Bezpečnosť ústrední VoIP pripojených na internet

dreamstime_11555787v2.jpg Telefónne ústredne založené na technológiách Voice over IP (a predovšetkým na protokole SIP) sú už dlhý čas populárnym riešením telekomunikačných potrieb firiem a často aj domácich používateľov. Oproti starým „drôtovým“ ústredniam ponúkajú väčšiu flexibilitu v možnostiach nastavenia a, samozrejme, aj úsporu telekomunikačných nákladov, pretože si možno vyberať z radu alternatívnych poskytovateľov, ktorí ponúkajú veľmi výhodné ceny.

Telefónna ústredňa na báze VoIP by sa však mohla stať aj dôvodom výrazných strát, ak pri jej pripojení do internetu nevenujeme pozornosť zabezpečeniu. Mnoho hackerov sa totiž rýchlo preškolilo práve na napádanie telefónnych serverov. Ústredňa, ktorej obranu sa podarilo prelomiť, je pre hackera veľmi ľahký zdroj príjmov. Veľkú publicitu získal napríklad v roku 2010 prípad hackera, ktorý sa po dolapení priznal k predaniu niekoľkých miliónov minút hovorov realizovaných cez prelomené telefónne servery. Tento prípad je špecifický tým, že hacker urobil z prevádzkovateľov napadnutých serverov nedobrovoľných telefónnych operátorov. Štandardný typ útoku má však priamejší charakter: po prelomení servera začne útočník generovať hovory na telefónne čísla s vysokou tarifikáciou, umiestnené v krajinách so zlou vymožiteľnosťou práva.

Modelové situácie
Poďme sa bližšie pozrieť na jednotlivé bezpečnostné situácie, v ktorých sa môže ústredňa nachádzať.

1. Ústredňa je pripojená do verejnej telefónnej siete „klasickým“ spôsobom, t. j. iba cez analógovú linku alebo ISDN. Ústredňa nie je z internetu vôbec prístupná a sama naň nemôže pristupovať (zabezpečené napríklad nastavením firewallu). Toto je z hľadiska bezpečnosti najjednoduchšia situácia, ale je dôležité nepodceňovať bezpečnostné opatrenia. Ústredňa je pripojená do lokálnej siete, a pokiaľ útočník do LAN akokoľvek prenikne (napríklad odcudzením hesla pre VPN odpočúvaním klávesnice v infikovanom počítači), môže útočiť aj na ústredňu. Ak zistí, že sa v sieti nachádza telefónny server, bude zrejme hlavným objektom jeho záujmu.

2. Ústredňa je pripojená k niektorému poskytovateľovi telefónnych služieb protokolom SIP, do internetu pristupuje prostredníctvom firewallu, ktorý robí preklad adries (NAT). Toto je najčastejšia situácia v malých a stredných firmách aj u domácich používateľov. Z princípu fungovania NAT môže z internetu s ústredňou komunikovať iba server poskytovateľa služby, pretože sa s ním ústredňa sama ako prvá spojila. Ide opäť o relatívne bezpečnú situáciu. Ústredňa však môže byť napadnutá podobne ako v bode 1, takže aj v tomto prípade platí: Nepodceňujte potrebu zabezpečenia ústredne!

3. Ústredňa je buď priamo pripojená do internetu (má verejnú IP adresu), alebo sú na ňu z firewallu mapované porty. Ide o situáciu, keď potrebujeme, aby sa k ústredni pripájali i klienti (hardvérové alebo softvérové telefóny) z internetu. Tento spôsob fungovania môže byť výhodný napríklad pre pracovníkov obchodných oddelení, ktorí často cestujú. V niektorých prípadoch beh ústredne na verejnej IP adrese vyžadujú aj poskytovatelia služieb SIP. Je to pomerne častá požiadavka pri vysokokapacitných pripojeniach SIP (pre ktoré sa niekedy používa označenie SIP Trunk).

VoIP_Kerio OBR1 copy.jpg
Výpis zablokovaných adries v administračnom rozhraní – pri behu ústredne na verejnej IP adrese dôjde v priebehu niekoľkých dní k jej objaveniu a pokusy o uhádnutie hesiel prebiehajú v podstate priebežne


Útok
Prv než sa pozrieme na to, ako telefónnu ústredňu pred útokmi chrániť, bude vhodné vedieť, ako útok prebieha. Keď útočník skenovaním internetu zistí, že na nejakej internetovej adrese funguje SIP server (ktorý počúva na porte 5060 UDP alebo TCP), odvíja sa typický útok v nasledujúcich troch fázach:

1. Útočník sa snaží uhádnuť čísla liniek, používateľské mená a k nim prislúchajúce heslá. Toto hádanie hesiel má charakter útoku hrubou silou a na pomalých dátových linkách môže spôsobiť až ich zahltenie (Denial of Service). Útočníkom ide o čas, takže najprv skúšajú jednoduché či často používané heslá (slovníkový útok).

2. Ak útočník uhádne heslo niektorého používateľa či linky na ústredni, okamžite sa ako tento používateľ zaregistruje a snaží sa uhádnuť predvoľbu, ktorú ústredňa používa na volania do verejnej telefónnej siete, a takisto hľadá predvoľbu na volania do zahraničia.

3. V poslednej fáze útoku útočník generuje veľké množstvo krátkych hovorov do exotických destinácií (najčastejšie Afrika). Ide nepochybne o linky, ktoré majú vysoký poplatok za zostavenie hovoru a buď útočník, alebo niekto s ním spojený túto linku prevádzkuje. Zo strany útočníkov ide o prešibanú optimalizáciu: Prečo prevolávať minúty, keď spájací poplatok je značný a kratučkých hovorov možno vygenerovať stovky či tisíce?

Obrana
Ako sa pred útokmi brániť? Pozrime sa na jednotlivé opatrenia a ich aplikáciu na modelové situácie uvedené v úvode.

- Silné heslá SIP
Z opísaného priebehu útoku je zrejmé, že ústredňa musí používať veľmi silné heslá SIP. Toto je dôležité pri všetkých typoch pripojenia, pre istotu aj v situácii, keď ústredňa nemá do internetu prístup. Ak majú používatelia tendenciu používať jednoduché heslá, mal by administrátor pristúpiť k dôslednému vynucovaniu politiky silných hesiel či heslá nastavovať sám (toto je prístup, pre ktorý sme sa rozhodli v produkte Kerio Operator).

- Nastavenie práv na volanie
Ďalšie opatrenie vhodné vo všetkých modelových situáciách je obmedzenie práv na volanie. Opatrenia vás chránia tak pred zneužitím zo strany interných používateľov, ako aj v prípade útoku zvonka. Jednoducho zakážte na ústredni volania do tých krajín, s ktorými nepotrebujete komunikovať. Rovnako zakážte hovory na národné čísla s vysokou tarifikáciou (rôzne erotické linky a pod.).

- Nastavenie firewallu
Použitie firewallu je dôležité predovšetkým v situácii, keď je telefónny server prístupný z internetu. Napríklad ak si váš poskytovateľ pripojenia SIP vyžaduje, aby vaša ústredňa mala verejnú IP adresu, nastavte firewall tak, aby prepúšťal iba prevádzku z adresného rozsahu providera. V tejto situácii môže byť výhodné mať firewall aj priamo na telefónnom serveri. Napríklad pri použití open source servera Asterisk na Linuxe možno nastaviť firewall IPTables.

- Ochrana pred hádaním hesiel
V niektorých situáciách nie je známe, z akých IP adries či adresných rozsahov sa budú vaši používatelia pripájať. Preto nemožno použiť staticky nastavený firewall a je vhodné doplniť ďalšiu úroveň ochrany. K tomuto môže dochádzať, ak vaši používatelia používajú softvérové telefóny na mobilných telefónoch. Mobilné siete 3G už väčšinou majú dostatočnú priepustnosť na telefonovanie protokolom SIP a pre mobilných používateľov môže byť výhodné mať telefónnu linku zo svojej kancelárie so sebou vo vrecku a trochu aj znížiť hovorné (ak majú dátové prenosy za paušál). Ak je používateľ v pohybe a občas použije aj pripojenie Wi-Fi v niektorej reštaurácii či kaviarni, bude sa jeho IP adresa meniť.

Vhodná ďalšia vrstva ochrany môže byť obmedzenie počtu pokusov o zadanie hesla pre jednotlivé IP adresy (napríklad tak, že po troch chybách hesla bude daná IP adresa na 1 deň zablokovaná). V prípade použitia ústredne Asterisk to treba riešiť cez externý nástroj, napríklad program Fail2ban, ktorý priebežne prehľadáva logy Asterisku a po nájdení stanoveného počtu hlásení o chybe hesla vykoná zablokovanie útočníka zmenou v nastavení IPTables. V Kerio Operator 1.1 (v súčasnosti dostupnom ako beta verzia) sme túto formu ochrany riešili ako integrálnu súčasť ústredne.

- Nastavenie limitov hovorov
Ak nie je možné, aby ste na ústredni zakázali všetky potenciálne nebezpečné destinácie (napríklad vaši používatelia potrebujú telefonovať medzinárodne), je vhodné pre tieto smery volania nastaviť aspoň limity pre počty hovorov alebo prevolaný čas. Ak sa niektorý z limitov prekročí, možno napríklad reagovať tak, že ústredňa upozorní administrátora. Ak je limit nastavený tak, že jeho prelomenie očakávate len pri skutočnom útoku, môže bezpečnostné pravidlo dokonca zastaviť všetku odchádzajúcu prevádzku, aby sa zabránilo ďalším stratám. Potom je úlohou správcu, aby odstránil následky útoku a slabé miesta v zabezpečení a uviedol ústredňu opäť do prevádzky.

Záver
Cieľom tohto článku bolo upozorniť na potrebu ochrany telefónnych ústrední fungujúcich na báze VoIP a krátko informovať o metódach, ako zabezpečiť ich bezpečné fungovanie. Je však dôležité zaoberať sa bezpečnosťou podnikovej siete systematicky. Rovnako ako zabezpečeniu ústredne sa musíme venovať aj ostatným serverom v sieti (a predovšetkým firewallu) a aj organizačným opatreniam a preškoleniu používateľov, aby sa minimalizovalo riziko škôd spôsobených ľudským faktorom.

Vlada Toncar1.jpg Vladimír Toncar
Autor článku je Product Development  Manager Kerio Technologies, s. r. o.

Zdroj: Infoware 6-7/2011



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

In­for­mač­ná bez­peč­nosť: Geog­ra­fic­ky dis­tri­buo­va­ná ochra­na dát
Ako minimalizovať výpadok IT služieb a stratu dát v dôsledku nepriaznivých udalostí. Zatiaľ čo v predošlej dekáde stačilo chrániť pred výpadkom niektoré aplikácie.  čítať »
 
Pla­te­ná rek­la­ma vs. op­ti­ma­li­zá­cia SEO – vý­ho­dy, ne­ga­tí­va, mož­nos­ti
Špecialisti na SEO tvrdia, že správnou optimalizáciou webu máte šancu získať oveľa viac ako platenou reklamou. Naproti tomu experti na platenú reklamu argumentujú dosahovaním rýchlych a merateľných výsledkov. čítať »
 
Ar­chi­tekt vs Pro­jek­to­vý ma­na­žér - spo­jen­ci, či ne­pria­te­lia?
Tieto roly existujú v každom väčšom projekte, ale napriek tomu ich spolupráca často neprebieha tak hladko ako by sa očakávalo. Je dôvod v samotných rolách, alebo leží úplne inde? čítať »
 
Ap­pli­ca­tion De­li­ve­ry – efek­tív­na ochra­na pro­ti hac­ke­rom a op­ti­ma­li­zá­cia vý­ko­nu slu­žieb
Sú vaše webové služby chránené proti hackerom? Programátori často urobia chyby, ktoré dokážu útočníci zneužiť.   čítať »
 
Cloud com­pu­ting: Oča­ká­va­nia a reali­ta, preh­ľad pos­ky­to­va­te­ľov (Ama­zon, Goog­le, IBM, Mic­ro­soft)
Cloud computing, technológia predstavujúca model zdieľania hardvérových zdrojov pomocou virtualizácie a automatizácie, v súčasnosti naberá rýchlosť pri globálnom rozširovaní sa do celého spektra sektorov poskytujúcich obrovské množstvo služieb. čítať »
 
Dá­ta nie sú len ved­ľaj­ším pro­duk­tom pre­vádz­ky IS
Na otázku, ako stručne hodnotíte informačný systém vašej organizácie, by sme dostali mnoho rôznych odpovedí. čítať »
 
BYOD pod­po­ru­je ino­vač­né ini­cia­tí­vy ta­len­to­va­ných za­mes­tnan­cov
Jeden z charakteristických atribútov trendu BYOD je možnosť vynútenia technologického pokroku v IT podpore biznisu „zdola", najčastejšie zo strany mladších používateľov. čítať »
 
Li­cen­čnú čis­to­tu je ťaž­ké us­trá­žiť
Pre licenčného manažéra je znalosť aktuálnych licenčných podmienok od dvoch až troch výrobcov softvéru na všetok využívaný softvér v spoločnosti nedosiahnuteľná méta. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter