Sip pod obstrzałem
-
- Krystian Ryłko,
- 05.10.2006
Podmiana adresu abonenta przy rejestracji
To jedna z prostszych w realizacji odmian opisywanego powyżej mechanizmu fałszywej rejestracji. Żądanie rejestracji "REGISTER" zawiera parametr "Contact" wskazujący adres urządzenia abonenta (np. 211.12.13.14). Gdy Proxy SIP odbierze żądanie zestawienia połączenia przychodzącego "INVITE" na np. numer "123456789", zacznie sprawdzać adres urządzenia docelowego. Po ustaleniu IP odbiorcy przekieruje do niego żądanie "INVITE".
Intruz może podesłać do Proxy SIP żądanie rejestracji o tej samej treści, podmieniając jedynie fragment danych w polu "Contact" (patrz ramka) na własny adres IP (np. 10.20.30.40), a numer telefonu pozostawiając bez zmian. Od tego momentu połączenia przychodzące na numer "123456789" będą kierowane na adres nieproszonego gościa (tj. 10.20.30.40).
Ponieważ czas ważności rejestracji - zmienna "Expires" - ma określoną długość, atakujący musi zapobiec ponownej rejestracji przez prawowitego użytkownika. Można przeprowadzić atak DoS blokujący urządzenie abonenta lub podsyłać komunikaty "REGISTER" przed upływem okresu ich ważności, czyli szybciej niż urządzenie abonenta.
Opisany atak może być skuteczny, nawet jeżeli proxy SIP wymaga uwierzytelniania przy rejestracji. Ponieważ komunikaty SIP przesyłane są tekstem jawnym, mogą być zmodyfikowane i odesłane do serwera rejestracji.
Rozwiązaniem tego problemu jest wdrożenie szyfrowania transmisji SIPS (SIP over TLS) oraz uwierzytelniania żądań i odpowiedzi SIP.
REGISTER sip:sip.networld.pl SIP/2.0
Via: SIP/2.0/UDP 211.12.13.14;branch=uWPPoWj7BI70QV
From: 123456789 <sip: [email protected]>;tag=LoKSAizjhD
To: 123456789 <sip: [email protected]>
Call-ID: [email protected]
CSeq: 123456 REGISTER
Contact: 123456789 <sip: [email protected]>
Max_forwards: 70
User Agent: SIP phone
Content-Type: application/sdp
Subject: rejestracja
Expires: 7200
Content-Length: 0
Podstawione proxy SIP
Intruz za pomocą fałszywego proxy SIP może kontrolować ruch pomiędzy użytkownikiem a serwerem SIP
Zwykle UA oraz proxy SIP wykorzystują do transportu UDP i przy komunikacji z innym proxy nie wymagają silnego uwierzytelniania. Dlatego intruz może umieścić swoje proxy na drodze strumieni sygnalizacyjnych i aktywnie ingerować w treść komunikatów. Do ataku można wykorzystać DNS spoofing, ARP spoofing (w ramach sieci lokalnej) lub zmianę adresu serwera SIP w telefonie.
W przypadku spoofingu skierowanego do użytkownika sieci można przejąć jego rozmowy wychodzące. Dla ingerencji w ruch przychodzący należy zaatakować serwer SIP. Przechwycone połączenia można blokować, nagrywać, manipulować nimi, zestawiać z nich połączenie konferencyjne z trzecią stroną.
Wtrącanie wiadomości
Ma miejsce, gdy napastnik przechwyci komunikat SIP wymieniany pomiędzy komponentami VoIP i go zmodyfikuje. Do przejęcia wiadomości można wykorzystać fałszywą rejestrację, podstawienie własnego proxy lub atak na elementy wykorzystywane w komunikacji: firewall, bramy medialne, proxy.
Atak polegający na zmuszeniu dwóch uczestników systemu VoIP do komunikacji za pośrednictwem urządzenia intruza określany jest mianem Man-In-The-Loop (MITL).
SIP nie posiada wbudowanych mechanizmów zapewniających integralność komunikatów.
Zerwanie połączenia
Podsyłając komunikaty zakończenia połączenia można wymusić zerwanie sesji
Innym sposobem na zerwanie połączenia może być zalewanie (flooding) komunikatami "bye" portów UDP, otwartych na firewallu dla legalnych połączeń VoIP.
Serwer proxy SIP może nie być powiadomiony, że klient zakończył sesję.
W celu modyfikacji sesji można także powtórnie wykorzystać komunikaty "INVITE", określane jako "RE-INVITE". Służą one do modyfikacji adresów lub portów, dodawania lub usuwania strumieni medialnych. Bardziej złośliwą odmianą tego ataku jest przekierowanie strumienia mediów na adres rozgłoszeniowy sieci.
Odmowa usługi (DoS)
SiVuS to pierwszy publicznie dostępny skaner dla protokołu SIP ( www.vopsecurity.org/ html/tools.html ). Narzędzie to służy do przechwytywania sesji VoIP, odczytywania zawartości komunikatów SIP, SDP, RTP. Umożliwia generowanie własnych pakietów SIP z dowolną zawartością. Oferuje narzędzie do fałszywej rejestracji za pomocą ataku słownikowego lub brute force.
Do ataków DoS można wykorzystać przekłamane pakiety, manipulację komunikatami SIP, zalewanie pakietami "REGISTER", "INVITE". Szczególnie dotkliwe są ataki na kluczowe elementy: serwery proxy SIP, IVR, bramy medialne. Innym rodzajem DoS jest generowanie: opłat za połączenia i usługi, połączeń alarmowych czy wiadomości głosowych. Sieć VoIP może zostać wykorzystana do przeprowadzenia ataku DoS na inną sieć VoIP.
Najprostszą metodą jest zalewanie pakietami portów wykorzystywanych przez VoIP.
Ataki niekierowane bezpośrednio na protokół SIP
Atak RTP
Polega na wysyłaniu dużej liczby pakietów RTP z losową zawartością do urządzenia VoIP. Skutkuje to degradacją jakości głosu, a nawet zerwaniem połączenia. Metodą zapobiegawczą jest weryfikacja adresu IP nadawcy oraz numeru sekwencji RTP.
Spam głosowy
Spam w sieciach VoIP - SPIT (SPAM over Internet Telephony), czyli rozsyłanie dużej liczby niechcianych komunikatów głosowych do użytkowników lub na ich pocztę głosową. Wraz z coraz powszechniejszym stosowaniem telefonii IP zjawisko marketingu głosowego będzie się nasilać. Brak jest obecnie mechanizmów potrafiących skutecznie filtrować komunikaty głosowe.
Zagwarantowanie poufności połączeń VoIP wymaga bezwzględnego uwierzytelniania wszystkich terminali, szyfrowania przepływów sygnalizacyjnych z wykorzystaniem np. IPSec i algorytmu AES, a do transmisji pakietów z danymi głosowymi stosowanie protokołu SRTP z algorytmem AES oraz zagwarantowanie integralności sygnalizacji kontroli połączeń dzięki wykorzystaniu wiadomości HMAC oraz zestawu funkcji SHA1. Nieodzowna jest także odpowiednia niezawodność wszystkich elementów, bez tego nie ma mowy o bezpiecznym systemie. Dedykowana architektura bezpieczeństwa oferowana przez Alcatela pod nazwą CrystalSec, wychodzi poza koncepcję ochrony wielowarstwowej, na rzecz stworzenia jednego spójnego środowiska, które aktywnie powstrzymuje zagrożenia. Dotyczy to nie tylko sieci przewodowych, ale także rozwiązań VoWiFi Alcatela.
Dla operatora telekomunikacyjnego najistotniejsze są dwa parametry: dostępność oraz jakość świadczonych usług. Otwarta telefonia internetowa oparta na protokole SIP jest narażona na wszystkie te zagrożenia, które dotykają usługi oparte na protokole IP, w szczególności pracujących w sieci publicznej. Jednak zdecydowanie najwięcej nadużyć pojawia się w obszarze lokalnych sieci klienckich będących poza kontrolą operatora usługi VoIP. Lokalne sieci Ethernet o niskim poziomie bezpieczeństwa, nieodpowiednio zabezpieczone sieci WLAN to środowiska, w których wykorzystanie słabości protokołów wykorzystywanych przez VoIP staje się stosunkowo proste. W szczególności możliwe stają się nadużycia polegające na podsłuchiwaniu prowadzonych rozmów oraz ataki bazujące na danych sygnalizacyjnych i umożliwiające m.in. rozłączanie trwających połączeń.
Ponieważ popularność usług VoIP stale rośnie, to w większości oferowanych na rynku rozwiązań abonenckich pojawiają się już funkcje zwiększające bezpieczeństwo protokołu SIP czy obsługa protokołu SRTP.
Nasza sieć VoIP jest zabezpieczona przez urządzenia SBC, które w sposób znaczący podnoszą poziom bezpieczeństwa. Obejmuje to zabezpieczenia przed atakami typu brute force czy też źle działającymi urządzeniami końcowymi. Do tej pory nie stwierdziliśmy żadnych istotnych problemów z bezpieczeństwem. Zabezpieczenia stosowane przez nas w sieci VoIP to wykorzystanie SBC na brzegu sieci IP, co zapewnia filtrowanie ww. ataków, a oprócz tego tzw. ukrywanie topologii sieci szkieletowej VoIP.
Zarówno w systemach, jak i sieci operatorskiej, którą administrujemy, najczęściej pojawiają się próby nadużyć "call fraud", czyli próby realizacji połączeń bez autoryzacji lub na koszt innego użytkownika. Dotychczas nie spotkaliśmy się jednak z udanym atakiem tego typu. Na drugim miejscu należy wymienić ataki DoS i DDoS. Są one dosyć rzadko spotykane, a poza tym łatwo wykrywane przez systemy administracyjne. Trzecia grupa ataków - próby podsłuchiwania połączeń - to ataki w zasadzie niespotykane obecnie w sieci. Należy się jednak liczyć z tym, że w miarę wzrostu rozwoju sieci VoIP, liczba prób takich ataków będzie rosła.
Zabezpieczenia stosowane w systemach VoIP zależne są od rodzaju systemu. Najprostszym zabezpieczeniem sieci korporacyjnych, w przypadku przesyłania głosu pomiędzy oddziałami przez Internet jest stosowanie kanałów VPN. Na rynku są dostępne centralki abonenckie z interfejsami VoIP, które posiadają taką funkcjonalność. Jeżeli nasz system VoIP sam nie może zestawiać kanałów VPN, to możemy zastosować dodatkowo firewall lub router z taką funkcją.
Takie zabezpieczenie nie gwarantuje bezpieczeństwa wewnątrz sieci LAN. Wewnątrz sieci korporacyjnej należy stosować typowe zabezpieczenia stosowane w sieciach LAN, a więc m.in. firewalle, VLAN-y itd. Warto jeszcze wspomnieć o możliwości stosowania urządzeń VoIP szyfrujących strumień RTP i/lub sygnalizację SIP. Rozwiązania tego typu nie są jednak jeszcze popularne, a ponadto są dosyć kosztowne. Rozważając zakup takiego rozwiązania należy zastanowić się, czy koszty systemu nie przerosną wartości informacji w nim przesyłanych.
Trzeba również pamiętać o tym, że protokół SIP posiada pewne mechanizmy zabezpieczające przed nadużyciami. Przede wszystkim jest to uwierzytelnianie użytkownika na podstawie hasła. Hasło nigdy nie pojawia się w postaci jawnej w pakiecie sygnalizacyjnym. Do operatora VoIP przesyłany jest jedynie skrót MD5 wygenerowany m.in. na podstawie hasła i losowego ciągu znaków, generowanego w trakcie sesji przez serwer SIP operatora. Inne elementy protokołu, pełniące m.in. funkcje zabezpieczeń, to identyfikatory połączenia (Call-ID) oraz identyfikatory użytkowników (tag) generowane losowo dla każdego z realizowanych połączeń.
