На сегодняшний день проблемы информационной безопасности в мире приобретают всё большую актуальность. В СМИ часто можно наткнуться на новость об очередной успешной хакерской атаке, крупной утечке критичных данных или очередном вирусе-вымогателе, который срывает работу целых компаний. Даже если Вы человек далёкий от информационной безопасности и мира информационных технологий, то Вы всё равно наверняка слышали о вирусе “WannaCry”, уязвимостях “Spectre” и “Meltdown” и может быть даже о недавней атаке на устройства компании Cisco, которая ударила по крупным провайдерам и парализовала много сервисов и сетевых сегментов.

Однако, широкой огласке обычно подвергаются новости об атаках и уязвимостях, носящие массовый характер, направленных на наиболее распространенные инфраструктурные системы. Мы же хотим рассказать о том, как обстоит ситуация с информационной безопасностью в отдельной в отдельно взятой сфере - IP телефонии и решений VoIP. Разберём наиболее важные проблемы и тренды развития данного направления.

Проблемы информационной безопасности в VoIP

Если раньше, выбирая на чём строить офисную телефонию, заказчиков больше всего волновали вопросы стоимости и надёжности, то в связи с нынешним положением, вопросы защиты и безопасности всё чаще начинают преобладать. Хотя IP телефония имеет массу преимуществ по сравнению с системами традиционной телефонии, её намного легче взломать. В случае с традиционной системой PSTN злоумышленник должен получить физический доступ к среде передачи или системам, которые задействованы в обмене голосовой информацией. IP телефония – это прежде всего сеть с коммутацией пакетов, которые передаются на ряду с другими корпоративными сервисами – Интернетом, почтой и другими. Если эта сеть недостаточно защищена, то злоумышленнику даже не обязательно находиться в одной стране с системой IP телефонии, чтобы получить доступ к критичным данным, украсть их или модифицировать.

Вот почему необходимо обеспечивать многоуровневую защиту систем корпоративной IP телефонии. Недостаточно просто поставить стойкий пароль к интерфейсу управления. Это должен быть чёткий набор определённых мер, применяемых в комплексе – межсетевое экранирование, антивирусная защита, регулярные обновления программного обеспечения, шифрование передаваемых данных и другое.

Отдельно следует уделить внимание повышению осведомлённости своих сотрудников об атаках из разряда социальной инженерии. Одним из наиболее распространённых векторов атаки данного типа на сегодняшний день является “фишинг”. Суть его заключается в том, что злоумышленник рассылает “письма счастья” с вредоносными вложениями, в надежде на то, что человек откроет это вложение и тем самым, загрузит на свой компьютер вредонос. Защититься от таких атак можно сразу на нескольких уровнях:

1. Межсетевой экран, на котором адрес отправителя фишинговых писем должен быть заблокирован. Автоматизировать процесс получения актуального списка адресов активных отправителей для блокировки на МСЭ, можно с помощью решений Threat Intelligence. Существуют как платные решения от таких компаний как Anomali, ThreatConnect или EclecticIQ, так и OpenSource, например, YETI и MISP.
2. Решение для защиты почтового сервера, которое проверяет все письма на предмет подозрительных вложений, адреса отправителя, блокирует спам. Примерами таких решений является Kaspersky Security для почтовых серверов, AVG Email Server Edition для ME, McAfee Security for Email Servers. Кстати, в этом случае также можно автоматизировать процесс блокировки с помощью решений TI.
3. Антивирусное ПО для защиты оконечных устройств, которое заблокирует опасное вложение, если всё-таки вредонос сможет пролезть через МСЭ и почтовый сервер. Для этого подойдёт Kaspersky Endpoint Security, Norton, Trend Micro и другие.

Но если от фишинга можно защититься с помощью специализированных программ и аппаратных решений, то от следующих видов атак, основанной на социальной инженерии, защититься гораздо труднее. Возможно, Вы не знали, но помимо традиционного email “фишинга”, существует также и телефонный. Например, сотруднику Вашей компании на голосовую почту может прийти сообщение от “банка” о том, что кто-то пытался получить доступ к его счёту и что ему необходимо срочно перезвонить по оставленному номеру. Не трудно догадаться, что на другом конце провода, его будет ждать злоумышленник, который постарается сделать всё, чтобы втереться в доверие, украсть данные его счёта, чтобы в итоге похитить денежные средства.

Существует также телефонный “вишинг”. Этот тип атаки направлен на первую линию сотрудников, которые принимают все входящие звонки в Вашей компании. На общий номер поступает звонок от какой-нибудь известной организации или персоны, а дальше с помощью методов психологического давления, доверчивого сотрудника заставляют что-либо сделать. В самом лучшем случае, позвонивший будет агрессивно требовать соединить его с руководством компании, чтобы предложить какие-нибудь услуги, в самом худшем - выдать конфиденциальную или критически важную информацию. А что, если злоумышленник узнает каким банком обслуживается Ваша компания и позвонит бухгалтеру от лица “Вашего банка”? К такому тоже нужно быть готовым.

Защититься от подобного типа атак можно было бы с помощью некоего аналога Threat Intelligence для VoIP – списка телефонных номеров, с которых поступают “фишинговые” и “вишинговые” звонки, чтобы заблокировать их на АТС. Однако, такого решения пока нет, поэтому придётся просвещать сотрудников на тему безопасности.

Безопасность облачных систем

Сейчас уже сложно обозначить чёткие границы офисной сети. С распространением облачных решений, распределённых сетей VPN и всеобщей виртуализации, корпоративная сеть уже перестала иметь чёткую географическую привязку.

Аналогично обстоят дела и в сфере VoIP. Каждый крупный провайдер IP телефонии имеет в своем наборе услуг облачную АТС, которая настраивается в считанные минуты и способна обеспечить телефонией компанию любого размера и неважно где территориально она расположена. Облачная или виртуальная АТС – это очень удобное решение, которое привлекает заказчиков тем, что не надо держать лишние сервера в здании и обслуживать их. Вместо этого, можно просто арендовать необходимые серверные мощности или сервис телефонии. Однако, с точки зрения информационной безопасности, облачные АТС – это идеальная цель для хакерских атак. Потому что, как правило, аккаунты для доступа к настройкам АТС, находятся в открытом доступе. Если владелец аккаунта не озаботится созданием стойкого пароля, то он рискует оплатить немаленький счёт за телефонные разговоры злоумышленника или предоставить доступ к записям разговоров своих сотрудников. В этой связи при выборе провайдера следует также проверить обеспечивает ли он дополнительные мероприятия по защите целостности и конфиденциальности данных. Используется шифрование при подключении к аккаунту с настройками облачной АТС, шифруются ли данные при их транспортировке.

Тренды развития направления ИБ в VoIP

Наиболее распространённым методом защиты корпоративной инфраструктуры является организация защищённой сети VPN, когда подключение извне осуществляется по зашифрованному каналу, а данные внутри сети передаются в незашифрованном виде. Это относится и к голосовому трафику. Однако, тенденции развития информационных технологий указывают на то, что в недалёком будущем голосовая информация также будет подвергаться шифрованию. Большинство VoIP вендоров уже давно имплементируют в своих решениях поддержку таких протоколов как SIP/TLS, SRTP, ZRTP и д.р, стимулируя пользователей применять внедрять ещё один уровень защиты. Например, большинство IP-телефонов и решений видеоконференцсвязи от компании Cisco, а также системы CUCM, CUBE, Cisco SBC, UCCS и д.р поддерживают TLS 1.2 и SRTP. Самое распространённое Open Source решение IP-АТС Asterisk имеет поддержку защищённых протоколов передачи медиа трафика начиная с версии 1.8. В программной Windows-based АТС 3CX версии V15, поддержка SRTP включена по умолчанию.

VoIP решения зачастую очень тесно интегрируются с другими корпоративными системами, такими как CRM, ERP, CMS, не говоря уже о таких каналах бизнес коммуникаций как email, обмен мгновенными сообщениями (чат) и социальные сети, формируя в совокупности концепцию UC (Unified Communications). Потенциальные преимущества, которые несёт данная концепция очень привлекательны, но вместе с тем, создаётся множество точек уязвимых к возможному взлому. Недостаточный уровень защиты одной из них может быть угрозой всей корпоративной сети. Поэтому разработчики, несомненно, будут усиливать безопасность каналов интеграции данных систем.

Можно также ожидать интеграцию систем корпоративной телефонии в такие средства защиты как DLP (средства защиты от утечек), адаптации метрик VoIP в SIEM системах (система управления информацией и событиями безопасности), а также появление унифицированных репутационных баз (Threat Intelligence) со списками потенциально опасных номеров или других индикаторов компрометации, относящихся к VoIP, которые будут автоматически блокироваться имеющимися средствами защиты.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас:(Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Осталось в прошлом то время, когда операторы с опасением относились к использованию IP-телефонии, считая уровень защищенности таких сетей низким. Сегодня уже можно говорить о том, что IP-телефония стала неким стандартом де-факто в телефонных коммуникациях. Это объясняется удобством, надежностью и относительно невысокой стоимостью IP-телефонии по сравнению с аналоговой связью. Можно утверждать, что IP-телефония повышает эффективность ведения бизнеса и позволяет осуществлять такие ранее недоступные операции, как интеграция с различными бизнес-приложениями.

Если говорить о недостатках и уязвимостях IP-телефонии, прежде всего следует отметить те же «болезни», какими страдают другие службы, использующие протокол IP. Это подверженность атакам червей и вирусов, DoS-атакам, несанкционированному удаленному доступу и др. Несмотря на то, что при построении инфраструктуры IP-телефонии данную службу обычно отделяют от сегментов сети, в которых «ходят» не голосовые данные, это еще не является гарантией безопасности. Сегодня большое количество компаний интегрируют IP-телефонию с другими приложениями, например с электронной почтой. С одной стороны, таким образом появляются дополнительные удобства, но с другой — и новые уязвимости. Кроме того, для функционирования сети IP-телефонии требуется большое число компонентов, таких, как серверы поддержки, коммутаторы, маршрутизаторы, межсетевые экраны, IP-телефоны и т. д. При этом для поддержки функционирования IP-сети часто используются неспециализированные ОС. К примеру, большинство IP-УАТС построено на базе обычных и хорошо известных операционных систем (Windows или Linux), которые теоретически обладают всеми уязвимостями, характерными для данных систем.

В некоторых IP-УАТС применяется СУБД и веб-серверы, имеющие свои элементы уязвимостей. И хотя для универсальной операционной системы или стека протоколов можно использовать давно известные средства защиты — антивирусы, персональные межсетевые экраны, системы предотвращения атак и т. п., отсутствие «заточенности» таких средств под работу с приложениями IP-телефонии может негативно сказаться на уровне защищенности.

Среди основных угроз, которым подвергается IP-телефонная сеть, можно выделить:

• регистрацию чужого терминала, позволяющую делать звонки за чужой счет;
• подмену абонента;
• внесение изменений в голосовой или сигнальный трафик;
• снижение качества голосового трафика;
• перенаправление голосового или сигнального трафика;
• перехват голосового или сигнального трафика;
• подделка голосовых сообщений;
• завершение сеанса связи;
• отказ в обслуживании;
• удаленный несанкционированный доступ к компонентам инфраструктуры IP-телефонии;
• несанкционированное обновление ПО на IP-телефоне (например, с целью внедрения троянской или шпионской программы);
• взлом биллинговой системы (для операторской телефонии).

Это далеко не весь перечень возможных проблем, связанных с использованием IP-телефонии. Альянс по безопасности VoIP (VOIPSA) разработал документ, описывающий широкий спектр угроз IP-телефонии, который помимо технических угроз включает вымогательство через IP-телефонию, спам и т. д.

И все же основное уязвимое место IP-телефонии — это набивший оскомину человеческий фактор. Проблема защищенности при развертывании IP-телефонной сети часто отодвигается на задний план, и выбор решения проходит без участия специалистов по безопасности. К тому же специалисты не всегда должным образом настраивают решение, даже если в нем присутствуют надлежащие защитные механизмы, либо приобретаются средства защиты, не предназначенные для эффективной обработки голосового трафика (например, межсетевые экраны могут не понимать фирменный протокол сигнализации, использующийся в решении IP-телефонии). В конце концов, организация вынуждена тратить дополнительные финансовые и людские ресурсы для защиты развернутого решения либо мириться с его незащищенностью.

Что же строить?

Не будет открытием и то, что чем надежнее защищена IP-телефонная сеть, тем меньше вероятность взлома и злоупотреблений в такой сети. Прозвучит банально, но думать об обеспечении безопасности необходимо уже на этапе подготовки проекта IP-телефонии и именно на этом этапе необходимо договориться о том, какие механизмы защиты целесообразнее использовать в сети. Будет ли это набор встроенных механизмов? А может, особенности функционирования данной IP-сети таковы, что необходимы дополнительные и «навесные» средства защиты?

С точки зрения управляемости и производительности наиболее предпочтительной кажется такая архитектура IP-телефонии, где все компоненты защиты встроены в элементы самой сети. Если рассматривать IP-телефонную сеть без использования дополнительных средств защиты, то, применяя встроенные в сетевые коммутаторы защитные механизмы, можно добиться построения относительно стойкой защиты от атак на периметр. Встроенный функционал позволяет обеспечить:

• возможность создания виртуальных локальных сетей (VLAN) с использованием встроенных возможностей коммутаторов;
• применение встроенных механизмов фильтрации и контроля доступа;
• ограничение и представление гарантируемой полосы пропускания, что позволяет эффективно подавлять DoS-атаки;
• ограничение числа устройств с различными MAC-адресами, подключенными к одному порту;
• предотвращение атак на расходование пула адресов DHCP-сервиса;
• предотвращение засорения таблиц ARP и «воровство» адресов;
• предотвращение атак с анонимных адресов;
• применение списков контроля доступа, ограничивающих адреса узлов, которые могут передавать данные IP-телефонам.

Кроме того, встроенная в архитектуру IP-сети система управления вызовами, которая может подключаться к специальной выделенной локальной сети, изолированной от рабочей сети организации, представляет собой дополнительный «рубеж» в защите. К недостаткам можно отнести то, что встроенные в сетевое оборудование защитные функции не всегда обеспечивают надлежащий уровень безопасности и для его поднятия могут потребоваться дополнительные вложения в модернизацию оборудования.

Несмотря на использование в основе своей протокола IP, IP-телефония далеко не всегда может быть адекватно защищена традиционными решениями. Связано это с тем, что они не учитывают ее специфики — передачи трафика в реальном времени, контроля качества и трафика на прикладном уровне и т. д. Идеально, когда приложения IP-телефонии и их безопасность неразрывно связаны и интегрированы между собой в единую платформу, включающую и сетевую инфраструктуру. Это позволяет повысить эффективность защиты и снизить издержки на нее. В противном случае приходится строить четыре независимых или практически непересекающиеся инфраструктуры: ЛВС, IP-телефонная сеть, безопасность ЛВС и инфраструктура безопасности IP-телефонии.

Применение специализированных межсетевых экранов значительно повышает безопасность IP-телефонной сети, например, при помощи фильтрации трафика с учетом состояния соединения (stateful inspection ), что позволяет пропускать только необходимый трафик и соединения, установленные в определенном направлении (от сервера к клиенту или наоборот). Кроме того, межсетевой экран предоставляет возможности по:

• фильтрации трафика управления установкой IP-телефонных соединений;
• передаче трафика управления через NAT и сетевые туннели;
• TCP-перехвату, который обеспечивает проверку закрытия TCP-сессий, что позволяет защищаться от ряда атак типа отказа в обслуживании (DoS).

При проектировании сети, в которой предполагается использование дополнительных средств защиты, например системы обнаружения или предотвращения атак, следует особое внимание уделить выбору производителя таких средств, поскольку вопрос об управлении гетерогенной IP-сетью не всегда может быть решен эффективно и быстро и практически всегда требует серьезных дополнительных вложений.

Предпочтителен выбор того производителя, на оборудовании которого уже функционирует сеть, так как поддержку и управление устройствами можно осуществлять в этом случае централизованно и с меньшими затратами.

Защита от прослушивания

Виртуальные ЛВС снижают в известной степени риск прослушивания телефонных разговоров, однако в случае перехвата речевых пакетов анализатором восстановление записи разговора для специалиста дело нехитрое. Главным образом, виртуальные ЛВС способны обеспечить защиту от внешних вторжений, но защитить от атаки, инициированной изнутри сети, могут быть не способны. Человек, находящийся внутри периметра сети, может подключить компьютер прямо к разъему настенной розетки, сконфигурировать его как элемент виртуальной ЛВС системы IP-телефонии и начать атаку.

Наиболее совершенный способ противодействия подобным манипуляциям — использование IP-телефонов со встроенными средствами шифрования. Кроме того, дополнительную защиту обеспечивает шифрование трафика между телефонами и шлюзами. На сегодняшний день практически все производители, такие как Avaya, Nortel и Cisco, предлагают встроенные средства шифрования для информационных потоков и сигнализации. Шифрование трафика является наиболее логичным решением для защиты от прослушивания разговоров, но такая функциональность несет и ряд трудностей, которые необходимо учитывать при построении защищенной связи. Основной проблемой может быть задержка, добавляемая процессом зашифровывания и расшифровывания трафика. При работе в локальной сети подобная проблема, как правило, не дает о себе знать, но при связи через территориально-распределенную сеть способна доставлять неудобства. К тому же шифрование сигнализации, происходящее на прикладном уровне, может затруднить работу межсетевых экранов. В случае применения потокового шифрования задержки гораздо ниже, чем при использовании блочных шифров, хотя полностью от них избавиться не удастся. Вариантом решения проблемы могут служить более быстрые алгоритмы или включение механизмов QoS в модуль шифрования.

QoS

Принято считать, что основное назначение механизмов QoS (Quality of Service ) — обеспечение должного качества связи. Но не стоит забывать, что они играют важнейшую роль и при решении задач безопасности. Для передачи речи и данных из логически отдельных виртуальных ЛВС используется общая физическая полоса пропускания. При заражении узла вирусом или червем может произойти переполнение сети трафиком. Однако если прибегнуть к механизмам QoS, настроенным соответствующим образом, трафик IP-телефонии будет попрежнему иметь приоритет при прохождении через общие физические каналы, и DoS-атака окажется безуспешной.

Защита от подмены телефонов и серверов управления

Многие элементы IP-телефонии имеют динамическую адресацию, что позволяет злоумышленникам использовать это в своих целях. Они могут «выдать себя» за IP-телефон, сервер управления звонками и т. д. Для защиты от устройств, пытающихся замаскироваться под авторизованные IP-телефоны или несанкционированно подключенных к сетевой инфраструктуре, можно воспользоваться правилами контроля доступа на маршрутизаторах и межсетевых экранах. Кроме того, могут пригодиться средства строгой аутентификации всех абонентов инфраструктуры IP-телефонии. Для подтверждения подлинности абонентов могут применяться различные стандартизированные протоколы, включая RADIUS, сертификаты PKI x.509 и т. д.

Защита от DoS-атак

Атаки типа «отказ в обслуживании» на приложения IP-телефонии (например, на серверы обработки звонков) и среду передачи данных представляют собой довольно серьезную проблему. Если говорить об атаках на среду передачи данных, отметим, что за передачу данных в IP-телефонии, как правило, отвечает протокол RTP (Real-Time Protocol ). Он уязвим для любой атаки, которая перегружает сеть пакетами или приводит к замедлению процесса их обработки конечным устройством (телефоном или шлюзом). Следовательно, злоумышленнику достаточно «забить» сеть большим количеством RTP-пакетов либо пакетов с высоким приоритетом обслуживания, которые будут конкурировать с легитимными RTP-пакетами. В таком случае для защиты можно использовать как встроенные в сетевое оборудование механизмы обеспечения информационной безопасности, так и дополнительные решения:

• разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в «голосовом» участке распространенных атак, в том числе и DoS;
• специальные правила контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты;
• систему предотвращения атак на сервере управления звонками и ПК с голосовыми приложениями;
• специализированные системы защиты от DoS- и DDoS-атак;
• специальные настройки на сетевом оборудовании, предотвращающие подмену адреса и ограничивающие полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.

Защита IP-телефонов

IP-телефоны содержат целый ряд специальных настроек, препятствующих несанкционированному доступу к ним. К таким настройкам относятся, например, доступ к функциям телефона только после предъявления идентификатора и пароля или запрет локального изменения настроек и т. д. С целью предотвращения загрузки на IP-телефон несанкционированно модифицированного программного обеспечения и конфигурационных файлов, их целостность может контролироваться цифровой подписью и сертификатами X.509.

Защита от мошенничества в IP-телефонной сети

Среди основных типов мошенничества, встречающегося в IP-телефонной сети, можно отметить кражу услуг, фальсификацию звонков, отказ от платежа и другие виды. Защититься от мошенничества в сетях IP-телефонии можно, используя возможности сервера управления IT-инфраструктурой. Так, для каждого абонента можно заблокировать звонки на определенные группы номеров; заблокировать звонки с нежелательных номеров; заблокировать возможность переадресации звонков на различные типы номеров — городские, мобильные, междугородные и международные; отфильтровать звонки по различным параметрам. Все действия могут осуществляться независимо от того, с какого телефонного аппарата абонент осуществляет звонок, — это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. В случае если пользователь не проходит процесс подтверждения своей подлинности, он может звонить только по заранее определенному списку номеров, например, только по внутренним номерам телефонов и в экстренные муниципальные службы.

Стандарты в IP-телефонии

Сегодня протокол SIP приходит на смену протоколам H.323, при этом многие разработчики устройств, поддерживающих SIP, фокусируют свои силы на увеличении числа функций, а не на безопасности. В отличие от стандарта H.323, в рамках которого разработана спецификация H.235, описывающая различные механизмы безопасности, протокол SIP практически лишен каких бы то ни было серьезных защитных функций. Это заставляет сомневаться в безоблачном будущем IP-телефонии, которое многие эксперты связывают именно с протоколом SIP. Определенные надежды возлагаются на сформированный в июле 2005 года альянс по безопасности IP-телефонии , целью которого является проведение исследований, повышение осведомленности, обучение и разработка бесплатных методик и инструментов для тестирования в области защищенности IP-телефонии. Но пока единственным результатом работы данного альянса стало создание таксономии атак и уязвимых мест IP-телефонии.

Заключение

В заключение хотелось бы еще раз отметить, что основной постулат эффективной системы безопасности IP-телефонии — на этапе проектирования думать о том, каким образом будет строиться система защиты такой сети, с целью максимального соответствия особенностям IP-коммуникаций в организации. Не следует забывать и о том, что IP-телефония — это приложение, которое работает в IP-сети, и адекватные меры по защите IP-сети в целом лишают злоумышленника дополнительных возможностей по организации прослушивания, реализации DoS-атак и использованию ресурсов сети в качестве лазейки в IP-телефонную сеть.

Среди первоочередных требований к обеспечению безопасности IP-телефонной сети следует назвать необходимость разделения голосовых и обычных данных. То есть IP-телефония должна быть отделена от сети, где передаются другие данные при помощи VLAN. Сегментация позволяет создать дополнительный рубеж, предупреждающий атаки и злоупотребления, в том числе и те, источник которых находится во внутренней сети. Кроме того, при проектировании IP-телефонной сети важно обеспечить соответствующую полосу пропускания и не забывать о применении механизмов QoS для приоритизации IP-телефонного трафика.

И наконец, использование средств защиты, ориентированных на особенности работы IP-телефонии, поможет избежать не только «дыр» в безопасности построенной сети, таких как «непонимание» средствами защиты IP-трафика, но и дополнительных финансовых расходов на модернизацию существующего оборудования или приобретение новых защитных устройств.

2015. SwitchRay представляет обновленное решение для защиты IP-АТС от фрода

Компания SwitchRay, ведущий поставщик VoIP решений для розничных и оптовых операторов связи, интернет-провайдеров, операторов проводной и беспроводной сети, объявил о доступности новой версии продукта SR-P7000 v1.1 для предотвращения мошенничества на IP-АТС. В отличие от других решений, SR-P7000 v1.1 является независимой и легко совместимой с любым софтсвичом платформой для защиты операторов от потери доходов, вызванной различными формами мошенничества, взломом и прочими нарушениями информационной безопасности.

2013. WebMoney Voice - приложение для безопасной VoIP связи

Платежная система WebMoney выпустила приложение WebMoney Voice (вернее это дополнительный модуль к мобильному клиенту системы), позволяющее проводить безопасные телефонные переговоры через IP-телефонию. WebMoney Voice кодирует данные с использованием специальных алгоритмов и практически исключает возможность перехвата и прослушивания переговоров третьими лицами в любых сетях передачи данных. При этом во время конфиденциального звонка качество звучания голоса собеседника не теряется. За пользование сервисом плата не взимается. В настоящее время приложение доступно для скачивания в Google Play для Android версии 3.0.52 и выше. Планируется выход версий и для других мобильных платформ.

2012. Телфин защищает корпоративные VoIP-коммуникации

Провайдер VoIP-услуг для бизнеса Телфин запустил новый сервис Телфин.VoiceVPN , который предназначен для защиты VoIP-коммуникаций. Дело в том, что технология VoIP предполагает передачу голоса по публичным интернет-каналам, а также в интранете, который не всегда как следует отгорожен от внешней сети. Поэтому, голосовой сигнал может быть перехвачен, и коммерческие секреты - украдены. Телфин.VoiceVPN позволяет и защитить внутреннюю сеть компании от прослушивания, и организовать безопасный канал между отдаленными офисами. Для этого в каждом офисе должен быть установлен VPN-маршрутизатор (который Телфин продает по 3200 руб). Еще 1000 рублей стоит подключение, а потом вы платите абонплату 500 руб/месяц.

2011. БЕЛТЕЛ будет продавать VoIP решения Polycom

Системный интегратор БЕЛТЕЛ объявляет о получении статуса авторизованного реселлера компании Polycom. Полученный статус позволяет компании пополнить свой ассортимент такими продуктами и решениями как аппаратные телефоны для работы с Microsoft Endpoint, голосовые решения на основе IP, а также решениями Video Border Proxy, созданными для предоставления безопасного удаленного доступа к функциям UC, VoIP и Video и обеспечения прохождения мультимедийных данных через корпоративные межсетевые экраны.

2010. PhoneUp повышает безопасность и контролируемость бизнеса

Компания БКС-АйТи представила новый модуль «Приоритет» для своего пакета PhoneUp , расширяющий полномочия определенных групп сотрудников по управлению звонками внутри IP сети, построенной на технологиях Cisco. С помощью нового модуля руководители или сотрудники службы безопасности компании получат возможность прослушивать разговоры путем незаметного подключения к телефону сотрудника, инициировать принудительное соединение с сотрудником (даже если его телефон занят), присоединяться к текущему разговору сотрудника, инициировать запись разговора сотрудника. Кроме нового модуля, пакет PhoneUp включает в себя модули для реализации единого телефонного справочника компании, видеонаблюдения и информирования сотрудников.

2009. WatchGuard XTM обеспечит безопасность IP-телефонии

Важность защиты VoIP коммуникаций от угроз в последнее время заметно растет, и эта тенденция будет только усиливаться, что обусловлено ежегодным ростом объемов VoIP-трафика. Компания WatchGuard Technologies представила новую версию системы обеспечения безопасности корпоративных ip-сетей WatchGuard XTM 8 Series , основными особенностями которой стали инструменты для защиты IP-телефонии. Система обеспечивает защиту VoIP, блокировку приложений мгновенного обмена сообщениями (IM) и P2P-приложений. Особенностью решений WatchGuard XTM 8 Series, кроме того, является обеспечение прикладной защиты для протоколов SIP и H.323, что позволяет маскировать коммерческие VoIP-системы и одновременно укреплять их для отражения атак по сбору директорий, незаконному доступу к проверке вводимых данных и других угроз для VoIP. Решение WatchGuard XTM 8 Series предназначено для крупных компаний, сети которых объединяют от 1 тыс. до 5 тыс. пользователей.

2009. В России проведут спецкурс по безопасности IP-телефонии

Учебный центр «Информзащита» анонсировал спецкурс по безопасности IP-телефонии, посвященный комплексным вопросам анализа защищенности и обеспечения безопасности IP-телефонии. Это уникальный для России курс, в котором рассматриваются современные подходы к построению инфраструктуры IP-телефонии, уязвимости и атаки на ее компоненты, методы защиты, системы мониторинга и методологии анализа защищенности VoIP-сети. Более 50% учебного времени будет отведено на практические работы, в ходе которых моделируются типовые атаки на инфраструктуру IP-телефонии и рассматривается методика использования защитных механизмов. Применяемая в процессе обучения технология виртуализации серверов и рабочих мест позволяет каждому специалисту выполнять практические работы в индивидуальной VoIP-сети. Курс ориентирован на администраторов информационной безопасности, системных и сетевых администраторов, ответственных за эксплуатацию VoIP-приложений, экспертов и аналитиков по вопросам компьютерной безопасности, определяющих требования к защищенности сетевых ресурсов и защите от утечки конфиденциальной информации по техническим каналам.

2009. Евровласти хотят прослушивать Skype

Агентство Евросоюза по координации национальных систем правосудия хочет получить возможность прослушивать системы ip-телефонии, в т.ч. Yahoo Messenger, InternetCalls, Skype. Сейчас деятельность этих voip-провайдеров не регулируется законодательством ЕС и США о прослушивании и хранении данных и, в отличие от телекоммуникационных компаний, они не обязаны сотрудничать с правоохранительными органами. К тому же, шифрование связи, например в Skype, практически делают невозможным его "насильное" прослушивание. В ближайшие недели состоится встреча законодателей стран ЕС по данному вопросу

2008. Cisco защитит унифицированные коммуникации

SIP-защита для унифицированных коммуникаций состоит в использовании протокола SIP в межсетевом экране Cisco IOS Firewall для защиты голосовой связи. Это новшество позволит компаниям принять концепцию распределенного предприятия, повысить производительность труда и минимизировать угрозы, связанные с передачей голоса. Это обновление превращает сетевые решения CISCO Self-Defending Network (самозащищающаяся сеть) в более широкое системное решение, обеспечивающее общую защиту сетей, а также самых разных оконечных устройств, приложений и контента.

2007. VoIP трудно прослушать

Широкое распространение VoIP-услуг приносит проблемы различным спецслужбам. Телефонные звонки по Skype практически невозможно отследить и прослушать, а если используется VPN, то задача усложняется в несколько раз, пишет Australian IT. Быстрое увеличение операторов IP-телефонии и появление доступных способов шифрования данных означает, что времена простого прослушивания телефонных разговоров прошли. Спецслужбы ведут работу в этом направлении, привлекая специалистов и расширяя свои технические возможности. Однако, размер оплаты труда таких специалистов и стоимость оборудования слишком высоки. В этом случае у правительства появляется искушение ввести правила, обязывающие VoIP-провайдеров использовать упрощенные технологии, что, в конечном итоге, может привести к ослаблению сетевой безопасности.

2007. Cisco: профессионалы ИТ-безопасности не боятся VoIP

Опрос, проведённый Vanson Bourne по заказу Cisco, показал, что вирусы стоят на первом месте в списке наиболее важных угроз. В 2007 году первенство им присвоили 55% опрошенных (против 27% в 2006). Несанкционированный доступ к данным назвали главной угрозой 33%, против 50% в прошлом году. Заботой номер один 38% профессионалов ИТ-безопасности назвали сохранность данных, а 33% - необходимость привести процессы в соответствие требованиям регулирующих органов. Ни один из респондентов не выразил «сильной озабоченности» по поводу безопасности VoIP, Asterisk или унифицированных систем связи (интернет плюс проводная связь). При этом половина (49%) согласилась, что при развёртывании IP-коммуникаций необходимо принимать во внимание соображения безопасности. Опрос был проведён среди 100 профессионалов ИТ-безопасности, отвечающих за защиту информации в своих компаниях со штатом более 1 тыс. человек.

2007. Компания Skype стремится повысить безопасность своего ПО

Популярный оператор пиринговой IP-телефонии Skype планирует заключить соглашение о сотрудничестве с компанией, специализирующейся на защите сетей мгновенных сообщений, FaceTime Communications. По данным информационного издания Silicon, Skype таким образом попытается дать больше инструментов контроля над сеансами IP-телефонии с тем, чтобы продвинуть свои услуги в бизнес-секторе. Ожидается, что за этим соглашением последуют ряд других, аналогичных сделок. Намерение Skype сделать свое ПО общедоступным инструментом делового общения, потребовало изменить отношение к проблемам IT-менеджеров предприятий, которые оказались не в состоянии контролировать трафик популярной телефонной системы. По официальным данным Skype приблизительно 30% из 171 млн. зарегистрированных пользователей принадлежат миру бизнеса.

2007. Специалисты по безопасности продолжают пугать будущими проблемами с IP-телефонией

Компании, специализирующиеся на обеспечении безопасности работы компьютеров в сетях, продолжают пугать мировое сообщество потенциальными угрозами, которые вскоре обрушатся на головы многочисленных пользователей IP-телефонии. Отсутствие давно обещанных проблем объясняют недостаточно серьезным развитием этого вида связи, но, опираясь на данные исследований, утверждающих, что к 2010 году число IP-телефонов в бизнесе вырастет более чем в 4 раза, специалисты по безопасности утверждают, что большинство фирм просто не готово к атакам на их VoIP-сети, пишет The Register. При этом производители систем защиты не скрывают, что находятся в ожидании стремительного роста рынка систем безопасности для IP-телефонии, и свои мрачные прогнозы объясняют желанием предупредить об опасности потенциальных клиентов заранее. Специалисты Symantec считают, что главные трудности VoIP-систем будут связаны с фишингом (phishing), Panda Software опасается распространения "червей" через трафик VoIP-модулей IM-клиентов или систем наподобие Skype, а представители ScanSafe утверждают, что VoIP-сети будут особо уязвимы для DoS-атак.

2006. Американские эксперты создают партнерскую группу по безопасности VoIP

Группа американских академиков и промышленных экспертов была недавно создана, чтобы исследовать проблемы безопасности, связанные с технологией VoIP. В партнерскую группу вошли Georgia Tech Information Security Center (GTISC), BellSouth и Internet Security Systems (ISS). Услуги связи переходят на интернет-платформы и значение безопасности повышается в условиях применения новых конвергентных технологий. Исследователи планируют проводить анализ защиты VoIP-протоколов и проблем с аутентификацией, заниматься моделированием VoIP-трафика и поведения устройств, защитой мобильных телефонов и VoIP-приложений. ISS и BellSouth предоставили 300 тыс. долларов на двухлетнюю исследовательскую программу, которая даст возможность GTISC разрабатывать и оценивать решения защиты, а ISS и BellSouth будут иметь доступ к результатам этих исследований.

2006. Session border controller поможет в защите VoIP

Развитие услуг IP-телефонии поднимает со всей остротой новый вопрос, имеющий корни в старых проблемах: о безопасности VoIP. Специалисты предсказывают, что уже к середине 2007 года взлом и вирусные атаки VoIP-сетей будут обычным делом, что не может не тревожить разработчиков VoIP-решений и поставщиков VoIP-услуг. Впрочем, некоторую базовую защиту можно организовать еще на уровне архитектуры сети, используя пограничные контроллеры сессий (session border controllers - SBC), способные предотвращать DDoS-атаки, распространение SPIT (Spam over internet telephony) и вирусных эпидемий, а также вести непрерывное шифрование трафика. Изначально SBC использовались для организации сеансов VoIP-связи позади NAT. Сегодня они умеют выполнять массу защитных функций, благодаря способности исследовать содержимое пакетов в режиме реального времени. В сети контроллеры пограничных сессий скрывают реальный адрес пользователя, что минимизирует возможности DDoS-атаки или взлома, контролируют полосу пропускания, поддерживают QoS, скрывают топологию соседних сетей. В сетях следующих поколений, SBC станет существенным элементом безопасности, наряду с гибкостью и масштабируемостью, отличающийся надежностью и простотой.

2006. Новое шифрование для VoIP на платформе Windows

Новая технология криптографической защиты, позволяющая защитить сеанс VoIP-связи между двумя узлами без обращения к третьей стороне или отдельного хранения ключей, разработана Филом Циммерманом (Phil Zimmermann), легендарным автором ПО шифрования данных PGP. Циммерман заявил, что разработанный им протокол подходит для использования с любой телефонной системой, поддерживающей SIP. С учетом того, что новая версия Zfone работает с Windows, у массового пользователя системами пиринговой IP-телефонии появляется возможность основательно обезопасить свою связь. Технология представлена для утверждения в Internet Engineering Task Force (IETF).

2006. VoIP безопаснее обычной телефонии

При переходе от сетей TDM к VoIP поставщики обслуживания столкнулись с достаточно серьезной проблемой – обеспечением безопасности голосовой связи. Телефонная сеть больше не была изолированной и плохо спроектированная VoIP-система легко могла стать жертвой любой, типичной для интернета, напасти: от DoS-атаки до перехвата данных. К настоящему времени технологий, разработанных для решения этой проблемы, накопилось достаточно для того, чтобы говорить о возможности достижения большей безопасности IP-телефонии по сравнению с обычной телефонной сетью, пишет в своей статье, размещенной в информационном издании Converge, директор по маркетингу компании AudioCodes, Haim Melamed. При этом безопасность отнюдь не какое-то новое понятие для систем телефонии. Для обычных телефонных сетей все нынешние проблемы от прослушивания до отказа в обслуживании также были, в той или иной мере, актуальны. Просто подключение к глобальной сети резко увеличило число потенциальных злоумышленников, получивших возможность произвести несанкционированное действие по отношению к системе связи и обладающих обширным набором отработанных средств. Ранее для этого требовался физический доступ и специальное оборудование, что резко ограничивало число потенциальных преступников.

2006. NetIQ запускает средство защиты VoIP от взлома

Компания NetIQ обнародовала решение защиты VoIP (VoIP Security Solution), которое работает с IP-телефонией от Cisco и защищает от DoS, вирусов, червей, мошенничества с оплатой услуг, подслушивания и других угроз, сообщает NetworkWorld. Новый инструмент дает возможность администраторам иметь в своем распоряжении информацию в режиме реального времени о работе системы, ее доступности и предупреждает о любых угрозах защиты. Решение включает AppManager, который осуществляет мониторинг VoIP-окружения на предмет событий безопасности и изменений конфигурации. AppManager Call Data Analysis исследует записи о неправильных звонках и генерирует отчет, Security Manager for IP Telephony регистрирует и анализирует события защиты. Продажи VoIP Security Solution начнутся позже в этом квартале, стоимость решения рассчитывается исходя из 6 $ за один IP-телефон.

2005. VPN для IP-телефонии от Avaya

Компания Avaya внедрила службу VPN в свое семейство оборудования IP-телефонии. Это позволит бизнес-пользователям безопасно расширить связь своего головного офиса для служащих, работающих дома или временно работающих в небезопасном сетевом окружении. Интеграция нового программного обеспечения VPNremote c IP-телефоном обеспечит служащих связью бизнес класса, которая содержит все функции, необходимые для высокопроизводительных и непрерывных коммуникаций на предприятии. Решение VPNremote для IP-телефонов Avaya 4600 позволяет быстро и рентабельно устанавливать настольные IP-телефоны в домашних или удаленных офисах. Необходимо только, чтобы администратор загрузил программное обеспечение в IP-телефон, а служащий самостоятельно включил его в электрическую розетку, подсоединил к домашнему широкополосному роутеру и ввел пароль.

2005. VoIPShield выпускает инструмент оценки риска использования VoIP систем

Компания VoIPShield System выпустила новое решение оценки уязвимости систем VoIP (таких как Asterisk), которое позволяет организациям предотвращать угрозы прежде, чем они затронут VoIP услуги. Основанный на базе данных угроз, сервис VoIPaudit является всесторонним и масштабируемым. Он может применяться для мониторинга семейства протоколов VoIP, включая протокол установления сеансов (SIP), протокол H.323, протокол Cisco Skinny, протокол Nortel Unistim и др. Коммуникации VoIP являются критическими, и VoIPaudit предлагает беспрецедентный уровень защиты для всего оборудования и устройств в VoIP сети. VoIPaudit предлагается сегодня, по цене от 10 000 $, включающей обучение и поддержку.

2005. VoIPSA делает первые шаги

После начала своей работы в этом году, организация занимающаяся проблемами безопасности IP-телефонии, Voice over IP Security Alliance (VoIPSA), сделала первый серьезный шаг в деле защиты VoIP-услуг: внятно определила список проблем и уязвимостей, которые могут эксплуатироваться злоумышленниками. Проект, называемый VoIP Security Threat Taxonomy, выложен для открытого обсуждения. В нем всесторонне и детализировано даются определения и описания потенциальных угроз безопасности, что является базой для создания систем противодействия, пишет Computer Business. Несмотря на то, что организации известны факты серьезных атак с использованием уязвимостей VoIP довольно простыми средствами, конкретные примеры руководитель VoIPSA Джонатан Зар (Jonathan Zar) приводить отказывается. В списке потенциальных проблем фигурируют разведка, DoS и DDoS-атаки, использование уязвимостей протокола, подслушивание, удаление и модификация звуковых потоков.

2005. Компания Juniper обеспечивает безопасность VoIP

Компания Juniper Networks Inc. анонсировала систему Dynamic Threat Mitigation, позволяющую поставщикам услуг предоставить предприятиям и частным пользователям расширенную защиту сетевых сервисов и гарантировать предоставление услуг, включая VoIP. Система встраивается в маршрутизаторы Juniper (серии М или серии Е), не требуя установки нового оборудования у клиентов. Решение позволяет идентифицировать нападения по пользователю или по приложению, используя динамическое управление политиками и методы обнаружения и предотвращения вторжений (DoS атаки, проникновение червей). Учитывая большое количество услуг, предоставляемых по IP сетям, использование системы Dynamic Threat Mitigation является естественным и прогрессивным шагом.

2005. Безопасность VoIP окажется под серьезной угрозой через два года

Злоумышленники будут представлять угрозу для IP-телефонии со специальным спамом и вирусами уже через два года. Об этом заявили представители известного изготовителя телекоммуникационного оборудования, компании Nortel. Причем компании, использующие в своей деятельности VoIP, видеоконференцсвязь и другие мультимедийные услуги на базе сетевых технологий, должны готовиться к следующему этапу защиты своей инфраструктуры уже сейчас, пишет информационное издание Silicon. Вице-президент компании, Atul Bhatnager, заявил, что пока вмешательство в работу VoIP-обслуживания скорее экзотика, но хакеры быстро набираются опыта и в дальнейшем пользователи IP-телефонии столкнуться с теми же проблемами, что присущи, из-за злоумышленников, обычным сетям передачи данных: спам и DoS-атаки. Правда, двух лет вполне достаточно, чтобы подготовиться и развернуть достаточно защитных систем, способных к глубокому анализу пакетов данных.

2005. Motorola+Skype

Компания Motorola и фирма Skype Technologies, поставщик услуг интернет-телефонии, подписали соглашение о сотрудничестве, о чем было объявлено на проходящем в Каннах конгрессе 3GSM. На первом этапе сотрудничества компании будут вести совместные разработки новых оптимизированных продуктов серии Motorola Skype Ready для IP-телефонии. В продуктовую линейку войдут гарнитура с интерфейсом Bluetooth, устройства громкой связи и аппаратные средства защиты программного обеспечения и данных от несанкционированного доступа. Кроме того, Motorola планирует выпустить ряд моделей мобильных телефонов с функциями интернет-телефона. Трубки будут оснащены ПО для IP-телефонии, разработанным компанией Skype, что позволит телефонам взаимодействовать как с сотовыми сетями, так и с сетями Wi-Fi. Партнерство компаний позволит сделать доступным сервис голосового общения через интернет не только пользователям персональных компьютеров и наладонников. Возможность звонить в любую точку мира, не беспокоясь об огромных счетах за оплату услуг связи, получат и владельцы новых мобильных телефонов Motorola.

2004. Cisco CallManager 4.1: Беспрецедентный уровень безопасности

Компания Cisco Systems объявляет о выпуске новых средств защиты для систем IP-связи. Новое решение - Cisco CallManager 4.1 - обеспечивает повышенный уровень безопасности голосовой связи и в очередной раз подверждает лидерство Cisco в области IP-технологий. Cisco CallManager 4.1 поддерживает шифрование голосовых данных в новых моделях IP-телефонов Cisco 7940G и 7960G, а также более чем в 2,5 млн. уже установленных IP-телефонов Cisco 7940G и 7960G. Шифрование голосовых данных гарантирует неприкосновенность тайны телефонных переговоров, а шифрование информации о сигналах защищает от манипуляций с пакетами телефонной сигнализации. Программное обеспечение Cisco CallManager 4.1 взаимодействует с широким спектром медиашлюзов Cisco, в том числе с семейством Integrated Services Router. Поддержка шифрования информации для медиашлюзов Cisco дополняет мощные средства Voice over Virtual Private Network (V3PN) и средства защиты от угроз, которые уже содержатся в этих платформах.

2002. Вышла новая версия Avaya IP Office 1.3

Компания Avaya представила новую версию своего VoIP решения для малого среднего бизнеса Avaya IP Office 1.3 . Avaya IP Office Release 1.3 включает в себя новое программное и аппаратное обеспечение, отвечающее разнообразным требованиям бизнеса. ПО увеличивает возможности системы, которая может поддерживать более широкий спектр IP-телефонов Avaya, повышает ее защиту и обеспечивает больше сетевых функций. Новое версия позволяет обслуживать до 256 пользователей и поддерживает до двух одновременных конференций (до 64 участников в каждой) или большее число конференций с меньшим числом участников на расширенной аппаратной платформе. Средства защиты предусматривают специальные режимы конференций и управление доступом с помощью PIN-кодов. VoiceMail Pro позволяет автоматизировать набор номера (вызов по имени). Имеются также функции интерактивного голосового меню (IVR) с открытым API интерфейсом.

2002. Avaya представила новое решение для IP телефонии через VPN

Компания Avaya выпустила новую версию решения Avaya VPNremote с расширенной поддержкой открытых сетевых стандартов. Новое решение позволит компаниям быстро и эффективно организовать доступ удаленных сотрудников ко всем возможностям связи, которыми пользуются в офисах организации. IP телефоны Avaya на базе новой версии VPNremote позволяют удаленным сотрудникам работать в сетях Cisco Systems и Juniper Networks. Новые функции Avaya VPNremote для IP телефонов обеспечивают высокий уровень контроля и качества связи. Avaya VPNremote 2.0 – программное решение, дополняющее IP-телефоны Avaya возможностями защищённого доступа в виртуальные частные сети (VPN). Таким образом, удаленные сотрудники компаний получают возможность работы в корпоративной сети с высоким качеством связи. Новая версия Avaya VPNremote поддерживает VPN-среды компаний Cisco Systems и Juniper Networks.

2001. PGPfone - защищенный разговор через VoIP и IM

PGPfone - это программа, которая превращает ваш персональный компьютер или ноутбук в защищенный телефон. Для того, чтобы предоставить возможность вести защищенные телефонные разговоры в реальном времени (по телефонным линиям и каналам Интернет) в нем используется технология сжатия звука и стойкие криптографические протоколы. Звук вашего голоса, принимаемый через микрофон, PGPfone последовательно: оцифровывает, сжимает, шифрует и отправляет тому, кто находится на другом конце провода и также использует PGPfone. Все криптографические протоколы и протокол сжатия выбираются динамически и незаметно для пользователя, предоставляя ему естественный интерфейс, подобный обычному телефону. Для выбора ключа шифрования используются протоколы криптографии с открытым ключом, так что предварительного наличия защищенного канала для обмена ключами не требуется.

Статья написана специально для linkmeup.

=======================

Здравствуйте, коллеги и друзья, я, Семенов Вадим, совместно с командой проекта network-class.net представляем вниманию обзорную статью, которая затрагивает основные тенденции и угрозы в IP телефонии, и самое главное, те инструменты защиты, что на данный момент предлагает производитель в качестве защиты (если выражаться языком специалистов по безопасности, то рассмотрим какие инструменты предлагает производитель для уменьшения уязвимостей, которыми смогут воспользоваться нелегитимные лица). Итак, меньше слов– переходим к делу.
Для многих читающих термин IP телефония уже давно сформировался, а также и то, что данная телефония «лучше», дешевле по сравнению с телефонией общего пользования (ТФОП), богата различными дополнительными функциями и т.д. И это действительно так, однако… отчасти. По мере перехода от аналоговой (цифровой) телефонии со своими абонентскими линиями (от абонентского телефона до станции или станционного выноса) и соединительными линиями (меж станционная линия связи) ни много ни мало были только лишь в зоне доступа и управления провайдера телефонии. Иными словами, обычным обывателям туда доступа не было (ну или практически так, если не учитывать кабельную канализацию). Вспоминается один вопрос на старом добром форуме хакеров «Подскажите, как получить доступ к АТС? – ответ: «Ну как, берешь бульдозер – таранишь стену здания АТС и вуаля». И эта шутка имеет свою долю правды) Однако с переносом телефонии в дешевую IP среду мы получили в довесок и те угрозы, которые несет в себе открытая IP среда. Примером приобретенных угроз может служить следующее:

• Сниффинг сигнальных портов с целью совершения платных вызовов за чужой счет
• Подслушивание за счет перехвата голосовых IP пакетов
• Перехват звонка, представление нелегитимным пользователем как легитимный пользователь, атака «человек по середине»
• DDOS атаки на сигнальные сервера станции с целью вывода из строя всей телефонии
• Спам-атаки, обрушение большого количества фантомных вызовов на станцию с целью занять все её свободные ресурсы

Несмотря на очевидность в необходимости устранять все возможные уязвимости дабы уменьшить вероятность реализации той или иной атаки - по факту внедрение тех или иных мер защиты необходимо начинать с составления графика, учитывающего стоимость внедрения защитных мер от конкретной угрозы и убытков предприятия от реализации злоумышленниками этой угрозы. Ведь глупо тратить денег на безопасность актива больше, чем стоит сам актив, который мы защищаем.
Определив бюджет на безопасность, начнем устранение именно тех угроз, которые наиболее вероятны для компании, например для малой организации больнее всего будет получить большой счет за несовершенные междугородние и международные звонки, в то время как для государственных компаний важнее всего сохранить конфиденциальность разговоров. Начнем же постепенное рассмотрение в текущей статье с базовых вещей – это обеспечение безопасного способа доставки служебных данных от станции к телефону. Далее рассмотрим аутентификацию телефонов перед подключением их к станции, аутентификацию станции со стороны телефонов ну и шифрование сигнального трафика (для скрытия информации кто и куда звонит) и шифрование разговорного трафика.
У многих производителей голосового оборудования (в том числе и у Cisco Systems) есть уже интегрированные инструменты безопасности от обычного ограничения диапазона ip адресов, с которых можно совершать вызовы, до аутентификации оконечных устройств по сертификату. Например, у производителя Cisco Systems с его голосовой линейкой продуктов CUCM (Cisco Unified CallManager) с версии продукта 8.0 (дата выхода в свет май 2010г.; на данный момент доступна версия 10.5 от мая 2014г.) стала интегрироваться функция «Безопасность по умолчанию». Что она в себя включает:

• Аутентификация всех скачиваемых по/с TFTP файлов (конфигурационные файлы, файлы прошивки для телефонов т.д.)
• Шифрование конфигурационных файлов
• Проверка сертификата с инициализации телефоном HTTPS соединения

Давайте рассмотрим пример атаки «человека по середине», когда нелегитимное лицо перехватывает конфигурационный файлы для телефонов, из которого телефон узнает на какую станцию ему регистрироваться, на каком протоколе работать, какую прошивку скачивать и т.д. Перехватив файл, злоумышленник сможет вносить в него свои изменения либо полностью затереть файл конфигурации, тем самым не дав телефонам всего офиса (см. рисунок) зарегистрироваться на станции, а, следовательно, лишив офиса возможности совершать звонки.

Рис.1 Атака «человек посередине»

Для защиты от этого нам понадобятся знания по несимметричному шифрованию, инфраструктуре открытых ключей и представления о составляющих «Безопасности по умолчанию», с которыми мы сейчас познакомимся: Identity Trust List (ITL) и Trust Verification Service (TVS). TVS – сервис, предназначенный для обработки запросов с IP телефонов, у которых нет ITL или CTL файла во внутренней памяти. IP телефон обращается к TVS в случае необходимости удостовериться может ли он доверять тому или иному сервису перед тем, как начать обращаться к нему. Станция к тому же выступает в роли репозитория, хранящем сертификаты доверенных серверов. В свою очередь ITL представляет собой список из открытых ключей составляющих кластер станции элементов, но для нас важно, что там хранится открытый ключ TFTP сервера и открытый ключ TVS сервиса. При первоначальной загрузке телефона, когда телефон получил свой IP адрес и адрес TFTP сервера, он запрашивает наличие ITL файла (рис.2). Если он есть на TFTP сервере, то, слепо доверяя, загружает его в свою внутреннюю память и хранит до следующей перезагрузки. После скачивания ITL файла телефон запрашивает подписанный конфигурационный файл.

Теперь рассмотрим как мы сможем использовать инструменты криптографии – подписывание файла с помощью хеш-функций MD5 или SHA и шифрование с помощью закрытого ключа TFTP сервера (рис.3). Особенность хеш-функций заключается в том, что это однонаправленные функции. По полученному хешу с какого-либо файла, нельзя проделать обратную операцию и получить в точности оригинальный файл. При изменении файла - изменяется и сам хеш, полученный с этого файла. Стоит отметить, что хеш не записывается в сам файл, а просто добавляется к нему и передается совместно с ним.

Рис.3 Подписывание файла конфигурации телефона

При формировании подписи берется сам конфигурационный файл, извлекается с него хеш и шифруется закрытым ключом TFTP сервера (который обладает только TFTP-сервер).
При получении данного файла с настройками, телефон первоначально проверяет его на целостность. Мы помним, что хеш - это однонаправленная функция, поэтому телефону не остается ничего делать, кроме как отделить зашифрованный TFTP сервером хеш от конфигурационного файла, расшифровать его с помощью открытого ключа TFTP (а откуда его знает IP телефон? – а как раз из ITL файла), из чистого конфигурационного файла вычислить хеш и сравнить его с тем, что мы получили при расшифровании. Если хеш совпадает - значит при передаче в файл не вносились никакие изменения и его можно смело применять на телефоне (рис.4).

Рис.4 Проверка файла конфигурации IP телефоном

Подписанный конфигурационный файл для телефона представлен ниже:

Рис. 5 Подписанный файл IP телефона в Wireshark

Подписав конфигурационный файл, мы смогли обеспечить целостность передаваемого файла с настройками, однако мы не защитили его от просмотра. Из пойманного файла конфигурации можно получить достаточно много полезной информации, например ip адрес телефонной станции (в нашем примере это 192.168.1.66) и открытые порты на станции (2427) и т.д. Не правда ли достаточно важная информация, которую не хотелось бы просто так «светить» в сети? Для скрытия данной информации производители предусматривают использование симметричного шифрования (для шифрования и дешифрования используется один и тот же ключ). Ключ в одном случае может быть введен на телефон вручную, в другом случае шифрование файла конфигурации телефона на станции происходит с использованием открытого ключа телефона. Перед отправлением файла телефону – tftp сервер, на котором хранится этот файл, шифрует его с помощью открытого ключа телефона и подписывает с помощью своего закрытого ключа (тем самым мы обеспечиваем не только скрытость, но и целостность передаваемых файлов). Здесь главное не запутаться, кто какой ключ использует, но давайте разберем по порядку: tftp сервер, зашифровав файл открытым ключом IP телефона, обеспечил тем самым, что этот файл сможет открыть только владелец парного открытого ключа. Подписав файл своим закрытым ключом, tftp сервер подтверждает, что именно он создал его. Зашифрованный файл представлен на рисунке 6:

Рис.6 Зашифрованный файл IP телефона

Итак, на данный момент мы рассмотрели возможность защищать наши конфигурационные файлы для телефонов от просмотра и обеспечивать их целостность. На этом функции «Безопасности по умолчанию» заканчиваются. Для обеспечения шифрования голосового трафика, скрытия сигнальной информации (о том кто звонит и куда звонит), необходимы дополнительные инструменты, основанные на списке доверенных сертификатов – CTL, который мы рассмотрим далее.

Аутентификация телефонной станции

Когда телефону необходимо взаимодействие с телефонной станцией (например, согласовать TLS соединение для обмена сигнализации), IP телефону необходимо аутентифицировать станцию. Как можно догадаться, для решения данной задачи также широко используются сертификаты. На данный момент современные IP станции состоят из большого количества элементов: несколько сигнальных серверов для обработки вызовов, выделенный сервер администрирования (через него добавляются новые телефоны, пользователи, шлюзы, правила маршрутизации и т.д.), выделенный TFTP сервер для хранения файлов конфигурации и программного обеспечения для телефонов, сервер для вещания музыки на удержании и проч, кроме этого в голосовой инфраструктуре может быть голосовая почта, сервер определения текущего состояния абонента (online, offline, «на обеде») – список набирается внушительный и, что самое главное, каждый сервер имеет свой самоподписанный сертификат и каждый работает как корневой удостоверяющий центр (рис.7). По этой причине любой сервер в голосовой инфраструктуре не будет доверять сертификату другого сервера, например голосовой сервер не доверяет TFTP серверу, голосовая почта – сигнальному серверу и к тому же телефоны должны хранить у себя сертификаты всех участвующих в обмене сигнального трафика элементов. Сертификаты телефонной станции изображены на рисунке 7.

Рис.7 Самоподписанные сертификаты Cisco IP станции

Для задач установления доверительных отношений между вышеописанными элементами в голосовой инфраструктур, а также шифрования голосового и сигнального трафика в игру входит так называемый список доверенных сертификатов Certificate Trust List (CTL). CTL содержит все самоподписанные сертификаты всех серверов в кластере голосовой станции, а также участвующих в обмене сигнальными сообщениями телефонии (например, файервол) и этот файл подписывается закрытым ключом доверенного центра сертификации (рис.8). CTL файл эквивалентен проинсталлированным сертификатам, которые используются в работе веб браузеров при работе с https протоколом.

Рис.8 Список доверенных сертификатов

Для того чтобы создать CTL файл на оборудовании Cisco, потребуется ПК с USB разъемом, установленная на нем программа CTL client и сам токен Site Administrator Security Token (SAST) (рис.9), содержащий закрытый ключ и X.509v3 сертификат, подписанный центром аутентификации производителя (Cisco).

Рис.9 eToken Cisco

CTL client - программа, которая устанавливается на Windows ПК и с которой можно перевести ВСЮ телефонную станцию в так называемый mixed mode, то есть смешанный режим поддержки регистрации оконечных устройств в безопасном и небезопасном режимах. Запускаем клиент, указываем IP адрес телефонной станции, вводим логин/пароль администратора и CTL client устанавливает TCP соединение по порту 2444 со станцией (рис.10). После этого будет предложено всего лишь два действия:

Рис.10 Cisco CTL Client

После создания CTL файла, остается перезагрузить TFTP сервера для того, чтобы они подкачали к себе новый созданный CTL файл, и далее перезагрузить голосовые сервера, чтобы IP телефоны также перезагрузились и загрузили новый CTL файл (32 килобайта). Загруженный CTL файл можно просмотреть из настроек IP телефона (рис.11)

Рис.11 CTL файл на IP телефоне

Аутентификация оконечных устройств

Для обеспечения подключения и регистрации только доверенных оконечных устройств необходимо внедрение аутентификации устройств. На этот случай многие производители используют уже проверенный способ – аутентификация устройств по сертификатам (рис.12). Например, в голосовой архитектуре Cisco это реализовано следующим образом: имеются два вида сертификатов для аутентификации с соответствующими открытыми и закрытыми ключами, которые хранятся на телефоне:
Manufacturer Installed Certificate - (MIC) . Сертификат, установленный производителем, содержит 2048 битный ключ, который подписан центром сертификации компании производителя (Cisco). Данный сертификат установлен не на все модели телефонов, и если он установлен, то в наличии другого сертификата (LSC) нет необходимости.
Locally Significant Certificate – (LSC) Локально значащий сертификат, содержит открытый ключ IP телефона, который подписан закрытым ключом локального центра аутентификации, который работает на самой телефонной станции Сertificate Authority Proxy Function (CAPF).
Итак, если у нас есть телефоны с предустановленным MIC сертификатом, то каждый раз, когда телефон будет регистрироваться на станцию, станция будет запрашивать для аутентификации предустановленный производителем сертификат. Однако, в случае компрометации MIC-а для его замены необходимо обращение в центр сертификации производителя, что может потребовать большого количества времени. Дабы не зависеть от времени реакции центра сертификации производителя на перевыпуск скомпрометированного сертификата телефона, предпочтительней использование локального сертификата.

Рис.12 Сертификаты для аутентификации оконечных устройств

По умолчанию на IP телефон не установлен LSC сертификат и его установка возможна, используя MIB сертификат (при его наличии), или через TLS соединение (Transport Layer Security) по разделяемому общему ключу, сгенерированному администратором вручную на станции и введенном на телефоне.
Процесс установки на телефон локально значащего сертификата (LSC), содержащий открытый ключ телефона, подписанного локальным центром сертификации изображен на рисунке 13:

Рис.13 Процесс установки локально значащего сертификата LSC

1. После загрузки IP телефон запрашивает доверенный список сертификатов (CTL-файл) и файл с конфигурацией
2. Станция отправляет запрашиваемые файлы
3. Из полученной конфигурации телефон определяет – нужно ли ему загружать локально значащий сертификат (LSC) со станции
4. Если мы на станции выставили для телефона, чтобы он установил LSC сертификат (см.ниже), который станция будет использовать для аутентификации данного IP телефона, то мы должны позаботиться о том, чтобы на запрос об выдаче LSC сертификата – станция выдала его тому, кому он предназначается. Для этих целей мы можем использовать MIC-сертификат (если он есть), сгенерировать одноразовый пароль на каждый телефон и ввести его на телефоне вручную либо не использовать авторизацию вообще.
На примере продемонстрирован процесс установки LSC с использованием сгенерированного ключа.
На станции в режиме настроек IP телефона указываем, что мы хотим установить LSC сертификат на телефон и при этом установка будет произведена успешна, если на телефоне ввести аутентификационный ключ, который мы определили как 12345 (рис.14).

Рис.14 Режим настроек CAPF на телефоне

Заходим в режим настройки телефона и вводим наш ключ (рис.15):

Рис.15 Аутентификационный ключ для установки LSC

После этого установка LSC сертификата на телефон прошла успешна (рис.16):

Рис.16 Настройки безопасности на IP телефоне

Особенностью же использования LSC сертификата для аутентификации оконечных устройств является то, что при компрометации самого сертификата – он может быть переподписан новым закрытым ключом центром сертификации CAPF телефонной станции.

Итак, на данный момент мы добились безопасности не только скачиваемых файлов, но и аутентификацию сигнальных серверов со стороны оконечных устройств (IP телефонов), а также самих оконечных устройств со стороны станции. Рассмотрим теперь сохранение конфиденциальности разговоров за счет шифрования голосового трафика и скрытия сигнальной информации.

Шифрование разговоров - SRTP

Рассмотрим, что на данный момент предлагает производитель, для выполнения самой востребованной задачи – обеспечения конфиденциальности разговоров.
Стандартно все сигнальные и голосовые сообщения передаются в открытом виде, как на представленном рисунке 17:

Рис.17 Открытое сообщение SIP

Secure Real Time Protocol (SRTP) – это специально разработанный протокол RTP, призванный для передачи голоса и видео, однако дополненный механизмами обеспечения конфиденциальности, целостности передаваемой информации не только через RTP, но и RTCP. Голосовое приложение, поддерживающие SRTP, должно конвертировать RTP пакеты в SRTP перед отправкой их по сети. Обратная операция должна быть продела на приемной стороне. В архитектуре SRTP определены два типа ключей: мастер-ключ и сессионный ключ (для шифрования и аутентификации) (рис. 18). Однако SRTP не регламентирует порядок обмена мастер-ключами, для данных целей необходимо использовать TLS или IPSec. Для обмена ключами стандартизованным решением для SRTP является MIKEY (Multimedia Internet Keying), однако могут быть использованы и такие протоколы как SDES и ZRTP.

Рис.18 Совершение звонка с помощью SRTP

Процесс обмена сообщениями SRTP:

• Телефон и сервер обмениваются сертификатами;
• Телефон и сервер аутентифицируют друг друга;
• Телефон создает TLS ключи для SHA аутентификации и для шифрования AES;
• Телефон шифрует ключи с помощью открытого ключа станции и отправляет. Станция расшифровывает с помощью своего закрытого ключа;
• Станция обменивается TLS ключами с каждым из телефонов и приступает к безопасному обмену телефонных сигнальных сообщений (телефон вызываемого абонента звонит);
• Станция создает сессионные ключи для SRTP SHA аутентификации и SRTP AES шифрованию;
• Станция распространяет сессионные ключи обоим телефонам через защищенное сигнальное соединение;
• Телефоны приступают обмен голосового трафика через защищенное SRTP соединение (вызываемый поднял трубку).

Включением шифрования и аутентификации на оборудовании Cisco заведуют профайлы безопасности. Выглядит он следующим образом (рис.19):

Рис.19 Профайл безопасности на Cisco CallManager

В нем мы определяем в каком режиме будут регистрироваться и работать оконечные устройства (телефоны). При выборе опции Non Secure – не шифруются ни сигнальные данные, ни голос; Authenticated – шифруются сигнальные сообщения, но не шифруется голос; Encrypted – шифруется и сигнализация и голос. Есть возможность выбора шифрования конфигурационных данных. После создания профайла необходимо его назначить на телефон (рис.20).

Рис.20 Профайл безопасности телефона на Cisco CallManager

На данный момент мы рассмотрели основные моменты в безопасности IP телефонии, позволяющие бороться против основных угроз телефонии, однако это только шапка айсберга всей безопасности голосовой инфраструктуры) Отдельно необходимо рассмотрение физической безопасности инфраструктуры (например здесь: ГОСТ Р ИСО/МЭК 17799-2005 Практические правила управления информационной безопасностью), и отдельную тему можно посвятить сетевой безопасности. Надеюсь, что тот, кто дочитал статью до конца, остался ей доволен и информация была полезной.
На любые вопросы готов ответить по почте: [email protected]
При поддержке проекта network-class.net

Так как технология VoIP базируется на технологии IP и использует Интернет, она так же наследует все её уязвимости. Последствия этих атак, умноженные на уязвимости, которые следуют из особенностей архитектуры сетей VoIP, заставляют задуматься о способах усиления защиты и тщательном анализе существующей сети IP . Более того, добавление любого нового сервиса, например, голосовой почты в недостаточно защищенную инфраструктуру может спровоцировать появление новых уязвимостей.

Риски и уязвимости, наследованные из IP сетей.

Плохой дизайн сети

Неправильно спроектированная сеть может повлечь за собой большое количество проблем, связанных с использованием и обеспечением необходимой степени информационной безопасности в VoIP сетях. Межсетевые экраны, к примеру, являются уязвимым местом в сети, по причине того, что для правильного функционирования VoIP сети необходимо открывать дополнительные порты, и межсетевые экраны, не поддерживающие технологию VoIP, способны просто оставлять открытыми ранее используемые порты даже после завершения вызовов.

Уязвимые IP АТС и шлюзы

Если злоумышленник получает доступ к шлюзу или АТС, он так же получает доступ к захвату целых сессий (по сути – возможность прослушать вызов), узнать параметры вызова и сети. Таким образом, на безопасность АТС необходимо обратить наибольшее внимание. Убытки от таких вторжений могут достигать значительных сумм.

Атаки с повторением пакетов

Атака с повторением пакета может быть произведена в VoIP сети путем повторной передачи серии корректных пакетов, с целью того, что бы приёмное устройство произвело повторную обработку информации и передачу ответных пакетов, которые можно проанализировать для подмены пакетов (спуфинга) и получения доступа в сеть. К примеру, даже при условии зашифрованных данных, существует возможность повторения пакета с логином и паролем пользователем пользователя, и, таким образом, получения доступа в сеть.

Риски и уязвимости, характерные для VoIP сетей

Подмена и маскировка пакетов
Использование подменных пакетов с неправильным IP-адресом источника могут использоваться для следующих целей:

Перенаправление пакетов в другую сеть или систему

Перехват трафика и атака «man-in-the-middle» (рисунок ниже)

• Маскировка под доверенное устройство - «Перенос ответственности» за атаку на другое устройство
• Фаззинг(Fuzzing) - Нагрузка системы пакетами с не полностью корректной информацией, что вызывает ошибки в работе системы при их обработке, например такие как задержки при работе, утечки информации и полный отказ системы
• Сканирование на предмет возможных уязвимостей - Сканирование портов может дать злоумышленнику начальные данные для проведения полноценной атаки, такие как модели операционных систем, типы используемых сервисов и приложений. При нахождении уязвимого сервиса злоумышленник может получить доступ к управлению всей сетью, и, как следствию, к возможности причинить большой ущерб.
• Низкая надежность по сравнению с традиционными сетям - Для достижения качественной связи, пакетам, содержащим голосовую и видео нагрузку присваивается высокий приоритет в механизмах качества обслуживания QoS (качества обслуживания). Однако, надежность VoIP и сетей передачи данных стремится к 99,9%, что ниже чем степени надежности в традиционных телефонных сетях, у которых данный параметр стремится к 99,999%. Конечно, разница не столь велика, однако за год эта разница выливается в дополнительные 8.7 часа, во время которых система не работает. Но необходимо понимать, что далеко не каждому предприятию это может повредить.
• Атаки DDoS(Distributed Denial of Service) - Атаки DoS и DDoS происходят когда злоумышленник посылает крайне большие объемы случайных сообщений на одно или несколько VoIP устройств из одного или нескольких мест (DoS и DDoS соответственно). Атака из нескольких мест используется с помощью «зомби» - скомпрометированные сервера и рабочие станции, которые автоматически посылают вредоносные запросы в соответствии с потребностями злоумышленника. Успешной такая атака считается в момент, когда количество запросов превышает вычислительную мощность объекта, в следствие чего происходит отказ в обслуживании для конечных пользователей.

VoIP системы особенно уязвимы для таких атак, т.к они имеют высокий приоритет в технологии обеспечения качества обслуживания QoS, и для нарушения их работы требуется меньшее количество трафика нежели для обычных сетей передачи данных. Примером DoS атаки против именно VoIP сети может быть атака при множественной передачи сигналов отмены или установления вызова, которая так же имеет название SIP CANCEL DoS атака.

• CID спуфинг - Один из типов атак с подменой пакетов построен на манипуляциях с идентификатором звонящего (Caller ID или CID), который используется для идентификации звонящего до ответа. Злоумышленник может подменить этот идентификатор текстовой строкой или телефонным номером и может использоваться для осуществления различных действий, вредящих сети или владельцу предприятия. Кроме того, в VoIP сетях нет возможности скрыть этот идентификатор, т.к телефонные номера включены в заголовках пакетов в протоколе SIP. Это позволяет злоумышленнику со сниффером пакетов, например tcpdump узнать телефонные номера даже если они имеют параметр «private» у сервисного провайдера.
• Заключение - Использование IP-телефонии приносит огромное количество пользы для любой организации – решение на базе VoIP более масштабируемы, легко интегрируемы и их стоимость ниже классических решений. Однако, любая организация, внедрив VoIP решение должна быть в курсе возможных угроз и предпринимать всевозможные усилия для увеличения степени информационной безопасности в сети. Были перечислены лишь некоторые методы атак, но необходимо понимать, что часто используются комбинации атак и практически ежедневно разрабатываются новые атаки. Но понятно уже сейчас, что за данной технологией будущее и она вряд ли уступит пальму первенства другой технологии в обозримом будущем.