Bezpečnost a ochrana VoIP

Jaké jsou hrozby pro bezpečnost a způsoby prevence a obrany proti útokům v sítích internetové telefonie?

Bezpečnost a ochrana VoIP


S rostoucí oblibou internetové telefonie, a tedy i s častější implementací VoIP zařízení ať už ve firemním či soukromém segmentu, rostou také počty útoků hackerů, kteří se nabourávají do VoIP sítí. Napadení majitelé ústředen tak často přicházejí o nemalé částky (jsou případy, kdy se škoda po útoku hackera vyšplhala až k milionům).

Útočníci vždy využívají nedostatečné či vůbec žádné zabezpečení VoIP ústředen, které cíleně vyhledávají. Velmi často je tato snížená míra ochrany dána neochotou majitelů VoIP ústředen investovat (oproti ztrátám při útocích naprosto minimální částku) do bezpečnosti vlastní telefonní infrastruktury.

Stejně jako u klasických počítačových sítí je mnoho způsobů útoků i na VoIP telefonii. Je např. známý příklad, kdy hacker před svým dopadením prodával tisíce a tisíce minut hovorů, které probíhaly přes napadené a prolomené telefonní ústředny. Oběti – majitelé napadených ústředen se tak v podstatě nedobrovolně stali telefonním operátorem. Takový způsob útoku na VoIP systém je však spíše raritou. Obvyklejší variantou je zpravidla prolomení telefonní ústředny a telefonování na čísla s vysokou tarifikací (cenou za vteřinu/minutu hovoru), a to většinou do zahraničních zemí se špatnou právní vymahatelností. 

Obecně lze ale útoky na VoIP telefonii rozdělit následovně:

  • Podvody – např. phishing, VoIP spaming atd.
  • Analýza služby – získání informací o službě a jejím prostředí
  • Odepření služby – blokování hovoru, přerušení hovorů atd.
  • Krádež identity – krádež identity za účelem bezplatného využívání cizích služeb


Podvody
Jedná se o útoky za účelem finančního zisku. Např. phishing – podvodná technika používaná pro získání citlivých údajů (hesla, čísla platebních karet atd.) v elektronické komunikaci. Phishing se také hojně využívá při rozesílání e-mailových zpráv či instant massagingu.

Analýza služby
Jedná se vlastně o odposlech, který může být jak aktivní, tak pasivní. Pasivní odposlech může být využit např. v bezdrátové Wi-Fi síti, která je založena na hromadném přístupu k jednomu přístupovému bodu. Aktivní odposlech znamená využívání a zfalšování síťových protokolů.

Odepření služby
Nejrozšířenějším útokem tohoto typu je tzv. DoS útok (Denial of Service). Při DoS dochází ke kompletnímu přerušení VoIP služeb. DoS má za úkol pro uživatele nefunkční či nedostupnou službu z důvodů přeplnění přenosové cesty či koncového zařízení řídicími pakety. V praxi pak tento útok buď zcela přeruší, nebo „zpomalí“ (stane se tak nesrozumitelným) daný telefonní hovor. 

Krádež identity
Údaje o identitě, tedy např. o přihlašovacích údajích, útočník získá změnou signalizace při navazování spojení, krádeží přímo koncového zařízení či prolomením registrace. Útočník je schopen prolomit registraci zahlcením systému podvrženými žádostmi a dotazy, na které systém „zmateně“ odesílá své odpovědi, podle kterých si útočník udělá představu o podobě struktury sítě (IP adresy koncových zařízení, ústředny atd.)Podle výše popsaného je zřejmé, že napadení VoIP systému třetí stranou je legitimní hrozbou, kterou není dobré brát na lehkou váhu, a následky takového napadení mohou být mnohdy zničující (zejména z finančního hlediska). Je však několik velmi základních a jednoduchých způsobů, jak se proti podobným útokům na VoIP telefonii bránit. Jde o finančně nenáročné postupy, které uživatelům VoIP systémů ušetří velké starosti. Dům, byt i auto si také zamykáme a většinou využíváme daleko sofistikovanější způsoby zabezpečení. Stejně samozřejmě bychom tedy měli brát zabezpečení naší telefonie, v takovém případě se totiž nemusíme obávat výše popsaných útoků.

Jak se bránit útokům na VoIP systémy:
Kvalitní silná hesla
Pro kvalitní zabezpečení musí ústředna používat opravdu silná hesla. To je základní pravidlo ve všech počítačových sítích. Uživatelé ústředen často používají velmi jednoduchá, triviální hesla složená např. ze svého jména nebo jména firmy, ve které systém používají. Toho by se však měli velmi razantně vyvarovat. Obecně se doporučuje použití hesel o min. osmi znacích s kombinací malých i velkých písmen, číslic a dalších znaků (tečky, čárky atd.)

Firewall
Používání firewallu podporující VoIP je dalším základním opatřením pro bezpečnost systému. Firewall je nutný v případě, že je VoIP ústředna přístupná z internetu (poskytovatel VoIP služeb může vyžadovat veřejnou IP adresu). Vhodnějším zabezpečením je samozřejmě firewall přímo na VoIP ústředně.

Nastavení práv na volání a limitů hovorů
Na ústředně můžeme zakázat volání do zahraničních destinací, kam volat nepotřebujeme. Lze také zamezit internímu volání národních čísel s předvolbami s vysokou tarifikací (erotické linky, různé typy soutěží atd.). Pokud jsou zahraniční destinace, kam potřebujeme volat, existuje další možnost zabezpečení nastavení limitů pro volání. Jde o omezení maximální provolané částky na ústředně.

Monitoring ústředny
Sledování provozu ústředny a zaznamenávání nestandardních situací zamezíme dlouhodobým problémům. Ideálním řešením je nechat monitoring provozu ústředny na specialistech (nejlépe dodavateli ústředny).

Fyzické zajištění ústředny
Napadení ústředny nemusí vždy probíhat vzdáleně.

Přiřazení priority VoIP paketům
Proti výše popsaným DoS útokům a odposlouchávání se lze bránit přiřazením vyšší priority VoIP telefonním paketům oproti paketům datovým. 

Kvalitní správa i nastavení
Mnoho uživatelů chce právě na bezpečnosti ušetřit prvotní náklady na ústřednu. Kvalitní nastavení přímo od dodavatele ústředny a následná profesionální správa systému jsou základními prvky pro bezpečnou VoIP telefonii.

V tomto článku tolikrát skloňovaná bezpečnost VoIP telefonie je podle výše popsaného v podstatě jednoduchou záležitostí. Je však právě potřeba ji nepodceňovat ze strany uživatelů a důkladně se věnovat ochraně svého majetku v podobě VoIP ústředny.V dalším díle seriálu se podíváme na VoIP v praxi, možnosti využití jednotlivých prvků a jejich výhody.

Autor pracuje jako obchodník pro koncová zařízení a VoIP projekty ve společnosti Joyce ČR

Úvodní foto: © vgstudio - Fotolia.com



Vyšlo v Computerworldu 1/2012
Toto vydání k dispozici se slevou 50 %








Komentáře