Запрос ЦеныЗапрос Цены
Онлайн ЧатОнлайн Чат
Зона КлиентовЗона Клиентов
КонтактыКонтакты
Скрыть
Live Support
Sales department
Technical Support
Безопасность VoIP

[Введение]

В этой статье вы найдёте описание основных атак VoIP и две идеи по обеспечению безопасности VoIP сетей. Первое предложение заключается в наборе сети с инфраструктурой оператора VoIP. Второе предложение является направлением к компании АТС, работающей на основе asterisk, которая является общедоступным коммутационным сервером с ограниченным доступом.
В VoIP используется множество протоколов. В этой статье мы остановимся на самом популярном протоколе, SIP. SIP является аббревиатурой Протокола Установления Сеанса (IETF RFC 3261), который представляет собой широко используемый стандарт в VoIP коммуникациях для настройки и управления (переадресации, удержания, отмены и т.д.) телефонными звонками.

[Основные концепции SIP]

SIP представляет собой протокол на основе текста с синтаксисом аналогичным протоколу HTTP. Существуют два различных типа SIP сообщений: запросы и ответы. Первая строка запроса содержит метод, который определяет природу запроса, и идентификатор ресурса в запросе, который указывает на то, куда должен быть направлен запрос. В общем, сообщение SIP выглядит следующим образом:

[Сетевые элементы SIP]

- Прокси-сервер является посреднической сущностью, которая действует как сервер и как клиент с целью создания запросов от имени других клиентов.
– Пользовательский агент SIP является концевой точкой логической сети, которая используется для создания или получения SIP сообщений и, вследствие этого, для управления SIP- сеансом.
– Регистратор является сервером, который принимает заявки на регистрацию и помещает информацию, которую он получает в этих запросах, в сервис локализации домена, который он обрабатывает.
– Переадресующий сервер является сервером пользовательского агента, который генерирует 3xx ответы на запросы, полученные им, направляя клиента в контакт с альтернативным набором универсальных идентификаторов ресурса. Переадресующий сервер позволяет прокси-серверам SIP направлять запросы SIP- сеансов на внешние домены.

Remsys VoIP security

[Атака на VoIP сеть]

Атаки потоком сообщений.

Эти виды атак основаны на вредоносных сообщениях, влияющих на время обработки сообщения, они также могут изменить параметры сессии. Эти атаки могут также включать наводнение фальшивыми сообщениями.

Ниже представлены другие известные типы атак:

  • Атака “BYE”

Это можно осуществить либо путём прослушивания сети, либо выполнением атаки «человек посередине», чтобы вставить запрос "BYE" в сеанс для того, чтобы ознакомиться с актуальными параметрами сеанса.

  • Атака “CANCEL”

Злоумышленник может использовать метод CANCEL для отмены запроса INVITE сгенерированного законным пользователем. Тем не менее, обработка входящего сообщения CANCEL от другого административного SIP домена сих пор остаётся открытым и нерешённым вопросом. Мониторинг INVITE сообщений, которые ещё не сгенерировали окончательный ответ, возможно, могут помочь в идентификации любого несанкционированного CANCEL запроса.

  • Атака «REFER»

Сообщения Refer используются для передачи и перенаправления звонков. Эта схема позволяет реферала выступать в качестве подслушивателя, и позволяет ему запустить атаку «человек посередине».

  • Атаки «UPDATE» и «Re-INVITE»

Единственная разница между атаками UPDATE и Re-INVITE состоит в том, что атака "Re-INVITE" может быть использована только после того,
как сеанс был установлен. UPDATE используется для изменения параметров сеанса перед окончательным ответом на первоначальное приглашение. Как и в «Re-INVITE» атаке, злоумышленник может послать поддельное сообщение UPDATE, чтобы изменить начальные параметры сеанса, чтобы вызвать отказ от обслуживания, который изменяет такие параметры, как QoS или начальные адреса и порт.
Тем не менее, бывают случаи, (некоторые очень известные вредоносные сообщения), которые невозможно идентифицировать с помощью этих общих структурированных правил. В случае этих исключений необходимо сформировать специальные правила для каждого отдельного SIP-метода. Например, INVITE запросы, не имеющие конкретного заголовка (например, Content-Type, Call-ID) должны характеризоваться как недействительные.

Меры противодействия: :

Процедуры проверки вводимых значений должны рассматриваться как крайне необходимые для безопасности VoIP услуг. Отсутствие проверки данных SIP сообщений ответственно за изъяны в безопасности, вызванные искажёнными сообщениями. Также изучалось применение шлюзов для фильтрации вредоносных входных значений на уровне интернет-приложений. Современные технологии системы сетевой защиты включают в себя анализ пакетов для проверки правильности входных данных, а также использование основных механизмов безопасности (например, TLS, IPsec, S / MIME).

Другой возможной мерой противодействия, которая может сдерживать эту атаку, является аутентификация сообщений OPTIONS.

[Атаки Парсера]

Для интерпретации SIP сообщений необходим эффективный анализатор, который анализирует только сообщения до необходимого уровня. Злоумышленник может создать очень длинные сообщения с множественными полями заголовка (информативные поля заголовка, например Supported) увеличенной длины, плюс текст сообщения большого размера.

SIP сообщения могут включать тексты, даже несмотря на то, что они не нужны в каждом сообщении. Более длинные сообщения также увеличивают нагрузку на использование ресурсов процессора. Если множественные заголовки сообщений из одного и того же поля включены в сообщение, тогда эти заголовки разбросаны по всему сообщению, что затрудняет интерпретацию. Поля заголовка Vital являются полями специфическими маршрутизации, такими как To, Via, Route и т.д. Как следствие, сообщения, в которых эти поля добавлены ближе к концу сообщения, труднее интерпретировать. Одним из способов преодоления этой проблемы является включение множественных информативных полей заголовков перед полями маршрутизации, такими как Allow или Supported.

Даже если высоко оптимизированный парсер сможет справиться с такими атаками, необходимые требования к вычислительной мощности будут отсутствовать для выполнения других задач, связанных с SIP.

Алгоритм SIP парсер атаки:

  1. бнаруживает SIP возможности целевого объекта. Сообщения REGISTER и OPTIONS ответы могут предоставить информацию о возможностях любого пользовательского агента SIP. Эта конфиденциальная информация входит в заголовок Contact в сообщении REGISTER и заголовок Allow в ответ на запрос OPTIONS. В каждом случае эти сообщения могут быть использованы злоумышленником двумя различными способами, которые направлены на выявление возможностей пользовательского агента.
  2. Создает искажённое сообщение. SIP подсистемы были разработаны и созданы для обработки сообщений, которые действительны и соответствуют синтаксису протокола SIP.
  3. Проверяет полученное «ложное» сообщение относительно целевого объекта SIP. Основным «преимуществом» такого подхода является то, что атаку невозможно легко идентифицировать на её начальных этапах, так как защитные механизмы обычно не в состоянии своевременно её обнаружить..

Меры противодействия :

SIP анализатор должен быть надёжным, что позволит реализовать правило фильтрации, которое обнаружит шаблон потенциальных вредоносных пакетов. Также можно использовать сетевое устройство, которое будет обеспечивать соблюдение политики передачи информации. Применение этих мер противодействия не означает, что агрессор не может выполнить атаку, но это гарантирует, что ему будет труднее начать атаку.

[Атаки блокированием DNS] (получить хост по имени блока 5 секунд).

SIP агенты уязвимы для DoS атак через недействительные DNS-поиски. Инструмент атаки может генерировать произвольное количество SIP INVITE сообщений с настраиваемой задержкой между ними. SIP сообщения содержат случайно сгенерированные SIP URI. Кроме того, многочисленные генераторы сообщений могут работать параллельно, чтобы зафлудить цель подобными сообщениями.

Меры противодействия::

Для защиты от такого рода атак SIP DNS можно использовать кэш. Кэш SIP DNS выступает в качестве интерфейса для обработки запросов по определению имени от SIP прокси. Тем не менее, в случае нападения, выделенный кэш DNS не пытается разрешить любые неизвестные доменные имена. Если ответ не доступен в этом кэше, на SIP прокси возвращается ошибка о неразрешимом хосте. Он никогда передаёт никакие запросы об основной подсистеме. Вместо этого, он только возвращает ответы со своего внутреннего кэша. В этом режиме гарантируется, что каждый запрос обрабатывается в кратчайшие сроки, что защищает сервер от блокирования.

[Общий доступ к сетям VoIP]

Подходы к безопасности в сетях VoIP общественного доступа с большим количеством клиентов создают бастион серверов, которые осуществляют полный контроль входящего трафика, а также выполняют основную фильтрацию пакетов. После того, как большое количество пакетов фильтруется, и некоторые простые атаки предотвращаются на этом этапе, можно использовать прозрачный прокси-сервер с каким-либо IDS (Snort и т.д.) или сетевую защиту, которая устанавливается на сервер. Следующим шагом является использование SIP прокси OpenSER с включёнными IDS и модулями кэша DNS . После этого, можно использовать агенты-серверы, такие как asterisk, которые размещаются в DMZ зоне.

Подсказки по конфигурации Asterisk для повышения безопасности.

Для малого бизнеса или домашнего использования вы можете использовать АТС сервер на основе программных продуктов с открытым исходным текстом, таких как asterisk. Asterisk является открытым программным обеспечением, способным преобразовывать аудио и видео потоки в различные форматы в режиме реального времени.

Используя специальную аппаратуру, можно интегрировать его с традиционными телефонными технологиями: аналоговыми, ISDN, GSM и т.д. В этом случае весь входящий трафик ограничен известными хостами и провайдерами. Поэтому, доступ может быть ограничен для всех ненадёжных хостов и разрешён только для проверенного трафика.

Ниже вы сможете ознакомиться с полезными советами для улучшения конфигурации asterisk:

  1.  Не принимайте запросы на аутентификацию SIP от всех IP-адресов. Используйте "permit =" и "deny =" строки в файле sip.conf, чтобы разрешить лишь разумному подмножеству IP-адресов достигнуть каждого перечисленного расширения / пользователя в вашем sip.conf файле.
  2. alwaysauthreject = yes, та же информация, как в случае утечки расширения.
  3. Используйте надёжные пароли.
  4. Заблокируйте ваши менеджер порты AMI.
  5. Принимайте только один или два звонка одновременно на SIP субъекта, и оцените административные проблемы надёжности пароля и безвестности имени пользователя.

В заключение, для лучшей защиты убедитесь в том, что используются все методы, перечисленные выше, это включает в себя систему сетевой защиты, IDS, и решения SIP сервера. Если у вас большая система, то это будет двухуровневая архитектура системы безопасности, состоящая из общего хоста Bastion и обеспечивающего защиту сервера SIP, и, наконец, инструмент для тестирования атак, такой как SIPP или sipsak.

Запросить цену
Заполните форму и мы свяжемся с Вами в ближайшее время
Вход для клиентов
Система запросов и другие полезные сервисы для наших клиентов
Свяжитесь с нами
Мы с удовольствием ответим на все ваши вопросы