Bezpečnost komunikačních sítí v praxi: Pevné sítě (II.)

Koncový zákazník velmi často nemá žádné informace o možnostech zneužití hlasové služby přes paketová data v kabelových sítích a může být otázkou času, než bude nemile překvapen výší účtu či zveřejněním privátních informací.

Bezpečnost komunikačních sítí v praxi: Pevné sítě (II.)



1. díl článku: Bezpečnost komunikačních sítí v praxi: GSM
2. díl článku: Bezpečnost komunikačních sítí v praxi: GSM (II.)
3. díl článku: Bezpečnost komunikačních sítí v praxi: Sítě 3G
4. díl článku: Bezpečnost komunikačních sítí v praxi: Sítě 3G (II)
5. díl článku: Bezpečnost komunikačních sítí v praxi: Pevné sítě
7. díl článku: Bezpečnost komunikačních: Analogové a digitální vysílání I.

Jakým způsobem je zabezpečena kabelová síť? První vrstva zabezpečení je zamezení fyzickému přístupu k médiu v místech před filtrem omezujícím distribuované kanály. To je důležité, aby nebylo pro neautorizované osoby možné vytvořit odbočku bez filtru, a tím získat přístup k analogové nabídce.

Tato forma zabezpečení již ovšem postupně pozbývá důležitosti s přechodem k digitálním technologiím distribuce signálu. Digitální kanály jsou většinou chráněny šifrováním již při vstupu na distribuční trasy a bez přístupové karty je velmi obtížné získat přístup k vysílání. Základní principy zabezpečení a distribuce digitálního vysílání budou tématem budoucích dílů seriálu.

Podobným způsobem jako televizní signál jsou distribuována i data, tedy internet, ovšem s tím rozdílem, že některé kanály jsou určeny pro přenos dat směrem k operátorovi. Dalším rozdílem je, že v určitém místě mezi zákazníkem a operátorem jsou datové kanály odbočeny z kabelu a převedeny na optické médium. Důvodem je nedostatek kapacity na páteřní síti, pokud by internet od všech zákazníků vedl pouze metalickým vedením. V některých zemích se začíná rozvíjet praxe přivedení optického vlákna přímo ke klientovi.

Jak napadnout datový přenos?
Je nutno získat fyzický přístup ke kabelu a zařízení podobné kabelovému modemu, které z kabelu získá datový tok. Rychlost toku bude pravděpodobně velmi vysoká, a je tedy vhodné získat identifikátory toku pro zákazníka, jehož si přejeme napadnout, a tato data pak filtrovat např. pro pozdější analýzu.

Většinou je přenos dat v kabelovém vedení nešifrovaný. Celá akce je však poměrně náročná a ve velkém procentu případů je rychlejší a jednodušší napadnout špatně zabezpečené Wi-Fi připojení zákazníka, než se pokoušet o napadení kabelového média.

V kabelových sítích také velmi často běží telefonní služba. V principu jde o vyhrazení určité kapacity kabelového média pro přenos digitálních telefonních hovorů. Telefonní data jsou komprimována a přenášena v paketech (Voice over Packet – VoP) speciálně označených kvůli definici kvality přenosu. Jako u internetu nejsou telefonní data šifrována, a tedy je možné je odposlechnout, rozhodne-li se operátor data šifrovat, má k dispozici například DES nebo AES šifrování.

Tím jsme se dostali k poněkud hůře uchopitelné komunikační síti, a to k internetové telefonii neboli Voice over IP (VoIP). Snad nejznámější službou je Skype. V případě Skypu je celé zabezpečení proprietární a nejsou k dispozici žádné obsáhlejší informace. Skype indikuje zabezpečení komunikace ikonou, a pokud se pokusíme komunikaci analyzovat, zjistíme, že je použito šifrování. Dalo by se tedy říci, že komunikace pomocí Skypu je relativně bezpečná proti nezákonnému odposlechu.

SIP
Další velkou skupinou je hlasová komunikace na bázi protokolu SIP. Zde se zastavme, jelikož jde o velmi oblíbenou variantu VoIP, hlavně vzhledem k otevřenosti protokolu a dostupnosti telefonů přímo podporujících SIP, takže není nutno používat počítač. Dalším důvodem oblíbenosti je dostupnost mnoha operátorů nabízejících přístup do veřejné telefonní sítě právě přes SIP z internetu.

Protokol SIP sám o sobě podporuje několik forem autentifikace uživatelů počínaje prostou kombinací jméno : heslo a konče párem veřejného a privátního klíče uloženým na čipové kartě. A právě zde začíná část problémů, se kterými se uživatelé setkávají. Převážná většina operátorů podporuje pouze nejjednodušší autentikaci jménem a heslem v nezašifrované formě.

Někteří operátoři se pokoušejí zabránit vysokým účtům za telefon například omezením hovorů do zahraničí pouze z předdefinovaných IP adres. Málokdo ovšem má odvahu sáhnout k vyšší formě zabezpečení přihlašování právě z důvodu nepodpory na straně koncových zařízení.
Další částí komunikace přes VoIP a pomocí protokolu SIP je zabezpečení hovorových dat samotných. SIP je použitý pro sestavení, rozpad a řízení spojení a hovorová data jsou přenášena protokolem RTP.

Protokol RTP
Při sestavení spojení je pomocí SIP přenesena informace o jednotlivých účastnících spojení, parametrech přenosu zvuku a případně obrazu a bodech na trase, kterými má spojení procházet. Součástí parametrů je také dohoda na šifrování spojení a zde je opět kámen úrazu. K přenosu hlasu lze použít bezpečnou variantu RTP protokolu jménem SRTP nebo zabezpečení TLS.

Ovšem výrobci koncových zařízení velmi často neimplementují žádnou formu zabezpečení přenášeného hlasu či videa. Hlavně levnější varianty koncových zařízení jsou ochuzeny o zabezpečení jak RTP, tak i SIP. Co z toho všeho plyne?

Jestliže se odhodláváme přejít na VoIP, pak hodně záleží, jak operátor přistupuje k zabezpečení SIP, zda jeho brána do telefonní sítě podporuje TLS nebo SRTP a hlavně jaké koncové zařízení zvolíme. Přecházíme-li s firmou, pak je nutné se na bezpečnost ještě více zaměřit. Od určitého počtu se již vyplatí zakoupení lokální SIP ústředny a její instalace na vnitřní síti. Tím zjednodušíme konfiguraci VoIP zařízení, jelikož ta potřebují být nějakým způsobem dosažitelná z veřejného internetu. Také zabezpečení přístupu ke koncovým zařízením ze sítě bude jednodušší, jelikož přístup bude potřebovat pouze SIP ústředna.

 

Úvodní foto: © Africa Studio - Fotolia.com



Vyšlo v Computerworldu 16/2012
Celý text článku i toto vydání lze zkoupit elektronicky








Komentáře