidad de los datos, lo que se logra mediante el uso de ESP (junto con las otras tres funciones de seguridad).

Seguridad

Elegir la topología adecuada

No se recomienda utilizar concentradores para la infraestructura VoIP, que facilitan a los atacantes la interceptación de datos. Además, porque la voz digitalizada suele viajar por el mismo sistema de cable y por el mismo equipo de red que los datos normales; conviene delimitar correctamente los flujos de información entre ellos; Esto, por ejemplo, se puede hacer utilizando el mecanismo VLAN (sin embargo, no confíe únicamente en ellos). Es aconsejable colocar los servidores que participan en la infraestructura de telefonía IP en un segmento de red separado (ver Fig. 3), protegidos no solo mediante los mecanismos de protección integrados en los conmutadores y enrutadores (listas de control de acceso, traducción de direcciones y detección de ataques), sino también usando adicionalmente fondos establecidos protección (firewalls, sistemas de detección de ataques, sistemas de autenticación, etc.).

Debes recordar que la transmisión de datos de voz a través de tu red corporativa deja una huella especial en su diseño. Debe prestar mucha atención a las cuestiones de alta disponibilidad y tolerancia a fallos. Si bien los usuarios aún pueden acostumbrarse a una interrupción breve de un servidor web o de un sistema de correo, no podrán acostumbrarse a una interrupción en la comunicación telefónica. Una red telefónica normal falla tan raramente que muchos usuarios asignan naturalmente la propiedad de funcionamiento sin fallas a su hermana IP. Por tanto, un fallo en el funcionamiento de la infraestructura VoIP puede minar la confianza de los usuarios en ella, lo que a su vez puede conducir a la negativa a utilizarla y daños. daños materiales a su dueño.

Seguridad física

Es aconsejable prohibir el acceso de usuarios no autorizados a los equipos de red, incl. y conmutadores y, si es posible, coloque todos los equipos que no sean de abonado en salas de servidores especialmente equipadas. Esto evitará la conexión no autorizada de la computadora de un atacante. Además, debe comprobar periódicamente si hay dispositivos no autorizados conectados a la red que puedan "integrarse" directamente en el cable de red. Para identificar dichos dispositivos puede utilizar varios metodos, incl. y escáneres (por ejemplo, Internet Scanner o Nessus), que determinan de forma remota la presencia de dispositivos "extraños" en la red.

Control de acceso

Otra forma bastante sencilla de proteger su infraestructura VoIP es controlar las direcciones MAC. No permita que teléfonos IP con direcciones MAC desconocidas accedan a puertas de enlace y otros elementos de la red IP que transmiten datos de voz. Esto evitará la conexión no autorizada de teléfonos IP "extranjeros" que puedan escuchar sus conversaciones o realizar comunicaciones telefónicas por su cuenta. Por supuesto, la dirección MAC puede ser falsificada, pero aún así no se debe descuidar una medida de protección tan simple, que se implementa sin problemas en la mayoría de los conmutadores e incluso concentradores modernos. Los nodos (principalmente puertas de enlace, despachadores y monitores) deben configurarse para bloquear todos los intentos no autorizados de acceder a ellos. Para hacer esto, puede utilizar tanto las capacidades integradas en los sistemas operativos como los productos de terceros. Y como trabajamos en Rusia, recomiendo utilizar productos certificados por la Comisión Técnica Estatal de Rusia, sobre todo porque hay muchos de estos productos.

VLAN

tecnología virtual redes locales(VLAN) proporciona una división segura de una red física en varios segmentos aislados que operan independientemente unos de otros. En telefonía IP, esta tecnología se utiliza para separar la transmisión de voz de la transmisión de datos normal (archivos, correo electrónico, etc.). Los despachadores, puertas de enlace y teléfonos IP se colocan en una VLAN dedicada para voz. Como señalé anteriormente, VLAN hace la vida mucho más difícil a los atacantes, pero no elimina todos los problemas relacionados con la escucha de conversaciones. Existen técnicas que permiten a los atacantes interceptar datos incluso en un entorno conmutado.

Cifrado

El cifrado debe usarse no sólo entre puertas de enlace, sino también entre el teléfono IP y la puerta de enlace. Esto protegerá todo el camino que toman los datos de voz de un extremo al otro. La privacidad no sólo es una parte integral del estándar H.323, sino que también está implementada en los equipos de algunos fabricantes. Sin embargo, este mecanismo casi nunca se utiliza. ¿Por qué? Debido a que la calidad de la transmisión de datos es una prioridad máxima, y ​​el cifrado/descifrado continuo de un flujo de datos de voz lleva tiempo y a menudo introduce retrasos inaceptables en el proceso de transmisión y recepción de tráfico (un retraso de 200...250 ms puede reducir significativamente el calidad de las conversaciones). Además, como se mencionó anteriormente, la falta estándar uniforme no permite que todos los fabricantes adopten un único algoritmo de cifrado. Sin embargo, para ser justos, hay que decir que las dificultades hasta ahora para interceptar el tráfico de voz permiten hacer la vista gorda ante su cifrado.

Por cierto, si decide utilizar el cifrado, recuerde que al cifrar los datos de voz, los está ocultando no sólo a un atacante, sino también a las herramientas de control de calidad (QoS) que no podrán proporcionarles el ancho de banda adecuado. y servicio prioritario. Habiendo eliminado un problema (vulnerabilidad), te enfrentas a otro (calidad de servicio). Y puedes estar seguro de que en esta situación preferirás resolver el segundo problema, descuidando la solución del primero. Por cierto, tampoco todo se puede cifrar. No se recomienda cifrar los protocolos de señalización utilizados en telefonía IP, porque en este caso, también cifrará toda la información del servicio necesaria para mantener la funcionalidad de toda la red.

Pero no debería abandonar el cifrado de inmediato: sigue siendo necesario para garantizar la seguridad de sus negociaciones. Por lo tanto, vale la pena abordar el cifrado de datos VoIP con prudencia. Por ejemplo, Cisco recomienda utilizar el comando Crypto en el quirófano en lugar de un túnel GRE o concentradores Cisco VPN 3000. sistema ios de sus equipos, lo que le permite proteger sus datos manteniendo la calidad del servicio. Además, puede utilizar cifrado selectivo sólo para determinados campos de los paquetes VoIP.

Cortafuegos

Para proteger una red corporativa, se suelen utilizar cortafuegos, que también pueden

También se puede utilizar para proteger la infraestructura VoIP. Lo único que hay que hacer es añadir una serie de reglas que tengan en cuenta la topología de la red, la ubicación de los componentes de telefonía IP instalados, etc. Por ejemplo, el acceso a Cisco CallManager desde Internet o la red perimetral generalmente está bloqueado, pero cuando se utiliza la administración basada en Web, dicho acceso debe permitirse, pero solo en el puerto 80 y solo para un rango limitado de direcciones externas. Y para proteger el servidor SQL incluido en Cisco CallManager, puede denegar el acceso desde todos los puertos excepto el 1433.

Por cierto, existen dos tipos de firewalls que se pueden utilizar para proteger los componentes de la telefonía IP. El primero de ellos, corporativo, se instala a la salida de la red corporativa y protege todos sus recursos a la vez. Un ejemplo de un firewall de este tipo es CiscoSecure PIX Firewall. El segundo tipo es personal y protege solo un nodo específico, que puede albergar un punto de abonado, una puerta de enlace o un despachador. Ejemplos de estos cortafuegos personales son RealSecure Desktop Protector o BlackICE PC Protector. Además, algunos sistemas operativos (como Linux o Windows 2000) tienen firewalls personales integrados, que pueden usarse para mejorar la seguridad de su infraestructura VoIP. Dependiendo del estándar de telefonía IP utilizado, el uso de firewalls puede implicar diferentes problemas. Por ejemplo, después de que las estaciones de abonado hayan intercambiado información sobre los parámetros de conexión utilizando el protocolo SIP, toda la interacción se lleva a cabo a través de puertos asignados dinámicamente con números mayores que 1023. En este caso, la UIT "no sabe" de antemano qué puerto se utilizará para el intercambio de datos de voz y, como resultado, dicho intercambio será bloqueado. Por lo tanto, el firewall debe poder analizar paquetes SIP para determinar los puertos utilizados para la comunicación y crear o cambiar dinámicamente sus reglas. Se aplica un requisito similar a otros protocolos de telefonía IP.

Otro problema está relacionado con el hecho de que no todos los firewalls son capaces de procesar de manera competente no solo el encabezado del protocolo de telefonía IP, sino también su cuerpo de datos, porque a menudo contiene información importante. Por ejemplo, la información sobre las direcciones de los suscriptores en el protocolo SIP se encuentra en el cuerpo de datos. La falla de un firewall para "llegar al fondo de las cosas" puede resultar en que las comunicaciones de voz no puedan pasar a través del firewall o dejen un agujero en el firewall que es demasiado grande para que los atacantes lo exploten.

Autenticación

Varios teléfonos IP admiten mecanismos de autenticación que le permiten utilizar sus capacidades solo después de presentar y verificar una contraseña o un número PIN personal que permita al usuario acceder al teléfono IP. Sin embargo, cabe señalar que esta decisión No siempre es conveniente para el usuario final, especialmente cuando se utiliza un teléfono IP a diario. Surge la habitual contradicción “seguridad o conveniencia”.

RFC 1918 y traducción de direcciones

No se recomienda utilizar direcciones IP accesibles desde Internet para VoIP; esto reduce significativamente el nivel general de seguridad de la infraestructura. Por lo tanto, siempre que sea posible, utilice direcciones especificadas en RFC 1918 (10.x.x.x, 192.168.x.x, etc.) que no se puedan enrutar en Internet. Si esto no es posible, entonces es necesario utilizar cortafuegos protegiendo su red corporativa, el mecanismo de traducción de direcciones de red (NAT).

Sistemas de detección de ataques

Ya hemos comentado anteriormente algunos ataques que pueden alterar el funcionamiento de la infraestructura VoIP. Para protegerse contra ellos, puede utilizar sistemas de detección de intrusiones bien probados y conocidos en Rusia, que no solo identifican rápidamente los ataques, sino que también los bloquean, evitando que dañen los recursos de la red corporativa. Estas herramientas pueden proteger tanto segmentos de red completos (por ejemplo, RealSecure Network Sensor o Snort) como nodos individuales (por ejemplo, CiscoSecure IDS Host Sensor o RealSecure Server Sensor).

Un sistema de telefonía IP debe proporcionar dos niveles de seguridad: sistema y llamada.

Para asegurar seguridad del sistema Se utilizan las siguientes funciones:

Evitar el acceso no autorizado a la red mediante el uso de una palabra de código compartida. palabra clave Se calcula simultáneamente utilizando algoritmos estándar en los sistemas de inicio y terminación, y se comparan los resultados obtenidos. Cuando se establece una conexión, cada uno de los dos sistemas de telefonía IP identifica inicialmente al otro sistema; Si se produce al menos un resultado negativo, la conexión se termina.

  • Listas de acceso que incluyen todos los gateways de telefonía IP conocidos.
  • Registro de denegaciones de acceso.
  • Funciones de seguridad de la interfaz de acceso, incluida la verificación del ID de usuario y la contraseña con acceso limitado de lectura/escritura, verificación de los derechos de acceso a un servidor WEB especial para administración.
  • Funciones de seguridad de llamadas que incluyen verificación de ID de usuario y contraseña (opcional), estado de usuario y perfil de suscriptor.

Cuando una puerta de enlace establece una conexión con otra puerta de enlace en su zona, se realiza una verificación opcional del ID de usuario y la contraseña. El usuario podrá verse privado de sus derechos de acceso en cualquier momento.

De hecho, durante el desarrollo del protocolo IP, no se prestó la debida atención a las cuestiones de seguridad de la información, pero con el tiempo la situación ha cambiado y las aplicaciones modernas basadas en IP contienen suficientes mecanismos de seguridad. Y las soluciones en el campo de la telefonía IP no pueden existir sin la implementación de tecnologías estándar de autenticación y autorización, control de integridad y cifrado, etc. Para mayor claridad, consideremos estos mecanismos tal como se utilizan en las distintas etapas de la organización de una conversación telefónica, comenzando por levantar los auriculares del teléfono y finalizando con una señal de colgar.

1. Aparato telefónico.

En telefonía IP, antes de que el teléfono envíe una señal para establecer una conexión, el suscriptor debe ingresar su ID y contraseña para acceder al dispositivo y sus funciones. Esta autenticación le permite bloquear cualquier acción de personas externas y no preocuparse de que los usuarios de otras personas llamen a otra ciudad o país a su cargo.

2. Establecer una conexión.

Después de marcar el número, la señal para establecer una conexión se envía al servidor de gestión de llamadas correspondiente, donde se llevan a cabo una serie de controles de seguridad. El primer paso es verificar la autenticidad del propio teléfono, tanto mediante el uso del protocolo 802.1x como mediante certificados de clave pública integrados en la infraestructura de telefonía IP. Esta verificación le permite aislar teléfonos IP no autorizados instalados en la red, especialmente en una red con direccionamiento dinámico. Fenómenos similares a los famosos centros de llamadas vietnamitas son simplemente imposibles en la telefonía IP (por supuesto, siempre que se sigan las reglas para construir una red telefónica segura).

Sin embargo, el asunto no se limita a la autenticación telefónica: es necesario saber si el suscriptor tiene derecho a llamar al número que marcó. No se trata tanto de un mecanismo de seguridad como de una medida de prevención del fraude. Si a un ingeniero de la empresa no se le permite utilizar comunicaciones de larga distancia, la regla correspondiente se registra inmediatamente en el sistema de gestión de llamadas y, sin importar desde qué teléfono se realice dicho intento, se detendrá de inmediato. Además, puedes especificar máscaras o rangos. números de teléfono, al que un usuario en particular tiene derecho a llamar.

En el caso de la telefonía IP, los problemas de comunicación como sobrecargas de línea en telefonía analogica, son imposibles: con un diseño de red adecuado con conexiones de respaldo o duplicación del servidor de control de llamadas, falla de los elementos de la infraestructura de telefonía IP o su sobrecarga no tiene un impacto negativo en el funcionamiento de la red.

3. Conversación telefónica.

En telefonía IP, desde el principio se proporcionó una solución al problema de la protección contra las escuchas ilegales. Un alto nivel de confidencialidad de las comunicaciones telefónicas está garantizado por algoritmos y protocolos probados (DES, 3DES, AES, IPSec, etc.) con una ausencia casi total de costos para organizar dicha protección: todos los mecanismos necesarios (cifrado, control de integridad, hash, intercambio de claves, etc. ) ya se han implementado en elementos de infraestructura, que van desde un teléfono IP hasta un sistema de gestión de llamadas. Al mismo tiempo, la protección se puede utilizar con igual éxito tanto para conversaciones internas como externas (en el último caso, todos los suscriptores deben utilizar teléfonos IP).

Sin embargo, hay una serie de cuestiones asociadas con el cifrado que es necesario tener en cuenta al implementar una infraestructura VoIP. En primer lugar, hay un retraso adicional debido al cifrado/descifrado y, en segundo lugar, los costes generales aumentan como resultado de un aumento en la longitud de los paquetes transmitidos.

4. Funcionalidad invisible.

Hasta ahora, hemos considerado sólo aquellos peligros a los que está expuesta la telefonía tradicional y que pueden eliminarse con la introducción de la telefonía IP. Pero la transición al protocolo IP trae consigo una serie de nuevas amenazas que no se pueden ignorar. Afortunadamente, ya existen soluciones, tecnologías y enfoques bien probados para proteger contra estas amenazas. La mayoría de ellos no requieren ninguna inversión financiera, ya que ya se han implementado en equipo de red, que subyace a cualquier infraestructura de telefonía IP.

Lo más sencillo que se puede hacer para mejorar la seguridad de las conversaciones telefónicas cuando se transmiten a través del mismo sistema de cable que los datos normales es segmentar la red utilizando tecnología VLAN para evitar que los usuarios normales escuchen las conversaciones. Se obtienen buenos resultados utilizando un espacio de direcciones separado para los segmentos de telefonía IP. Y, por supuesto, no se deben descartar las reglas de control de acceso a los enrutadores (Lista de control de acceso, ACL) o firewalls, cuyo uso dificulta a los atacantes conectarse a los segmentos de voz.

5. Comunicación con el mundo exterior.

Cualesquiera que sean los beneficios que proporcione la telefonía IP dentro de la red corporativa interna, estarán incompletos sin la capacidad de realizar y recibir llamadas a números fijos. En este caso, por regla general, surge la tarea de convertir el tráfico IP en una señal transmitida a través de la red telefónica pública (PSTN). Se soluciona mediante el uso de gateways de voz especiales, que también implementan algunas funciones de protección, y la más importante de ellas es el bloqueo de todos los protocolos de telefonía IP (H.323, SIP, etc.) si sus mensajes provienen de un segmento que no es de voz. .

Para proteger los elementos de la infraestructura de voz de posibles influencias no autorizadas, se pueden utilizar soluciones especializadas: firewalls (FWE), puertas de enlace de la capa de aplicación (ALG) y controladores de borde de sesión (Session Border Controller). En particular, el protocolo RTP utiliza dinámica Puertos UDP, cuya apertura en el cortafuegos provoca la aparición de un gran agujero en la protección. Por lo tanto, el firewall debe determinar dinámicamente los puertos utilizados para la comunicación, abrirlos en el momento de la conexión y cerrarlos cuando se complete. Otra característica es que varios protocolos, por ejemplo SIP, colocan información sobre los parámetros de conexión no en el encabezado del paquete, sino en el cuerpo de los datos. Por tanto, el dispositivo de seguridad debe poder analizar no sólo el encabezado, sino también el cuerpo de datos del paquete, extrayendo de él toda la información necesaria para organizar una conexión de voz. Otra limitación es la dificultad de utilizar puertos dinámicos y NAT juntos.



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba