IP telefonie mění bezpečnostní priority

VoIP staví před firemní oddělení IT bezpečnosti nové výzvy. Náhle je třeba řešit problémy s ochranou sítě ze zc...


VoIP staví před firemní oddělení IT bezpečnosti nové výzvy. Náhle je třeba
řešit problémy s ochranou sítě ze zcela nového úhlu.
Ve snaze o úsporu nákladů se naše firma rozhodla přejít na IP telefonii.
Směrováním hovorů přes stávající IP síť a využitím VoIP přenosů je možné
výrazně snížit náklady na telekomunikace a to zejména proto, že v naší firmě
probíhá značný telefonní provoz mezi americkými pobočkami a Evropou, Indií a
dalšími částmi Asie.
Současně to ale znamená, že na stolech budou telefony, které jsou připojeny k
naší síti. A k mým problémům přibude zabezpečení telefonní sítě.
Myšlenka na hlasový provoz v naší síti mě znepokojuje, neboť síť obsahující
VoIP řešení nebude zřejmě tak bezpečná, jak by mohla. Abychom však mohli
zaujmout konečné stanovisko, potřebovali jsme více informací. Provedli jsme
proto vyhodnocení základních součástí infrastruktury pro IP telefonii.

Technologická rizika
Vzhledem k tomu, že s touto problematikou mám omezené zkušenosti, začal jsem
nejdříve se studiem technologie. Většina diskutovaných zranitelných míst se
týkala možnosti odposlouchávání provozu v síti či vydávání se za jinou osobu
neboli zmanipulování telefonického hovoru tak, že zdánlivě přichází od jiného
volajícího.
Jelikož jsem neměl příliš času, nevěnoval jsem větší pozornost útokům DoS
(Denial of Service), které lze řešit pomocí běžných síťových zařízení.
Využíváme například síťové produkty firmy Cisco, které zahrnují několik
obranných mechanismů proti DoS útokům v rámci operačního systému. Kromě toho
chceme nasadit víceúčelové zařízení, které by mělo snížit rizika týkající se
virů a jiného škodlivého kódu.
Také kalifornská společnost Fortinet nabízí velmi zajímavý produkt, o jehož
koupi uvažujeme. Toto zařízení řeší nejen problematiku škodlivých kódů, ale
nabízí také funkce firewallu, VPN, IDS a IPS.

Testy
Při provádění testů jsem vytvořil zmenšenou verzi nového systému pro IP
telefonii. Ta zahrnovala několik typů IP telefonů, server pro řízení hovorů a
některá další síťová zařízení. Testování jsem začal u sítě, po níž budou
směrovány hlasové hovory. Připojil jsem svůj notebook k volnému ethernetovému
portu a zjišťoval jsem, jaké informace je možné monitorovat pomocí zdarma
dostupných nástrojů dsniff a ethercap.
Poté, co jsem v určitém časovém úseku zaznamenával provoz v síti, jsem si stáhl
a zkompiloval nástroj zvaný Voice Over Misconfigured Internet Telephones
(VOMIT). Tento program umí vzít zachycené pakety IP telefonie a znovu je spojit
do podoby, v níž je lze přehrát pomocí reproduktorů.
IP telefony, které jsem použil, nepodporují šifrování, takže přehrát
telefonický rozhovor bylo jednoduché. Je zjevné, že bude nutné použít takové
telefony, které umožňují šifrování. Bude také třeba oddělit hlasový provoz od
naší datové sítě. Toho dosáhneme vytvořením oddělených virtuálních LAN na
našich přepínačích.
Izolováním provozu odstraníme nebezpečí, že uživatelé na datové VLAN budou
odposlouchávat hovory. Mimo to přidáme u firewallu pravidla, která omezí
přístup ke kritickým zařízením pro IP telefonii pouze na nutné IP adresy.
Dalším aspektem IP telefonie je možnost využívat PC telefony čili takzvané
softwarové telefony, s jejichž pomocí každý počítač vybavený sluchátky nebo
mikrofonem a reproduktory funguje jako běžný telefon. Dokud ale nevyřešíme
záležitosti týkající se osobních firewallů a problematiky správy záplat,
nebudou uživatelé moci tyto aplikace používat.

Kontrola integrity
Dalším bodem mého programu bylo vyhodnocení integrity centrálního komunikačního
serveru, který má na starosti navazování a řízení hovorů. IP telefony zahajují
hovor kontaktováním tohoto serveru. Server hraje klíčovou roli při spojování
hovorů, ale po jejich navázání se celá konverzace odehrává přímo mezi dvěma IP
telefony po přepínané IP síti.
Pravděpodobně využijeme Cisco CallManager, což je software běžící na Windows
2000 a IIS. Tento systém není zrovna ideální pro kritickou infrastrukturu, ale
firma Cisco tvrdí, že jejich implementace Windows je zabezpečená, nepotřebné
služby jsou vypnuty, a na serveru je dokonce nainstalován i systém detekce
narušení (IDS).
Pokud se někomu podaří nabourat do aplikace CallManager, ovládne celý telefonní
systém. Při svém testu jsem využil volně dostupný nástroj Nessus pro skenování
portů a také aplikaci WebInspect od firmy SPI Dynamics, která provádí kompletní
kontrolu aplikační vrstvy. K mému překvapení ani jeden z nástrojů nenašel žádná
kritická místa. Bude ale nutné provést další testy a velmi důležitá je také
správa záplat.
Pokud nebude na server instalována oprava poté, co Microsoft oznámí další
zranitelné místo ve Windows, někdo by mohl ke CallManageru získat přístup.
Firma Cisco i dodavatelé, které jsme kontaktovali, ovšem tvrdí, že sledují
všechny záplaty a bezpečnostní problémy a poskytují pravidelné aktualizace
operačního systému a svého softwaru.

Další postup
Popsané kroky byly jen počáteční kontrolou hlavních součástí infrastruktury pro
IP telefonii. Stále je třeba vyřešit problémy ohledně DoS a také se důkladně
podívat na architekturu celé infrastruktury. Několik další testů, které jsme
provedli, nám ale dává dostatečnou jistotu, že bezpečný telefonní systém budeme
schopni nasadit.
Zdá se tedy, že IP telefonii lze pomocí odpovídající architektury a plánování
zabezpečit. Přitom je nutné využít dostupná bezpečnostní nastavení na
příslušných zařízeních.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.