Bezpieczeństwo jest szczególnie ważne, gdy zastępuje się wiekową, szeroko rozpowszechnioną i relatywnie odporną na zagrożenia sieć komunikacyjną. Chociaż żadne indywidualne środki ochronne nie wyeliminują całkowicie ataków, podejście warstwowe w zapewnianiu bezpieczeństwa VoIP może w znaczący sposób ograniczyć zagrożenia.

Zarówno użytkownicy, jak i usługodawcy technologii VoIP są narażeni na ataki podobne do tych, jakie można spotkać w tradycyjnej telefonii i usługach komórkowych. Cele są te same - kradzież tożsamości i impulsów. Infrastruktury publicznego VoIP mogą być częściej celem ataków motywowanych politycznie czy terroryzmu, natomiast prywatne sieci VoIP w większym stopniu zagrożone są ryzykiem elektronicznego szpiegostwa przemysłowego i podsłuchem.

Zagrożenia dobrze znane

Wiele ataków skupia się na punktach końcowych systemu VoIP. System operacyjny, protokoły internetowe, interfejsy aplikacyjne i zarządzania telefonów i komputerów, na których pracuje oprogramowanie telefonii IP, są podatne na nieautoryzowany dostęp, wirusy, robaki i różne ataki odmowy usługi (DoS - Denial of Service) wykorzystujące powszechne protokoły internetowe i protokoły VoIP.

VoIP wykorzystuje do sterowania sygnalizacją protokół IETF SIP (Session Initiation Protocol), a protokół RTP (Real-time Transport Protocol) do dostarczania ruchu głosowego. Protokoły te oraz uzupełniające protokoły opisy sesji i procedur sterujących RTP (SDP - Session Description Protocol i RTCP - RTP Control Protocol) nie przewidują jednak odpowiedniego uwierzytelniania stron połączenia telefonicznego, ochrony integralności w układzie "punkt końcowy - punkt końcowy" oraz środków zapewniających poufność sygnalizacji i danych na drodze połączenia. Jeżeli takie mechanizmy bezpieczeństwa nie zostaną zaimplementowane i wdrożone w usługach VoIP, napastnicy mają do dyspozycji wiele wektorów ataku.

Wadą protokołu SIP jest to, że w jego podstawowej wersji komunikaty przesyłane są tekstem jawnym, co ułatwia podgląd ich treści. Bardzo podstawowa funkcjonalność protokołu sprawia, że tworzone różne jego rozszerzenia mogą wprowadzać nowe luki bezpieczeństwa.

Na dziś SIP i RTP nie zapewniają szyfrowania pakietów sygnalizacji i strumieni głosowych, tak więc tożsamość, referencje i SIP Uniform Resource Number (numer telefonu) strony inicjującej połączenie mogą być przechwytywane przy użyciu narzędzi podsłuchu ruchu sieciowego (snifferów) LAN lub WLAN

(Wireless LAN). Napastnik może wykorzystać przechwycone dane o koncie użytkownika do podszywania się pod niego w różnych sytuacjach. Może także uzyskać dostęp do poczty głosowej lub skierować rozmowę na inny numer.

Ataki wykorzystujące podszywanie się pod legalnego użytkownika są powszechnie używane do kradzieży impulsów, a bardziej wyrafinowani napastnicy mogą również przechwytywać konwersacje głosowe w celu uzyskania wrażliwych informacji biznesowych czy osobistych.

Zalewając stronę odbiorczą w systemie VoIP pakietami sygnalizacji SIP można zablokować dostępność usługi, wymusić przedwczesne zerwanie połączenia czy doprowadzić poszczególne elementy wyposażenia VoIP do całkowitej niezdolności przetwarzania połączeń. Wyposażenie VoIP może być także podatne na ataki DoS wykorzystujące protokoły internetowe.

Ataki odmowy usługi są związane z każdą siecią opartą na IP. Mogą one przybierać różne formy, ale wszystkie zmierzają do takiego obciążenia infrastruktury, aby użytkownicy nie mogli prawidłowo korzystać z usług. Sieci VoIP, realizujące usługi w czasie rzeczywistym, są szczególnie narażone na tego typu ataki.

Najprostszą metodą jest zalewanie pakietami portów wykorzystywanych przez VoIP. Sieć VoIP może zostać wykorzystana do przeprowadzenia takiego ataku na inną sieć VoIP.

Większość systemów VoIP nie zapewnia jeszcze wystarczająco skutecznej autoryzacji, bez której atakujący może wykorzystać zjawisko podszywania lub inne techniki do wykonania różnego rodzaju ataków. Może przechwycić sesję rejestracji telefonu IP (call hijacking) albo przejąć wychodzące połączenie i zablokować dostęp do telefonu IP.

Systemy VoIP mogą być również zakłócane przez ataki specyficzne dla medium transportowego, takie jak Ethernet broadcast storm czy Wi-Fi radio jamming. Systemy operacyjne i stosy TCP/IP używane w sprzęcie VoIP mogą być podatne na ataki specyficzne dla ich implementacji wykorzystujące usterki oprogramowania. Mogą powodować zawieszenie systemu operacyjnego lub zapewnić napastnikowi możliwość zdalnej, administracyjnej kontroli nad systemem.

Programowe telefony VoIP (softphony) stanowią wyjątkowy i poważny problem. Aplikacje telefoniczne pracują na komputerach PC czy PDA użytkowników i dlatego są podatne na ataki kodów złośliwych wymierzone w dane i aplikacje głosowe. Trzeba brać pod uwagę możliwość, że takie ataki mogą wymykać się konwencjonalnej ochronie PC, np. poprzez wprowadzanie złośliwego kodu za pośrednictwem aplikacji telefonicznych VoIP. Telefony IP są podatne głównie na usterki oprogramowania.

Spam bardzo często jest przykrywką dla spyware i zdalnych narzędzi administrowania. W telefonii internetowej może przenosić niezamawiane połączenia związane ze sprzedażą czy inne, nie mniej kłopotliwe, a sprowadzane do softfonów oprogramowanie może zawierać ukryte kody złośliwe.

Bardziej specyficzne dla VoIP zagrożenia to fałszywa rejestracja, gdy napastnik zgłasza się do serwera rejestracji SIP, przedstawiając się jako uprawniony użytkownik UA (User Agent) i podając w nim własny adres. Od tego momentu wszystkie połączenia przychodzące do prawomocnego użytkownika będą kierowane na adres intruza. Napastnik może tylko pośredniczyć w komunikacji pomiędzy inicjującym a odbiorcą połączenia i rejestrować konwersację wraz z sygnalizacją lub je modyfikować (atak man-in-the-middle).

Innym zagrożeniem jest podstawione proxy SIP. Napastnik wymusza na agencie użytkownika lub legalnym serwerze SIP przesyłanie wiadomości sterujących do fałszywego proxy SIP, uzyskując dostęp do wszystkich komunikatów SIP i możliwość manipulowania połączeniami.

Ataki na sieci VoIP mogą dotyczyć systemu operacyjnego urządzeń VoIP (ataki DoS lub przepełnienia bufora), luk konfiguracyjnych urządzeń VoIP, infrastruktury IP (DoS, SYN flood itp.) oraz implementacji protokołów VoIP.

Komponenty VoIP, takie jak bramki IP PBX czy telefony IP, mogą stać się celem ataku opartego na pakietach IP. Słabymi punktami infrastruktury telefonii IP są systemy operacyjne, zawierające często łatwe do wykorzystania luki, oraz nieszczelność oprogramowania VoIP, ułatwiająca pokonanie zabezpieczeń.

Wiarygodność punktów końcowych

Coraz częściej jednak w urządzeniach VoIP implementuje się takie mechanizmy bezpieczeństwa, jak autoryzacja, uwierzytelnianie oraz szyfrowanie sygnalizacji i strumienia głosu.

Do autoryzacji telefonów IP może być stosowany standard LLDP (Link Layer Discovery Protocol) - IEEE 802.1AB. Protokół pozwala na wymianę informacji o urządzeniach w sieci Ethernet. LLDP definiuje standardową metodę rozgłaszania informacji do sąsiednich węzłów - przełączników, routerów i bezprzewodowych punktów dostępowych WLAN. Z pomocą tego protokołu można rozgłaszać takie informacje, jak konfiguracja urządzenia, możliwości urządzenia czy identyfikator urządzenia.

Telefony zgłaszają się do przełącznika, podają informacje o sobie. Serwer uwierzytelniania sprawdza następnie, czy MAC telefonu figuruje na liście uprawnionych do korzystania z sieci. Po pozytywnym zweryfikowaniu, do telefonu może być przesłana informacja konfiguracyjna. Mechanizm wykrywania LLDP umożliwia również lokalizację urządzenia końcowego.

Ochrona podstawowa

Opisane zagrożenia powinny motywować szefów IT do oceny ryzyka przy wprowadzaniu VoIP i w konsekwencji zaprojektowania polityki oraz planu jej implementacji mającej na celu zredukowanie tego ryzyka z wykorzystaniem technologii bezpieczeństwa będących pod ręką.

Rozwiązania telefonii IP wymagają takiej samej poufności jak dane. Do podsłuchu transmisji wystarczy podpiąć laptopa do sieci lokalnej lub umieścić w zasięgu sieci WLAN. Z tego powodu konieczne jest uwierzytelnianie telefonów IP oraz szyfrowanie sygnalizacji i strumienia głosu.

Kryptografia wprowadza do pakietów głosowych dodatkowe dane i zwiększa opóźnienia. IETF opracowała protokół Secure IP zapewniający szyfrowanie transmisji pomiędzy klientami VoIP bez ich nadmiernego obciążania. Bezpieczeństwo VoIP można również zwiększać drogą tworzenia podsieci wirtualnych LAN (VLAN).

VoIP jest stosunkowo nowym i specyficznym typem aplikacji internetowej, ale w końcu można sprowadzić ją do jednego ze strumieni danych czasu rzeczywistego dostarczanych przy użyciu IP. Dlatego też wiele ze środków bezpieczeństwa szeroko stosowanych dzisiaj do ochrony innych aplikacji internetowych - FTP, HTTP, poczta elektroniczna czy komunikatory - może być wykorzystanych do zwiększenia bezpieczeństwa VoIP.

Bezpieczeństwo VoIP jest w dużej mierze zależne od bezpieczeństwa protokołu IP. Zabezpieczając infrastrukturę systemu VoIP, można ograniczyć zagrożenia ze strony ataków opartych na DoS, SYN flood, przechwytywaniu sesji (hijacking) czy nasłuchiwaniu.

Większość aplikacji usługi VoIP pracuje na popularnych platformach serwerowych systemów operacyjnych. Wzmacnianie systemów operacyjnych serwerów i hostowe systemy wykrywania wtargnięć to podstawowa ochrona VoIP. Najczęściej rekomendowane środki bezpieczeństwa dla serwerów, które mogą być zastosowane również dla serwerów głosowych, to:

• Utrzymywanie na aktualnym poziomie stanu łatek systemu operacyjnego i aplikacji VoIP.
• Uruchamianie na takim serwerze wyłącznie aplikacji wymaganych dla zapewnienia i utrzymania usług VoIP.
• Stosowanie silnego uwierzytelniania dostępu do kont administracyjnych i użytkowników.
• Udostępnienie użytkownikom kont wymaganych jedynie dla operacji utrzymania i konfigurowania.
• Stosowanie surowej polityki autoryzacji zapobiegającej nieautoryzowanemu dostępowi do usług VoIP i danych o kontach.
• Audyt sesji administracyjnych i użytkownika oraz działań związanych z jakością usług.
• Instalowanie i utrzymywanie zapór ogniowych serwera oraz środków do powstrzymywania ataków kodów złośliwych i ataków DoS.
• Bezpieczne konfigurowanie aplikacji VoIP w celu zapobieżenia nadużyciom, np. białe listy dozwolonych numerów krajowych, zapobiegające przekierowaniu wywołań oraz socjotechnikom, które mogą prowadzić do kradzieży impulsów i nieupoważnionego użytkowania.