Geschiedenis van de ontwikkeling van spraakoverdracht in computernetwerken stamt uit 1994. Omdat internetverkeer aanzienlijk goedkoper was dan het huren van lijnen van analoge en digitale communicatiekanalen voor langeafstands- en internationale onderhandelingen, ontstond er een volledig legitiem belang van de kant van eigenaren van kleine, middelgrote en grote bedrijven. Uiteraard was het idee van voice over IP erg interessant voor fabrikanten, dus iedereen probeerde het op zijn eigen manier te implementeren.

Maar deze tijd is verstreken en er zijn specifieke standaarden/protocollen voor voice over IP verschenen, zoals SIP, H.323, MGCP. Samen met deze open protocollen zowel eigen oplossingen als malware, evenals hackmethoden die het leven moeilijk maakten voor zowel consumenten als ontwikkelaars van op basis van oplossingen VoIP(Voice over IP - voice over IP).

Met VoIP-technologieën kunt u de huidige communicatieproblemen van het bedrijf oplossen, de loyaliteit van klanten vergroten, de efficiëntie van medewerkers verhogen en besparen op telefoongesprekken dankzij:

1. Organisatie van een telefoonnetwerk binnen één bedrijfsgebouw/kantoor;
2. Consolidatie van telefoonnetwerk tussen bedrijfsgebouwen/kantoren;
3. Organisatie van een callcenter voor een kantoor/bedrijf;
4. Integratie van VoIP-oplossingen met bedrijfsapplicaties;
5. Introductie van diensten zoals interactief spraakmenu, voicemail, conferentiegesprekken, gespreksopname, faxserver, enz.

Maar VoIP-oplossingen hebben ook een aantal veiligheidsgerelateerde nadelen. VoIP-oplossingen leven zowel in IP-netwerken als in netwerken van analoge en digitale communicatielijnen, dus de veiligheid moet van alle drie de kanten worden gewaarborgd. Anders lopen we het risico een oplossing te krijgen die de onderhoudskosten alleen maar verhoogt en de workflow ingewikkelder maakt.

Er is altijd een dreiging!

IP-telefoniesystemen brengen bedreigingen met zich mee die de werking van de gehele infrastructuur en de organisatie als geheel negatief beïnvloeden. De bedreigingen zelf kunnen worden onderverdeeld in twee categorieën: technologisch en personeel. Laten we ze allemaal afzonderlijk bekijken.

Technologie categorie

1. Diefstal van geld is een aanval waarbij uw IP-PBX, die wordt gebruikt als een anonieme voice proxy-server, wordt gehackt, waardoor geld van uw account wordt gestolen en in sommige gevallen op de rekening van de fraudeurs wordt bijgeschreven;
2. Faxmodems en faxmachines - een aanval waarbij het faxapparaat van uw bedrijf wordt aangevallen, waardoor de bronnen overbelast raken, waardoor het verwarmingselement vaak wordt uitgeschakeld;
3. Denial of service is een aanval die het onmogelijk maakt om zowel uitgaande gesprekken te voeren als inkomende gesprekken te ontvangen;
4. Luisteren naar oproepen - luisteren naar analoge communicatielijnen is niet moeilijk en vereist ook geen speciale vaardigheden, en de informatie die wordt onderschept kan zeer waardevol zijn. Bij IP-telefonie is het net zo eenvoudig om informatie te onderscheppen en te beluisteren.

Personeelscategorie

1. Specialistische competenties. Onvoldoende kennis van de basisprincipes, en nog meer van gespecialiseerde zaken, tijdens het proces van inbedrijfstelling en onderhoud van IP-telefoniesystemen, wat vaak tot onomkeerbare gevolgen leidt, zoals ‘diefstal van geld’. Natuurlijk bestaat de kans dat je je geld terugkrijgt, maar hoe lang duurt het voordat je gerechtigheid krijgt als de oplichters zich ergens in China bevinden en de aanval afkomstig is uit de Dominicaanse Republiek;
2. Menselijke factor en specialistische nalatigheid. Een ontevreden, onoplettende medewerker of simpelweg een lui mens kan een belangrijke rol spelen bij een succesvolle aanval op uw IP-telefoniesysteem. En het maakt niet uit of het uw persoon is of van een aannemer;
3. Bedrijfsbeheer. Heel vaak leidt de wens om te besparen op apparatuur en specialisten vervolgens tot nog grotere verliezen en extra kosten die vermeden hadden kunnen worden door voor een duurdere maar correcte oplossing te kiezen.

Hoe ermee om te gaan

Er zijn evenveel methoden om de hierboven beschreven bedreigingen te bestrijden als er bedreigingen zelf zijn:

Het is heel gemakkelijk om met luisteren om te gaan. Gebruik een IP-netwerk als transportmiddel voor spraakoverdracht en gebruik sterke encryptie om te beschermen tegen afluisteren. Ik zou willen opmerken dat op dit moment het gebruik van cryptografische encryptietools die niet door de FSB/FAPSI zijn gecertificeerd, bij wet verboden is. Maar dit is een onderwerp voor een andere discussie.

Aanvallen op faxmodems en faxmachines kunnen net zo gemakkelijk worden beschermd. Gebruik speciale faxservers. Er zijn tal van faxserveroplossingen op de markt, en veel ervan hebben al ingebouwde bescherming tegen dit soort aanvallen. Bovendien vergemakkelijkt het gebruik van faxservers het werkproces enorm. Met behulp van een dergelijke oplossing kunt u immers met één muisklik faxen verzenden, zonder uw werkplek te verlaten!

Maar denial-of-service-aanvallen zijn iets moeilijker om mee om te gaan. Vooral als het gaat om gedistribueerde Denial of Service (DDoS)-aanvallen. Maar methoden en beschermingsmiddelen bestaan ​​al lang de juiste aanpak to the point, je kunt leven zonder angst voor dit soort aanvallen. Gebruik gespecialiseerde VoIP-firewalls, implementeer kwaliteitsdiensten QoS-diensten en vergeet niet om tijdig de software te updaten van de componenten die verantwoordelijk zijn voor de veiligheid en stabiliteit van uw IP-telefonie.

Wat de menselijke factor betreft, liggen de zaken hier veel ingewikkelder. We zullen geen rekening houden met de methoden voor personeelsselectie, maar ik wil dit wel opmerken dit type problemen komen vaker voor dan de hierboven beschreven soorten aanvallen. Bent u daarom geen groot bedrijf met een eigen IT-afdeling die VoIP-oplossingen onderhoudt, maak dan gebruik van de diensten van professionele bedrijven die zich met deze oplossingen bezighouden. Maar zelfs in dit geval zal het nuttig zijn om de mening van experts te krijgen.

Bespaar niet op VoIP-oplossingen, omdat dit in de toekomst tot grote verliezen kan leiden. De financiële prestaties van goedkope en slecht geteste oplossingen zijn erg verleidelijk, maar als je een stabiel hebt groeiend bedrijf, dan zal een extra zes maanden op weg naar de terugverdientijd geen groot verschil maken, maar in de toekomst zal het wel tijd besparen en veel problemen voorkomen. Zorg ervoor dat u gebruik maakt van de diensten van professionele bedrijven. Dergelijke bedrijven nemen hun reputatie heel serieus en in geval van een fout van hun kant zullen ze er alles aan doen om de gevolgen ervan te corrigeren.

2015. SwitchRay presenteert een bijgewerkte oplossing om IP PBX te beschermen tegen fraude

SwitchRay, een toonaangevende leverancier van VoIP-oplossingen voor retail- en wholesale-telecomoperatoren, internetproviders, bedrade en draadloze netwerkoperatoren, heeft de beschikbaarheid aangekondigd van een nieuwe versie van het SR-P7000 v1.1-product ter voorkoming van IP PBX-fraude. In tegenstelling tot andere oplossingen is de SR-P7000 v1.1 een onafhankelijk en gemakkelijk compatibel platform met elke softswitch om operators te beschermen tegen inkomstenverlies veroorzaakt door verschillende vormen van fraude, hacking en andere schendingen van de informatiebeveiliging.

2013. WebMoney Voice - applicatie voor veilige VoIP-communicatie

Het WebMoney-betalingssysteem heeft de WebMoney Voice-applicatie uitgebracht (of beter gezegd: het is een aanvullende module). mobiele klant systemen), waardoor beveiligde telefoongesprekken via IP-telefonie mogelijk zijn. WebMoney Voice codeert gegevens met behulp van speciale algoritmen en elimineert vrijwel de mogelijkheid van het onderscheppen en afluisteren van gesprekken door derden op welk datanetwerk dan ook. Tegelijkertijd gaat tijdens een vertrouwelijk gesprek de geluidskwaliteit van de stem van de gesprekspartner niet verloren. Er zijn geen kosten verbonden aan het gebruik van de dienst. De applicatie kan momenteel worden gedownload op Google Play voor Android versie 3.0.52 en hoger. Versies zijn gepland voor andere mobiele platforms.

2012. Telfin beschermt zakelijke VoIP-communicatie

Zakelijke VoIP-dienstverlener Telfin is gelanceerd nieuwe dienst Telfin.VoiceVPN, ontworpen om VoIP-communicatie te beschermen. Feit is dat VoIP-technologie spraakoverdracht omvat via openbare internetkanalen, maar ook op het intranet, dat niet altijd goed is afgeschermd van het externe netwerk. Daarom kan het stemsignaal worden onderschept en kunnen bedrijfsgeheimen worden gestolen. Met Telfin.VoiceVPN kunt u het interne netwerk van uw bedrijf beschermen tegen afluisteren en een veilig kanaal tussen externe kantoren organiseren. Om dit te doen, moet op elk kantoor een VPN-router zijn geïnstalleerd (die Telfin voor 3.200 roebel verkoopt). Aansluiting kost nog eens 1000 roebel, en dan betaal je een maandelijks bedrag van 500 roebel/maand.

2011. BELTEL gaat VoIP-oplossingen verkopen aan Polycom

Systeemintegrator BELTEL maakt bekend dat het de status heeft gekregen van geautoriseerd reseller van Polycom. Deze status stelt het bedrijf in staat zijn portfolio uit te breiden met producten en oplossingen zoals hardwaretelefoons voor het werken met Microsoft Endpoint, IP-gebaseerde spraakoplossingen, evenals Video Border Proxy-oplossingen die zijn gemaakt om veilige toegang op afstand te bieden tot UC-, VoIP- en videofuncties en zorgen voor de doorgang van multimediagegevens door bedrijfsfirewalls.

2010. PhoneUp verhoogt de bedrijfsveiligheid en beheersbaarheid

Het bedrijf BKS-IT introduceerde een nieuwe module “Priority” voor zijn PhoneUp-pakket, waardoor de bevoegdheden van bepaalde groepen werknemers werden uitgebreid om oproepen te beheren binnen een IP-netwerk dat is gebouwd op Cisco-technologieën. Met behulp van de nieuwe module kunnen managers of bedrijfsbeveiligers gesprekken afluisteren door discreet verbinding te maken met de telefoon van een medewerker, een geforceerde verbinding met een medewerker tot stand brengen (zelfs als zijn telefoon bezet is), deelnemen aan het huidige gesprek van een medewerker, en start de opname van het gesprek van een medewerker. Naast de nieuwe module bevat het PhoneUp-pakket modules voor het implementeren van een uniform bedrijfstelefoonboek, videobewaking en werknemersinformatie.

2009. WatchGuard XTM gaat beveiliging bieden voor IP-telefonie

Het belang van het beschermen van VoIP-communicatie tegen bedreigingen in de laatste tijd groeit merkbaar, en deze trend zal alleen maar sterker worden als gevolg van de jaarlijkse toename van het VoIP-verkeer. WatchGuard Technologies heeft een nieuwe versie geïntroduceerd van het bedrijfs-IP-netwerkbeveiligingssysteem WatchGuard XTM 8 Series, waarvan de belangrijkste kenmerken tools zijn voor het beschermen van IP-telefonie. Het systeem biedt VoIP-bescherming, instant messaging (IM) en P2P-applicatieblokkering. WatchGuard XTM 8 Series-oplossingen bieden ook applicatiegebaseerde beveiliging voor SIP- en H.323-protocollen, waardoor commerciële VoIP-systemen kunnen worden gemaskeerd en tegelijkertijd worden beschermd tegen directory harvesting-aanvallen, ongeautoriseerde toegang tot invoerverificatie en andere beveiligingsbedreigingen. De WatchGuard XTM 8 Series-oplossing is ontworpen voor grote bedrijven met netwerken van 1.000 tot 5.000 gebruikers.

2009. In Rusland wordt een speciale cursus over IP-telefoniebeveiliging gehouden

Het Informzashita-trainingscentrum heeft een speciale cursus over IP-telefoniebeveiliging aangekondigd, gewijd aan complexe vraagstukken op het gebied van beveiligingsanalyse en het waarborgen van de veiligheid van IP-telefonie. Dit is een unieke cursus voor Rusland, die moderne benaderingen onderzoekt voor het bouwen van een IP-telefonie-infrastructuur, kwetsbaarheden en aanvallen op de componenten ervan, beveiligingsmethoden, monitoringsystemen en methodologieën voor het analyseren van de veiligheid van een VoIP-netwerk. Ruim 50% van de onderwijstijd zal hieraan worden besteed praktisch werk, waarin typische aanvallen op de IP-telefonie-infrastructuur worden gemodelleerd en de methodologie voor het gebruik van beveiligingsmechanismen wordt overwogen. De server- en werdie in het trainingsproces wordt gebruikt, stelt elke specialist in staat praktisch werk uit te voeren op een individueel VoIP-netwerk. De cursus is bedoeld voor, systeem- en netwerkbeheerders die verantwoordelijk zijn voor het exploiteren van VoIP-applicaties, computerbeveiligingsexperts en analisten die eisen stellen aan de beveiliging van netwerkbronnen en bescherming tegen het lekken van vertrouwelijke informatie. technische kanalen.

2009. Euro-autoriteiten willen naar Skype luisteren

Het Agentschap van de Europese Unie voor de Coördinatie van Nationale Rechtssystemen wil kunnen luisteren naar IP-telefoniesystemen, incl. Yahoo Messenger, internetoproepen, Skype. Momenteel zijn deze voip-aanbieders niet onderworpen aan de Europese en Amerikaanse wetten op het gebied van afluisteren en het bewaren van gegevens, en zijn zij, in tegenstelling tot telecommunicatiebedrijven, niet verplicht om samen te werken met de wetshandhaving. Bovendien maakt de versleuteling van de communicatie, bijvoorbeeld in Skype, het vrijwel onmogelijk om daar ‘met geweld’ naar te luisteren. De komende weken zal er een bijeenkomst van EU-wetgevers over deze kwestie plaatsvinden.

2008. Cisco gaat Unified Communications beveiligen

SIP-beveiliging voor unified communications maakt gebruik van het SIP-protocol in de Cisco IOS Firewall om spraakcommunicatie te beveiligen. Deze innovatie zal bedrijven in staat stellen het concept van een gedistribueerde onderneming te omarmen, de productiviteit te verhogen en de bedreigingen die gepaard gaan met spraakcommunicatie te minimaliseren. Deze update verandert netwerk oplossingen CISCO Self-Defending Network tot een bredere systeemoplossing die algemene bescherming biedt voor netwerken en een breed scala aan eindpunten, applicaties en inhoud.

2007. VoIP is moeilijk om naar te luisteren

Het wijdverbreide gebruik van VoIP-diensten veroorzaakt problemen voor verschillende inlichtingendiensten. Telefoongesprekken via Skype is het bijna onmogelijk om te volgen en te luisteren, en als er een VPN wordt gebruikt, wordt de taak vele malen ingewikkelder, schrijft Australian IT. De toename van het aantal exploitanten van IP-telefonie en de beschikbaarheid van gegevensversleuteling betekent dat de tijd van eenvoudig afluisteren voorbij is. De inlichtingendiensten werken in deze richting, trekken specialisten aan en breiden hun diensten uit technische mogelijkheden. De lonen van dergelijke specialisten en de kosten van apparatuur zijn echter te hoog. In dit geval is de overheid in de verleiding om regelgeving in te voeren die VoIP-providers verplicht om vereenvoudigde technologieën te gebruiken, wat uiteindelijk kan leiden tot een verzwakte netwerkbeveiliging.

2007. Cisco: IT-beveiligingsprofessionals zijn niet bang voor VoIP

Uit een onderzoek in opdracht van Vanson Bourne voor Cisco bleek dat virussen bovenaan de lijst van belangrijkste bedreigingen staan. In 2007 ontvingen 55% van de respondenten het kampioenschap (tegenover 27% in 2006). Ongeoorloofde toegang tot gegevens werd door 33% als de grootste bedreiging genoemd, vergeleken met 50% vorig jaar. De grootste zorg van 38% van de IT-beveiligingsprofessionals was gegevensbeveiliging, en 33% noemde de noodzaak om processen in overeenstemming te brengen met wettelijke vereisten. Geen van de respondenten uitte "grote zorgen" over de veiligheid van VoIP, Asterisk of uniforme systemen communicatie (internet plus bekabelde verbinding). De helft (49%) was het er echter mee eens dat er bij de implementatie van IP-communicatie rekening moet worden gehouden met veiligheidsoverwegingen. Het onderzoek werd uitgevoerd onder honderd IT-beveiligingsprofessionals die verantwoordelijk zijn voor informatiebescherming in hun bedrijven met meer dan duizend werknemers.

2007. Skype streeft ernaar de beveiliging van zijn software te verbeteren

Populaire peer-to-peer IP-telefonieoperator Skype is van plan een samenwerkingsovereenkomst te sluiten met een bedrijf dat gespecialiseerd is in netwerkbeveiliging instant berichten,FaceTime-communicatie. Volgens de informatiepublicatie Silicon zal Skype dus proberen meer tools te geven voor controle over IP-telefoniesessies om zo zijn diensten in het bedrijfsleven te promoten. Verwacht wordt dat deze overeenkomst zal worden gevolgd door een aantal andere soortgelijke transacties. Het voornemen van Skype om van zijn software een openbaar beschikbaar hulpmiddel voor zakelijke communicatie te maken, vereiste een verandering in de houding ten opzichte van de problemen van IT-managers van ondernemingen die niet in staat waren het verkeer van het populaire telefoonsysteem te controleren. Volgens officiële Skype-gegevens komt ongeveer 30% van de 171 miljoen geregistreerde gebruikers uit de zakenwereld.

2007. Beveiligingsexperts blijven zorgen uiten over toekomstige problemen met IP-telefonie

Bedrijven die gespecialiseerd zijn in het waarborgen van de veiligheid van computers in netwerken blijven de wereldgemeenschap bang maken met potentiële bedreigingen die binnenkort talloze gebruikers van IP-telefonie zullen overkomen. De afwezigheid van lang beloofde problemen wordt verklaard door de onvoldoende ontwikkeling van dit soort communicatie, maar op basis van onderzoeksgegevens die beweren dat in 2010 het aantal IP-telefoons in het bedrijfsleven meer dan verviervoudigd zal zijn, beweren beveiligingsexperts dat de meeste bedrijven er simpelweg niet klaar voor zijn voor aanvallen op hun VoIP-netwerken, schrijft The Register. Tegelijkertijd verbergen fabrikanten van beveiligingssystemen niet dat ze een snelle groei verwachten op de markt voor beveiligingssystemen voor IP-telefonie, en verklaren ze hun sombere voorspellingen door de wens te waarschuwen voor het gevaar potentiële klanten van tevoren. Experts van Symantec zijn van mening dat de belangrijkste problemen van VoIP-systemen verband zullen houden met phishing, Panda Software vreest de verspreiding van wormen via het verkeer van VoIP-modules van IM-clients of systemen zoals Skype, en vertegenwoordigers van ScanSafe beweren dat VoIP-netwerken bijzonder kwetsbaar zullen zijn voor DoS-aanvallen.

2006. Amerikaanse experts richten een VoIP-beveiligingspartnerschapsgroep op

Onlangs is een groep Amerikaanse academici en experts uit de industrie gevormd om de beveiligingsproblemen in verband met VoIP-technologie te onderzoeken. De partnergroep bestond uit Georgia Tech Information Security Center (GTISC), BellSouth en Internet Security Systems (ISS). Communicatiediensten verschuiven naar internetplatforms en het belang van veiligheid neemt toe in de context van het gebruik van nieuwe convergente technologieën. De onderzoekers zijn van plan de veiligheid van VoIP-protocollen en authenticatieproblemen te analyseren, VoIP-verkeer en apparaatgedrag te modelleren en mobiele telefoons en VoIP-applicaties te beschermen. ISS en BellSouth hebben $300.000 ter beschikking gesteld voor een tweejarig onderzoeksprogramma dat GTISC in staat zal stellen beveiligingsoplossingen te ontwikkelen en te evalueren, en ISS en BellSouth zullen toegang krijgen tot de resultaten van dat onderzoek.

2006. Session Border Controller helpt VoIP te beschermen

De ontwikkeling van IP-telefoniediensten werpt met al zijn urgentie een nieuwe kwestie op die zijn wortels heeft in oude problemen: de veiligheid van VoIP. Deskundigen voorspellen dat medio 2007 hacking en virusaanvallen VoIP-netwerken zullen gemeengoed worden, wat een zorg is voor ontwikkelaars van VoIP-oplossingen en VoIP-serviceproviders. Er kan echter enige basisbescherming worden georganiseerd op het niveau van de netwerkarchitectuur, met behulp van session border controllers (SBC's), die DDoS-aanvallen, de verspreiding van SPIT (Spam via internettelefonie) en virusuitbraken kunnen voorkomen, en het verkeer voortdurend kunnen versleutelen. SBC's werden oorspronkelijk gebruikt om VoIP-sessies achter NAT te organiseren. Tegenwoordig kunnen ze veel beschermende functies uitvoeren, dankzij de mogelijkheid om de inhoud van pakketten in realtime te onderzoeken. In het netwerk verbergen sessiegrenscontrollers het echte adres van de gebruiker, waardoor de kans op een DDoS-aanval of hacking wordt geminimaliseerd, de bandbreedte wordt gecontroleerd, QoS wordt gehandhaafd en de topologie van aangrenzende netwerken wordt verborgen. In netwerken van de volgende generatie zal SBC een essentieel onderdeel van de beveiliging worden, samen met flexibiliteit en schaalbaarheid, terwijl het betrouwbaar en eenvoudig is.

2006. Nieuwe encryptie voor VoIP op Windows-platform

Nieuwe technologie cryptografische bescherming, waarmee u een VoIP-sessie tussen twee knooppunten kunt beveiligen zonder contact op te nemen met een derde partij of afzonderlijke sleutels op te slaan, is ontwikkeld door Phil Zimmermann, de legendarische auteur van PGP-gegevensversleutelingssoftware. Zimmerman verklaarde dat het door hem ontwikkelde protocol geschikt is voor gebruik bij iedereen telefoon systeem, met ondersteuning voor SIP. Aangezien de nieuwe versie van Zfone met Windows werkt, massale gebruiker Met peer-to-peer IP-telefoniesystemen wordt het mogelijk uw communicatie grondig te beveiligen. De technologie is ter goedkeuring voorgelegd aan de Internet Engineering Task Force (IETF).

2006. VoIP is veiliger dan reguliere telefonie

Toen serviceproviders migreerden van TDM- naar VoIP-netwerken, stonden ze voor een grote uitdaging: het garanderen van de beveiliging van spraakcommunicatie. Het telefoonnetwerk was niet langer geïsoleerd en een slecht ontworpen VoIP-systeem kon gemakkelijk het slachtoffer worden van alle gebruikelijke internetongelukken: van een DoS-aanval tot het onderscheppen van gegevens. Tot op heden zijn de technologieën die zijn ontwikkeld om dit probleem op te lossen voldoende verzameld om te praten over de mogelijkheid om dit te bereiken meer veiligheid IP-telefonie vergeleken met een regulier telefoonnetwerk, schrijft Haim Melamed, marketingdirecteur van AudioCodes, in zijn artikel gepubliceerd in de informatiepublicatie Converge. Beveiliging is echter geenszins een nieuw concept voor telefoniesystemen. Voor gewone telefoonnetwerken waren alle huidige problemen, van afluisteren tot denial of service, in meer of mindere mate ook relevant. Maak gewoon verbinding met mondiaal netwerk heeft het aantal potentiële aanvallers die de mogelijkheid hebben om ongeoorloofde acties uit te voeren met betrekking tot het communicatiesysteem sterk vergroot en over een uitgebreide reeks bewezen tools beschikken. Voorheen vereiste dit fysieke toegang en speciale apparatuur, waardoor het aantal potentiële criminelen sterk werd beperkt.

2006. NetIQ lanceert VoIP-anti-hackingtool

NetIQ heeft een VoIP-beveiligingsoplossing onthuld die werkt met Cisco IP-telefonie en beschermt tegen DoS, virussen, wormen, tolfraude, afluisteren en andere bedreigingen, meldt NetworkWorld. Nieuw hulpmiddel stelt beheerders in staat realtime informatie te krijgen over de werking van het systeem en de beschikbaarheid ervan, en waarschuwt voor eventuele veiligheidsrisico's. De oplossing omvat AppManager, dat de VoIP-omgeving bewaakt op beveiligingsgebeurtenissen en configuratiewijzigingen. AppManager Call Data Analysis onderzoekt records van onjuiste oproepen en genereert een rapport, Security Manager voor IP-telefonie registreert en analyseert beveiligingsgebeurtenissen. De verkoop van de VoIP-beveiligingsoplossing begint later dit kwartaal en kost $ 6 per IP-telefoon.

2005. VPN voor IP-telefonie van Avaya

Avaya heeft een VPN-service geïntroduceerd in haar familie van IP-telefonieapparatuur. Hierdoor kunnen zakelijke gebruikers hun hoofdkantoorcommunicatie veilig uitbreiden naar werknemers die thuis werken of tijdelijk op onveilige locaties werken. netwerkomgeving. Door de nieuwe VPNremote-software te integreren met een IP-telefoon, kunnen werknemers beschikken over zakelijke communicatie die alle functies bevat die nodig zijn voor krachtige, ononderbroken bedrijfscommunicatie. Met VPNremote voor Avaya 4600 IP-telefoons kunt u snel en kosteneffectief IP-desktoptelefoons thuis of op externe kantoren installeren. Het enige dat nodig is, is dat de beheerder de software naar de IP-telefoon downloadt en dat de medewerker deze op een stopcontact aansluit, op de breedbandrouter thuis aansluit en een wachtwoord invoert.

2005. VoIPShield brengt VoIP-risicobeoordelingstool uit

VoIPShield System heeft een nieuwe kwevoor VoIP-systemen uitgebracht (zoals Asterisk) waarmee organisaties bedreigingen kunnen voorkomen voordat deze VoIP-diensten beïnvloeden. Gebaseerd op een dreigingsdatabase, is VoIPaudit uitgebreid en schaalbaar. Het kan worden gebruikt om de VoIP-familie van protocollen te monitoren, waaronder Session Establishment Protocol (SIP), H.323 Protocol, Cisco Skinny Protocol, Nortel Unistim Protocol en meer. VoIP-communicatie is van cruciaal belang, en VoIPaudit biedt hiervoor een ongekend niveau van bescherming alle VoIP-apparatuur en apparatennetwerken. VoIPaudit is vanaf vandaag beschikbaar vanaf $ 10.000, inclusief training en ondersteuning.

2005. VoIPSA zet zijn eerste stappen

Sinds de start van haar werkzaamheden dit jaar heeft de IP-Voice over IP Security Alliance (VoIPSA) de eerste grote stap gezet in het beschermen van VoIP-diensten: het heeft duidelijk een lijst met problemen en kwetsbaarheden geïdentificeerd die door aanvallers kunnen worden uitgebuit. Het project, genaamd VoIP Security Threat Taxonomy, is geplaatst voor publieke discussie. Het biedt uitgebreide en gedetailleerde definities en beschrijvingen van potentiële veiligheidsbedreigingen, wat de basis vormt voor het creëren van tegenmaatregelensystemen, schrijft Computer Business. Ondanks dat de organisatie op de hoogte is van ernstige aanvallen waarbij gebruik wordt gemaakt van VoIP-kwetsbaarheden met vrij eenvoudige middelen, weigert VoIPSA-hoofd Jonathan Zar concrete voorbeelden te geven. De lijst met potentiële problemen omvat verkennings-, DoS- en DDoS-aanvallen, misbruik van protocolkwetsbaarheden, afluisteren, verwijderen en wijzigen van audiostreams.

2005. Juniper biedt VoIP-beveiliging

Juniper Networks Inc. heeft Dynamic Threat Mitigation aangekondigd, waarmee serviceproviders bedrijven en consumenten geavanceerde netwerkservicebescherming en servicegarantie kunnen bieden, inclusief VoIP. Het systeem is ingebouwd in Juniper-routers (M-serie of E-serie), zonder dat klanten nieuwe apparatuur hoeven te installeren. Met de oplossing kunt u aanvallen identificeren per gebruiker of applicatie, met behulp van dynamisch beleidsbeheer en inbraakdetectie- en preventiemethoden (DoS-aanvallen, wormpenetratie). Overwegende groot aantal diensten aangeboden via IP-netwerken, is het gebruik van het Dynamic Threat Mitigation-systeem een ​​natuurlijke en progressieve stap.

2005. De VoIP-beveiliging zal over twee jaar ernstig bedreigd worden

Aanvallers zullen over twee jaar met speciale spam en virussen een bedreiging vormen voor IP-telefonie. Dit werd verklaard door vertegenwoordigers van de bekende fabrikant van telecommunicatieapparatuur Nortel. Bovendien moeten bedrijven die VoIP, videoconferenties en andere multimediadiensten op basis van netwerktechnologieën gebruiken in hun activiteiten zich nu voorbereiden op de volgende fase van het beschermen van hun infrastructuur, schrijft de informatiepublicatie Silicon. Vice-president van het bedrijf, Atul Bhatnager, zei dat interferentie met de VoIP-service voorlopig nogal exotisch is, maar dat hackers snel ervaring opdoen en dat gebruikers van IP-telefonie in de toekomst met dezelfde problemen zullen worden geconfronteerd die inherent zijn aan aanvallers. gegevens van conventionele transmissienetwerken: spam en DoS-aanvallen. Het is waar dat twee jaar voldoende is om voldoende voor te bereiden en in te zetten beschermende systemen, geschikt voor diepgaande analyse van datapakketten.

2005. Motorola+Skype

Motorola en internettelefoniedienstverlener Skype Technologies hebben een samenwerkingsovereenkomst getekend, zoals aangekondigd op het 3GSM-congres in Cannes. In de eerste fase van de samenwerking zullen de bedrijven gezamenlijk nieuwe, geoptimaliseerde Motorola Skype Ready-producten voor IP-telefonie ontwikkelen. De productlijn omvat een headset met Bluetooth-interface, apparaten luidspreker en hardware om software en gegevens te beschermen tegen ongeoorloofde toegang. Daarnaast is Motorola van plan een aantal mobiele telefoonmodellen met internettelefoonfuncties op de markt te brengen. De handsets zullen worden uitgerust met door Skype ontwikkelde IP-telefoniesoftware, waardoor de telefoons met beide kunnen communiceren mobiele netwerken, evenals met Wi-Fi-netwerken. Samenwerking tussen bedrijven zal de dienst beschikbaar maken gesproken communicatie via internet, niet alleen voor gebruikers van personal computers en handhelds. Eigenaars van nieuwe mobiele telefoons van Motorola zullen ook de mogelijkheid hebben om waar dan ook ter wereld te bellen zonder zich zorgen te hoeven maken over hoge rekeningen voor communicatiediensten.

2004. Cisco CallManager 4.1: Ongekend beveiligingsniveau

Cisco Systems kondigt de release aan van nieuwe beveiligingsfuncties voor IP-communicatiesystemen. De nieuwe oplossing - Cisco CallManager 4.1 - biedt een hoger beveiligingsniveau voor spraakcommunicatie en bevestigt opnieuw het leiderschap van Cisco op het gebied van IP-technologieën. Cisco CallManager 4.1 ondersteunt spraakversleuteling op de nieuwe Cisco 7940G en 7960G IP-telefoons, evenals op de ruim 2,5 miljoen reeds geïnstalleerde Cisco 7940G en 7960G IP-telefoons. Versleuteling van spraakgegevens garandeert de integriteit van telefoongesprekken, en versleuteling van signaalinformatie beschermt tegen manipulatie van telefoonsignaleringspakketten. Cisco CallManager 4.1-software werkt samen met een breed scala aan Cisco-mediagateways, waaronder de Integrated Services Router-familie. Encryptieondersteuning voor Cisco-mediagateways vormt een aanvulling op de krachtige Voice over Virtual Private Network (V3PN) en mogelijkheden voor bescherming tegen bedreigingen die al in deze platforms zijn opgenomen.

2002. Er is een nieuwe versie van Avaya IP Office 1.3 uitgebracht

Avaya heeft een nieuwe versie van haar VoIP-oplossing voor kleine middelgrote bedrijven geïntroduceerd, Avaya IP Office 1.3. Avaya IP Office Release 1.3 bevat nieuwe software en hardware om aan diverse zakelijke vereisten te voldoen. De software verbetert de mogelijkheden van het systeem om een ​​breder scala aan Avaya IP-telefoons te ondersteunen, verbetert de systeembeveiliging en biedt meer netwerk functies. De nieuwe versie biedt ruimte voor maximaal 256 gebruikers en ondersteunt maximaal twee gelijktijdige conferenties (elk maximaal 64 deelnemers) of meer conferenties met minder deelnemers op een uitgebreid hardwareplatform. Beveiligingsfuncties omvatten speciale conferentiemodi en toegangscontrole met behulp van pincodes. Met VoiceMail Pro kunt u het kiezen van nummers automatiseren (bellen op naam). Er zijn ook interactieve voice response (IVR)-functies met een open API-interface.

2002. Avaya introduceert een nieuwe oplossing voor IP-telefonie via VPN

Avaya heeft een nieuwe versie van Avaya VPNremote uitgebracht met uitgebreide ondersteuning voor open netwerkstandaarden. Met de nieuwe oplossing kunnen bedrijven snel en efficiënt de toegang voor externe medewerkers organiseren tot alle communicatiemogelijkheden die in de kantoren van de organisatie worden gebruikt. Met Avaya IP-telefoons op basis van de nieuwe versie van VPNremote kunnen externe werknemers werken in Cisco Systems- en Juniper Networks-netwerken. Nieuwe Avaya VPNremote-functies voor IP-telefoons bieden een hoog niveau van controle en communicatiekwaliteit. Avaya VPNremote 2.0 – software-oplossing, die Avaya IP-telefoons aanvult met beveiligde toegang tot virtuele particuliere netwerken (VPN). Dus, medewerkers op afstand Bedrijven krijgen de kans om in te werken bedrijfsnetwerk met hoogwaardige communicatie. Nieuwe versie Avaya VPNremote ondersteunt VPN-omgevingen van Cisco Systems en Juniper Networks.

2001. PGPfone - beveiligd gesprek via VoIP en IM

PGPfone is een programma dat van uw pc of laptop een beveiligde telefoon maakt. Om de mogelijkheid te bieden om in realtime beveiligde telefoongesprekken te voeren (via telefoonlijnen en internetkanalen), wordt gebruik gemaakt van audiocompressietechnologie en permanente cryptografische protocollen. Het geluid van uw stem dat via de microfoon wordt ontvangen, wordt opeenvolgend gedigitaliseerd, gecomprimeerd, gecodeerd en door PGPfone verzonden naar de persoon aan de andere kant van de lijn die ook PGPfone gebruikt. Alle cryptografische protocollen en compressieprotocollen worden dynamisch en transparant voor de gebruiker geselecteerd, waardoor hij een natuurlijke interface krijgt die vergelijkbaar is met die van de gebruiker gewone telefoon. Voor het selecteren van de encryptiesleutel worden publieke-sleutelcryptografieprotocollen gebruikt, zodat vooraf geen beveiligd kanaal voor sleuteluitwisseling vereist is.

IP-telefonie moet worden voorzien van twee beveiligingsniveaus: systeem en bellen.

Om ervoor te zorgen systeembeveiliging De volgende functies worden gebruikt:

• Ongeautoriseerde netwerktoegang voorkomen door een gedeeld codewoord te gebruiken. Het codewoord wordt tegelijkertijd berekend door standaard algoritmen over de initiërende en beëindigende systemen, en de verkregen resultaten worden vergeleken. Wanneer er een verbinding tot stand is gebracht, identificeert elk van de twee IP-telefoniesystemen in eerste instantie het andere systeem; in het geval van minstens één negatief resultaat de verbinding wordt onderbroken.
• Toegang tot lijsten met alle bekende IP-telefoniegateways.
• Registreer toegangsweigeringen.
• Functies interface-beveiliging toegang, inclusief het controleren van de gebruikers-ID en het wachtwoord met beperkte lees-/schrijftoegang, het controleren van toegangsrechten tot een speciale WEB-server voor beheer.
• Oproepbeveiligingsfuncties, waaronder gebruikers-ID en wachtwoordverificatie (optioneel), gebruikersstatus en abonneeprofiel.

Wanneer een gateway een verbinding tot stand brengt met een andere gateway in zijn zone, wordt een optionele verificatie van de gebruikers-ID en het wachtwoord uitgevoerd. De gebruiker kan op elk moment zijn toegangsrechten worden ontzegd.

Tijdens de ontwikkeling van het IP-protocol werd inderdaad niet de nodige aandacht besteed aan informatiebeveiligingskwesties, maar na verloop van tijd veranderde de situatie, en moderne toepassingen IP-gebaseerde netwerken bevatten voldoende beveiligingsmechanismen. En oplossingen op het gebied van IP-telefonie kunnen niet bestaan ​​zonder de implementatie van standaard authenticatie- en autorisatietechnologieën, integriteitscontrole en encryptie, etc. Laten we voor de duidelijkheid eens kijken naar deze mechanismen zoals ze worden gebruikt verschillende stadia organisaties telefoongesprek, beginnend bij de opkomst hoorn en eindigend met het signaal 'Alles veilig'.

1. Telefoontoestel.

Bij IP-telefonie moet de abonnee, voordat de telefoon een signaal verzendt om een ​​verbinding tot stand te brengen, zijn identificatiecode en wachtwoord invoeren om toegang te krijgen tot het apparaat en zijn functies. Met deze authenticatie kunt u alle acties van buitenstaanders blokkeren en hoeft u zich geen zorgen te maken dat gebruikers van andere mensen op uw kosten naar een andere stad of land zullen bellen.

2. Een verbinding tot stand brengen.

Na het kiezen van het nummer wordt het signaal om een ​​verbinding tot stand te brengen naar de juiste call management server gestuurd, waar een aantal veiligheidscontroles worden uitgevoerd. Allereerst wordt de authenticiteit van de telefoon zelf geverifieerd - zowel door gebruik te maken van het 802.1x-protocol als door het gebruik van certificaten die zijn gebaseerd op openbare sleutels geïntegreerd in de IP-telefonie-infrastructuur. Met deze controle kunt u ongeautoriseerde IP-telefoons isoleren die op het netwerk zijn geïnstalleerd, vooral in een netwerk met dynamische adressering. Verschijnselen vergelijkbaar met de beruchte Vietnamese callcenters zijn eenvoudigweg onmogelijk in IP-telefonie (natuurlijk, op voorwaarde dat u de regels volgt voor het bouwen van een veilig netwerk telefonische communicatie).

De kwestie beperkt zich echter niet tot telefoonauthenticatie: het is noodzakelijk om uit te zoeken of de abonnee het recht heeft om het nummer te bellen dat hij heeft gebeld. Dit is niet zozeer een beveiligingsmechanisme als wel een maatregel ter voorkoming van fraude. Als een bedrijfsingenieur geen langeafstandscommunicatie mag gebruiken, wordt de overeenkomstige regel onmiddellijk vastgelegd in het oproepbeheersysteem, en ongeacht vanaf welke telefoon een dergelijke poging wordt ondernomen, wordt deze onmiddellijk gestopt. Bovendien kunt u maskers of telefoonnummerreeksen opgeven die een bepaalde gebruiker mag bellen.

In het geval van IP-telefonie zijn communicatieproblemen die vergelijkbaar zijn met lijnoverbelastingen bij analoge telefonie onmogelijk: met een goed ontwerp van het netwerk met back-upverbindingen of duplicatie van de call control-server heeft het falen van IP-telefonie-infrastructuurelementen of de overbelasting ervan geen negatieve gevolgen. invloed op het functioneren van het netwerk.

3. Telefoongesprek.

Bij IP-telefonie werd vanaf het begin een oplossing geboden voor het probleem van de bescherming tegen afluisteren. Hoog niveau de vertrouwelijkheid van telefooncommunicatie wordt verzekerd door beproefde algoritmen en protocollen (DES, 3DES, AES, IPSec, enz.) met vrijwel volledige afwezigheid van kosten voor het organiseren van dergelijke bescherming - alle noodzakelijke mechanismen (encryptie, integriteitscontrole, hashing, sleuteluitwisseling, enz.) zijn al geïmplementeerd in infrastructuurelementen, variërend van een IP-telefoon tot een oproepbeheersysteem. Tegelijkertijd kan de bescherming met evenveel succes worden gebruikt voor zowel interne als externe gesprekken (in het laatste geval moeten alle abonnees IP-telefoons gebruiken).

Er zijn echter een aantal problemen verbonden aan encryptie waarmee u rekening moet houden bij het implementeren van een VoIP-infrastructuur. Ten eerste is er een extra vertraging als gevolg van encryptie/decryptie, en ten tweede stijgen de overheadkosten als gevolg van de toename van de lengte van de verzonden pakketten.

4. Onzichtbare functionaliteit.

Tot nu toe hebben we alleen gekeken naar de gevaren waaraan de traditionele telefonie is blootgesteld en die kunnen worden geëlimineerd door de introductie van IP-telefonie. Maar de overgang naar het IP-protocol brengt een aantal nieuwe bedreigingen met zich mee die niet kunnen worden genegeerd. Gelukkig bestaan ​​er al beproefde oplossingen, technologieën en benaderingen om bescherming te bieden tegen deze bedreigingen. De meesten van hen hebben er geen nodig financiële investeringen, dat al is geïmplementeerd in netwerkapparatuur die ten grondslag ligt aan elke IP-telefonie-infrastructuur.

Het eenvoudigste dat kan worden gedaan om de veiligheid van telefoongesprekken te verbeteren wanneer deze via dezelfde telefoon worden verzonden kabel systeem Zoals gebruikelijk is het segmenteren van het netwerk met behulp van VLAN-technologie om de mogelijkheid van het afluisteren van gesprekken te elimineren gewone gebruikers. Goede resultaten worden behaald door het gebruik van een aparte adresruimte voor IP-telefoniesegmenten. En natuurlijk mag u de toegangscontroleregels op routers (Access Control List, ACL) of firewalls niet buiten beschouwing laten, omdat het gebruik hiervan het voor aanvallers moeilijk maakt om verbinding te maken met spraaksegmenten.

5. Communicatie met de buitenwereld.

Welke voordelen IP-telefonie ook biedt binnen het interne bedrijfsnetwerk, ze zullen onvolledig zijn zonder de mogelijkheid om naar vaste nummers te bellen en gebeld te worden. In dit geval ontstaat in de regel de taak om IP-verkeer om te zetten in een signaal dat via het telefoonnetwerk wordt verzonden openbaar gebruik(PSTN). Het probleem wordt opgelost door het gebruik van speciale spraakgateways, die ook enkele beveiligingsfuncties implementeren, en de belangrijkste daarvan is het blokkeren van alle IP-telefonieprotocollen (H.323, SIP, enz.) als hun berichten afkomstig zijn van een niet-spraaksegment. .

Om elementen van de spraakinfrastructuur te beschermen tegen mogelijke ongeoorloofde invloeden, kunnen gespecialiseerde oplossingen worden gebruikt: firewalls (Firewalls), applicatielaaggateways (Application Layer Gateway, ALG) en sessiegrenscontrollers (Session Border Controller). RTP maakt met name gebruik van dynamische UDP-poorten, die, wanneer ze op een firewall worden geopend, een gapend beveiligingslek creëren. Daarom moet de firewall op dynamische wijze bepalen welke poorten worden gebruikt voor communicatie, deze openen op het moment dat er verbinding wordt gemaakt en sluiten wanneer de verbinding is voltooid. Een ander kenmerk is dat een aantal protocollen, b.v.

Omdat VoIP-technologie gebaseerd is op IP-technologie en gebruik maakt van internet, erft het ook alle kwetsbaarheden ervan. De gevolgen van deze aanvallen, gekoppeld aan de kwetsbaarheden die voortkomen uit de architectuur van VoIP-netwerken, doen ons nadenken over manieren om de beveiliging te versterken en een grondige analyse van het bestaande IP-netwerk. Bovendien kan het toevoegen van een nieuwe dienst, zoals voicemail, aan een onvoldoende beschermde infrastructuur leiden tot het ontstaan ​​van nieuwe kwetsbaarheden.

Risico's en kwetsbaarheden die zijn geërfd van IP-netwerken.

Slecht netwerkontwerp

Een verkeerd ontworpen netwerk kan leiden tot een groot aantal problemen die verband houden met het gebruik en het bieden van de noodzakelijke mate van informatiebeveiliging in VoIP-netwerken. Firewalls vormen bijvoorbeeld een kwetsbaarheid in het netwerk omdat extra poorten moeten worden geopend om het VoIP-netwerk goed te laten functioneren, en firewalls die de VoIP-technologie niet ondersteunen, kunnen eerder gebruikte poorten eenvoudigweg open laten, zelfs nadat gesprekken zijn beëindigd.

Kwetsbare IP-telefooncentrales en gateways

Als een aanvaller toegang krijgt tot een gateway of PBX, krijgt hij ook toegang om hele sessies vast te leggen (in wezen de mogelijkheid om naar een oproep te luisteren) en om de oproep- en netwerkparameters te achterhalen. Het is dus noodzakelijk om aandacht te besteden aan de veiligheid van PBX grootste aandacht. De verliezen als gevolg van dergelijke inbraken kunnen aanzienlijke bedragen bereiken.

Packet replay-aanvallen

Een pakketherhalingsaanval kan worden uitgevoerd op een VoIP-netwerk door een reeks geldige pakketten opnieuw te verzenden, zodat het ontvangende apparaat de informatie opnieuw verwerkt en antwoordpakketten verzendt die kunnen worden geanalyseerd om pakketten te vervalsen en toegang te krijgen tot het netwerk. Zelfs als de gegevens gecodeerd zijn, is het bijvoorbeeld mogelijk om een ​​pakket te herhalen met de login en het wachtwoord van de gebruiker, en zo toegang te krijgen tot het netwerk.

Risico's en kwetsbaarheden specifiek voor VoIP-netwerken

Pakketspoofing en maskering
Het gebruik van spoofingpakketten met een onjuist bron-IP-adres kan voor de volgende doeleinden worden gebruikt:

Pakketten doorsturen naar een ander netwerk of systeem

Verkeersonderschepping en man-in-the-middle-aanval (foto hieronder)

• Vermomming onder een vertrouwd apparaat - “Overdracht van verantwoordelijkheid” voor een aanval naar een ander apparaat
• Fuzzend- Het systeem laden met pakketten met onvolledig correcte informatie, waardoor fouten in het systeem ontstaan ​​bij de verwerking ervan, zoals vertragingen in de werking, informatielekken en volledige mislukking systemen
• Scannen op mogelijke kwetsbaarheden- Poortscanning kan een aanvaller de eerste gegevens geven om een ​​volwaardige aanval uit te voeren, zoals modellen besturingssystemen, soorten diensten en toepassingen die worden gebruikt. Door een kwetsbare dienst te vinden, kan een aanvaller toegang krijgen tot controle over het hele netwerk en daardoor grote schade aanrichten.
• Lage betrouwbaarheid vergeleken met traditionele netwerken - Om communicatie van hoge kwaliteit te bereiken, krijgen pakketten met spraak- en video-payload hoge prioriteit in QoS-mechanismen (Quality of Service). De betrouwbaarheid van VoIP- en datanetwerken neigt echter naar 99,9%, wat lager is dan de mate van betrouwbaarheid in traditionele telefoonnetwerken, waarvoor deze parameter neigt naar 99,999%. Het verschil is uiteraard niet zo groot, maar in de loop van een jaar levert dit verschil wel 8,7 uur extra op waarin het systeem niet werkt. Maar het is noodzakelijk om te begrijpen dat niet elke onderneming hierdoor schade kan ondervinden.
• DDoS-aanvallen (Distributed Denial of Service).- Aanvallen DoS En DDoS treedt op wanneer een aanvaller extreem grote hoeveelheden willekeurige berichten verzendt naar een of meer VoIP-apparaten vanaf een of meer locaties (respectievelijk DoS en DDoS). Bij een aanval op meerdere locaties wordt gebruik gemaakt van 'zombies': gecompromitteerde servers en werkstations die automatisch kwaadaardige verzoeken verzenden op basis van de behoeften van de aanvaller. Een dergelijke aanval wordt als succesvol beschouwd wanneer het aantal verzoeken groter is rekenkracht object, wat resulteert in een Denial of Service voor eindgebruikers.

VoIP-systemen zijn bijzonder kwetsbaar voor dergelijke aanvallen omdat ze een hoge prioriteit hebben in de QoS-technologie en minder verkeer nodig hebben om hun werking te verstoren dan VoIP-systemen. reguliere netwerken gegevensoverdracht. DoS-voorbeeld aanvallen op een VoIP-netwerk kunnen een aanval zijn tijdens meervoudige verzending van signalen voor het annuleren of tot stand brengen van oproepen, ook wel een SIP CANCEL DoS-aanval genoemd.

• CID-spoofing- Eén type pakketspoofing-aanval is gebaseerd op manipulatie van de beller-ID (Caller ID of CID), die wordt gebruikt om de beller te identificeren voordat hij antwoordt. Een aanvaller kan deze identificatie vervangen door een tekstreeks of telefoonnummer en kan daar ook aan worden gebruikt diverse acties schade aan het netwerk of de bedrijfseigenaar. Bovendien is het in VoIP-netwerken niet mogelijk om deze identificatie te verbergen, omdat telefoonnummers zijn opgenomen in de pakketheaders van het SIP-protocol. Hierdoor kan een aanvaller met een pakketsniffer zoals tcpdump telefoonnummers achterhalen, zelfs als deze de 'privé'-parameter van de serviceprovider hebben.
• Conclusie- Het gebruik van IP-telefonie brengt voor elke organisatie een enorme hoeveelheid voordelen met zich mee. - Op VoIP gebaseerde oplossingen zijn schaalbaarder, gemakkelijker te integreren en de kosten zijn lager dan die van klassieke oplossingen. Echter, elke organisatie die dit heeft geïmplementeerd VoIP-oplossing moeten zich bewust zijn van mogelijke bedreigingen en alles in het werk stellen om de mate van informatiebeveiliging op het netwerk te vergroten. Er zijn slechts enkele aanvalsmethoden genoemd, maar het is belangrijk om te begrijpen dat combinaties van aanvallen vaak worden gebruikt en dat er bijna dagelijks nieuwe aanvallen worden ontwikkeld. Maar het is al duidelijk dat deze technologie de toekomst heeft en het is onwaarschijnlijk dat deze in de nabije toekomst plaats zal maken voor een andere technologie.

Informatiebeveiliging,

Ontwikkeling van communicatiesystemen

• Handleiding

Hallo, Habr!
Deze keer wil ik het hebben over technologie VoIP-codering oproepen, welke soort bescherming verschillende benaderingen bieden en hoe u de veiligste bescherming tegen afluisteren kunt organiseren gesproken communicatie met technologische veiligheidsgaranties.
In dit artikel zal ik proberen de kenmerken van technologieën als SIP\TLS, SRTP en ZRTP duidelijk uit te leggen. En ik zal specifieke gebruikspatronen demonstreren aan de hand van het voorbeeld van onze service ppbbxx.com

Een beetje theorie

Elk VoIP-gesprek bestaat uit 2 hoofdcomponenten: de uitwisseling van signaalinformatie en de overdracht van mediastreams met spraak en/of video tussen gebruikers.
In de eerste fase, tijdens het uitwisselen van signaalinformatie, komen clients rechtstreeks of via de server met elkaar overeen over de parameters van het tot stand gebrachte gesprek. Als de communicatie tot stand wordt gebracht met behulp van een server, autoriseert de server, op basis van de signaleringsinformatie, de cliënt, bepaalt wie wie belt en voert de routering en het schakelen uit. Dankzij de signaleringsprotocolgegevens komen clients en de server overeen over de coderingsmethode, de gebruikte mediacodecs, wisselen IP-adressen en poortnummers uit waar media-ontvangst wordt verwacht, enz. Dit gebeurt via protocollen zoals SIP, XMPP en andere.
Het ‘gesprek’ zelf, dat wil zeggen de uitwisseling van spraakgegevens tussen clients, vindt meestal plaats via het RTP-protocol. De gegevens worden intern verzonden in de vorm die is overeengekomen tussen de clients en de server in de ‘signaleringsfase’. Spraakuitwisseling is zowel rechtstreeks tussen clients als via een intermediaire server mogelijk. In het tweede geval kan de server clients helpen bij het doorlopen van NAT en het kiezen van codecs.

Wat is een gecodeerd VoIP-gesprek? Vervolgens zullen we het hebben over het SIP-protocol als het meest populair.
Zoals we al hebben ontdekt, bestaat een oproep uit een signaal en mediadelen, die elk afzonderlijk kunnen worden gecodeerd met behulp van speciale protocolmethoden. SIP\TLS wordt gebruikt om signaalinformatie te coderen, ZRTP- en SRTP-protocollen worden gebruikt om “stem” te coderen.

SIP\TLS- grofweg een analoog van HTTPS voor regulier SIP. Met dit protocol kan een client verifiëren dat hij met de juiste server communiceert, op voorwaarde dat de client het door de server verstrekte certificaat vertrouwt. Je kunt meer lezen op Wikipedia

SRTP En ZRTP- dat zijn er twee verschillende manieren versleutel RTP-streams. Het fundamentele verschil tussen de twee is dat de sleuteluitwisseling voor SRTP plaatsvindt tijdens de signalering (in de eerste signaleringsfase van het opzetten van een gesprek). En voor ZRTP, onmiddellijk aan het begin van de uitwisseling van RTP-pakketten (in het tweede, "media" -gedeelte) met behulp van een speciaal protocol gebaseerd op de Diffie-Hellman-cryptografiemethode.
Het is belangrijk dat voor SRTP een voorwaarde voor de betrouwbaarheid van oproepversleuteling is gelijktijdig gebruik SIP\TLS + SRTP, anders zal het voor een aanvaller niet moeilijk zijn om de sleutels te bemachtigen (die via niet-gecodeerde SIP worden verzonden) en naar het gesprek te luisteren. Hoewel dit voor ZRTP niet belangrijk is, wordt de RTP-stream veilig gecodeerd, ongeacht of de signalering gecodeerd is of niet. Bovendien kan het protocol de aanwezigheid van “man in” detecteren het midden» (inclusief serviceservers!) tussen direct sprekende clients. Dit zorgt ervoor dat het gesprek niet kan worden afgeluisterd, althans vanuit het perspectief van netwerk/media-afluisteren.

Schema SIP-verbindingen clients met verschillende coderingsinstellingen:

De volgende schema's voor het installeren van een gecodeerde oproep kunnen worden onderscheiden:

1. Beide gebruikers gebruiken SIP\TLS en SRTP. In dit geval vindt de uitwisseling van sleutels voor media-encryptie plaats via een beveiligd signaleringsprotocol. Er wordt uitgegaan van vertrouwen in de server die betrokken is bij het tot stand brengen van de verbinding. Buitenstaanders hebben geen toegang tot signaalinformatie of spraakgegevens. Het nadeel is dat de gebruiker niet geïnformeerd wordt op protocol(client)niveau en er niet van overtuigd is dat de tweede gebruiker ook gebruik maakt van een gecodeerde verbinding met de server.
2. Beide gebruikers gebruiken ZRTP, terwijl de stem via de server gaat. In dit geval wordt de server door het ZRTP-protocol gedefinieerd als Trusted MitM (man in the middle). Sleutels worden uitgewisseld met behulp van een algoritme gebaseerd op de Diffie-Hellman-methode (die de onmogelijkheid van afluisteren garandeert) via het RTP-protocol. Als beveiligde SIP\TLS wordt gebruikt, hebben buitenstaanders ook geen toegang tot de signaalinformatie of de “stem”. Net als bij de eerste optie wordt er uitgegaan van vertrouwen in de schakelende server, maar in tegenstelling tot dit, voor betrouwbare spraakversleuteling Niet verplicht gebruik van beveiligde SIP\TLS is vereist. Bovendien ziet elke gebruiker, in tegenstelling tot de eerste optie, dat het gesprek aan beide kanten gecodeerd is met de server, en ook dat beide verbonden zijn met dezelfde (vertrouwde) server.
3. Beide gebruikers gebruiken ZRTP, maar media worden rechtstreeks tussen clients geïnstalleerd. Omdat de sleuteluitwisseling rechtstreeks tussen clients plaatsvindt, kan zelfs de server die de omschakeling heeft uitgevoerd niet naar het gesprek luisteren. In dit geval geven beide clients informatie weer dat er een beveiligde directe communicatiesessie tot stand is gebracht. U kunt dit verifiëren door de SAS (korte autorisatiereeksen) te controleren. Deze zullen hetzelfde zijn. Als u signaalinformatie voor buitenstaanders wilt verbergen, moet u SIP\TLS gebruiken. Dit is het meeste veilige optie, maar in dit geval zal de server niet veel functies kunnen uitvoeren die er in andere situaties op worden uitgevoerd, bijvoorbeeld het rechtstreeks opnemen van een gesprek, spraaktranscodering voor clients met verschillende audiocodec-instellingen, enz.
4. De ene gebruiker gebruikt de eerste hierboven beschreven methode en de andere gebruikt de tweede. In dit geval is ook vertrouwen in de server vereist. Signaleringsinformatie wordt gecodeerd met SIP\TLS. Voor een gebruiker met ZRTP meldt het protocol dat er een gecodeerde verbinding tot stand is gebracht met de server (End at MitM). Het is onmogelijk om op protocolniveau te achterhalen of er aan de andere kant encryptie wordt gebruikt.

Laten we eindigen met de theorie en verder gaan met de praktijk! Laten we onze eigen SIP-server opzetten, SIP-gebruikers aanmaken, SIP-clients installeren en leren hoe u gecodeerde gesprekken kunt voeren met behulp van gratis

Serverconfiguratie

Eerst moet u uw eigen server maken. Om dit te doen, moet u naar de servicewebsite ppbbxx.com gaan, een eenvoudige registratie doorlopen en de instellingeninterface openen.

Laten we eerst naar de sectie gaan " Intern netwerk -> Domeinen" en creëer uw eigen domein zodat u niet beperkt wordt in de keuze van SIP-gebruikersnamen. U kunt uw domein parkeren of een persoonlijk subdomein aanmaken in een van de servicezones.
Verder is het noodzakelijk in de sectie " Intern netwerk -> Sip-gebruikers"maak SIP-gebruikers aan en configureer enkele parameters van hun klanten. De namen van SIP-gebruikers kunnen willekeurig zijn, maar omdat het handiger is om nummers te bellen op soft- en hardwaretelefoons, zullen we identificatiegegevens van de vorm maken [e-mailadres beveiligd] en dergelijke. Ik heb 1000, 1001, 1002, 1003 ingevoerd. Nadat u de SIP-ID hebt aangemaakt, moet u niet vergeten op de knop "Opslaan" te klikken. Als er geen oningevulde formulieren meer zijn in de instellingeninterface, zal het systeem niet klagen en het wijzigingslog tonen met de status "Gereed".

Vervolgens moet u de gebruikte codecs en coderingsmethoden configureren. Om dit te doen, klikt u op het tandwielpictogram links van de SIP-ID. Ik ben van plan een SIP-client (CSipSimple) op een smartphone te gebruiken en wil de ZRTP-coderingsmethode gebruiken, dus in " eenvoudig"op het tabblad Instellingen selecteer ik de G729- en SILK-codecs, en op het tabblad " bescherming"ZRTP-methode.

U kunt andere opties kiezen. Het is alleen belangrijk op te merken dat de instellingen voor het SIP-account in de service-interface staan moet voldoen instellingen in de SIP-client. Dit is nodig om correcte communicatie te garanderen tussen clients met verschillende codec- en encryptie-instellingen. Vergeet ook niet de gemaakte configuratie op te slaan.

Over het algemeen voor maatwerk eenvoudigste configuratie dat is genoeg. U kunt SIP-clients configureren en onderling bellen door hun nummers 1000, 1001, 1002, 1003 te kiezen. Indien gewenst kunt u hieraan een algemene SIP-gateway toevoegen voor oproepen naar het telefoonnetwerk en de juiste oproeproutering configureren. Maar in dit geval is dit een iets ander schema voor het gebruik van de dienst, waarvoor een ander soort beveiligingsmaatregelen nodig zijn dan het versleutelen van verkeer naar de gateway.

Laten we verder gaan met het instellen van SIP-clients

Zoals ik al zei, ben ik van plan CSipSimple op Android-smartphones te gebruiken. De eerste stap is het installeren van de client met behulp van de standaard Speel Markt, of downloaden van de website van de fabrikant, die overigens de broncode van zijn klant opent, wat in sommige gevallen een bijna heilige betekenis kan hebben. U moet de client zelf en aanvullende codecs installeren. Ik heb "CSipSimple", " Codec-pakket voor CSipSimple" en "G729-codec voor CSipSimple". Dit laatste is betaald en is niet nodig om te gebruiken; gratis SILK en OPUS bieden gesprekken van behoorlijke kwaliteit via 3G-netwerken.

Start CSipSimple en ga naar de configuratie-interface. Selecteer de wizard “Basis” en configureer deze met behulp van gegevens uit de webinterface. Het zou er zo uit moeten zien:

Verderop in de algemene instellingen van CSipSimple in de sectie " Media -> Audiocodecs"U moet de codecs van uw voorkeur selecteren. Voor oproepen via 3G raad ik aan SILK, OPUS, iLBC, G729 te gebruiken. Omdat de instellingen zich in de serverinterface en in de clientinterface bevinden moet overeenkomen, en op de server heb ik SILK en G729 geselecteerd, en vervolgens in de lijst met CSipSimple-audiocodecs vink ik alleen de vakjes naast deze codecs aan en schakel ik de rest uit.
In het klantengedeelte" Netwerk -> Veilig protocol "Je moet de gewenste encryptieparameters selecteren. Ik schakel alleen ZRTP in. De rest laat ik uitgeschakeld. Indien gewenst kun je SIP\TLS gebruiken - je moet er rekening mee houden dat de server TLS-verbindingen op poort 443 verwacht. Dit is speciaal gedaan voor te slimme mobiele operators die standaard VoIP-poorten blokkeren.
U moet er ook rekening mee houden dat SRTP en ZRTP niet altijd compatibel zijn en dat het zeer raadzaam is om er slechts één in de client te selecteren.

Bellen met ZRTP

Nadat alle instellingen zijn voltooid, zullen we verschillende oproepen doen om te demonstreren hoe CSipSimple werkt in oproepen tussen gebruikers met verschillende beveiligingsinstellingen.

Direct na het volgen van de instructies ziet de SIP-oproep van gebruiker 1001 naar gebruiker 1000 er als volgt uit.
CSipSimple laat zien dat de oproep een MitM-server betreft waarmee beide clients zijn verbonden. EC25 betekent dat het 256-bit Elliptic Curve Diffie-Hellman-protocol wordt gebruikt. AES-256 - algoritme symmetrische encryptie, die wordt toegepast. De status ZRTP - Geverifieerd betekent dat de SAS-controlereeks door de gebruiker is geverifieerd.

Laten we de mediaoverdrachtmodus wijzigen in de ppbbxx-instellingen voor beide clients. Door directe media in te stellen = ja, kunt u spraak rechtstreeks verzenden. In dit geval zien de partijen dezelfde SAS-strings, er wordt gebruik gemaakt van het Twofish-256 symmetrische encryptie-algoritme. Het gebruik van ZRTP in deze modus vereist een veel grotere compatibiliteit van clients en is minder betrouwbaar in termen van het tot stand brengen van communicatie, omdat de server niet betrokken is bij de gegevensoverdracht. Het is verplicht om op alle clients dezelfde audiocodecs te gebruiken en ervoor te zorgen dat NAT correct werkt.

Als SIP-gebruiker 1001 geen encryptie heeft geïnstalleerd, terwijl 1000 ZRTP gebruikt, zal de tweede client laten zien dat gecodeerde spraakoverdracht alleen plaatsvindt tot aan de server (End at MitM).

Laten we het samenvatten

Het is mogelijk om communicatie te organiseren die volledig beschermd is tegen afluisteren. Het is niet moeilijk om te doen. Meest geschikte manier Gebruik hiervoor het SIP IP-telefonieprotocol en de ZRTP-encryptiemethode voor mediagegevens. Dienst