Atak na VoIP

Subskrybuj RSS A A A
14 kwietnia 2009
Marcin Marciniak

Użytkownicy sieci VoIP zauważyli od pewnego czasu tak zwane głuche telefony, wskazujące na próby połączeń z zewnątrz. Jest to efekt skanowania sieci w poszukiwaniu otwartych serwerów usług głosowych telefonii internetowej - pierwszy symptom działania przestępców.



Schować przed nieznajomymi
Zalecanym sposobem zmniejszenia podatności urządzeń wykorzystywanych przez domowych użytkowników i małe biura na automatyczne ataki, jest zmiana domyślnego portu (w przypadku niektórych sieci jest to 5060 UDP). Dodatkowo należy zbadać podatność centrali VoIP na ataki odgadywania haseł.
Ponieważ ataki na VoIP są przeprowadzane automatycznie, z użyciem słowników, należy wyeliminować hasła, które mogą być w ten sposób złamane. Do celów audytu administratorzy mogą użyć narzędzia svcrack wraz z kilkoma ogólnodostępnymi plikami słowników typowych haseł. Narzędzie audytowe (svcrack z pakietu SIPVicious) może zbadać około 80 haseł SIP na sekundę, co daje 6,912,000 prób dziennie. Jeśli system pozwala na ustawianie hasła samodzielnie przez użytkownika, należy tę opcję wyłączyć. W zamian należy przygotować mocne hasła, które są szczególnie trudne do złamania. Dobrym narzędziem do generowania takich haseł jest KeePass, dostępne za darmo wraz z kompletnym kodem źródłowym. Należy także zadbać o to, by w firmie nie było żadnych kont VoIP, które nie wymagają autoryzacji.

Przy korzystaniu z programu OpenSER (serwer SIP dostępny w modelu open source), warto wdrożyć jego moduł o nazwie pike. Umożliwia on blokowanie zbyt często emitowanych żądań. W ten sposób można zablokować ataki rozpoznawcze, które mają na celu rozpoznanie infrastruktury, numerów wewnętrznych, a także haseł. Należy jednak pamiętać, że nie jest to stuprocentowo pewne zabezpieczenie, a także ma swoje wady, gdyż napastnicy mogą skorzystać IP spoofingu, by blokować za jego pomocą normalny ruch głosowy w firmie. Konfiguracja zabezpieczeń pike musi być wykonana bardzo precyzyjnie.

Celem ataku może być także telefon IP, dlatego należy bardzo dokładnie przyjrzeć się konfiguracji telefonów, regularnie aktualizować ich firmware, a także chronić konfigurację mocnym hasłem. Nie wolno dopuścić do tego, by możliwa była jakakolwiek aktualizacja firmware spoza sieci firmy.

Wykrywanie ataków

Instalacja narzędzi ochrony sieci bardzo pomoże przy wykrywaniu włamań tą drogą. Snort, który jest najpopularniejszym narzędziem IDS, posiada już odpowiedni zestaw reguł ochrony telefonii internetowej. Nawet w wersji Community, sygnatury Snorta są wystarczająco skuteczne, aby wykryć typowe symptomy ataków, takie jak:
- nadmierna ilość wiadomości protokołu SIP w krótkim czasie (szczególnie INVITE i REGISTER), przychodzących z jednego adresu IP spoza firmy,
- polecenia z żądaniem OPTIONS, rozproszone pomiędzy wieloma adresami podsieci w krótkim czasie,
- często pojawiające się informacje błędów z serii 400, np. 401 Unauthorized,
- duża ilość pakietów wywołujących dzwonek telefonu, wysyłanych z niewielkiej puli IP spoza firmy.

Niestety IPS nie sprawdzi ruchu szyfrowanego, ponadto niektóre ataki rozpraszające połączenia po dość rozległych podsieciach raczej trudno wykryć, dlatego warto skorzystać z monitorowania logów oprogramowania centrali telefonicznej. Niedawno opublikowano skrypt powłoki bash o nazwie astrap, który monitoruje logi centrali Asterisk w poszukiwaniu nadmiernej ilości nieudanych prób zalogowania się do centrali. To małe narzędzie wybierze listę IP, ilość nieudanych prób odgadnięcia hasła oraz numery wewnętrzne, których dotyczył atak.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 3 liczba ocen: 2
« wstecz 1  2  3 
Podziel się |

Komentarze (1)

+Dodaj komentarz

~YYYPJIbFCsHaCnUE

20-10-2011 17:05
odpowiedz zmoderuj

YMMD with that aswner! TX

Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje



Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88