Nebezpečí přichází od VoIP

Bezpečnostní aspekty podnikového VoIP byly nafouknuté," říká Irwin Lazar, senior analytik společnosti Burton Group. "S...


Bezpečnostní aspekty podnikového VoIP byly nafouknuté," říká Irwin Lazar,
senior analytik společnosti Burton Group. "Strachu z útoku je věnováno mnohem
více pozornosti, než kolik je skutečně nezbytné."
Roger Farnsworth, marketingový manažer pro Secure IP Communications ve
společnosti Cisco Systems, souhlasí: "VoIP systémy mohou být přinejmenším tak
bezpečné jako tradiční hlasové systémy, a budoucí IP technologie nebo hlasové
aplikace je učiní dokonce ještě bezpečnějšími."
Avšak Mark Collier, CEO společnosti SecureLogix, výrobce platforem pro správu a
zabezpečení hlasové komunikace pro tradiční telefonní systémy i VoIP, se s tím
úplně neztotožňuje: "S IP jako se základem VoIP jednoduše nelze očekávat, že
VoIP bude jakkoliv robustnější než e-mail, web, nebo dokonce DNS," tvrdí.
Jen další aplikace
Ve skutečnosti je podnikové VoIP jenom další aplikací v IP síti. Základními
elementy v současnosti typických podnikových systémů pro IP telefonii jsou
servery pro řízení hovorů (call control server), které obvykle běží na takových
operačních systémech jako Linux, Windows či VxWorks, dále VoIP klienti, jimiž
jsou buď hardwarové (handset), nebo softwarové (softphone) systémy, VoIP brány,
které jsou umístěny na okraji sítě a zajišťují přechod mezi VoIP a PSTN
(klasickou telefonní sítí). Všechny tyto komponenty používají některé
standardní protokoly typicky buď protokoly řady H.323 organizace ITU, nebo SIP
od sdružení IETF určený pro servery a klienty a konečně pro brány protokoly
MGCP (Media Gateway Control Protocol) či Megaco/H.248. A velká většina z nich
sdílí stávající datovou síť, přičemž pro přenos hlasových paketů spoléhá na
tradiční směrovače a přepínače a v ideálním případě i na rozhraní k ostatním
datovým aplikacím včetně messagingu.
Takže teoreticky jsou VoIP systémy stejně zranitelné vůči útokům jako ostatní
datové aplikace. Seznam potenciálních hrozeb je ohromný a zahrnuje DoS útoky,
viry, červy, trojské koně, spam či phishing. Spam? Jestli se pamatujete na
temné dny před zavedením takzvaných do-not-call seznamů, můžete si lehce
představit potenciál SPITu (Spam over Internet Telephony). "Jestliže chci
provést 100 hovorů, musím vytočit číslo stokrát, nebo místo toho použít
autodialer," popisuje Andrew Graydon, technologický viceprezident společnosti
BorderWare Technologies. "Avšak s IP připojením bych mohl uploadovat WAV soubor
do počítače někde na Bahamách, stisknout tlačítko a odeslat jej okamžitě dvěma
tisícům zaměstnanců." Phishing je možné jednoduše uskutečnit pomocí imitace
informací o ID volajícího (caller ID), čímž se útočník maskuje jako
představitel legitimní instituce.
Výrobci a analytici nicméně zdůrazňují, že IP pobočkové ústředny (IP PBX) běží
na široké škále operačních systémů (obvykle funkčně omezených a opevněných) a
používají kombinace standardů a proprietárních protokolů, jako je například
Skinny, protokol pro řízení hovorů firmy Cisco. To činí VoIP aplikace přece jen
obtížnějším terčem, než jsou typické datové aplikace.
Potenciálně hrozivé jsou však útoky typu man-in-the-middle (hackeři se
maskující jako SIP proxy a zaznamenávají veškeré aktivity volajících) a
zneužití důvěry (průnik do datového serveru, který má vztah důvěry s VoIP
servery, a to za účelem získání snadného přístupu). K tomu připočtěte podvody s
telefonáty, jichž je dosaženo proniknutím do hlasové brány, či mezinárodní
hovory na náklady firmy.
Pak je tady rovněž odposlouchávání uživatelé s přístupem do sítě a se dvěma
volně a snadno dostupnými nástroji označovanými jako tcpdump a VOMIT (Voice
over Misconfigured Internet Telephones) mohou shromažďovat a převádět hlasovou
konverzaci přes IP do standardního WAV formátu.
Kromě toho, aby mohly VoIP systémy správně fungovat, jsou často závislé na
zranitelných aplikacích. "Škodlivý kód SQL Slammer útočil na Microsoft SQL
Server, a protože telefonní servery Cisco Call Manager jsou na SQL Serveru
závislé, narušil také jejich běh," podotýká Collier.
Ve srovnání s jinými aplikacemi má VoIP také své unikátní problémy. Aby bylo
dosaženo vysoké kvality hlasu, nesmí latence klesnout pod 150 milisekund pro
jednocestný provoz, jak vysvětluje David Fraley ze společnosti Gartner.
"Kódování hlasu může zabrat až 30 milisekund a hlasové volání na rozumnou
vzdálenost ve veřejné IP síti až 100 nebo dokonce 125 milisekund, a to ještě
před tím, než jsou aplikována bezpečnostní opatření, jako jsou firewally,
šifrování či intrusion prevention."
Většina nespecializovaných firewallů nebere na VoIP žádný zvláštní ohled ani
neřeší specifika protokolů SIP či H.323. Novější produkty od předních výrobců
firewallů a IPS, jako je třeba Check Point, Juniper či WatchGuard, ale už
začaly brát VoIP více na vědomí a implementují technologii s označením NAT
traversal, takže otevírají a zavírají porty dynamicky na základě pečlivého
monitoringu VoIP relací, a dokonce implementují některé QoS funkce. To však
často znamená nutnost upgradu hardwaru i softwaru a vyžaduje to též pozornost
při nákupu.

Hledání řešení
Je při existenci všech potenciálních hrozeb a slabin možné, že se obrovský
počet uživatelů VoIP ocitne v situaci, kdy budou sužováni přerušováním služeb a
vystaveni odposlouchávání? Zatím lze říci, že dosud nedošlo k žádnému ničivému,
široce uveřejněnému a medializovanému útoku na podnikové VoIP systémy. Proč?
Výrobci a analytici nabízejí několik důvodů.
Většina novějších podnikových VoIP řešení jsou uzavřené systémy, v nichž hlas
převedený do paketů probíhá pouze napříč LAN, a většina externího provozu běží
přes bránu po klasické PSTN. "Jestliže provozujete VoIP pouze v LAN, je
relativně jednoduché dodržet vysokou kvalitu a udržovat bezpečnost," říká
Fraley z Gartneru. Při komunikaci mezi pobočkami provoz obvykle běží po
chráněném spojení, takže zabezpečení interního VoIP v mnoha případech znamená
opevnění call serverů, přepínačů a bran a jejich ochrana pomocí odpovídajících
typů firewallů a IPS.
Výrobci také doporučují oddělit hlas od datového provozu v LAN, aby bylo možné
jej chránit před malwarem, odposloucháváním a DoS útoky. Vybudování samostatné
infrastruktury pro hlasovou komunikaci však vylučuje nákladové výhody VoIP.
Nicméně téměř stejný způsob ochrany přichází spolu s funkcionalitou na bázi
standardu 802.1Q v přepínačích, která rozdělí hlas a data do samostatných sítí
VLAN a chrání průsečíky mezi hlasovými a datovými VLAN (jako je zprávový
server) pomocí firewallu a/nebo IPS s podporou hlasového provozu. Cisco už
vestavěné IPS nabízí i v posledních verzích svého Call Manageru. "Správné
použití VLAN rovněž zabrání případnému špehování VoIP," říká Farnsworth a
dodává, že je stále jednodušší zaměřit odpovídající bezpečnostní opatření i na
hlasové aplikace.
Výrobci VoIP a bezpečnostní experti tvrdí, že je lepší vyhnout se softphonům,
tedy telefonickému softwaru, který běží na PC, a nasadit raději handsety pro IP
telefonii. U softphonů je totiž takřka nemožné oddělit hlas od dat. Dobrým
způsobem, jak pomoci zmařit pokusy o fingování IP adres, je přidělení IP adresy
handsetu přímo k jeho MAC (Media Access Control) adrese. Některá řešení
používají digitální certifikáty pro autentizaci zařízení a serverů a vedle toho
lze také vyžadovat pro přístup ke koncovým přístrojům zadání hesla a PINu.
Klíčové je šifrování signalizačních dat hlasových přenosů, interakcí při správě
VoIP a zvláště v prostředí s vysokými bezpečnostními nároky i vlastních
hlasových přenosů.

Cesta vpřed
Výše uvedené argumenty se dnes jeví jako velmi rozumné, co ale bude zítra?
"Koneckonců, podniky chtějí VoIP využívat k tomu, aby vydělaly například na
úsporách nákladů při mezinárodních hovorech," říká Graydon. To znamená nahradit
linky PRI ISDN a další PSTN spoje řešeními VoIP tak, aby mohly být hovory
směrovány na bránu nejblíže k volané mezinárodní destinaci. "Jakmile podnik
otevře VoIP vůči internetu, udělá si tím do svojí sítě obrovskou potenciální
bezpečnostní díru," tvrdí Graydon. V podstatě lze ale říci, že dny uzavřených
korporátních IP systémů jsou u konce. Graydon rovněž poukazuje na to, že
telekomunikační operátoři postupně mění svoji interní infrastrukturu z klasické
podoby měděných linek na IP přes optiku, čímž snižují své vlastní náklady, a
pro spojení s ostatními operátory přecházejí na peering na bázi IP. "Velká část
přechodu na IP probíhá takříkajíc tajně."
Collier souhlasí. "Ve chvíli, kdy například MCI získá tisíc zákazníků do svojí
VoIP sítě, ale bude mnohem obtížnější kontrolovat bezpečnostní hrozby," říká.
Skeptikové poukazují na to, že vyhnout se softphonům a udržet hlas zcela
oddělený od dat je nerealistické. "Vzájemné propojení mezi hlasem a daty tvoří
právě tu oblast, kde se v průběhu doby budou rozvíjet skvělé konvergované
aplikace," vysvětluje Collier. Jeff Rothel, CEO společnosti CentricVoice,
poskytovatele podnikových VoIP služeb, jež využívají VoIP bezpečnostních řešení
BorderWare, přitakává. "Máme v plánu nasadit řadu řešení, která přidávají hlas
přímo do softwarové vrstvy podnikových datových aplikací," říká. Rothel a další
vidí budoucnost tak, že podniky budou kupovat řadu hlasových služeb a aplikací
od mnoha různých poskytovatelů, velkých i malých, ale standardizovaných okolo
IP a SIP.
Rothel prohlašuje, že tradiční poskytovatelé hlasových služeb nejsou příliš
obeznámeni s potenciálními VoIP hrozbami. "Mnozí z nich zkrátka nerozumějí
datovému světu. Nikdy se nesetkali s tím, že by virus vyřadil jejich ústřednu."
Jsou zde také problematické aplikace, jako je peer-to-peer hlasové řešení od
firmy Skype či dalších poskytovatelů. "Existuje spousta aplikací, které budou
pravděpodobně vstupovat do organizací a jež nezapadají do standardního
podnikového VoIP modelu," upozorňuje David Endler, ředitel bezpečnostního
výzkumu u IPS poskytovatele TippingPoint, součásti 3Comu, a předseda VoIP
Security Alliance, což je aliance VoIP a bezpečnostních výrobců.
Skeptikové dále podotýkají, že mnohé z bezpečnostních opatření navrhovaných
VoIP dodavateli nejsou ani nijak zvlášť praktická, ani široce používaná.
"Jistě, můžete implementovat šifrování hlasu či příslušné signalizace nebo
silnou autentizaci, ale ty jsou náročné z hlediska konfigurace," myslí si
Collier ze SecureLogix. Brian Ham, CTO firmy Sentegrity, což je poskytovatel
zabezpečení IT, pozoruje, že současné standardy pro výměnu klíčů, jako třeba
protokol Diffie Hellman, nejsou dostatečně dobře škálovatelné pro obecně
rozšířenou autentizaci a šifrování VoIP: "Když se podíváte na fóra, na nástěnky
BBS či na weby lídrů tohoto odvětví, zjistíte, že se všichni ptají ,Jak máme
správně provádět výměnu klíčů?" Sentegrity nabízí své vlastní řešení výměny
klíčů.
To, že dosud nedošlo k žádným široce zveřejněným útokům vůči IP telefonii, však
neznamená, že k nim nedochází. Firma BorderWare uvedla, že některá call centra
a finanční instituce se již stala terčem útoku, avšak jejich představitelé
nemají zájem, aby byla uváděna jejich jména.
"S obecně rozšířenou hrozbou se typicky nesetkáte dříve, než je příslušná
technologie nasazena ve větším rozsahu a než jsou masově dostupné nástroje pro
automatizaci útoků," říká Collier. Endler souhlasí: "S tím, jak jsou aplikace
nasazovány v širší míře, stávají se z nich přitažlivější cíle." Dodavatelé
bezpečnostních řešení pro VoIP, jako BorderWare, SecureLogix, a dokonce i
TippingPoint, nabízejí specializované VoIP firewally a IPS, které se zaměřují
na exploity na aplikační vrstvě, u nichž je pravděpodobné, že se v průběhu doby
dotknou právě VoIP. VoIP však může začít být poškozováno i dalšími typy útoků,
jež sužují e-mail, instant messaging a další typy osobní komunikace. Dobrá
zpráva ale je, že se VoIP a bezpečnostní výrobci těmito problémy zabývají už v
rané fázi. "Není pochyb, že možnosti zabezpečení VoIP se neustále a velmi
rychle zlepšují," říká Kuhn a dodává, že výhody plynoucí z konvergence
hlasových a datových aplikací jsou tak ohromné, že je nepravděpodobné, že by
bezpečnostní problémy zmařily jejich nasazení.
James Largotta, CEO firmy Sentegrity, mu přisvědčuje. "Myšlenka stojící za VoIP
je příliš oslnivá," říká. "Jakmile budou některé z chyb vyřešeny, bude to
obrovská výzva pro podniky."


VoIP firewally nová linie obrany
Zařízení s podporou VoIP od výrobců jako SecureLogix a BorderWare umožňují
monitorovat provoz a minimalizovat riziko. "Dnes je prohledán a prozkoumán
každý e-mail v podniku," poznamenává Mark Collier, CEO společnosti SecureLogix.
"A stejně tak tomu bude i u VoIP." Aby toho však bylo možné dosáhnout, budete
potřebovat sofistikovaný firewall, který monitoruje VoIP provoz na aplikační
úrovni.
Většina dnešních VoIP systémů ale běží pouze v interní LAN a s vnějším světem
je propojená přes VoIP brány a PSTN spoje. To se však patrně v průběhu několika
příštích let změní s tím, jak začnou firmy využívat rostoucího počtu VoIP
služeb od předních operátorů. Když to nastane, budou podniky muset upgradovat
své firewally na verze navržené s ohledem na provoz VoIP.
"Útoky typu man-in-the-middle, odposlouchávání a spam jsou typy hrozeb, jež vás
vždy budou znepokojovat," říká Andrew Graydon, technologický viceprezident
firmy BorderWare, "a abyste si s nimi poradili, budete potřebovat množství
informací o hlasových datech i paketech."
SecureLogix a BorderWare patří k prvním výrobcům firewallů, kteří taková řešení
nabízejí. Zařízení SIPassure od BorderWaru je aplikační proxy firewall založený
na SIP, jenž je schopen autentizovat uživatelská spojení, provádět hloubkovou
inspekci paketů a uplatňovat uživatelsky konfigurovatelné politiky, které
zajišťují ochranu proti VoIP útokům na aplikační vrstvě. Mezi tyto útoky patří
například nesprávně formované zprávy, přetečení zásobníku, odmítnutí služby
(DoS), hijacking RTP (Real-Time Transport Protocol) relací či vkládání
neautentických paketů do existujících RTP toků. SIPassure prý také zajišťuje
ochranu proti krádežím identity, vydávání se za někoho jiného či
odposlouchávání a může se pochlubit několika technikami pro blokování spamu.
"Systém ví, že není možné obdržet pět telefonátů z téže IP adresy během jediné
sekundy," vysvětluje Graydon. SIPassure rovněž ukončuje šifrované VPN relace a
řeší problémy SIP s NAT překladem.
SecureLogix poskytuje ochranu jak pro starší, tak i pro na IP založené
podnikové telefonní systémy. Collier popisuje její sadu ETM (Enterprise
Telephony Management) jako kombinaci firewallu pracujícího na úrovni hlasových
aplikací a IPS, jež funguje podobně jako SIPassure.
Hlasový firewall zajišťuje ochranu proti DoS a jiným útokům přes VoIP i PSTN
síť. IPS zas využívá signatury a další metody pro obranu před podezřelými
hovory včetně telefonických podvodů nebo VoIP spamu. Nabízí také hlasový
záznamník založený na politikách či správce využití a výkonu. Produkty obou
výrobců podle jejich tvrzení disponují také některými možnostmi pro definici
kvality hlasových služeb (QoS).
Do hry se začínají zapojovat i výrobci IPS, jako je například TippingPoint,
jenž tvrdí, že jeho produktová řada IPS je již nyní schopna pracovat se SIP a
H.323 a obsahuje real-timové sledování sestavení a ukončení relací, detekci
anomálií protokolů v každém paketu a VoIP QoS. Vloni pak firma NFR Security
uvedla na trh balík pro ochranu VoIP ke svému řešení Sentivist IPS.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.