Ohrožená bezpečnost VoIP

Mnozí experti tvrdí, že budoucnost patří VoIP. Zatím zde však hrozí i určitá nebezpečí. Ti, kdo chtějí provoz...


Mnozí experti tvrdí, že budoucnost patří VoIP. Zatím zde však hrozí i určitá
nebezpečí.

Ti, kdo chtějí provozovat bezpečné sítě s hlasovými službami VoIP, musejí být
připraveni reagovat na celou řadu hrozeb. VoIP je totiž snadno zranitelnou
technologií což ovšem nemusejí běžní manažeři zodpovědní za firemní
telekomunikace ani jejich zaměstnanci vůbec tušit. Předchozí odstavec shrnuje
aktuální situaci a podobné tvrzení bylo i jedním ze závěrů konference VON 2004,
která se konala koncem loňského roku v americkém Bostonu. Zde experti často
doporučovali, aby provozovatelé VoIP vždy pečlivě posuzovali možnost
zabezpečení své sítě jednou ochrannou vrstvou navíc. Zástupce AT&T popsal jednu
z nejvíce znepokojujících hrozeb vkládání slov do VoIP toků ve formě, která je
podobná útokům typu man-in-the-middle v datových sítích. "Můžete do konverzace
vložit sprostá slova, a hovořící osoba je ani neuslyší," řekl Kevin Kealy,
bezpečnostní expert AT&T během svého projevu. Ještě hrozivěji znělo Kealyho
tvrzení, že použil stejnou technologii v laboratořích AT&T k vytvoření celých
VoIP hlasových zpráv, které současná analýza hlasových stop používaná ve FBI
hodnotila jako pravé. "Prokázali jsme, že to funguje," řekl. "To je děsivé."
Mezi další zranitelnosti podle jeho slov patří spam přes internetovou telefonii
nevyžádaná hlasová zpráva, která může zablokovat poštovní schránky VoIP, nebo
útoky DoS, které dokáží ochromit hlasové servery záplavou signálů o vytvoření
spojení.
Experti ale druhým dechem dodávají, že není třeba se uvedených hrozeb obávat
příliš pokud tedy přijmete příslušná opatření. Známé bezpečnostní postupy totiž
dokáží rizika výrazně zredukovat. Například šanci na útok typu vkládání slov je
možné zmenšit šifrováním signalizace volání, takže nelze snadno přečíst
identifikace volajících stran. "Hrozbu je možné dále snížit šifrováním
hlasových paketů, takže je v podstatě téměř nemožné vložit jakékoliv slovo,"
říká Kealy. Společnost Nortel podle jeho slov pracuje na softwaru pro svoje
VoIP služby, který bude šifrovat hlasové pakety, a mařit tak útoky podobného
typu.

Obecné zabezpečení
Nejdůležitější princip bezpečnosti VoIP tkví podle odborníků v dobrém
zabezpečení sítě obecně žádný jednotlivý bezpečností hardware nebo software
podle nich neubrání systém proti všem hrozbám a navždy. "Každý měsíc vyvstávají
nové hrozby. Útočníci vymýšlejí stále něco nového, a s tím je třeba počítat,"
uvedl na konferenci Akif Arsoy, produktový manažer společnosti VeriSign.
Firma VeriSign ohlásila poskytování nových bezpečnostních služeb VoIP
prostřednictvím svých zdvojených zabezpečených provozních center. Ta podle
Arsoye již nyní běžně monitorují sítě zákazníků, zda v nich nedochází ke
škodlivým činnostem. Jsou hledány škodlivé kódy známé viry i červi a detekovány
situace, které se odlišují od normálního chování uživatelů. Provoz je možné po
vyrozumění zákazníků dočasně zablokovat a následně zjistit, zda nedošlo k
útoku. VeriSign rovněž vyhledává IP-telefonní partnery, kteří by mohli přidávat
do svých zařízení digitální certifikáty. "Uživatelé by si tak mohli ověřit, že
je telefon bezpečný a nedochází například ke skupinovému vysílání dat k
přístrojům nekalých živlů," říká Arsoy. "Ministerstvo pro národní bezpečnost,
které staví univerzální síť založenou kompletně na IP, takové telefony
potřebuje. Kontrola zařízení je pro ně velice citlivou záležitostí," dodává
Arsoy.
Společnosti Juniper a Avaya již předvedly výsledky integrace bezpečnostních
zařízení Juniperu a VoIP vybavení od Avayi pro malé a středně velké podniky.
Jejich řešení zahrnuje firewall Juniper, který otevírá a uzavírá porty pro
vyřizování VoIP volání. VoIP volání přitom používá několik náhodných portů v
rámci určitého rozsahu, ale nemá k dispozici mechanismus pro jejich uzavírání,
není-li firewall těsně integrován s komunikačním serverem. Ujištění, že se
porty po skončení volání uzavřou, je klíčem k ochraně VoIP sítí před útoky,
které využívají skenování portů. "Obecným řešením ochrany VoIP je vrstvená
bezpečnost, tedy stejný model, který je používán pro běžné IP sítě," říká
Kealy. Mezi tato řešení patří firewally instalované na komunikačních serverech,
které blokují příchozí VoiP signalizaci s výjimkou signalizace ze známých IP
adres, nebo používání VPN pro přenos VoIP mezi stanicemi. Některá z
doporučených opatření se již běžně používají na ochranu datových sítí, zatímco
ostatní jsou specifická pro VoIP.

V praxi
Navzdory ujišťování ze strany některých výrobců i expertů jsou potenciální
škody při zneužití VoIP natolik velké, že organizace stále přistupují k této
technologii s určitou rezervou. "Naše VoIP řešení je v současnosti pouze
interní v jedné jednotce a nejsem příliš potěšen jeho bezpečností," říká
ředitel telekomunikací jednoho amerického maloobchodního řetězce, který si
nepřeje být jmenován. "Když začneme totéž provádět ve všech obchodech a přes
WAN, naše obavy jenom vzrostou," dodává.
Lee Quintanar, manažer pro telekomunikace společnosti Countrywide Financial, se
na výstavě doprovázející výše uvedenou konferenci zabýval zkoumáním technologií
pro konsolidaci více než 40 ústředen od různých dodavatelů. Ty v jeho firmě
obsluhují 34 000 zaměstnanců rozmístěných napříč celým územím USA. I v této
společnosti je bezpečnost zařízení pro IP telefonii ve srovnání s klasickým TDM
řešením značným problémem. "Náš celkový dojem je ten, že TDM jsou pro
poskytování hlasových služeb solidní základnou," říká. "Využijeme-li IP
zařízení, dostaví se obavy jde o nejisté řešení," dodává.
Částečná nejistota je způsobena skutečností, že současné hrozby ve světě IP
sítí postavených na intelovských serverech jakými jsou například viry a trojské
koně nejsou problémem, se kterými by byli lidé z oboru telekomunikací zvyklí se
vyrovnávat. Ale všechny tyto hrozby jsou skutečně reálné. Například Todd
Goodyear, viceprezident a manažer rozvoje hlasových produktů v Merrill Lynch,
říká, že jeho síť VoIP už v důsledku virové nákazy spadla. "Dařilo se nám bez
problémů nasazovat IP ústředny. Potom ale přišly e-mailem viry Sasser a Code
Red, zmocnily se naší datové sítě, a ta zkolabovala. Protože je naše hlasová
síť provozována na datové síti, zažili jsme několik hlasových výpadků asi tak
na dvě až čtyři hodiny, než jsme správně nastavili seznamy pro blokování
přístupu," popisuje událost Goodyear.
Goodyear takřka současně dodává, že jeho firma stále aktivně nasazuje IP
telefony, ale používá i TDM jako alternativní cestu hlasového provozu. Firma
očekává, že do roku 2006 nasadí více než 10 000 IP telefonů. "Navzdory hrozícím
nebezpečím mohou organizace provést implementaci VoIP bezpečně," říká Jim
Thorpe, technický ředitel společnosti Aegis Mortgage, jejíž telefonní síť je
postavena na více než 20 ústřednách Nortelu s podporou IP a několika menších IP
ústřednách. "Protože je hlavní telefonní ústředna společnosti postavena na TDM,
z útoků na zařízení zpracovávající volání nemám takový strach," říká Thorpe.
"Neslyšel jsem toho moc o trojských koních, které by mohly proniknout do
firemních ústředen," dodává. "Neříkám, že to není možné, ale v CERT a ICAT (dva
bulletiny zabývající se bezpečností) jsem nečetl, že by představovaly nějaké
vážné bezprostřední ohrožení."









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.