Atak na VoIP

Schować przed nieznajomymi

Zalecanym sposobem zmniejszenia podatności urządzeń wykorzystywanych przez domowych użytkowników i małe biura na automatyczne ataki, jest zmiana domyślnego portu (w przypadku niektórych sieci jest to 5060 UDP). Dodatkowo należy zbadać podatność centrali VoIP na ataki odgadywania haseł.

Ponieważ ataki na VoIP są przeprowadzane automatycznie, z użyciem słowników, należy wyeliminować hasła, które mogą być w ten sposób złamane. Do celów audytu administratorzy mogą użyć narzędzia svcrack wraz z kilkoma ogólnodostępnymi plikami słowników typowych haseł. Narzędzie audytowe (svcrack z pakietu SIPVicious) może zbadać około 80 haseł SIP na sekundę, co daje 6,912,000 prób dziennie. Jeśli system pozwala na ustawianie hasła samodzielnie przez użytkownika, należy tę opcję wyłączyć. W zamian należy przygotować mocne hasła, które są szczególnie trudne do złamania. Dobrym narzędziem do generowania takich haseł jest KeePass, dostępne za darmo wraz z kompletnym kodem źródłowym. Należy także zadbać o to, by w firmie nie było żadnych kont VoIP, które nie wymagają autoryzacji.

Przy korzystaniu z programu OpenSER (serwer SIP dostępny w modelu open source), warto wdrożyć jego moduł o nazwie pike. Umożliwia on blokowanie zbyt często emitowanych żądań. W ten sposób można zablokować ataki rozpoznawcze, które mają na celu rozpoznanie infrastruktury, numerów wewnętrznych, a także haseł. Należy jednak pamiętać, że nie jest to stuprocentowo pewne zabezpieczenie, a także ma swoje wady, gdyż napastnicy mogą skorzystać IP spoofingu, by blokować za jego pomocą normalny ruch głosowy w firmie. Konfiguracja zabezpieczeń pike musi być wykonana bardzo precyzyjnie.

Celem ataku może być także telefon IP, dlatego należy bardzo dokładnie przyjrzeć się konfiguracji telefonów, regularnie aktualizować ich firmware, a także chronić konfigurację mocnym hasłem. Nie wolno dopuścić do tego, by możliwa była jakakolwiek aktualizacja firmware spoza sieci firmy.

Wykrywanie ataków

Instalacja narzędzi ochrony sieci bardzo pomoże przy wykrywaniu włamań tą drogą. Snort, który jest najpopularniejszym narzędziem IDS, posiada już odpowiedni zestaw reguł ochrony telefonii internetowej. Nawet w wersji Community, sygnatury Snorta są wystarczająco skuteczne, aby wykryć typowe symptomy ataków, takie jak:

- nadmierna ilość wiadomości protokołu SIP w krótkim czasie (szczególnie INVITE i REGISTER), przychodzących z jednego adresu IP spoza firmy

- polecenia z żądaniem OPTIONS, rozproszone pomiędzy wieloma adresami podsieci w krótkim czasie

- często pojawiające się informacje błędów z serii 400, np. 401 Unauthorized

- duża ilość pakietów wywołujących dzwonek telefonu, wysyłanych z niewielkiej puli IP spoza firmy.

Niestety IPS nie sprawdzi ruchu szyfrowanego, ponadto niektóre ataki rozpraszające połączenia po dość rozległych podsieciach raczej trudno wykryć, dlatego warto skorzystać z monitorowania logów oprogramowania centrali telefonicznej. Niedawno opublikowano skrypt powłoki bash o nazwie astrap, który monitoruje logi centrali Asterisk w poszukiwaniu nadmiernej ilości nieudanych prób zalogowania się do centrali. To małe narzędzie wybierze listę IP, ilość nieudanych prób odgadnięcia hasła oraz numery wewnętrzne, których dotyczył atak.