Jak bezpieczne jest VoIP?

Wykryto dwa słabe punkty, które mogą zostać wykorzystane do zakłócenia komunikacji głosowej. Pierwszy dotyczył telefonów IP. Wysyłanie dużej ilości określonego rodzaju ruchu przez kilka minut powodowało najczęściej restart telefonu. Przeładowywanie czyniło telefon podatny na drugą fazę ataku. Wysyłanie odpowiednio spreparowanych pakietów wywoływało niezdolność telefonu do pracy przez ok. 20 minut. Powtarzanie fazy drugiej co 20 minut umożliwia stałą dysfunkcję telefonu.

Test ujawnił jeszcze inne potencjalne zagrożenia. Przykładowo, przełącznik portu danych umieszczony z tyłu telefonu akceptował dowolny ruch i przekazywał go dalej, dodając do pakietów odpowiedni znacznik VLAN. Po podłączeniu komputera do telefonu intruz może wysyłać generowany przez siebie ruch telefoniczny do sieci VLAN, dedykowanej dla głosu. Zaobserwowano również, że wysyłanie specyficznego typu ruchu na wybrane porty wykorzystywane przez mechanizmy kontroli połączeń może zwiększać czas zestawiania rozmów.

Avaya - runda druga

Jak bezpieczne jest VoIP?

Topologia maksymalnie zabezpieczonej sieci VoIP Avaya

Wyciągając wnioski z pierwszego testu, Avaya doposażyła swoją infrastrukturę w dodatkowe mechanizmy bezpieczeństwa. Przełącznik Avaya Cajun P333 zastąpiono urządzeniami warstwy 2/3 od firmy Extreme Networks - partnera producenta. Do architektury testowanej za pierwszym razem dodano: bramę Avaya SG208 Security Gateway (15 000 USD), przełącznik warstwy 2/3 Extreme Summit 300-48 (8000 USD) oraz Extreme Alpine 3804 (10 000 USD). Wyposażenie VoIP wraz z oprogramowaniem pozostało niezmienione.

Dodanie mechanizmów warstwy trzeciej zapewniających odpowiedni routing IP i zmiana konfiguracji zapobiegły atakom, skutecznym w części pierwszej, w której komputer intruza miał bezpośredni dostęp do telefonów IP.

Zmiany poprawiające bezpieczeństwo to:

  • ograniczenie maksymalnej prędkości transmisji na przełączniku Summit, zapobiegające dużym strumieniom TCP, UDP lub ruchowi broadcast powyżej 1 Mb/s;
  • utworzenie dla każdego telefonu oddzielnego VLAN-u. Nie można wówczas z jednego portu atakować innych telefonów IP. Cały ruch pomiędzy telefonami musi by trasowany, co umożliwia jego analizę, filtrowanie protokołów i portów, ograniczenie prędkości. Podejście to nie zapewnia łatwej skalowalności. Przy sporej liczbie telefonów zarządzanie wszystkimi VLAN-ami staje się kłopotliwe;
  • uniemożliwienie bezpośredniej wymiany strumieni głosu RTP pomiędzy telefonami (shuffling). Wszystkie strumienie VoIP muszą wówczas przechodzić przez moduł przetwarzania mediów (media processing).
Poprawia to bezpieczeństwo, lecz jednocześnie moduł ten staje się wąskim gardłem systemu VoIP. Według Avaya moduł ten jest w stanie obsługiwać do 64 jednoczesnych połączeń. Zmniejsza to możliwość potencjalnych rozmów poza sieć firmową o liczbę połączeń wewnętrznych.

Ograniczenie obsługi MAC adresów na przełączniku Extreme Alpinie tylko do zalegalizowanych zmusza intruza do podszywania się pod oficjalny MAC adres. Tak też zrobiono. Podłączenie własnego przewodu pozwoliło pasywnie monitorować ruch i uzyskać adresy urządzeń.

Jak bezpieczne jest VoIP?

Avaya G650 Media Gateway

Zaporę Extreme SG208 skonfigurowano tak, aby przepuszczała jedynie ruch na określonych portach do/od nadzorcy kontroli połączeń. Dostęp do modułu przetwarzania mediów był możliwy tylko przez określone porty. Do modułu CLAN (Control LAN) przepuszczane były wyłącznie porty i protokoły niezbędne w sygnalizacji kontroli połączeń opartej na H.323. Atakującym szybko jednak udało się ustalić numery otwartych portów oraz zaimplementowane protokoły. Wykorzystując tożsamość zapożyczoną od funkcjonującego telefonu IP, nawiązano kontakt z infrastrukturą kontroli połączeń i uzyskano odpowiedź.

Aby spenetrować mechanizm kontroli połączeń, nie jest konieczne pełne naśladowanie komunikacji uprawnionego telefonu: protokołów, strumieni pakietów oraz jego haseł. Jest to wymagane jedynie przy wykonywaniu połączeń telefonicznych.

Wnioski

W ostatnim teście, podobnie jak w dwóch poprzednich, możliwe było podłączenie pasywnego próbnika do gniazdka telefonicznego IP i obserwowanie szczegółów ruchu, poza odczytaniem zaszyfrowanych strumieni głosu. Na podstawie zebranych informacji o sieci podłączono własny komputer i używając adresu MAC, IP oraz znaczników VLAN funkcjonującego telefonu, uzyskano dostęp do infrastruktury i innych użytkowników sieci VoIP.

Atak na inne telefony IP skuteczny w poprzednim teście tym razem okazał się bezskuteczny. Wykryto jednak inną słabość. Wysyłając niewielką liczbę pakietów przenoszących odpowiedni protokół na określonym porcie do modułu kontroli połączeń, można skutecznie przeszkadzać w zarejestrowaniu się telefonu. Sytuacja taka ma miejsce tylko w momencie przełączenia w inne miejsce, powtórnego włączenia lub po pierwszym podłączeniu telefonu do sieci. W odpowiedzi producent zapowiedział wydanie poprawki do oprogramowania sterującego kontrolą połączeń.

Uwzględniając niewielką szkodliwość wykrytej luki w zabezpieczeniu, system VoIP Avaya, wzbogacony w dodatkowe mechanizmy bezpieczeństwa, zasłużył - według przyjętej skali ocen - na miano "wytrzymały".

Przeprowadzone testy potwierdzają regułę, że skuteczna ochrona jest możliwa tylko przy stosowaniu mechanizmów obronnych na wszystkich warstwach. Ponadto należy zagwarantować uwierzytelnianie telefonów IP, szyfrowanie sygnalizacji oraz strumieni głosu.

Cisco zastosowało efektywną ochronę w warstwach 2. i 3. (przełączniki Catalyst), 4. oraz 5. (zapory PIX i IPS), 6. (szyfrowanie strumieni głosu RTP, niestety dostępne tylko dla wybranych modeli telefonów IP), a także warstwie 7. (oprogramowanie serwera Cisco Security Agent).

Pierwsza konfiguracja Avaya posiadała ograniczoną ochronę w warstwie 2., a w warstwach wyższych także niewielką (z wyjątkiem 6.). Wszystkie telefony Avaya obsługują szyfrowanie pakietów RTP - co gwarantuje bezpieczeństwo warstwy 6. Przy konfiguracji rozszerzonej o ochronę warstw 3. i 4., mającej zapewnić maksymalne bezpieczeństwo, nadal wykryto pewne luki.

Wdrożenia VoIP

Według danych ogłaszanych przez producentów sprzedaż rozwiązań VoIP nabiera rozpędu. Odzwierciedleniem tego jest wzrost sprzedaży telefonów IP, która np. w przypadku Cisco Systems rośnie o ok. 15% kwartalnie. Jako czołowy dostawca VoIP Cisco sprzedało dotychczas 4 mln telefonów IP (41% rynku), z czego ponad milion w Europie. Firma ta zajmuje również dominującą pozycję w Polsce, ze sprzedażą ponad 15 tys. aparatów telefonicznych IP.

Dotychczas największym wdrożeniem w kraju i jednym ze znaczących w Europie jest sieć VoIP uruchomiona na potrzeby Straży Granicznej przez TP i NextiraOne. Podłączonych jest do niej ponad 6500 telefonów serii IP Cisco 7900. Infrastrukturę zarządzającą i obsługującą sieć stanowią Call Manager, systemy Cisco IP IVR (Interactive Voice Response), a także zapory PIX i koncentratory VPN 3015. Za routing odpowiadają platformy wielousługowe serii Cisco 3600 i 3700. Transmisję pomiędzy węzłami realizują łącza Frame Relay sieci POLPAK-T. Bezawaryjną pracę systemu zapewnić ma uruchomiona usługa Survivable Remote Site Telephony (SRS Telephony) z automatyczną detekcją awarii i autokonfiguracją.

Niedawnym dużym wdrożeniem VoIP jest sieć zbudowana przez NextiraOne w krakowskim Sheratonie, do której podpiętych jest 600 stacjonarnych telefonów IP (7970, 7940, 7902, 7936). Ponadto pracownicy mobilni korzystają z bezprzewodowych telefonów IP 7920 współpracujących z siecią Wi-Fi (IEEE 802.11b). Zainstalowane oprogramowanie V/IP firmy Nevotek integruje telefonię IP z systemem obsługi hotelu. Jak zapewnia Cisco, to jedno z pierwszych tego typu wdrożeń na świecie i pierwsze wykorzystujące telefony z kolorowym ekranem dotykowym (więcej na str. 48).

Popyt na telefony VoIP wzrasta, pomimo pojawienia się konkurencji ze strony oprogramowania P2P, jak np. Skype, który oferuje już połączenia z tradycyjnymi sieciami telefonicznymi. Niemal wyłącznym odbiorcą telefonów IP są firmy i instytucje, natomiast z usług sieci P2P korzystają głównie użytkownicy domowi.


TOP 200