Chraňte si svou síť VoIP

VoIP je konečně tady jako všeobecně uznávaná a využívaná aplikace. Podle společnosti Dell' Oro Group dosáhly tržby za zařízení IP PBX v roce 2005 jedné miliardy dolarů, a poprvé tak předstihly tradiční přepínané pobočkové ústředny. Navíc analytici předpokládají, že už v roce 2009 se budou IP PBX podílet na trhu s příslušnými hlasovými systémy více než 90 procenty. Avšak ještě předtím, než VoIP ve své firmě zavedete, si musíte uvědomit bezpečnostní rizika, která tato technologie s sebou přináší a připomenout si možná protiopatření, která lze vůči těmto hrozbám už teď podniknout.



VoIP je konečně tady jako všeobecně uznávaná a využívaná aplikace. Podle společnosti Dell' Oro Group dosáhly tržby za zařízení IP PBX v roce 2005 jedné miliardy dolarů, a poprvé tak předstihly tradiční přepínané pobočkové ústředny. Navíc analytici předpokládají, že už v roce 2009 se budou IP PBX podílet na trhu s příslušnými hlasovými systémy více než 90 procenty. Avšak ještě předtím, než VoIP ve své firmě zavedete, si musíte uvědomit bezpečnostní rizika, která tato technologie s sebou přináší a připomenout si možná protiopatření, která lze vůči těmto hrozbám už teď podniknout.

Bezpečnost je důležitá ve všech souvislostech, ale zejména pak pokud nahrazujete dosud největší a nejdostupnější hlasovou komunikační síť na světě nově koncipovanou technologií. Přestože žádné konkrétní bezpečnostní opatření zcela nevyloučí útoky proti aplikacím VoIP, může přístup postavený na vrstvách smysluplně snížit pravděpodobnost toho, že budou mít takové útoky úspěch.

Hrozby
Podnikoví uživatelé VoIP i poskytovatelé těchto služeb jsou zranitelní z hlediska mnoha typů útoku. Cíle hackerů jsou přitom stejné – krádež identity či informací nebo zneužití telefonních poplatků třeba formou volání na vysokotarifikované destinace.
Řada útoků se přitom zaměřuje přímo na koncové stanice VoIP. Operační systémy, IP protokoly, aplikace, správní rozhraní fyzických telefonů VoIP či počítače, na nichž běží softwarové IP telefony, to všechno je zranitelné vůči neoprávněnému přístupu, virům a červům či mnoha typům útoků typu DoS (Denial-of-Service, odmítnutí služby).

Technologie VoIP používá pro signalizaci a doručení hlasových zpráv řešení IETF Session Initiation Protocol (SIP) a Real-time Transport Protocol (RTP). Tyto prvky včetně řídicích protokolů RTP (SDP, RTCP) neposkytují odpovídající ověření volajících účastníků, end-to-end ochranu integrity ani důvěrnost volání (takové jako třeba v případě streamovaných médií zahrnujících komprimovanou i kódovanou řeč). Dokud nebudou tyto bezpečnostní prvky uplatněny a zavedeny do praxe, budou mít útočníci relativně mnoho možností, jak VoIP napadnout a zneužít.

V současnosti protokoly SIP a RTP pakety signalizace ani vlastní hlasové streamy nešifrují, takže osobní údaje či SIP URI (Uniform Resource Identifiers, jednotné zdrojové identifikátory nebo, chcete-li, náhrada telefonních čísel) volajících mohou být celkem snadno zachyceny díky použití takzvaných snifferů, tedy nástrojů pro sběr informací o provozu v sítích LAN nebo bezdrátových LAN (WLAN).

Útočník může použít zachycené informace o účtu k tomu, aby mohl vystupovat v pozici právoplatného uživatele oproti zákaznické VoIP službě nebo vůči samoobslužnému portálu, kde může změnit plán pro volání – povolit třeba volání na placený telefonní čísla nebo může zablokovat mezinárodní čísla. Také může získat přístup k hlasové poště právoplatného uživatele nebo změnit číslo pro přesměrovávání volání.

Útoky, kdy se hacker vydává za jiného, oprávněného uživatele, jsou běžně využívány k páchání podvodů ohledně placených linek, ale finančně motivovaní útočníci mohou také zachytit hlasovou konverzaci a následně ji přehrávat kvůli tomu, aby získali citlivé obchodní nebo osobní informace.

Zaplavení VoIP zařízení prostřednictvím zpráv SIP signalizace (například Invite, Register, Bye nebo RTP pakety) mohou službu rovněž degradovat a vyvolat předčasné přerušení hovorů nebo dokonce způsobit, že určité zařízení VoIP nebude vůbec schopno zpracovávat hlasové volání. Zařízení VoIP mohou být také zranitelná vůči útokům DoS realizovaným pomocí internetových protokolů jako TCP SYN, ping of death či vůči v poslední době stále častějších distribuovaných útoků DoS (DDoS).

Systémy VoIP také mohou být narušeny útoky specifickými pro určité linkové vrstvy – může jít třeba o broadcastový útok na ethernetové linky či o rušení Wi-Fi rádiového spektra. Operační systémy a TCP/IP stacky používané v hardwaru VoIP mohou být náchylné na útoky specifické pro konkrétní implementaci, které využívají programovacích chyb příslušného softwaru. To může způsobit to, že systém VoIP přestane fungovat nebo útočníkovi poskytne možnost správy na dálku.
Samotné softwarově založené telefony VoIP způsobují jedinečný a palčivý problém. Aplikace takto koncipovaných klientů VoIP totiž běží na uživatelských systémech (ať už jde o PC, PDA či smartphone), a je tedy zranitelná vůči zlomyslným kódům určeným pro jiné aplikace. IT administrátoři musejí vzít v úvahu rovněž možnost, že útočník se pokusí obejít konvenční ochranu PC proti malwaru formou infiltrace zlomyslného kódu prostřednictvím softwaru pro VoIP.

Spam často v sobě nese i spyware nebo nástroje pro správu na dálku. Spam přenášený prostřednictvím internetové telefonie má často podobu nevyžádaných obchodních hovorů či jiných nepříjemných zpráv a programů, jež by mohly obsahovat skrytý malware a které je možné stáhnout do softwarových klientů VoIP.

I tento zkrácený popis možných rizik by mohl na IT manažery zapůsobit tak, že tito lidé pečlivě zhodnotí riziko zavádění technologie VoIP a vypracují politiku a implementační plán tak, aby rizika používání paketové telefonie díky dostupným bezpečnostním technologiím snížili na minimum.












Komentáře