Atak na VoIP
- 14.04.2009
Zalecanym sposobem zmniejszenia podatności urządzeń wykorzystywanych przez domowych użytkowników i małe biura na automatyczne ataki, jest zmiana domyślnego portu (w przypadku niektórych sieci jest to 5060 UDP). Dodatkowo należy zbadać podatność centrali VoIP na ataki odgadywania haseł.
Przy korzystaniu z programu OpenSER (serwer SIP dostępny w modelu open source), warto wdrożyć jego moduł o nazwie pike. Umożliwia on blokowanie zbyt często emitowanych żądań. W ten sposób można zablokować ataki rozpoznawcze, które mają na celu rozpoznanie infrastruktury, numerów wewnętrznych, a także haseł. Należy jednak pamiętać, że nie jest to stuprocentowo pewne zabezpieczenie, a także ma swoje wady, gdyż napastnicy mogą skorzystać IP spoofingu, by blokować za jego pomocą normalny ruch głosowy w firmie. Konfiguracja zabezpieczeń pike musi być wykonana bardzo precyzyjnie.
Celem ataku może być także telefon IP, dlatego należy bardzo dokładnie przyjrzeć się konfiguracji telefonów, regularnie aktualizować ich firmware, a także chronić konfigurację mocnym hasłem. Nie wolno dopuścić do tego, by możliwa była jakakolwiek aktualizacja firmware spoza sieci firmy.
Wykrywanie ataków
Instalacja narzędzi ochrony sieci bardzo pomoże przy wykrywaniu włamań tą drogą. Snort, który jest najpopularniejszym narzędziem IDS, posiada już odpowiedni zestaw reguł ochrony telefonii internetowej. Nawet w wersji Community, sygnatury Snorta są wystarczająco skuteczne, aby wykryć typowe symptomy ataków, takie jak:
- nadmierna ilość wiadomości protokołu SIP w krótkim czasie (szczególnie INVITE i REGISTER), przychodzących z jednego adresu IP spoza firmy
- polecenia z żądaniem OPTIONS, rozproszone pomiędzy wieloma adresami podsieci w krótkim czasie
- często pojawiające się informacje błędów z serii 400, np. 401 Unauthorized
- duża ilość pakietów wywołujących dzwonek telefonu, wysyłanych z niewielkiej puli IP spoza firmy.
Niestety IPS nie sprawdzi ruchu szyfrowanego, ponadto niektóre ataki rozpraszające połączenia po dość rozległych podsieciach raczej trudno wykryć, dlatego warto skorzystać z monitorowania logów oprogramowania centrali telefonicznej. Niedawno opublikowano skrypt powłoki bash o nazwie astrap, który monitoruje logi centrali Asterisk w poszukiwaniu nadmiernej ilości nieudanych prób zalogowania się do centrali. To małe narzędzie wybierze listę IP, ilość nieudanych prób odgadnięcia hasła oraz numery wewnętrzne, których dotyczył atak.