ќбсудим вашу задачу в Telegram - чате?

ћерион Ќетворкс

“ак как технологи€ VoIP базируетс€ на технологии IP и использует »нтернет, она так же наследует все еЄ у€звимости. ѕоследстви€ этих атак, умноженные на у€звимости, которые следуют из особенностей архитектуры сетей VoIP, заставл€ют задуматьс€ о способах усилени€ защиты и тщательном анализе существующей сети IP . Ѕолее того, добавление любого нового сервиса, например, голосовой почты в недостаточно защищенную инфраструктуру может спровоцировать по€вление новых у€звимостей.

–иски и у€звимости, наследованные из IP сетей.


ѕлохой дизайн сети

Ќеправильно спроектированна€ сеть может повлечь за собой большое количество проблем, св€занных с использованием и обеспечением необходимой степени информационной безопасности в VoIP сет€х. ћежсетевые экраны, к примеру, €вл€ютс€ у€звимым местом, по причине того, что дл€ правильного функционировани€ VoIP сети необходимо открывать дополнительные порты, и межсетевые экраны, не поддерживающие технологию VoIP, способны просто оставл€ть открытыми ранее используемые порты даже после завершени€ вызовов.


”€звимые IP ј“— и шлюзы

≈сли злоумышленник получает доступ к шлюзу или ј“—, он так же получает доступ к захвату целых сессий (по сути Ц возможность прослушать вызов), узнать параметры вызова и сети. “аким образом, на безопасность ј“— необходимо обратить наибольшее внимание. ”бытки от таких вторжений могут достигать значительных сумм.


јтаки с повторением пакетов
јтака с повторением пакета может быть произведена в VoIP сети путем повторной передачи серии корректных пакетов, с целью того, что бы приЄмное устройство произвело повторную обработку информации и передачу ответных пакетов, которые можно проанализировать дл€ подмены пакетов (спуфинга) и получени€ доступа в сеть.   примеру, даже при условии зашифрованных данных, существует возможность повторени€ пакета с логином и паролем пользователем пользовател€, и, таким образом, получени€ доступа в сеть.


–иски и у€звимости, характерные дл€ VoIP сетей

ѕодмена и маскировка пакетов
»спользование подменных пакетов с неправильным IP-адресом источника могут использоватьс€ дл€ следующих целей:

ѕеренаправление пакетов в другую сеть или систему

ѕерехват трафика и атака Ђman-in-the-middleї (рисунок ниже)

Ѕезопасность IP-телефонии
  • ћаскировка под доверенное устройство
  • Ђѕеренос ответственностиї за атаку на другое устройство

  • ‘аззинг(Fuzzing)
  • Ќагрузка системы пакетами с не полностью корректной информацией , что вызывает ошибки в работе системы при их обработке, например такие как задержки при работе, утечки информации и полный отказ системы

  • —канирование на предмет возможных у€звимостей
  • —канирование портов может дать злоумышленнику начальные данные дл€ проведени€ полноценной атаки, такие как модели операционных систем, типы используемых сервисов и приложений. ѕри нахождении у€звимого сервиса злоумышленник может получить доступ к управлению всей сетью, и, как следствию, к возможности причинить большой ущерб.

  • Ќизка€ надежность по сравнению с традиционными сет€м
  • ƒл€ достижени€ качественной св€зи, пакетам, содержащим голосовую и видео нагрузку присваиваетс€ высокий приоритет в механизмах качества обслуживани€ QoS (качества обслуживани€). ќднако, надежность VoIP и сетей передачи данных стремитс€ к 99,9%, что ниже чем степени надежности в традиционных телефонных сет€х, у которых данный параметр стремитс€ к 99,999%.  онечно, разница не столь велика, однако за год эта разница выливаетс€ в дополнительные 8.7 часа, во врем€ которых система не работает. Ќо необходимо понимать, что далеко не каждому предпри€тию это может повредить.

  • јтаки DDoS(Distributed Denial of Service)
  • јтаки DoS и DDoS происход€т когда злоумышленник посылает крайне большие объемы случайных сообщений на одно или несколько VoIP устройств из одного или нескольких мест (DoS и DDoS соответственно). јтака из нескольких мест используетс€ с помощью Ђзомбиї - скомпрометированные сервера и рабочие станции, которые автоматически посылают вредоносные запросы в соответствии с потребност€ми злоумышленника. ”спешной така€ атака считаетс€ в момент, когда количество запросов превышает вычислительную мощность объекта, в следствие чего происходит отказ в обслуживании дл€ конечных пользователей.

    VoIP системы особенно у€звимы дл€ таких атак, т.к они имеют высокий приоритет в технологии обеспечени€ качества обслуживани€ QoS, и дл€ нарушени€ их работы требуетс€ меньшее количество трафика нежели дл€ обычных сетей передачи данных. ѕримером DoS атаки против именно VoIP сети может быть атака при множественной передачи сигналов отмены или установлени€ вызова, котора€ так же имеет название SIP CANCEL DoS атака.

безопасность VoIP
  • CID спуфинг
  • ќдин из типов атак с подменой пакетов построен на манипул€ци€х с идентификатором звон€щего (Caller ID или CID), который используетс€ дл€ идентификации звон€щего до ответа. «лоумышленник может подменить этот идентификатор текстовой строкой или телефонным номером и может использоватьс€ дл€ осуществлени€ различных действий, вред€щих сети или владельцу предпри€ти€.  роме того, в VoIP сет€х нет возможности скрыть этот идентификатор, т.к телефонные номера включены в заголовках пакетов в протоколе SIP. Ёто позвол€ет злоумышленнику со сниффером пакетов, например tcpdump узнать телефонные номера даже если они имеют параметр Ђprivateї у сервисного провайдера.

  • «аключение
  • »спользование IP-телефонии приносит огромное количество пользы дл€ любой организации Ц решение на базе VoIP более масштабируемы, легко интегрируемы и их стоимость ниже классических решений. ќднако, люба€ организаци€, внедрив VoIP решение должна быть в курсе возможных угроз и предпринимать всевозможные усили€ дл€ увеличени€ степени информационной безопасности в сети. Ѕыли перечислены лишь некоторые методы атак, но необходимо понимать, что часто используютс€ комбинации атак и практически ежедневно разрабатываютс€ новые атаки. Ќо пон€тно уже сейчас, что за данной технологией будущее и она вр€д ли уступит пальму первенства другой технологии в обозримом будущем.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных