IP-телефония и безопасность
2 март, 2005 - 00:00Леонід Бараш В корпоративных кругах сегодня существуют как противники, так и сторонники внедрения IP-телефонии (IPT) в качестве альтернативной технологии передачи голоса. И если первые, как говорится, могут не беспокоиться, то вторые должны осознавать, что новые конвергентные сети и голосовые сервисы привносят также новые уязвимости для сетей.IP-телефония является сравнительно молодой, но быстро развивающейся технологией, которая на начальном этапе должна была решать проблемы иные, чем безопасность. В частности, необходимо было обеспечить надежность, качество связи и стандартные возможности. В результате в различных решениях, реализовавшихся в корпоративных сетях, вопросам безопасности уделялось недостаточно внимания. Поэтому значительное число развернутых конвергентных сетей остались незащищенными и открытыми для атак как со стороны телефонных сервисов, так и со стороны сервисов передачи данных. Зачастую это было следствием недооценки действительного уровня риска и даже непонимания того, что обеспечение безопасности -- одна из основных задач.
Первым шагом при построении системы безопасности для решений по IP-телефонии является осознание возникающих рисков. В общем случае они могут быть разделены на четыре группы:
- перехват сессии, присвоение чужих прав, нарушение конфиденциальности и искажение содержания;
- вторжение в сеть через бреши, появившиеся вследствие разворачивания IP-телефонии;
- использование IPT-аппаратуры путем обмана или неавторизованного доступа;
- злоумышленные действия, направленные на ухудшение голосовых сервисов (атаки хакеров, DoS, вирусы).
|
| Рис. 1 |
|
| Рис. 2 |
- специфическое ПО поставщика;
- аппаратная или программная платформа, на которой функционирует ПО;
- коммуникации между компонентами решения;
- другие сетевые устройства и приложения, которые имеют уязвимости, обусловленные дизайном или реализацией IPT-решения.
Оценка рисков
Приведем некоторые риски, которые могут появиться вследствие развертывания IPT-системы.
Снижение уровня безопасности всей сети из-за повышения уязвимости брандмауэра. В IPT-сессии задействуется большое количество протоколов и портов, связанных с ними. Так, H.323 использует многочисленные протоколы для сигнализации, а H.323 и SIP -- протокол передачи в режиме реального времени (RTP). В результате сессия H.323 может иметь от 7 до 11 портов, при этом только два будут статическими. Правда, ситуация с SIP несколько лучше -- здесь открываются три порта, из них один статический. Поскольку в стандартной конфигурации брандмауэр открывает все порты, которые потенциально могут быть использованы приложениями, то реализация VoIP способна значительно повысить число уязвимостей.
Увеличение капиталовложений вследствие снижения производительности брандмауэров. Обычно корпоративные сети используют пространство внутренних IP-адресов, частично в целях экономии пула адресов, частично для того, чтобы скрыть внутреннюю сетевую структуру из соображений безопасности. В результате в брандмауэре будет задействована функция трансляции сетевых адресов NAT. В случае IPT прикладной протокол (H.323 или SIP) будет иметь встроенный IP-адрес плюс IP-адрес, представленный в IP-заголовке. Следовательно, трансляции должны подвергнуться оба адреса, что приводит к уменьшению пропускной способности брандмауэра.
Излишние расходы в связи с нечестным использованием сервиса. К IPT-службам могут получить неавторизованный доступ хакеры с помощью подстановки чужих атрибутов (spoofing), повторных атак, подключения к соединению или просто из-за отсутствия контроля над доступом. Вследствие такого мошенничества компания может потерять деньги.
Несанкционированное раскрытие деловой или персональной информации, хранимой на серверах. Взломанный IPT-сервер иногда служит отправной точкой для злонамеренных атак на другие серверы сети. Хакеры в IP сети могут использовать доступ для запроса журнала регистрации событий (log file) или для прослушивания голосовой почты, чтобы выявить характер деловой активности компании.
Нарушение конфиденциальности посредством перехвата информации. Поскольку голос передается по разделяемой IP-сети, то возможна атака типа man-in-the-middle, в процессе которой атакующий способен читать, вставлять и изменять сообщения между двумя сторонами без возникновения у них каких-либо подозрений. Хотя такой риск присутствует и в традиционных системах, он все же становится выше благодаря разделяемой природе IP-сетей.
Не все перечисленные риски могут иметь место в конкретной инсталляции IPT-системы, поэтому важно проводить общую политику безопасности. Рекомендуется также выполнить оценку рисков на существующей системе IPT, особенно в том случае, если имеются устаревшие реализации, базирующиеся не на современных продуктах.
Проектирование безопасных решений по IP-телефонии
Здесь цель заключается в том, чтобы интегрировать IP-телефонию с традиционными сетевыми сервисами по передаче данных по разделяемой сетевой инфраструктуре без ущерба для безопасности обеих систем. Должна быть реализована комплексная стратегия уменьшения рисков с учетом присущих IP-телефонии особенностей и стандартных мер обеспечения безопасности в IP-сетях. Недочеты в реализации защиты IP-телефонии могут расширить бреши в общей системе защиты сети корпорации.
При построении базовых компонентов системы (каркаса) защиты необходимо руководствоваться двумя основными принципами: простота схемы и процедур конфигурации и ограничение возможностей воздействовать на данные извне. Эффективной стратегией в таком случае является разделение существующего решения на домены и ограничение прав доступа к каждому домену в зависимости от функций и связанных с ними уровней доверительности (trust levels) во всех доменах.
Можно определить четыре домена, исходя из различных типов характерных функций, присущих IPT-решению, и типичных мер, предпринимаемых для снижения рисков внутри каждого домена. Это устройства конечного пользователя, IPT-серверы, относящиеся к передаче голосового трафика (медиасерверы), IPT-серверы управления вызовами и серверы эксплуатации и управления системой (рис. 2). Что касается уровней доверительности, то для упрощенной модели их достаточно два: для всех выделенных пользовательских устройств (IP-телефоны, ПК, базированное на ПК клиентское ПО) и для IPT-серверов (серверы управления вызовами, конференций, голосовые и почтовые серверы).
Устройства конечного пользователя. Домен, охватывающий ПК конечных пользователей, рассматривается как домен высокого риска в связи с потенциальной опасностью заражения вирусами и проблемами, возникающими вследствие нежелательной активности самих пользователей. Поэтому здесь нужен наиболее низкий уровень доверительности с точки зрения IPT-сервисов, и в таком домене должны размещаться устройства, не влияющие на службы IP-телефонии.
Медиасерверы. Эти устройства, в число которых входят шлюзы, серверы сообщений и конференций и т. п., размещаются в домене со средним уровнем доверительности. Все такие серверы, за исключением эксплуатационных, имеют доступ к голосовому трафику. Ни пользовательские устройства, ни устройства с критическими для сервисов данными не могут быть доступны на этом уровне доверительности, кроме только имеющих дело с телефонным трафиком.
Серверы управления. Данная группа, к которой относятся, к примеру, сервер пользовательской БД, серверы маршрутизации и управления, должна иметь высший уровень доверительности. Здесь размещается жизненно важная для функционирования IPT-системы информация, в первую очередь нуждающаяся в защите.
Серверы, обеспечивающие администрирование и эксплуатацию. На этом уровне доступ следует строго ограничивать, предоставляя его только после надежной аутентификации пользователя.
Безопасность сетевой инфраструктуры
Хотя основное назначение сети заключается в том, чтобы связать между собой все устройства, для обеспечения требуемого уровня безопасности разный по типу сетевой трафик необходимо разделить.
Главными задачами в области безопасности ЛВС являются снижение риска нарушения конфиденциальности вследствие перехвата разговора работающим персоналом и предотвращение нежелательного трафика из сопредельных доменов. Уменьшение риска перехвата голосовых пакетов осуществляется за счет построения полностью коммутируемой сетевой инфраструктуры. Одновременно сегментация доменом может быть реализована посредством VLAN, что позволит улучшить управление трафиком между доменами безопасности.
В глобальных сетях существует риск перехвата сессии внешним злоумышленником. Здесь необходимо использовать коммутацию голосовых пакетов на уровнях 2 и 3 (Frame Relay, ATM, MPLS) в арендуемой сети, а также VPN и шифрование данных в публичных сетях, например с помощью протоколов IP-sec.
Безопасность границ
Основным средством обеспечения безопасности как по периметру сети, так и по границам внутренних доменов служат брандмауэры. Традиционные фильтры пакетов не могут инспектировать сложные потоковые протоколы, которые используют множество UDP- и TCP-портов. Поэтому чтобы выполнить свою задачу для IP-телефонии, брандмауэры должны "понимать" голосовые пакеты, уметь проводить инспекцию пакетов инициализации сессии с целью обнаружения используемых портов и определять сигнал окончания сессии для разрыва соединения.
Безопасность, связанная со спецификой IPT-систем
Особенности и необходимые средства защиты зависят от фактических компонентов, входящих в решение по IP-телефонии, которое может быть представлено следующими основными зонами.
Сервер управления вызовами. Это критический ресурс в IPT-системе. На нем содержится вся информация о пользователях, маршрутизации, сервисах, и он может управлять доступом к другим серверам. Сервер обычно функционирует под управлением коммерческой ОС, поэтому должны быть предприняты все стандартные меры безопасности, как то отключение неиспользуемых сервисов, установка заплаток, применение ОС лишь для нужд управления вызовами. Необходимо инсталлировать только безопасные ОС (например, Linux, Unix, встроенную RTOS), поставляемые ведущими производителями. Доступ к серверу должен быть разрешен лишь после аутентификации и авторизации.
Голосовой шлюз. Голосовой шлюз обеспечивает преобразование данных в требуемый формат при прохождении их между IP-сетью и традиционной телефонной сетью. Шлюз должен поддерживать аутентификацию для любой конфигурации и модернизации ПО, обеспечивать защиту от атак типа DoS на границе IP-интерфейса, направлять все вызовы только через сервер управления вызовами, поддерживать шифрование как вызовов, так и голосового контента, а также выполнять аутентификацию медиапротоколов на попакетной основе.
IP-телефоны. Аппараты должны иметь встроенные средства защиты в виде прошивок в ПЗУ. Это не позволит злоумышленнику вмешаться и разрушить функции защиты. Вдобавок конфигурационные установки следует защищать от модификаций.
Большинство IP-телефонов оборудовано сетевым портом для ПК, так что пользователь нуждается только в одном Ethernet-кабеле. По умолчанию эти телефоны направляют все пакеты, полученные от коммутатора, на порт ПК. В типичном случае голосовой доступ к порту ПК запрещают, что позволяет отбрасывать голосовые пакеты, приходящие на этот порт. Другой тип атаки может исходить из сети, а не из подключенного ПК. Так, по умолчанию большинство телефонов принимает пакеты Gratuitous ARP (GARP). Эти пакеты, также используемые некоторыми унаследованными сетевыми устройствами, могут быть применены атакующим для имитации реального сетевого устройства. К примеру, злоумышленник может послать GARP, который объявит маршрутизатор по умолчанию.
IP-телефоны должны аутентифицировать себя на сервере управления вызовами или на прокси-сервере при начальной регистрации, поддерживать список управления доступом для управления любым входящим трафиком (например, H.323/SIP, RTP, HTTP, FTP, DHCP), обеспечивать при необходимости шифрование сигналов установки вызова и голосового контента.
Таким образом, при правильно построенной защите риски, связанные с разворачиванием IP-телефонии, могут быть эффективно уменьшены.